ตามรายงานจาก BleepingComputer บริษัท Pearson ซึ่งเป็นหนึ่งในผู้นำด้านการศึกษาระดับโลกถูกโจมตีทางไซเบอร์ ทำให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลภายในองค์กร รวมถึงข้อมูลลูกค้าบางส่วน
Pearson ซึ่งเป็นบริษัทสัญชาติอังกฤษที่ให้บริการสื่อการเรียนรู้, หนังสือวิชาการ และบริการประเมินผลทั้งในรูปแบบสิ่งพิมพ์ และดิจิทัล ได้ออกมายืนยันว่า ข้อมูลบางส่วนของลูกค้าถูกขโมยไป โดยระบุว่า ข้อมูลส่วนใหญ่ที่ถูกขโมยเป็นข้อมูลที่เก่า และได้เผยแพร่ให้กับลูกค้าและพันธมิตรในกว่า 70 ประเทศทั่วโลก ทั้งโรงเรียน, มหาวิทยาลัย และบุคคลทั่วไป
หลังจากทราบถึงเหตุการณ์ดังกล่าว บริษัทได้ดำเนินการหยุดภัยคุกคามทันที พร้อมทั้งร่วมมือกับผู้เชี่ยวชาญด้าน forensics เพื่อตรวจสอบและประเมินผลกระทบ รวมถึงให้ความร่วมมือกับการสอบสวนของตำรวจ บริษัทยังได้เพิ่มมาตรการป้องกันความปลอดภัยในระบบ เช่น การตรวจสอบความปลอดภัย และการยืนยันตัวตนที่เข้มงวดขึ้น
ขณะนี้ บริษัทฯ กำลังดำเนินการสืบสวนเพิ่มเติม แต่เชื่อว่าผู้โจมตีได้ดาวน์โหลดข้อมูลที่เก่ากว่าเป็นส่วนใหญ่ และจะให้ข้อมูลเพิ่มเติมแก่ลูกค้า และพันธมิตรในอนาคต
นอกจากนี้ Pearson ยืนยันว่า ข้อมูลที่ถูกขโมยไปไม่รวมถึงข้อมูลของพนักงาน
GitLab Token ถูกเปิดเผย
แถลงการณ์นี้ออกมา หลังจากแหล่งข่าวเปิดเผยกับ BleepingComputer ว่า ผู้โจมตีสามารถเจาะระบบของนักพัฒนาของ Pearson ในเดือนมกราคม 2025 ผ่านการเปิดเผย GitLab Personal Access Token (PAT) ซึ่งพบในไฟล์ .git/config ที่ถูกเผยแพร่ในที่สาธารณะ
ไฟล์ .git/config เป็นไฟล์การตั้งค่าของโปรเจกต์ Git ที่ใช้เก็บข้อมูลสำคัญ เช่น ชื่อโปรเจกต์ และอีเมล หากไฟล์นี้ถูกเปิดเผย และมีการฝัง access token ใน remote URLs ผู้โจมตีก็สามารถเข้าถึงระบบภายในได้โดยไม่ต้องได้รับอนุญาต
ในการโจมตี Pearson โทเค็นที่ถูกเปิดเผยทำให้ผู้โจมตีสามารถเข้าถึง source code ของบริษัท ซึ่งประกอบด้วยข้อมูล credentials ที่เข้ารหัสแบบฮาร์ดโค้ด และ authentication tokens สำหรับแพลตฟอร์มคลาวด์
ในช่วงหลายเดือนต่อมา มีรายงานว่าผู้โจมตีใช้ข้อมูล credentials เหล่านี้เพื่อขโมยข้อมูลหลายเทราไบต์จากเครือข่ายภายใน และโครงสร้างพื้นฐานคลาวด์ของบริษัท รวมถึง AWS, Google Cloud และบริการฐานข้อมูลบนคลาวด์ต่าง ๆ เช่น Snowflake และ Salesforce CRM
ข้อมูลที่ถูกขโมยประกอบด้วยข้อมูลลูกค้า, ข้อมูลทางการเงิน, support tickets และ source code โดยมีผู้ได้รับผลกระทบหลายล้านคน
อย่างไรก็ตาม เมื่อ BleepingComputer สอบถาม Pearson ว่าบริษัทจ่ายค่าไถ่หรือไม่ ความหมายของข้อมูลเก่าคืออะไร จำนวนลูกค้าที่ได้รับผลกระทบมีเท่าไหร่ และลูกค้าจะได้รับการแจ้งเตือนหรือไม่ บริษัทตอบว่าไม่ขอตอบคำถามเหล่านี้
ก่อนหน้านี้ในเดือนมกราคม Pearson เคยเปิดเผยว่ากำลังสอบสวนเหตุการณ์การละเมิดข้อมูลใน PDRI ซึ่งเป็นบริษัทในเครือ และเชื่อว่ามีความเชื่อมโยงกับการโจมตีครั้งล่าสุดนี้
การตรวจหาไฟล์การตั้งค่า Git และข้อมูลการเข้าถึงที่ถูกเปิดเผย ได้กลายเป็นวิธีการที่ผู้โจมตีใช้กันทั่วไปในการเจาะระบบคลาวด์ เช่นเดียวกับกรณีของ Internet Archive เมื่อปีที่แล้วที่ถูกโจมตีหลังจากผู้โจมตีค้นพบไฟล์การตั้งค่า Git ที่เปิดเผยซึ่งมี authentication token สำหรับ GitLab repositories ของบริษัท
ด้วยเหตุนี้ การปกป้องไฟล์ ".git/config" จึงมีความสำคัญอย่างยิ่ง โดยการป้องกันไม่ให้สามารถเข้าถึงได้จากสาธารณะ และหลีกเลี่ยงการฝังข้อมูลการเข้าถึงใน remote URLs
ที่มา : bleepingcomputer
You must be logged in to post a comment.