อีกแล้วสินะ รวมการละเมิดข้อมูลที่มีการจัดการแย่ ปี 2023

ความล่าช้า ความเงียบ และคำถามที่ไม่ได้รับคำตอบ จะติดตามองค์กรเหล่านี้เข้าสู่ปีใหม่

ในปีที่แล้ว เราได้รวบรวมรายชื่อการละเมิดข้อมูลที่มีการจัดการแย่มากที่สุดในปี 2022 โดยมองย้อนกลับไปที่พฤติกรรมที่ไม่ดีของบริษัทยักษ์ใหญ่ เมื่อต้องเผชิญกับการแฮกและการละเมิด ซึ่งรวมถึงทุกสิ่งทุกอย่างตั้งแต่การมองข้ามผลกระทบในโลกแห่งความเป็นจริงจากการรั่วไหลของข้อมูลส่วนบุคคล ไปจนถึงการไม่สามารถตอบคำถามพื้นฐานได้

ปรากฏว่าในปีนี้ หลายองค์กรก็ยังคงทำผิดพลาดเหมือนเดิม นี่คือเรื่องเดิมๆ ประจำปีเกี่ยวกับการไม่ตอบสนองต่อเหตุการณ์ด้านความปลอดภัย
คณะกรรมการการเลือกตั้งซ่อนรายละเอียดการแฮกข้อมูลครั้งใหญ่นี้มานานหนึ่งปี และตอนนี้ก็ยังไม่ปริปาก

คณะกรรมการการเลือกตั้ง ซึ่งเป็นหน่วยงานเฝ้าระวังที่รับผิดชอบดูแลการเลือกตั้งในสหราชอาณาจักร ยืนยันเมื่อเดือนสิงหาคมว่าได้ตกเป็นเป้าหมายของ “นักแสดงที่ไม่เป็นมิตร” ที่เข้าถึงรายละเอียดส่วนบุคคล รวมถึงชื่อนามสกุล ที่อยู่อีเมล ที่อยู่บ้าน หมายเลขโทรศัพท์ และรูปภาพส่วนตัวใดๆ ส่งไปยังคณะกรรมาธิการ กับผู้ลงคะแนนเสียงในสหราชอาณาจักรมากถึง 40 ล้านคน

แม้จะดูเหมือนว่าคณะกรรมการการเลือกตั้งจะให้ข้อมูลอย่างตรงไปตรงมาเกี่ยวกับการโจมตีทางไซเบอร์และผลกระทบของมัน แต่เหตุการณ์ดังกล่าวเกิดขึ้นในเดือนสิงหาคม 2021 หรือประมาณ 2 ปีที่แล้ว ซึ่งเป็นช่วงที่แฮกเกอร์ได้เข้าถึงระบบของคณะกรรมาธิการเป็นครั้งแรก คณะกรรมาธิการต้องใช้เวลาอีก 1 ปี ในการจับแฮกเกอร์จากการกระทำดังกล่าว BBC รายงานในเดือนถัดมา ว่าหน่วยงานเฝ้าระวังไม่ผ่านการทดสอบความปลอดภัยทางไซเบอร์ขั้นพื้นฐาน ในช่วงเวลาเดียวกับที่แฮกเกอร์ได้เข้ามาในองค์กร ยังไม่ได้รับการเปิดเผยว่าใครเป็นผู้ก่อการบุกรุก เป็นที่รับรู้ รวมถึงวิธีที่คณะกรรมาธิการถูกละเมิด

Samsung จะไม่บอกว่ามีลูกค้าจำนวนเท่าไหร่ ที่ได้รับผลกระทบจากการละเมิดข้อมูลตลอดทั้งปี

Samsung อยู่ในรายการการละเมิดที่ได้รับการจัดการไม่ดีของเราอีกครั้ง ยักษ์ใหญ่ด้านอิเล็กทรอนิกส์รายนี้ใช้วิธีการปิดปากแบบเดิมๆ อีกครั้งเมื่อต้องเผชิญกับคำถามเกี่ยวกับการละเมิดระบบที่กินเวลานานเป็นปี ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในสหราชอาณาจักรได้ ในจดหมายที่ส่งถึงลูกค้าที่ได้รับผลกระทบในเดือนมีนาคม Samsung ยอมรับว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันธุรกิจของบุคคลที่สามที่ไม่ระบุชื่อ เพื่อเข้าถึงข้อมูลส่วนบุคคลที่ไม่ระบุรายละเอียดของลูกค้าที่ซื้อสินค้าที่ร้านค้าในสหราชอาณาจักรระหว่างเดือนกรกฎาคม 2019 ถึงมิถุนายน 2020

ในจดหมาย Samsung ยอมรับว่าไม่พบการประนีประนอมจนกระทั่งเวลาผ่านไปกว่าสามปีต่อมาในเดือนพฤศจิกายน 2023 แล้วเมื่อถามไป บริษัทยักษ์ใหญ่ด้านเทคโนโลยีปฏิเสธที่จะตอบคำถามเพิ่มเติมเกี่ยวกับเหตุการณ์ดังกล่าว เช่น จำนวนลูกค้าที่ได้รับผลกระทบ หรือแฮกเกอร์สามารถเข้าถึงระบบภายในได้อย่างไร

แฮกเกอร์ขโมยข้อมูลของ Shadow และ Shadow ก็เงียบไป

Shadow ผู้ให้บริการเกมบนคลาวด์ของฝรั่งเศส เรียกว่าบริษัทได้ดำเนินตามชื่อของตัวเอง เนื่องจากการละเมิดในบริษัทเมื่อเดือนตุลาคมยังคงปกคลุมไปด้วยความลึกลับ การละเมิดดังกล่าวทำให้ผู้โจมตีทำ “การโจมตีทางวิศวกรรมสังคมขั้นสูง” กับหนึ่งในพนักงานของ Shadow ที่อนุญาตให้เข้าถึงข้อมูลส่วนตัวของลูกค้า ตามอีเมลที่ส่งถึงลูกค้า Shadow ที่ได้รับผลกระทบ

อย่างไรก็ตาม เหตุการณ์ดังกล่าวยังไม่ทราบผลกระทบทั้งหมด TechCrunch ได้รับตัวอย่างข้อมูลที่เชื่อว่าถูกขโมยจากบริษัทซึ่งมีบันทึกที่ไม่ซ้ำกัน 10,000 รายการ ซึ่งรวมถึงคีย์ API ส่วนตัวที่สอดคล้องกับบัญชีลูกค้า เมื่อถามโดย TechCrunch บริษัทปฏิเสธที่จะแสดงความคิดเห็น และจะไม่บอกว่าได้แจ้งให้ CNIL หน่วยงานกำกับดูแลการปกป้องข้อมูลของฝรั่งเศสทราบถึงการละเมิดตามที่กฎหมายยุโรปกำหนดหรือไม่ บริษัทยังล้มเหลวในการเผยแพร่ข่าวการละเมิดต่อสาธารณะ นอกเหนือจากอีเมลที่ส่งถึงลูกค้าที่ได้รับผลกระทบ

Lyca Mobile ปฏิเสธที่จะบอกว่ามีการโจมตีทางไซเบอร์ประเภทใด

Lyca Mobile ผู้ให้บริการเครือข่ายเสมือนมือถือซึ่งมีสำนักงานใหญ่ในอังกฤษ กล่าวเมื่อเดือนตุลาคมว่าตนตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ ที่ทำให้เกิดการหยุดชะงักในวงกว้างสำหรับลูกค้าหลายล้านราย ต่อมา Lyca Mobile ยอมรับการละเมิดข้อมูล ซึ่งผู้โจมตีที่ไม่ระบุชื่อได้เข้าถึง “ข้อมูลส่วนบุคคลบางส่วนที่เก็บไว้ในระบบของเราเป็นอย่างน้อย” ระหว่างการแฮก

ตอนนี้ผ่านไปกว่า 2 เดือนแล้ว และ Lyca Mobile ยังไม่ได้บอกว่าข้อมูลใดบ้างที่ถูกขโมยไปจากระบบ (แม้จะจัดเก็บข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น สำเนาบัตรประจำตัวประชาชนและข้อมูลทางการเงิน) หรือลูกค้าจำนวน 16 ล้านคนที่ได้รับผลกระทบ โดยการละเมิด แม้ว่า TechCrunch จะร้องขอซ้ำแล้วซ้ำเล่า แต่บริษัทก็ปฏิเสธที่จะแสดงความคิดเห็นเกี่ยวกับลักษณะของเหตุการณ์ดังกล่าว แม้ว่าเหตุการณ์ดังกล่าวจะถือเป็นแรนซัมแวร์ก็ตาม

MGM Resorts ยังไม่ได้บอกว่ามีลูกค้ากี่รายที่ถูกขโมยข้อมูลหลังจากการแฮก

การละเมิด MGM Resorts เป็นหนึ่งในเหตุการณ์ที่น่าจดจำที่สุดในปี 2022 เหตุการณ์ดังกล่าวทำให้แฮกเกอร์ที่เกี่ยวข้องกับแก๊งที่เรียกว่า Scattered Spider ประนีประนอมระบบของบริษัท ทำให้เกิดการหยุดชะงักในโรงแรมและคาสิโนของ MGM ในลาสเวกัสเป็นเวลาหลายสัปดาห์ MGM กล่าวว่าการหยุดชะงักดังกล่าวจะทำให้บริษัทเสียหายอย่างน้อย 100 ล้านดอลลาร์

MGM เปิดเผยครั้งแรกว่าถูกแฮกเกอร์กำหนดเป้าหมายเมื่อวันที่ 11 กันยายน แต่จนกระทั่งเดือนตุลาคมที่บริษัทยืนยันในการยื่นตามกฎระเบียบว่าผู้โจมตีได้รับข้อมูลส่วนบุคคลบางอย่างของลูกค้าที่ทำธุรกรรมกับ MGM Resorts ก่อนเดือนมีนาคม 2019 ซึ่งรวมถึงชื่อลูกค้า ข้อมูลการติดต่อ เพศ วันเกิด หมายเลขใบขับขี่ หมายเลขประกันสังคม และการสแกนหนังสือเดินทางของลูกค้าบางราย

ตอนนี้ผ่านไปกว่า 3 เดือนแล้ว และเรายังไม่รู้ว่าลูกค้า MGM ได้รับผลกระทบจำนวนเท่าใด โฆษกของ MGM ปฏิเสธที่จะตอบคำถามของ TechCrunch เกี่ยวกับเหตุการณ์ดังกล่าวซ้ำแล้วซ้ำอีก

Dish breach อาจส่งผลกระทบต่อคนนับล้าน หรือมากกว่านั้นมาก

ย้อนกลับไปในเดือนกุมภาพันธ์ Dish ยักษ์ใหญ่ทีวีดาวเทียมยืนยันในการยื่นต่อสาธารณะว่าการโจมตีด้วยแรนซัมแวร์เป็นสาเหตุที่ทำให้ไฟฟ้าดับอย่างต่อเนื่อง และเตือนว่าแฮกเกอร์ได้ขโมยข้อมูลจากระบบที่อาจรวมข้อมูลส่วนบุคคลของลูกค้าด้วย อย่างไรก็ตาม Dish ไม่ได้ให้ข้อมูลอัปเดตที่สำคัญตั้งแต่นั้นมา และลูกค้ายังคงไม่ทราบว่าข้อมูลส่วนบุคคลของตนมีความเสี่ยงหรือไม่

TechCrunch ได้เรียนรู้ว่าแม้บริษัทจะนิ่งเงียบ แต่ผลกระทบจากการละเมิดอาจขยายวงกว้างไปไกลกว่าลูกค้าของ Dish กว่า 10 ล้านราย อดีตผู้ค้าปลีก Dish บอกกับ TechCrunch ว่า Dish เก็บข้อมูลลูกค้าจำนวนมากไว้บนเซิร์ฟเวอร์ของตน รวมถึงชื่อลูกค้า วันเกิด ที่อยู่อีเมล หมายเลขโทรศัพท์ หมายเลขประกันสังคม และข้อมูลบัตรเครดิต บุคคลดังกล่าวกล่าวว่าข้อมูลนี้จะถูกเก็บไว้โดยไม่มีกำหนด แม้ว่าลูกค้าเป้าหมายที่ไม่ผ่านการตรวจสอบเครดิตเบื้องต้นของ Dish

CommScope แจ้งพนักงานช้าไป ว่าข้อมูลของพวกเขาถูกขโมย

TechCrunch ได้ยินจากพนักงาน CommScope ที่บอกว่าพวกเขาถูกทิ้งไว้ในความมืดเกี่ยวกับการละเมิดข้อมูลในบริษัทที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลของพวกเขา บริษัทที่ตั้งอยู่ในนอร์ธแคโรไลนา ซึ่งออกแบบและผลิตผลิตภัณฑ์โครงสร้างพื้นฐานเครือข่ายสำหรับลูกค้าหลายกลุ่ม ตกเป็นเป้าหมายของแก๊งแรนซัมแวร์ Vice Society ในเดือนเมษายน ข้อมูลที่รั่วไหลโดยแก๊งนี้ และตรวจสอบโดย TechCrunch รวมถึงข้อมูลส่วนบุคคลของพนักงาน CommScope หลายพันคน รวมถึงชื่อนามสกุล ที่อยู่ทางไปรษณีย์ ที่อยู่อีเมล หมายเลขส่วนตัว หมายเลขประกันสังคม ข้อมูลสแกนหนังสือเดินทาง และข้อมูลบัญชีธนาคาร

CommScope ปฏิเสธที่จะตอบคำถามของเราที่เกี่ยวข้องกับข้อมูลพนักงานที่รั่วไหล และยังไม่สามารถตอบคำถามที่ได้รับผลกระทบได้เช่นกัน พนักงานหลายคนบอกกับ TechCrunch ในเวลานั้นว่าผู้บริหารของ CommScope ยังคงปิดปากเกี่ยวกับการละเมิดดังกล่าว โดยบอกว่าไม่มีอะไรมากไปกว่านั้น “ไม่มีหลักฐาน” ที่จะชี้แนะว่าข้อมูลของพนักงานมีส่วนเกี่ยวข้อง

ที่มา: https://tcrn.ch/4be5qjL