ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

“ลูกเสือ” ดูจะไม่เกี่ยวกับแวดวง IT หรือ Cyber Security เท่าไหร่นัก แต่เมื่อเราอ่านข่าวนี้แล้วก็ตกใจ รู้สึกได้ว่า Cyber Security มันใกล้ตัวกว่าที่พวกเราคิดซะแล้ว

เมื่อวันที่ 28 กันยายน 2563 ที่ผ่านมานี้เองมีรายงานว่าเกิดเหตุข้อมูลรั่วไหลที่ค่ายลูกเสือวิกตอเรียในออสเตรเลีย มีรายงานว่าข้อมูลสำคัญของคนกว่า 900 คน อาจถูกคุกคามได้

‍แต่ถ้าถามว่าเกิดจากอะไร เขาต้องการอะไรจากสิ่งนี้? เราขอเล่าไปทีละ Step ดีกว่า

ที่ค่ายลูกเสือวิกตอเรียแห่งนี้มีเยาวชนกว่า 17,000 คนที่เข้าค่ายไปเพื่อดำรงชีวิตแบบลูกเสือสามัญ โดยมีสตาฟที่เป็นผู้ใหญ่กว่า 5,000 คน

เหตุการณ์ทางไซเบอร์เกิดขึ้นในช่วงปลายเดือนกรกฎาคมและสิงหาคม 2563 เมื่อจู่ ๆ บัญชีอีเมลของพนักงานแต่ละคนก็ถูกเข้าถึงโดยไม่ได้รับอนุญาต นี่ถือว่าเป็นการโดน Phishing Mail ที่ประสบความสำเร็จเลยทีเดียว

อะไรรั่วไปบ้าง

ข้อมูลที่ละเอียดอ่อน อย่างพวก ชื่อ, หมายเลขโทรศัพท์, ข้อมูลบัตรเครดิต, เอกสารประจำตัว, ข้อมูลหนังสือเดินทาง, รายละเอียดใบขับขี่ และรายละเอียดธนาคาร โดนขโมยไปหมด ที่น่ากลัวคือไม่สามารถระบุได้ว่าข้อมูลที่โดนขโมยนี่เป็นของสตาฟผู้ใหญ่ หรือผู้ปกครองของเด็กที่ลงทะเบียนในองค์กรซะด้วยนี่สิ

แล้วทำไงต่อ?

เมื่อข้อมูลรั่วไหลไปแล้วก็ต้องเข้าสู่กระบวนการแจ้งเตือนว่าข้อมูลถูกรั่วไหลออกไป (Data Breach Notification) ทางฝั่งของค่ายลูกเสือวิกตอเรียกล่าวว่า ทางองค์กรได้แจ้งให้เหยื่อทราบถึงการละเมิด และก็ได้ติดต่อหน่วยงานของรัฐที่เกี่ยวข้อง รวมถึงสำนักงานคณะกรรมการข้อมูลออสเตรเลีย (OAIC) และกรมทรัพยากรบุคคล ตามกระบวนการที่ควรเป็นไป

หลังจากนั้นก็มีแถลงการณ์ออกมา ซึ่งระบุไว้ว่า การตรวจสอบทางนิติวิทยาศาสตร์และการตรวจสอบด้านความปลอดภัยเป็นไปอย่างครอบคลุมครบถ้วน และตอนนี้ก็ดำเนินการตรงส่วนนี้เสร็จสิ้นแล้ว

จากการสืบสวนพบว่ามีความสอดคล้องกันของจำนวนบุคคลหลายคนที่เกี่ยวข้องกับค่ายลูกเสือวิกตอเรียอาจถูกเข้ามาได้โดยไม่ได้รับอนุญาตจากบุคคลภายนอก

สุดท้ายแล้วทางค่ายก็ได้ติดต่อบุคคลที่อาจได้รับผลกระทบโดยตรงจากเหตุการณ์นี้และจะดำเนินการเพื่อจัดการกับปัญหาในลำดับต่อไป

สาเหตุที่เกิด

จากคำถามเหตุการณ์ ข้อมูลรั่วไหล เกิดขึ้นจากบุคคลที่สามที่เข้าสู่ระบบของพนักงานคนหนึ่งได้โดยไม่ต้องรับอนุญาต ซึ่งก็อาจหลายทางไม่ว่าจะเป็น…

• รหัสผ่านที่คาดเดาได้ง่าย
• การเข้าสู่ระบบค้างไว้จากคอมพิวเตอร์
• การแฮก
• ฯลฯ

สิ่งที่เราพูดไปเราได้ยินกันมานาน แต่น่าแปลกว่าเราไม่สามารถแก้ไขปัญหาที่ว่าได้เพราะเราต่าง “ไม่เตรียมพร้อม” และมองว่า “เป็นเรื่องไกลตัว” ที่สำคัญคือคนทั่วไปที่ไม่อยู่ในแวดวง Cyber Security ลืมมองว่าข้อมูลส่วนตัว (Personal Data) “ไม่มีค่าขนาดนั้น”

บทเรียนจากเรื่องนี้

ซึ่งเมื่อตอบคำถามต่อมาว่า “เขา (ผู้ที่ขโมยข้อมูลส่วนตัว) จะได้อะไรจากสิ่งนี้” ในทาง Cyber Security มองข้อมูล (Data) โดยเฉพาะอย่างยิ่งในด้านข้อมูลส่วนตัว พวกเขาจะมองข้อมูลเหล่านี้เป็นเหมือนคลังน้ำมัน ซึ่งแน่นอนว่าไม่ว่าใครก็สามารถ เอาน้ำมันเหล่านี้ไปใช้ประโยชน์ ได้เต็มไปหมดไม่ว่าจะ…

• ปลอมแปลงตัวตนจากข้อมูลที่ได้มา
• นำไปใช้งานแบบผิดกฎหมาย
• ฯลฯ

แบบนี้คุณก็น่าจะเริ่มเห็นแล้วว่าภัยอันตรายจากไซเบอร์ใกล้ตัวขนาดไหน ข้อมูลของคุณสามารถเอาไปทำประโยชน์ (สำหรับโจร) อะไรได้บ้าง

แต่อย่างเหตุการณ์นี้โชคดีตรงที่ทางค่ายลูกเสือนี้วางระบบป้องกันข้อมูลส่วนบุคคลไว้เรียบร้อย (แต่ไม่มาก) อย่างการแจ้งเตือนเมื่อมีเหตุข้อมูลรั่วไหลนี้เอง

Reference : https://portswigger.net/daily-swig/scouts-victoria-reports-data-breach-after-employee-duped-by-phishing-campaign