106 Million Customers Records Hacked in Capital One Data Breach

แคปปิตอล วัน ถูกแฮกข้อมูล กระทบลูกค้ากว่า 106 ล้านราย

 

นายนักรบ เนียมนามธรรม

กรรมการผู้จัดการ บริษัท nForce Secure

 

ในเดือนมีนาคม 2019 “แคปปิตอล วัน” ธนาคารและผู้ออกบัตรเครดิตรายใหญ่อันดับ 5 ของสหรัฐอเมริกา ตรวจพบข้อมูลรั่วไหล ซึ่งข้อมูลดังกล่าวเป็นข้อมูลตั้งแต่ปี 2005 จนถึงปัจจุบันของผู้ใช้งานบัตรเครดิตจำนวน 106 ล้านคน โดย 100 ล้านคนอยู่ในสหรัฐอเมริกา และ 6 ล้านคนอยู่ในประเทศแคนาดา ซึ่งกว่า แคปปิตอล วัน จะรู้ว่าข้อมูลดังกล่าวหลุดไปก็ในวันที่ 19 กรกฎาคม 2019 จากการที่แฮกเกอร์โพสต์ข้อมูลที่ขโมยไปบนเว็ปไซต์ GitHub

ทางเอฟบีไอเข้ามาดำเนินการและจับกุมนางสาว Paige Thompson อายุ 33 ปี หลังพบว่าข้อมูลที่ถูกขโมยไปอยู่บนที่เก็บข้อมูลของเธอ ซึ่งปัจจุบันเธอทำงานเป็น Software Engineer ของ Amazon Web Service และเคยทำงานให้ แคปปิตอล วัน ในช่วงปี 2015 ถึงปี 2016 เธอจึงถูกตัดสินคดีฉ้อโกง และใช้คอมพิวเตอร์ในทางมิชอบ ต้องโทษจำคุก 5 ปี ปรับ 250,000 ดอลลาร์สหรัฐ

ทางศาลระบุว่า Paige Thompson เจาะเข้าไปใน Firewall ที่ตั้งอยู่บนระบบ Cloud ของ Amazon Web Service จากการตั้งค่า Firewall ผิดพลาดของผู้ดูแลระบบ และขโมยข้อมูลของ แคปปิตอล วัน ที่อยู่ในนั้นกว่า 700 โฟลเดอร์ในเดือนมีนาคมที่ผ่านมา ซึ่งไม่ใช่ช่องโหว่ของซอฟต์แวร์บน Firewall หรือช่องโหว่ของ Amazon Web Service แต่อย่างใด

ผลการสืบสวนพบว่าข้อมูลที่ถูกขโมยประกอบไปด้วยหมายเลขประกันสังคมจำนวน 140,000 หมายเลข เลขบัญชีธนาคารของลูกค้าในสหรัฐอเมริกาจำนวน 80,000 บัญชี และเลขรหัสของผู้ที่ได้รับอนุญาตทำงานในประเทศแคนาดาจำนวน 1 ล้านบัญชี ส่วนข้อมูลอื่นๆประกอบไปด้วย ชื่อ, ที่อยู่, วันเดือนปีเกิด, Credit Score, Credit Limit, เงินคงเหลือในบัญชี, ประวัติการใช้จ่าย และข้อมูลติดต่อ ทั้งนี้ แคปปิตอล วัน แจ้งว่าข้อมูลที่ไม่ได้รับผลกระทบคือ หมายเลขบัตรเครดิต, Log-in Credentials และหมายเลขประกันสังคมที่อยู่บนไฟล์กว่า 99% และหลังจากทราบต้นตอของปัญหาทาง แคปปิตอล วัน ก็เข้าไปปรับแก้การตั้งค่าบนอุปกรณ์ Firewall ที่อยู่บน Amazon Web Service ในด้านของการเยียวยาก็ได้เสนอให้บริการ Credit Monitoring ฟรีให้กับลูกค้าที่ได้รับผลกระทบ

จากเหตุการณ์ดังกล่าวจะเห็นได้ว่าหน่วยงานธนาคารที่ใหญ่ที่สุดเป็นอันดับ 5 ของสหรัฐอเมริกา มีการวางระบบทางด้านความปลอดภัยที่เข้มงวดพอสมควร ก็ยังมีช่องโหว่ให้ถูกขโมยข้อมูลออกไปกว่า 100 ล้านราย คิดเป็นประมาณ 30% ของประชากรในสหรัฐอเมริกา ส่งผลกระทบใหญ่และมากกว่าประชากรไทยทั้งประเทศเลยทีเดียว ซึ่งในอนาคตอาจถูกปรับในเรื่องของ GDPR สาเหตุของเรื่องนี้มีอยู่ 2 ประเด็นหลักๆ คือ

  1. การตรวจสอบระบบที่อยู่บน Public Cloud จะเห็นได้ว่ายังมีโอกาสเกิดความผิดพลาดได้เสมอ ดังนั้นองค์กรที่นำระบบไปวางไว้บน Public Cloud ต้องมีการเตรียมการด้านความปลอดภัยที่ดีพอสำหรับตรวจสอบช่องโหว่จากความผิดพลาดของการตั้งค่า
  2. ข้อมูลส่วนบุคคลที่เก็บอยู่ในองค์กร ปัจจุบันทั่วโลกตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนบุคคลด้วยการออกกฎหมาย GDPR ของ EU และ CCPA ของ California หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ซึ่งเราควรตระหนักและจริงจังในการป้องกันข้อมูล ทั้งนี้จะต้องรู้ก่อนว่าข้อมูลที่เราเก็บไว้มีอะไรบ้าง เก็บอยู่ที่ไหน ข้อมูลที่เก็บเป็นของใคร เราถึงจะสามารถวางแผนวางระบบสำหรับป้องกันข้อมูลรั่วไหลได้ครับ

ที่มา: กรุงเทพธุรกิจ