ฐานข้อมูลของ BuyGoods.com ที่มีการกำหนดค่าไม่เหมาะสมขนาด 198.3 กิกะไบต์รั่วไหล ซึ่งประกอบไปด้วยข้อมูลกว่า 260,000 รายการ รวมถึงภาพถ่ายเซลฟี่ของลูกค้าพร้อมบัตรเครดิตที่ไม่ได้ทำการปกปิดข้อมูล
นักวิจัยด้านความปลอดภัยทางไซเบอร์ 'Jeremiah Fowler' พบฐานข้อมูลบนคลาวด์ที่ไม่ได้กำหนดค่าอย่างถูกต้อง ซึ่งทำให้ข้อมูลที่สำคัญจำนวนมากถูกเปิดเผย โดยฐานข้อมูลที่ได้รับผลกระทบนี้ประกอบด้วยรายการที่เชื่อมโยงกับลูกค้าของ BuyGoods.com ซึ่งเป็นที่รู้จักในอีกชื่อว่า Softwareproject
โดย BuyGoods.com เป็นตลาดอีคอมเมิร์ซระดับโลก และแพลตฟอร์มการจัดการธุรกิจสำหรับเจ้าของสินค้า, นักการตลาด, และผู้ช็อปออนไลน์ ซึ่งมีต้นกำเนิดจาก Wilmington โดย BuyGoods.com มีฐานผู้ใช้งานมากถึง 3 ล้านคนใน 17 ประเทศ
ข้อมูลที่รั่วไหลมีอะไรบ้าง?
ฐานข้อมูลที่ถูกเปิดเผยมีขนาดรวมถึง 198.3 กิกะไบต์ และไม่มีการตรวจสอบความถูกต้องด้านความปลอดภัยทุกรูปแบบ ทำให้สามารถเข้าถึงได้จากสาธารณะ ภายในฐานข้อมูลที่ไม่มีการป้องกันนี้มีข้อมูลมากกว่า 260,000 รายการ ซึ่งรวมถึงรายละเอียดเกี่ยวกับการจ่ายเงินของบริษัทในเครือ, ธุรกรรมคืนเงิน, ใบกำกับภาษี, บันทึกการบัญชี, และข้อมูลอื่น ๆ
ที่แย่ที่สุดคือ เซิร์ฟเวอร์ที่ถูกเปิดเผยนี้ยังเปิดเผยข้อมูลส่วนตัวของลูกค้า และบริษัทในเครือ ซึ่งประกอบด้วยข้อมูลส่วนบุคคล (PII) และข้อมูล Know Your Customer (KYC) อีกด้วย
ข้อมูลที่ถูกเปิดเผยรวมถึงภาพถ่ายเซลฟี่ของลูกค้าพร้อมบัตรประจำตัวประชาชน, ใบอนุญาต, พาสปอร์ต และรายละเอียดบัตรเครดิตที่ไม่ได้ทำการปกปิด การละเมิดความเป็นส่วนตัวนี้อาจส่งผลกระทบทั่วโลก เนื่องจากข้อมูลเหล่านี้ครอบคลุมบุคคลจากหลากหลายประเทศทั่วโลก
Jeremiah Fowler จาก 'WebsitePlanet' ระบุว่า พวกเขาได้แจ้งให้ BuyGoods.com ทราบทันทีเกี่ยวกับปัญหาด้านความปลอดภัย ถึงแม้บริษัทจะรับทราบ และให้คำยืนยันอย่างรวดเร็วว่าข้อมูลเหล่านั้นจะได้รับการปกป้อง แต่พบว่าเซิร์ฟเวอร์ยังคงเปิดให้เข้าถึงข้อมูลได้อีกกว่าหนึ่งวันหลังจากการแจ้งเตือนดังกล่าว
Fowler ระบุว่า เขาได้ส่งหนังสือแจ้งเหตุการณ์การเปิดเผยข้อมูลดังกล่าวไปยังบริษัท และได้รับข้อความต่อไปนี้กลับมาทางอีเมล "ขอบคุณที่แจ้งให้เราทราบเกี่ยวกับปัญหานี้ ปัญหาการเข้าถึงข้อมูลได้รับการแก้ไขแล้ว ขณะนี้บริษัทกำลังย้ายข้อมูล PII ทั้งหมดออกจากที่เก็บข้อมูลที่เป็นสาธารณะ" ซึ่ง Fowler ระบุว่า แม้จะมีความพยายามที่จะแก้ไขปัญหานี้ แต่ดูเหมือนว่าฐานข้อมูลยังคงสามารถเข้าถึงได้อีกระยะหนึ่งก่อนที่จะถูกปิดไป
ภัยคุกคามที่อาจเกิดขึ้น
เซิร์ฟเวอร์ที่ไม่ได้กำหนดค่าอย่างถูกต้อง ซึ่งมีข้อมูลส่วนบุคคล PII หรือ KYC ก่อให้เกิดภัยคุกคามร้ายแรงต่อความเป็นส่วนตัวทั้งออนไลน์ และ physical ของลูกค้าที่ไม่รู้ตัว สิ่งที่บางคนอาจมองว่าเป็นข้อมูลรั่วไหลธรรมดา ๆ นั้นอาจกลายเป็นเรื่องที่ร้ายแรงได้
ข้อมูลที่สำคัญเหล่านี้เมื่อตกอยู่ในมือของผู้ไม่หวังดีอาจส่งผลให้เกิดผลกระทบในวงกว้าง สามารถก่อให้เกิดการโจรกรรมข้อมูลประจำตัว ซึ่งนำไปสู่การฉ้อโกงทางการเงิน และการเข้าถึงบัญชีส่วนบุคคลโดยไม่ได้รับอนุญาต ที่สำคัญยิ่งกว่านั้นผู้ไม่หวังดีอาจใช้ข้อมูลที่ถูกขโมยมาเพื่อดำเนินกิจกรรมที่เป็นอันตราย, การสร้างโปรไฟล์ปลอม และความเสี่ยงด้านความปลอดภัยอื่น ๆ
ที่มา : hackread
You must be logged in to post a comment.