"แคปปิตอล"วันถูกแฮกข้อมูล กระทบลูกค้ากว่า106ล้านราย
ธนาคารที่ใหญ่ที่สุดอันดับ 5 ของสหรัฐ วางระบบความปลอดภัยที่เข้มงวด ก็ยังมีช่องโหว่ให้ถูกขโมยข้อมูล
เดือนมีนาคม 2019 “แคปปิตอล วัน” ธนาคารและผู้ออกบัตรเครดิตรายใหญ่อันดับ 5 ของสหรัฐอเมริกา ตรวจพบข้อมูลรั่วไหล ซึ่งข้อมูลดังกล่าวเป็นข้อมูลตั้งแต่ปี 2005 จนถึงปัจจุบันของผู้ใช้งานบัตรเครดิตจำนวน 106 ล้านคน โดย 100 ล้านคนอยู่ในสหรัฐอเมริกา และ 6 ล้านคนอยู่ในประเทศแคนาดา ซึ่งกว่า แคปปิตอล วัน จะรู้ว่าข้อมูลดังกล่าวหลุดไปก็ในวันที่ 19 กรกฎาคม 2019 จากการที่แฮกเกอร์โพสต์ข้อมูลที่ขโมยไปบนเว็ปไซต์ GitHub
ทางเอฟบีไอเข้ามาดำเนินการและจับกุมนางสาว Paige Thompson อายุ 33 ปี หลังพบว่าข้อมูลที่ถูกขโมยไปอยู่บนที่เก็บข้อมูลเธอ ปัจจุบันเธอทำงานเป็น Software Engineer ของอะเมซอน เว็บ เซอร์วิส และเคยทำงานให้ แคปปิตอล วัน ช่วงปี 2015 ถึงปี 2016 เธอจึงถูกตัดสินคดีฉ้อโกง และใช้คอมพิวเตอร์ทางมิชอบ โทษจำคุก 5 ปี ปรับ 250,000 ดอลลาร์
ศาลระบุว่า Paige Thompson เจาะเข้าไปในไฟร์วอลล์ ตั้งอยู่บนระบบคลาวด์ของอะเมซอน เว็บ เซอร์วิส จากการตั้งค่าไฟร์วอลล์ผิดพลาดของผู้ดูแลระบบ และขโมยข้อมูลของ แคปปิตอล วัน ที่อยู่ในนั้นกว่า 700 โฟลเดอร์ในเดือนมีนาคมที่ผ่านมา ซึ่งไม่ใช่ช่องโหว่ซอฟต์แวร์บนไฟร์วอลล์ หรือช่องโหว่อะเมซอน เว็บ เซอร์วิส
ผลสืบสวนพบ ข้อมูลที่ถูกขโมยมีหมายเลขประกันสังคม 140,000 หมายเลข เลขบัญชีธนาคารลูกค้าในสหรัฐ 80,000 บัญชี และเลขรหัสของผู้ที่ได้รับอนุญาตทำงานในประเทศแคนาดาจำนวน 1 ล้านบัญชี ส่วนข้อมูลอื่นๆ ประกอบด้วย ชื่อ, ที่อยู่, วันเดือนปีเกิด, Credit Score, Credit Limit, เงินคงเหลือในบัญชี, ประวัติการใช้จ่าย และข้อมูลติดต่อ
แคปปิตอล วัน แจ้งว่าข้อมูลที่ไม่ได้รับผลกระทบ คือ หมายเลขบัตรเครดิต, Log-in Credentials และหมายเลขประกันสังคมที่อยู่บนไฟล์กว่า 99% และหลังจากทราบต้นตอปัญหาทาง แคปปิตอล วัน เข้าไปปรับแก้การตั้งค่าบนอุปกรณ์ไฟร์วอลล์ ที่อยู่บนอะเมซอน เว็บ เซอร์วิส ส่วนเยียวยาเสนอให้บริการเครดิต มอนิเตอร์ริ่งฟรีให้ลูกค้าที่ได้รับผลกระทบ
จะเห็นได้ว่าหน่วยงานธนาคารที่ใหญ่ที่สุดเป็นอันดับ 5 ของสหรัฐอเมริกา มีการวางระบบทางด้านความปลอดภัยที่เข้มงวดพอสมควร ก็ยังมีช่องโหว่ให้ถูกขโมยข้อมูลออกไปกว่า 100 ล้านราย คิดเป็นประมาณ 30% ของประชากรในสหรัฐอเมริกา ส่งผลกระทบใหญ่และมากกว่าประชากรไทยทั้งประเทศเลยทีเดียว อนาคตอาจถูกปรับเรื่องจีดีพีอาร์ สาเหตุของเรื่องนี้มี 2 ประเด็นคือ
1. ตรวจสอบระบบที่อยู่บนพับบลิค คลาวด์ จะเห็นได้ว่ายังมีโอกาสเกิดความผิดพลาดได้เสมอ องค์กรที่นำระบบไปวางไว้บนพับบลิค คลาวด์ ต้องเตรียมความปลอดภัยที่ดีพอสำหรับตรวจสอบช่องโหว่จากความผิดพลาดของการตั้งค่า
2. ข้อมูลส่วนบุคคลที่เก็บอยู่ในองค์กร ปัจจุบันทั่วโลกตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนบุคคลด้วยการออกกฎหมายจีดีพีอาร์ของอียู และ CCPA ของ California หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ซึ่งเราควรตระหนักและจริงจังป้องกันข้อมูล ต้องรู้ก่อนว่าข้อมูลที่เราเก็บไว้มีอะไรบ้าง เก็บอยู่ที่ไหน ข้อมูลที่เก็บเป็นของใคร เราถึงจะสามารถวางแผนวางระบบสำหรับป้องกันข้อมูลรั่วไหลได้ครับ
