Blockdit Logo (Mobile)
Cyber Masters co. ltd
2 ธ.ค. 2025 เวลา 03:07 • ธุรกิจ

พบ Secret กว่า 17,000 รายการ รั่วไหลจาก GitLab Public Repositories

ทำไมเรื่องนี้สำคัญต่อธุรกิจไทยมากกว่าที่คิด?
เมื่อไม่นานมานี้ มีรายงานที่เขย่าวงการพัฒนา Software และความปลอดภัยไซเบอร์อย่างมาก นักวิจัยด้านความปลอดภัยพบว่า มี Secrets มากกว่า 17,000 รายการที่ยังใช้งานได้จริง รั่วไหลอยู่บน GitLab ใน repository สาธารณะกว่า 5.6 ล้านรายการ
สำหรับคนทั่วไปอาจฟังดูไกลตัว
แต่จริง ๆ แล้ว นี่คือหนึ่งในเหตุการณ์ที่สะท้อนปัญหาคลาสสิก
ที่เกิดขึ้นกับเกือบทุกทีม IT — “มนุษย์พลาดเพียงครั้งเดียว อาจทำทั้งระบบเสี่ยงทันที”
Secret คืออะไร?
และทำไมมันสำคัญขนาดนั้น
Secret ในโลก Software หมายถึงข้อมูลที่ใช้เข้าถึงระบบ เช่น
  • API Keys
  • Passwords
  • Cloud credentials
  • Database tokens
  • Bot tokens
  • หรือ access keys สำหรับบริการต่าง ๆ
ถ้าเปรียบเทียบในชีวิตจริง
Secret ก็เหมือน “กุญแจบ้าน” หรือ “รหัสตู้เซฟ”
ใครได้ไป ก็เข้าใช้ทรัพยากรของคุณได้โดยไม่มีข้อจำกัด
เกิดอะไรขึ้นบน GitLab?
นักวิจัยใช้เครื่องมือสแกนชื่อ TruffleHog เพื่อตรวจหาว่า มี secret ถูก commit ลงไปในไฟล์โค้ดหรือไม่
ผลที่พบชวนตกใจมาก เพราะ
  • พบ secret ที่ยังใช้งานได้มากกว่า 17,000 รายการ
  • บางรายการถูก commit ทิ้งไว้ตั้งแต่ ปี 2009
  • Secret ที่พบมากที่สุดคือ Google Cloud, MongoDB และ Telegram bot
  • รวมถึง GitLab Access Tokens ของตัวระบบเองมากกว่า 400 รายการ
ทำไมเรื่องนี้สำคัญต่อธุรกิจไทย?
หลายองค์กรในไทยใช้ GitLab, GitHub, Bitbucket และเครื่องมือ DevOps อื่น ๆ
แต่ความผิดพลาดเล็ก ๆ เหล่านี้มักเกิดขึ้นเสมอ เช่น
  • เผลอ commit ไฟล์ .env ที่มี credential
  • push โปรเจกต์ทดสอบขึ้น public repo
  • ลบไฟล์แล้ว แต่ยังอยู่ใน commit history
  • ไม่มีระบบตรวจจับ secret รั่ว
  • หรือระบบ CI/CD ที่มีการแชร์ credential กันหลายคน
องค์กรควรป้องกันตัวเองอย่างไร?
  • 1.
    ห้ามเก็บ Secret ไว้ในโค้ดเด็ดขาด
  • 2.
    ใช้เครื่องมือสแกนหา Secret ทันทีที่มีการ commit
  • 3.
    ตั้งค่าป้องกันการ push secret ตั้งแต่ต้นทาง
  • 4.
    Revoke และ Rotate key ทันทีที่พบการรั่วไหล
  • 5.
    ใช้โซลูชันป้องกันเชิงรุกอย่าง Morphisec
ความเผลอเพียงครั้งเดียว อาจนำไปสู่เหตุการณ์ใหญ่
เหตุการณ์ GitLab ครั้งนี้เป็นตัวอย่างที่ชัดว่า
ความปลอดภัยไซเบอร์ไม่ได้พังเพราะเทคโนโลยี แต่พังเพราะ “ความผิดพลาดของมนุษย์”
การมีระบบตรวจจับ + ระบบป้องกันเชิงรุก
คือสิ่งที่ทำให้องค์กรรอดจากการโจมตีที่คาดไม่ถึงในยุคปัจจุบัน
โฆษณา