Capital One Data Breach: Analysis & Recommendation

จากเหตุการณ์ที่ข้อมูลของ Capital One รั่วไหล กระทบลูกค้ากว่า 106 ล้านคน ในวันนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาวิเคราะห์เหตุการณ์ข้อมูลรั่วไหลของ Capital One รวมถึงแนวทางในการรับมือค่ะ โดยจะประกอบไปด้วยหัวข้อดังนี้

Executive Summary
Incident Timeline
Possible Vulnerabilities and Flaws
Recommendation
References
AWS Case Study by Security Researcher

Executive Summary
Capital One Financial Corporation announced today that on July 19, 2019, it determined there was unauthorized access by an outside individual who obtained certain types of personal information relating to people who had applied for its credit card products and to Capital One credit card customers.

OCR Software Dev Exposes 200,000 Customer Documents

OCR Software ที่กำลังพัฒนาของ Abbyy ทำข้อมูลเอกสารลูกค้าจำนวน 200,000 ฉบับรั่วไหล เนื่องจากฐานข้อมูล MongoDB มีการรักษาความปลอดภัยไม่เพียงพอ

เมื่อวันที่ 19 สิงหาคม นักวิจัย Bob Diachenko ได้ค้นพบฐานข้อมูล MongoDB มีการตั้งค่าที่ผิดพลาดบนแพลตฟอร์มระบบคลาวด์ Amazon Web Services (AWS) มีขนาด 142GB และอนุญาตให้เข้าถึงได้โดยไม่ต้องเข้าสู่ระบบ ทำให้ผู้บุกรุกสามารถเข้าถึงไฟล์ลูกค้าได้

ฐานข้อมูลเก็บเอกสารที่สแกนโดยมีข้อมูลสำคัญ ได้แก่ สัญญาข้อตกลง ข้อมูลจดหมายภายในและบันทึกช่วยจำ รวมถึงไฟล์มากกว่า 200,000 ไฟล์ของลูกค้า Abbyy ที่สแกนข้อมูลและเก็บไว้ในระบบพร้อมใช้งานในระบบคลาวด์ หลักฐานบ่งบอกว่าฐานข้อมูลเป็นของ Abbyy มาจากชุดเอกสารที่มีชื่อผู้ใช้งาน Abbyy อยู่ในรูปแบบที่อยู่อีเมลของบริษัท และรหัสผ่านที่เข้ารหัส โดยกลุ่มลูกค้าของ Abbyy ชื่อดังมีอยู่ในหลายภาคส่วนเช่น Volkswagen, Deloitte, PwC, PepsiCo, Sberbank, McDonald's

Diachenko กล่าวว่าสองวันหลังจากการแจ้งเตือนของเขา ทีมรักษาความปลอดภัยที่ Abbyy ได้ทำการปิดการเข้าถึงข้อมูลดังกล่าวแล้ว

ที่มา: BLEEPINGCOMPUTER

Data firm leaks 48 million user profiles it scraped from Facebook, LinkedIn, others

บริการ LocalBox ทำข้อมูลรั่ว กระทบผู้ใช้งาน Facebook, LinkedIn และ Twitter กว่า 48 ล้านคน

บริการ LocalBox ซึ่งเป็นบริการจัดเก็บข้อมูลตามที่สาธารณะเพื่อทำการวิเคราะห์และวิจัยเฉพาะทางนั้นได้มีการเปิดการเข้าถึงบริการจัดเก็บข้อมูล S3 ซึ่งเป็นผลิตภัณฑ์ในเครือ AWS เอาไว้ โดยภายในมีการจัดเก็บข้อมูลของผู้ใช้งานกว่า 48 ล้านคน ซึ่งโดยมากนั้นมีที่มาจาก Facebook, LinkedIn และ Twitter

จากการเปิดเผยของนักวิจัยด้านความปลอดภัยจาก UpGuard ข้อมูลใน bucket ดังกล่าวนั้นมีขนาด (ที่ถูกบีบอัดแล้ว) ทั้งหมด 151.3 GB หรือ 1.2 TB เมื่อคลายการบีบอัดมาแล้ว ประกอบด้วยข้อมูล อาทิ ชื่อ-นามสกุล, ที่อยู่จริง, วันเกิด, หมายเลขไอพีแอดเดรสและอีเมล โดยที่มาของข้อมูลทั้งหมดนั้นมาจากการดึงโดยข้อมูลโดยตรงจากโปรไฟล์ที่สามารถเข้าถึงได้โดยสาธารณะ

หลังจากการเปิดเผยดังกล่าว LocalBox กล่าวหา UpGuard ว่าตั้งใจ "แฮก" เข้าไปดูข้อมูล และกล่าวว่าข้อมูลดังกล่าวถูกใช้เพื่อการทดสอบเท่านั้น ก่อนจะทำการปิดการเข้าถึงไป

ที่มา:bleepingcomputer

ผู้เชี่ยวชาญเตือนว่า AWS S3 Buckets มีการตั้งค่าผิดพลาดทำให้ข้อมูลรั่วไหล

เซิร์ฟเวอร์จัดเก็บข้อมูลของ Amazon Web Services มีการกำหนดค่าผิดพลาดทำให้ข้อมูลของผู้เช่าบริการรั่วไหลไปยังอินเทอร์เน็ต ดังนั้นบริษัทที่ใช้บริการ AWS S3 เพื่อจัดเก็บข้อมูลจึงมีความเสี่ยงที่จะถูกเปิดเผยข้อมูลที่เป็นความลับ เช่น ข้อมูลส่วนตัวของลูกค้า

ในรายงานที่ออกมาโดยที่ปรึกษาด้านความปลอดภัย Fryss Rosen จาก Detectify กล่าวว่าผู้ดูแลระบบเครือข่ายที่เช่าบริการ AWS S3 มักจะหละหลวมในการกำหนดค่า Access Control Lists (ACL) ของ AWS และผลที่ได้ก็ร้ายแรง Rosen ยืนยันว่ามีข้อผิดพลาดในเซิร์ฟเวอร์ AWS ที่ช่วยให้ผู้โจมตีสามารถระบุชื่อของ bucket S3 ได้ จากนั้นจะใช้ AWS Command Line เพื่อติดต่อกับ Amazon’s API โดยตรง แล้วผู้โจมตีสามารถเข้าถึงรายการ S3 list และอ่าน เขียน อัปโหลดไฟล์ลงใน bucket S3 หรือสามารถเปลี่ยนสิทธิ์การเข้าถึงโดยที่เจ้าหน้าที่ไม่สังเกตเห็น

การแก้ปัญหาทำได้ง่ายๆ เพราะ AWS มีเครื่องมือที่จะเปลี่ยนสิทธิ์ใน buckets และจำกัดสิทธิ์การเข้าถึงโดยทำตามขั้นตอนใน Link ต่อไปนี้ https://docs.