Third-party misconfiguration exposes TCM Bank consumer data

ธนาคาร TCM ของอเมริการายงานว่ามีข้อมูลลูกค้าหลุดจากการตั้งค่าเว็บไซต์ที่ไม่ปลอดภัย

ธนาคาร TCM ของอเมริกาซึ่งเป็นธนาคารที่จัดการเรื่องการออกบัตรเครดิตให้กับธนาคารขนาดเล็กรายอื่นกว่า 750 ธนาคารในสหรัฐอเมริกา รายงานว่ามีข้อูมลของลูกค้าหลุด โดยข้อมูลดังกล่าวหลุดเนื่องจากการตั้งค่าเว็บไซต์ที่ไม่ปลอดภัยในช่วงเวลาระหว่างเดือนมีนาคม ปี 2017 ถึง ช่วงกลางเดือนกรกฏาคม ปี 2018 และส่งผลกระทบลูกค้าที่สมัครบัตรเครดิตระหว่างเวลาดังกล่าว

ทั้งนี้เว็บไซต์ที่ดั้งค่าไม่ปลอดภัยนั้นดูแลโดยผู้รับเหมาภายนอก ธนาคาร TCM ได้ทราบปัญหาดังกล่าวในวันที่ 16 กรกฏาคม ปี 2018 และได้ทำการแก้ไขในวันต่อมา จากการประเมินของธนาคารพบว่าข้อมูลที่หลดได้แก่ ชื่อ ที่อยู่ วันเกิด และหมายเลขประกันสังคมของลูกค้าน้อยกว่าหนึ่งหมื่นราย คิดเป็นน้อยกว่า 25 % ของลูกค้าที่สมัครทำบัตรเครดิตในช่วงเวลาดังกล่าว ซึ่งธนาคารได้กำชับให้ผู้รับเหมาทำงานเข้มงวดขึ้นและหาวิธีตรวจจับและป้องกันปัญหาแบบเดียวกันให้ดีขึ้น

จากเหตุการณ์ดังกล่าวผู้เชี่ยวชาญด้านความปลอดภัยออกมาให้ความเห็นว่า บริษัทที่จ้างผู้รับเหมาภายนอกดูแลระบบ ควรมีการตรวจสอบระดับความปลอดภัยของระบบดังกล่าวว่าเป็นไปตามมาตราฐานความปลอดภัยที่กำหนดหรือไม่อยู่เสมอเพื่อป้องกันเหตุการณ์แบบเดียวกัน

ที่มา : Scmagazine

Health Care Data of 2 Million People in Mexico Exposed Online

ฐานข้อมูล MongoDB ถูกเปิดเผยข้อมูลทางออนไลน์ ซึ่งมีข้อมูลสุขภาพของผู้ป่วย 2 ล้านคนในเม็กซิโก เช่น ชื่อ เพศ วันเดือนปีเกิด ข้อมูลการประกันสถานะความพิการและที่อยู่

ฐานข้อมูลถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Bob Diachenko ผ่านทาง Shodan ซึ่งเป็นเครื่องมือค้นหาอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตทั้งหมด โดยพบว่าฐานข้อมูลนี้ถูกเปิดเผยบนอินเทอร์เน็ต สามารถเข้าถึงและแก้ไขได้แม้ไม่มีรหัสผ่าน

หลังจากการวิเคราะห์ฐานข้อมูล นักวิจัยสามารถค้นหาฟิลด์ที่มีที่อยู่อีเมลของผู้ดูแลระบบได้ อีเมลเหล่านี้มีโดเมนของ hovahealth.