Welcome GDPR !!! หากใครได้มีการติดตามข่าวสารด้านความปลอดภัยจะพบว่าช่วงสัปดาห์ที่ผ่านมา มีรายงานกรณีข้อมูลของผู้ใช้งานรั่วไหลออกมาจากบริษัทต่างๆหลายแห่ง ซึ่งมีทั้งบริษัทที่อยู่ในยุโรป และในเอเชีย ทีมตอบสนองการโจมตีและภัยคุกคามจึงได้ทำการสรุปเหตุการณ์ต่างๆจากรายงานที่พบมา ดังนี้
(https://www.informationsecuritybuzz.com)
ข้อมูลเจ้าหน้าที่ราชการของสหรัฐฯรั่วไหลจาก Advanced Law Enforcement Rapid Response Training (ALERRT)
ALERRT เป็นศูนย์ฝึกอบรมให้แก่เจ้าพนักงานในหน่วยงานต่างๆของสหรัฐฯมากกว่าแสนราย อาทิเช่น กระทรวงยุติธรรม (Justice Department) และกระทรวงความมั่นคงแห่งมาตุภูมิ (Homeland Security) เป็นต้น ทั้งนี้ข้อมูลที่รั่วไหลมานั้นประกอบด้วยข้อมูลหลายรายการ ประกอบด้วย (1) ข้อมูลส่วนบุคคลของเจ้าหน้าที่ทั้ง FBI, Customs and Border Protection (CBP) และ US Border Patrol ประกอบด้วยชื่อเต็ม, เบอร์ติดต่อที่ทำงาน, E-mail, ที่อยู่สถานที่ทำงาน, เบอร์โทรศัพท์มือถือ และรหัสไปรษณีย์ (2) ข้อมูลความสามารถ (skill) และการฝึกอบรมที่ผ่านมา (training) ของผู้ฝึกสอน (3) ตำแหน่งพิกัด และที่ตั้งของโรงเรียน, ศาล, กรมตำรวจ และสถานที่ราชการหลายแห่ง (4) ข้อความใน E-mail ที่เจ้าหน้าส่งไปติดต่อกับผู้อบรม ซึ่งมีข้อมูลที่สำคัญ เช่น วันเกิด และ 4 ตัวสุดท้ายของเลขประกันสังคม (Social Security Number) โดยข้อมูลเหล่านี้ถูกใช้ในการตั้งค่ารหัสผ่านใหม่ ทั้งนี้ข้อมูลที่หลุดออกมานี้ถูกเปิดเผยครั้งแรกจาก New Zealand-based data breach hunter ที่ใช้นามแฝงใน Twitter ว่า "Flash Gordon" เชื่อว่าสาเหตุที่ทำให้ข้อมูลหลุดออกมาเกิดจากการที่ศูนย์อบรมไม่มีการตั้งรหัสผ่านให้กับ web server database ของตนเอง (ที่มา)
ข้อมูลลูกค้าที่ใช้บริการผ่านเว็ปไซต์ของ Adidas ในสหรัฐฯรั่วไหล
เมื่อวันที่ 26 มิถุนายนที่ผ่านมา Addis พบว่าข้อมูลของลูกค้าหลายล้านรายที่ใช้บริการเว็ปไซต์ของ Adidas ในสหรัฐฯรั่วไหล (adidas.com/US) จากการสืบสวนร่วมกับบริษัทด้านความปลอดภัย เชื่อว่าข้อมูลที่รั่วไหลออกมาจะมีเพียงข้อมูลการติดต่อ (contact), ชื่อผู้ใช้งาน และรหัสผ่านที่ถูกเข้ารหัสอยู่ โดยเชื่อว่าข้อมูลบัตรเครดิต และข้อมูลเกี่ยวกับลูกค้าของ Fitness ไม่มีการรั่วไหลอย่างใด (ที่มา)
ข้อมูลบัตรเครดิตของลูกค้าที่ใช้บริการ Ticketmaster ในสหราชอาณาจักรถูกขโมย
พบว่าข้อมูลลูกค้าในสหราชอาณาจักร และหลายประเทศของบริษัท Ticketmasterผู้ให้บริการขายตั๋วการแสดงออนไลน์ถูกขโมยออกไป จากการตรวจสอบบริษัทได้พบซอฟต์แวร์ต้องสงสัยที่เป็น customer support product มาจากบริษัท Inbenta Technologies ซึ่งเป็น third-party ที่ให้บริการด้าน AI แก่บริษัท รายงานระบุว่าข้อมูลที่ถูกขโมยออกไปประกอบด้วยชื่อที่อยู่ของลูกค้า และข้อมูลบัตรเครดิต ซึ่งคิดเป็นจำนวนไม่ถึง 5% ของลูกค้าที่มีทั่วโลก นอกจากนี้ยังมีรายงานซึ่งถูกอ้างอิงมาจาก Monzo ที่เป็นผู้ให้บริการ Digital Banking ว่าทางธนาคารได้มีการค้นพบพฤติกรรมการใช้งานบัตรเครดิตที่ผิดปกติของลูกค้า และจากการตรวจสอบโดยทีมความปลอดภัยด้านการเงินพบว่า 70% ของบัตรเครดิตที่ผิดปกตินั้นเคยถูกใช้ในการทำธุรกรรมกับ Ticketmaster มาก่อน (ที่มา, ที่มา)
ข้อมูลของผู้ทำแบบสอบถามที่ให้บริการโดยบริษัท Typeform ถูกดาวน์โหลด
เมื่อวันที่ 27 มิถุนายนที่ผ่านมา Typeform บริษัทสัญชาติสเปนซึ่งรับทำแบบสอบถามออนไลน์ที่มีลูกค้าอยู่ทั่วโลก อาทิเช่น Apple, Uber, Airbnb และ Nike เป็นต้น ถูกผู้ไม่หวังดีทำการโจมตีผ่านช่องโหว่ของ Server และดาวน์โหลด backup ไฟล์ซึ่งมีข้อมูลสำคัญของลูกค้าที่ทำแบบสอบถามจนถึงวันที่ 3 พฤษภาคม ส่งผลให้ข้อมูลของลูกค้ามีความเสี่ยงที่จะรั่วไหล ทั้งนี้จากรายงานของ Typeform ระบุว่าข้อมูล backup ที่ถูกดาวน์โหลดไปนั้นไม่มีข้อมูลของบัตรเครดิต และรหัสผ่านรวมอยู่ด้วย อย่างไรก็ตามเหตุการณ์ข้อมูลรั่วไหลครั้งนี้ไม่ได้ส่งผลต่อ Typeform เพียงแค่บริษัทเดียวเท่านั้น แต่ยังส่งผลกระทบต่อไปยังบริษัทอื่นๆที่ได้ใช้บริการอยู่ด้วย โดยบริษัทที่ได้รับผลกระทบนั้นค่อยๆถูกเปิดเผยออกมาเรื่อยๆ (ที่มา) ประกอบด้วย
- Tasmanian Electoral Commission (TEC) : เป็นองค์กรอิสระที่ดูแลเกี่ยวกับการเลือกตั้งในรัฐ Tasmania ของประเทศออสเตรเลีย จากรายงานระบุว่าข้อมูลที่หลุดออกไปประกอบด้วยชื่อ, ที่อยู่, E-mail และวันเกิดของผู้มีสิทธิ์เลือกตั้ง (ที่มา)
- Monzo : เป็น Digital Banking ที่ให้บริการในประเทศอังกฤษ และเวลส์ ได้รายงานว่าเหตุการณ์ที่ข้อมูล backup ไฟล์ของ Typeform ถูกดาวน์โหลดไปนั้นส่งผลกระทบต่อลูกค้าของธนาคารประมาณ 20,000 ราย โดยข้อมูลที่หลุดไปนั้นจะมีเพียงข้อมูลส่วนตัว ไม่มีข้อมูลที่เกี่ยวกับบัญชีธนาคาร และจำนวนเงิน (ที่มา)
- The Queen’s grocer Fortnum & Mason : เป็นห้างสรรพสินค้าที่เก่าแก่ และมีชื่อเสียง มีใบประกาศกิจการกับพระราชวัง ตั้งอยู่ใจกลางลอนดอน อายุมากกว่า 311 ปี โดยข้อมูลที่หลุดส่วนใหญ่นั้นเป็นข้อมูลของลูกค้าที่ได้ทำการโหวตให้คะแนนในหัวข้อ store's food and drunk ซึ่งถูกจัดการโดย Typeform ประกอบด้วย E-mail, ที่อยู่ และข้อมูลเกี่ยวกับ Social media (ที่มา)
ระบบสำหรับรีวิวการให้บริการของ HealthEngine (PRS) มีช่องโหว่ ทำให้ข้อมูลส่วนตัวหลุด
HealthEngine บริษัทที่ให้บริการระบบสำหรับจองบริการด้านสุขภาพในออสเตรเลีย ได้แจ้งไปยัง Office of the Australian Information Commissioner ว่าพบข้อมูลของผู้ใช้บริการได้มีการรั่วไหลออกมาจากระบบที่มีชื่อว่า " Practice Recognition System" ซึ่งเป็นระบบที่ให้ผู้ใช้งานเข้ามารีวิวเกี่ยวกับการปฏิบัติการด้านการรักษาที่ได้ไปใช้บริการมา โดยข้อมูลที่รั่วออกมานั้นเป็นข้อมูลสำหรับระบุตัวตนของผู้รีวิว และพบว่ารั่วมาจาก source code ของหน้าเว็ปที่ให้ผู้ใช้บริการเข้าไปรีวิวนั่นเอง (ที่มา)
ระบบของ Klook Travel ถูกโจมตีผ่านช่องโหว่ ทำให้ข้อมูลบัตรเครดิตของลูกค้ารั่วไหล
เมื่อวันที่ 29 มิถุนายน ที่ผ่านมามีรายงานว่าข้อมูลส่วนตัว และข้อมูลบัตรเครดิตของผู้ใช้บริการ Klook Travel ที่เป็นบริษัทให้บริการการท่องเที่ยวสัญชาติฮ่องกงได้รั่วไหลออกมา จากรายงานระบุว่าการรั่วไหลครั้งนี้เกิดจากการเจาะเข้ามาทางช่องโหว่ของ JavaScript code ที่มาจาก third-party tool ซึ่งถูกนำมาใช้ร่วมกับระบบ จากการตรวจสอบพบว่าลูกค้าที่ได้รับผลกระทบมีประมาณ 8% ของลูกค้าที่ใช้บริการทั้งหมด (ที่มา)
ข้อมูลคนไข้ที่ใช้บริการ National Health Service (NHS) ในอังกฤษรั่วไหล
มีรายงานออกมาวันที่ 3 กรกฎาคม ว่าข้อมูลส่วนตัวและการรักษาของคนไข้ซึ่งถือว่าเป็นข้อมูลส่วนตัวที่สำคัญกว่า 150,000 ถูกเปิดเผยออกมาโดยไม่ได้รับความยินยอม โดยสาเหตุเกิดจากข้อผิดพลาดในแอพพลิเคชั่นชื่อว่า "SystmOne" ซึ่งถูกใช้โดยแพทย์เพื่อเก็บและแบ่งปันข้อมูลของคนไข้ โดยในตัวแอพพลิเคชั่นเองจะมีตัวเลือกให้ระบุได้ด้วยว่าคนไข้ดังกล่าวยินยอมที่จะเข้าโครงการ GPs (General Practitioner) หรือไม่ ซึ่งจะส่งผลให้ข้อมูลดังกล่าวถูกใช้ในการทำวิจัย และประเมินคุณภาพการรักษาต่อไป แต่ข้อผิดพลาดที่เกิดขึ้นส่งผลให้ข้อมูลในส่วนนี้ไม่มีการส่งมาให้ทาง NHS ทำให้ข้อมูลของคนไข้ที่ไม่ยินยอมเข้าโครงการถูกแบ่งปันไปด้วย ทั้งนี้จากรายงานระบุว่าข้อมูลดังกล่าวจะสามารถถูกเข้าถึงได้เพียงแพทย์ที่มีสิทธิ์ในการใช้แอพพลิเคชั่น "SystmOne" เท่านั้น (ที่มา)
สรุป
จากรายงานที่เกี่ยวกับการเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมต่างๆที่พบมานั้น ทำให้สามารถแบ่งสาเหตุของการเกิดเหตุการณ์ได้ออกเป็น 2 กลุ่มใหญ่ๆนั่นคือ (1) เกิดจากความไม่รอบคอบในการพัฒนา หรือตรวจสอบระบบที่มีการเก็บข้อมูล และ (2) เกิดจากช่องโหว่ด้านความปลอดภัยที่หละหลวม ส่งผลให้ผู้ไม่ประสงค์ดีสามารถโจมตี และเข้าถึงระบบจัดเก็บข้อมูลได้ ซึ่งการป้องกัน หรือแก้ปัญหาทั้ง 2 ข้อนั้น อาจจะไม่สามารถระบุตายตัวได้ แต่ต้องใช้ความตระหนักและใส่ใจทั้งด้านความปลอดภัย และการพัฒนาแอพพลิเคชั่นหรือระบบที่ตนเองดูแลอยู่ควบคู่กันไป ซึ่งองค์กรส่วนมากยังขาด หรือต้องใช้เวลาในการพัฒนาบุคคลากรหรือผู้เชี่ยวชาญทางด้านนี้ขึ้นมา ส่งผลให้เกิดบริษัทที่ช่วยดูแลด้านความปลอดภัยโดยเฉพาะขึ้นมา ซึ่งจะช่วยในการเฝ้าระวังเรื่องความปลอดภัยให้กับระบบที่มีความสำคัญจนกว่าองค์กรดังกล่าวนั้นจะพร้อมที่จะรับมือได้เอง
You must be logged in to post a comment.