ชาวเมาท์ฯ คะ… ถ้าคุณเคยทำพาสปอร์ตหรือใบขับขี่ผ่านเว็บของรัฐบาลฝรั่งเศส นั่นแสดงว่า คุณมีบัญชีกับ ANTS และข่าวร้ายคือ เมื่อวันที่ 15 เมษายน 2026 ที่ผ่านมา เจ้าแฮกเกอร์มือดีได้ทำการแฮกระบบไปค่ะ ซึ่งเท่ากับว่าข้อมูลของคน 11.7 ล้านคน หลุดออกไปแล้วค่ะ และถ้าคุณเคยทำเรื่องเอกสารออนไลน์ในฝรั่งเศส… ชื่อคุณอาจอยู่ในนั้นด้วยค่ะ
ANTS (Agence Nationale des Titres Sécurisés คือ หน่วยงานของรัฐฝรั่งเศสที่ดูแลเรื่องเอกสารสำคัญทุกอย่าง ไม่ว่าจะเป็นพาสปอร์ต, ใบขับขี่ และบัตรประจำตัว) คือ เป็นเว็บไซต์ที่คนในฝรั่งเศสทุกคนต้องใช้ค่ะ พูดง่ายๆ คือ ถ้าคุณเคยต่อใบขับขี่ออนไลน์ หรือยื่นขอพาสปอร์ตผ่านเน็ต คุณก็มีบัญชีกับ ANTS แน่นอนค่ะ
เรื่องนี้ชาวเมาท์ฯ จะวางเฉยไม่ได้ค่ะ เพราะข้อมูลที่หลุดออกไปนั้น… มันไม่ใช่แค่ email ธรรมดาค่ะ แต่มันคือ ชื่อ – นามสกุล, วันเกิด, ที่อยู่ และเบอร์โทรของคุณ — ครบชุดพอที่แฮกเกอร์จะแอบอ้างเป็นคุณได้เลย
เรื่องนี้เริ่มจากเจ้าแฮกเกอร์ที่ใช้ชื่อว่า “breach3d” ออกมาโพสต์ในเว็บอาชญากรไซเบอร์ว่าตัวเองมีฐานข้อมูล 18-19 ล้านรายการจาก ANTS และกำลังจะขายค่ะ ซึ่งทีมสืบสวนตรวจสอบแล้วพบว่า มีบัญชีที่โดนเจาะจริงประมาณ 11.7 ล้านบัญชี ซึ่งถือว่าอาจเป็นการละเมิดข้อมูลระดับใหญ่ที่สุดครั้งหนึ่งของฝรั่งเศสเลยค่ะ
แล้วมันแฮกระบบเข้าไปยังไง? หลินไปหาข้อมูลเลยจะมาเมาท์ให้ฟังค่ะ — เจ้าแฮกเกอร์ มันใช้ช่องโหว่ที่เรียกว่า IDOR (Insecure Direct Object Reference) ซึ่งคือ ช่องโหว่ที่แค่เปลี่ยนตัวเลขในลิงก์เว็บ ก็เข้าถึงข้อมูลคนอื่นได้ทันที โดยไม่ต้องผ่านระบบรักษาความปลอดภัยใดๆ เลย น่ากลัวมากค่ะ ซึ่งถ้าเทียบกับว่า นี่คือ หน่วยงานที่ดูแลเอกสารสำคัญระดับชาติ แบบนี้นี่มันคือความบกพร่องพื้นฐานมากๆ เลยค่ะ
ข้อมูลที่หลุดออกไปได้แก่ ชื่อ-นามสกุล, อีเมล, วันเกิด, เลข ID บัญชี และในบางเคสก็มีที่อยู่ เบอร์โทร และสถานที่เกิดด้วยค่ะ
แต่ก็ข่าวดีมีนิดนึงนะคะ คือ พวกรหัสผ่าน สำเนาเอกสาร และข้อมูลไบโอเมตริก (ลายนิ้วมือ, ใบหน้า) ไม่ได้หลุดออกไปค่ะ เพราะฉะนั้นยังไม่ถึงขั้น “โดนขโมยตัวตนทั้งหมด” แต่ก็ไม่ได้แปลว่าจะนั่งเฉยได้นะคะ
ขณะที่คุณอ่านเรื่องนี้ บางคนอาจจะได้รับอีเมลจากรัฐฯ แจ้งให้กับผู้ที่ได้รับผลกระทบถึงเรื่องที่เกิดขึ้นแล้วค่ะ โดยที่รัฐฯ ได้มีการแจ้งความที่สำนักงานอัยการปารีส เพื่อเปิดการสืบสวนโดย OFAC (Office Anti-Cybercriminalité — หน่วยงานตำรวจไซเบอร์ฝรั่งเศส) และแจ้ง ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information — หน่วยงานความมั่นคงไซเบอร์ของฝรั่งเศส) เพื่อสอบสวนทางเทคนิค นอกจากนี้ยังแจ้ง CNIL (Commission Nationale de l’Informatique et des Libertés — หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของฝรั่งเศส ทำงานคล้ายๆ PDPA บ้านเรา) ตามที่กฎหมาย GDPR กำหนดด้วยค่ะ
ชาวเมาท์ฯ คะ นี่คือส่วนที่หลินอยากให้อ่านให้จบจริงๆ ค่ะ
เรื่องที่ต้องระวังทันทีคือ Phishing (ฟิชชิ่ง — การหลอกลวงทางอีเมลหรือ SMS โดยแอบอ้างเป็นหน่วยงานราชการ) ค่ะ เพราะตอนนี้แฮกเกอร์มีชื่อจริง วันเกิด และที่อยู่ของคุณแล้ว พวกมันอาจส่งอีเมลมาในลักษณะ “คุณ [ชื่อจริง] ค่ะ พาสปอร์ตของคุณต้องการการยืนยัน” ซึ่งข้อมูลแบบนี้ที่ทำให้เราหลงกดคลิ๊กลิงค์เข้าไปยืนยันทันที ดังนั้นช่วงนี้ ถ้าคุณได้รับอีเมลที่ดูเหมือน ANTS, ศาลากลาง (Mairie) หรือหน่วยงานราชการใดๆ แล้วมีลิงก์ให้กด — อย่าคลิกค่ะ แต่ให้ไปที่หน้าเว็บโดยตรงแทนเสมอ
นอกจากนี้ ข้อมูลชุดนี้ยังอาจถูกนำไปรวมกับข้อมูลที่รั่วจากที่อื่น เช่น CAF (หน่วยงานสวัสดิการ) หรือระบบภาษี เพื่อสร้างโปรไฟล์ของคุณให้สมบูรณ์ขึ้นค่ะ ยิ่งข้อมูลครบ ยิ่งเสี่ยงค่ะ
สิ่งที่ต้องทำตอนนี้เลยค่ะ
1. เปลี่ยนรหัสผ่านทันที — เปลี่ยนรหัส ANTS และบัญชีอื่นๆ ที่ใช้รหัสเดียวกัน ใช้รหัสที่แตกต่างกันในแต่ละบัญชีนะคะ
2. เปิด 2FA (การยืนยันตัวตนสองขั้นตอน) — เปิดให้ครบทั้งบัญชีอีเมล ธนาคาร ภาษี และ France Connect ค่ะ นี่คือการป้องกันที่ได้ผลที่สุด
3. ระวังทุกอีเมลหรือ SMS ที่อ้างว่าเป็นราชการ — ถ้าดูน่าสงสัย ให้ไปตรวจสอบโดยตรงที่เว็บทางการแทน อย่าคลิกลิงก์ในอีเมลที่ไม่แน่ใจค่ะ
หลินรู้ว่าอ่านแล้วก็กังวลน่าหนักใจนะคะ แต่ขอให้รู้ว่า การรู้เร็ว คือ การป้องกันได้เร็วค่ะ ถ้าคุณได้รับอีเมลจาก ANTS แล้ว อย่าลืมเช็คด้วยนะคะ และถ้าใครมีประสบการณ์หรือข้อสงสัยเพิ่มเติม คอมเมนต์มาเลยค่ะ หลินรออ่านอยู่นะคะ 🙏
— หลิน
