จากเหตุการณ์ที่ข้อมูลของ Capital One รั่วไหล กระทบลูกค้ากว่า 106 ล้านคน ในวันนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาวิเคราะห์เหตุการณ์ข้อมูลรั่วไหลของ Capital One รวมถึงแนวทางในการรับมือค่ะ โดยจะประกอบไปด้วยหัวข้อดังนี้

Executive Summary
Incident Timeline
Possible Vulnerabilities and Flaws
Recommendation
References
AWS Case Study by Security Researcher

Executive Summary
Capital One Financial Corporation announced today that on July 19, 2019, it determined there was unauthorized access by an outside individual who obtained certain types of personal information relating to people who had applied for its credit card products and to Capital One credit card customers.

สถาบันการเงิน Capital One ถูกแฮก กระทบผู้ใช้งานกว่า 106 ล้านคน

สถาบันการเงิน Capital One ออกประกาศเมื่อวันที่ 29 กรกฏาคม 2019 ที่ผ่านมาแจ้งเหตุการณ์ถูกแฮกกระทบลูกค้าประมาณ 100 ล้านคนในสหรัฐอเมริกาและกระทบลูกค้าในแคนาดาประมาณ 6 ล้านคนที่สมัครหรือใช้บริการ Capital One credit card ตั้งแต่ปี 2005 ถึงช่วงต้นปี 2019

โดยข้อมูลที่รั่วไหลประกอบไปด้วย ชื่อ ที่อยู่ รหัสไปรษณีย์ เบอร์โทร อีเมล วันเกิด รายได้ต่อปี ข้อมูลการใช้จ่าย สถานะเครดิต หมายเลขบัญชีธนาคาร หมายเลขประกันสังคม

Capital One ทราบเหตุการณ์นี้จากช่องทางที่เปิดให้นักวิจัยรายงานช่องโหว่ในวันที่ 17 กรกฏาคม 2019 มีผู้ใช้งาน GitHub พบการโพสข้อมูลที่น่าจะเป็นของ Capital One บน GitHub ข้อมูลดังกล่าวประกอบด้วย IP ของเซิร์ฟเวอร์และคำสั่งที่ใช้ดึงข้อมูลออกจาก Amazon S3 ผ่านการตั้งค่าที่ไม่ถูกต้องของ web application firewall (WAF) เมื่อสถาบันการเงิน Capital One ได้ทำการตรวจสอบไฟล์ดังกล่าว จึงพบการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตโดยใช้คำสั่งเหล่านั้นเมื่อวันที่ 22 ถึง 23 มีนาคม 2019 และได้แจ้งไปยัง FBI

FBI จับกุมผู้ต้องสงสัยในคดีนี้แล้วชื่อ Paige A. Thompson ซึ่งรายงานการจับกุมระบุว่าเป็นผู้โพสข้อมูลลงใน GitHub เกี่ยวกับข้อมูลที่ถูกขโมยจาก Capital One และมีการพูดคุยเกี่ยวกับการเข้าถึงข้อมูลของ Capital One ใน Slack และ Twitter

ที่มา : bleepingcomputer , justice , capitalone