ไลบรารี JavaScript ยอดนิยม DataTables ที่ใช้งานโดยเว็บไซต์หลายล้านแห่งทั่วโลก ตกเป็นเหยื่อของการโจมตีแฮ็กโดเมนที่ซับซ้อนในเดือนกรกฎาคม 2025 ซึ่งเผยให้เห็นข้อบกพร่องร้ายแรงในแนวปฏิบัติด้านความปลอดภัยของผู้ให้บริการจดทะเบียนโดเมน เหตุการณ์นี้ได้จุดประกายการอภิปรายที่สำคัญเกี่ยวกับความปลอดภัยของ supply chain และช่องโหว่ที่โครงการโอเพนซอร์สต้องเผชิญ
การใช้อีเมลล้นท่วมเป็นฉากบังหน้าการโจมตี
การโจมตีเริ่มต้นด้วยกลยุทธ์ social engineering ที่ชาญฉลาดซึ่งทำให้ผู้สร้าง DataTables ตกใจ เริ่มตั้งแต่กลางเดือนมิถุนายน ผู้โจมตีได้ส่งอีเมลสมัครสมาชิกจำนวนมหาศาลไปยังที่อยู่อีเมลเก่าของ Allan Jardine อย่างต่อเนื่องสามฉบับต่อนาที การล้นท่วมนี้ทำหน้าที่เป็นฉากบังหน้าสำหรับการโจมตีจริง เพื่อให้แน่ใจว่าการแจ้งเตือนการโอนโดเมนที่สำคัญจะถูกฝังอยู่และพลาดไป
การอภิปรายในชุมชนเผยให้เห็นว่าเทคนิคการใช้อีเมลล้นท่วมนี้พบได้บ่อยกว่าที่หลายคนคิด ผู้ใช้ตอนนี้แบ่งปันสิ่งนี้เป็นสัญญาณเตือนว่าอาจมีสิ่งที่เป็นอันตรายกำลังเกิดขึ้น ซึ่งเน้นย้ำถึงความจำเป็นในการตระหนักรู้เกี่ยวกับกลยุทธ์ดังกล่าวให้ดีขึ้น
ไทม์ไลน์การโจมตี (29 กรกฎาคม 2025)
- 02:57 UTC - เซิร์ฟเวอร์ชื่อโดเมนถูกเปลี่ยนแปลง CloudFlare บล็อกการเข้าชมด้วยข้อผิดพลาด 1000
- 07:10 UTC - Allan Jardine ค้นพบการขัดข้อง
- 07:21 UTC - ติดต่อผู้ลงทะเบียนโดเมนหลังจากตระหนักถึงการโอนโดเมน
- 09:42 UTC - นำ datatables-cdn.com มาใช้เป็นเซิร์ฟเวอร์สำรองฉุกเฉิน
- 13:11 UTC - โดเมนถูกโอนกลับคืน บริการเริ่มฟื้นตัว
ข้อบกพร่องในนโยบายของผู้ให้บริการจดทะเบียนโดเมนเอื้อให้เกิดการโจมตี
แง่มุมที่น่าเป็นห่วงที่สุดของการโจมตีคือความง่ายดายที่นโยบายของผู้ให้บริการจดทะเบียนโดเมนเอื้อให้เกิดการโอนโดเมน ด้วยการใช้เอกสารประจำตัวปลอมและข้อมูล WHOIS ที่รั่วไหล ผู้โจมตีสามารถโน้มน้าวให้ Joker.com เริ่มการโอนโดเมน เมื่อไม่มีการตอบกลับภายในห้าวันเนื่องจากอีเมลล้นท่วม ผู้ให้บริการจดทะเบียนโดเมนจึงเลือกอนุมัติการโอนโดยค่าเริ่มต้น
นโยบายนี้ได้รับการวิพากษ์วิจารณ์อย่างมากจากชุมชนเทคโนโลยี ผู้ใช้หลายคนแสดงความกังวลว่ากลไกการอนุมัติโดยค่าเริ่มต้นดังกล่าวสร้างช่องโหว่อันตรายสำหรับเจ้าของโดเมน เหตุการณ์นี้ได้กระตุ้นการอภิปรายเกี่ยวกับความจำเป็นในกระบวนการตรวจสอบที่เข้มงวดยิ่งขึ้นและปัญหาของนโยบายที่ถือว่าความเงียบเท่ากับการยินยอม
วิธีแก้ปัญหาที่แท้จริงเพียงอย่างเดียวคือการผูกบัญชีเข้ากับตัวตนดิจิทัลของบุคคล/บริษัทและบังคับใช้การรับรองความถูกต้องที่เข้มงวดสำหรับกรณีเหล่านี้
ผลกระทบของการโจมตี Supply Chain
ผลกระทบของการโจมตีขยายไปไกลกว่าการหยุดทำงานของเว็บไซต์ธรรมดา CDN ของ DataTables ให้บริการข้อมูลประมาณ 55TB ต่อเดือนผ่านคำขอ 3.4 พันล้านครั้ง ทำให้เป็นส่วนสำคัญของโครงสร้างพื้นฐานเว็บ เมื่อโดเมนถูกแฮ็ก เว็บไซต์นับไม่ถ้วนทั่วโลกสูญเสียการเข้าถึงไฟล์ JavaScript และ CSS ที่จำเป็น
สมาชิกในชุมชนได้ตั้งคำถามสำคัญเกี่ยวกับช่องทางการโจมตี supply chain ที่อาจเกิดขึ้น ผู้ใช้บางคนค้นพบว่า DataTables เวอร์ชันเก่ายังคงอ้างอิงรูปภาพที่โฮสต์บน CDN ของ DataTables สร้างความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นหากมีการให้บริการโค้ดที่เป็นอันตรายระหว่างการแฮ็ก
การอภิปรายได้นำไปสู่การตระหนักรู้ที่เพิ่มขึ้นเกี่ยวกับการใช้งาน Sub-Resource Integrity (SRI) และความสำคัญของการโฮสต์ dependency ที่สำคัญด้วยตนเองแทนการพึ่งพา CDN ภายนอกเพียงอย่างเดียว
สถิติผลกระทบ CDN ของ DataTables
- การถ่ายโอนข้อมูลรายเดือน: ~55TB
- คำขอรายเดือน: ~3.4 พันล้านครั้ง
- การตั้งค่า DNS TTL: 5 นาที (Auto ใน CloudFlare )
- บริการที่ได้รับผลกระทบ: เว็บไซต์หลัก, เอกสารประกอบ, ฟอรัมสนับสนุน, โดเมนย่อยทั้งหมด
 |
|---|
| เว็บเพจนี้กล่าวถึงเหตุการณ์ขัดข้องครั้งใหญ่ของ DataTables อันเนื่องมาจากการแฮ็กโดเมน โดยเน้นย้ำถึงผลกระทบต่อโครงสร้างพื้นฐานเว็บ |
การตอบสนองของชุมชนและบทเรียนที่ได้เรียนรู้
เหตุการณ์นี้ได้สร้างการสนับสนุนอย่างกว้างขวางสำหรับ Allan Jardine และโครงการ DataTables โดยผู้ใช้แสดงความขอบคุณต่อความโปร่งใสและการตอบสนองอย่างรวดเร็วของเขา ปฏิกิริยาของชุมชนแสดงให้เห็นถึงคุณค่าที่ให้กับโครงการโอเพนซอร์สและความกังวลร่วมกันเกี่ยวกับความปลอดภัยของพวกเขา
บทเรียนที่สามารถนำไปปฏิบัติได้หลายประการได้เกิดขึ้นจากการอภิปรายในชุมชน ผู้ใช้ตอนนี้กำลังใช้งานการตรวจสอบ DNS อัปเดตการตั้งค่าความปลอดภัยโดเมนของตน และพิจารณากลยุทธ์การจัดการ dependency ใหม่ เหตุการณ์นี้ทำหน้าที่เป็นสัญญาณเตือนเกี่ยวกับลักษณะที่เชื่อมโยงกันของโครงสร้างพื้นฐานเว็บสมัยใหม่และผลกระทบที่ลุกลามเมื่อส่วนประกอบสำคัญถูกบุกรุก
การโจมตีในที่สุดก็ล้มเหลวในการให้บริการเนื้อหาที่เป็นอันตรายด้วยมาตรการความปลอดภัยของ CloudFlare แต่มันเน้นย้ำถึงช่องโหว่ที่อาจมีผลที่ตามมาร้ายแรงกว่านี้มาก ดังที่สมาชิกชุมชนคนหนึ่งกล่าวไว้ การโจมตีประเภทนี้สามารถใช้เพื่อฉีดโค้ดที่เป็นอันตรายเข้าไปในเว็บไซต์หลายล้านแห่งทั่วโลกได้อย่างง่ายดาย
อ้างอิง: Outage - post incident review