การละเมิดข้อมูล Archives

อีคอมเมิร์ซแอป เป้าหมายใหม่ การโจมตีทางไซเบอร์ (1)

บทความน่าสนใจBy Admin S.10 7 September 2023

ในปี 2566 แนวโน้มทิศทางการโจมตีทางไซเบอร์บนแอปพลิเคชันอีคอมเมิร์ซ (E-commerce) ตกเป็นเป้าหมายหลักเลยก็ว่าได้ เนื่องจากธุรกิจอีคอมเมิร์ซกลายเป็น Omnichannel เพิ่มเรื่อย ๆ และมีการสร้างและปรับใช้อินเทอร์เฟซ API มากขึ้น โดยแฮ็กเกอร์จะใช้ประโยชน์จากการหาช่องโหว่ต่าง ๆ เพื่อเปิดการโจมตี นี่คือเหตุผลว่าทำไมการทดสอบและการหมั่นตรวจสอบระบบอย่างต่อเนื่องจึงมีความสำคัญมากในการช่วยหาจุดอ่อนให้ได้อย่างรวดเร็วและเป็นการป้องกันเว็บแอปพลิเคชันอย่างมีประสิทธิภาพ วันนี้ผมจึงอยากหยิบยกเรื่องการโจมตีแพลตฟอร์มอีคอมเมิร์ซของ Honda มาพูดถึงว่ามันเกิดขึ้นได้อย่างไร รวมถึงผลกระทบที่เกิดขึ้นต่อธุรกิจและกลุ่มลูกค้า การโจมตีแพลตฟอร์มอีคอมเมิร์ซของฮอนด้าที่จัดจำหน่ายสินค้าเกี่ยวกับอุปกรณ์ไฟฟ้า ไม่ว่าจะเป็นเครื่องตัดหญ้า เครื่องยนต์ติดท้ายเรือ เป็นต้น ได้เกิดข้อผิดพลาดของ API ที่ทำให้ไม่ว่าจะใครก็สามารถขอรีเซ็ตรหัสผ่านของบัญชีผู้ใช้งานใดก็ได้ หากแฮ็กเกอร์ค้นพบสิ่งนี้ได้ แน่นอนว่าจะเป็นการละเมิดข้อมูลครั้งใหญ่อีกครั้งหนึ่ง เพราะการสูญเสียการควบคุมในการเข้าถึงทำให้บุคคลอื่นสามารถเข้าถึงข้อมูลทั้งหมดบนแพลตฟอร์มได้ แม้ว่าจะเข้าสู่ระบบด้วยบัญชีสำหรับใช้ทดสอบ (Test Account) ก็ตาม โดยผู้ทดสอบสามารถเข้าถึงข้อมูลต่อไปนี้ได้ทั้งหมด คำสั่งซื้อของลูกค้าเกือบ 24,000 รายจากตัวแทนจำหน่ายฮอนด้าทุกแห่งตั้งแต่ ส.ค. 2559 ถึง มี.ค. 2566 รวมถึงชื่อที่อยู่และหมายเลขโทรศัพท์ของลูกค้า เว็บไซต์ตัวแทนจำหน่ายที่ใช้งานอยู่ 1,091 แห่งซึ่งสามารถแก้ไขไซต์เหล่านี้ได้, ผู้ใช้งาน/บัญชีตัวแทนจำหน่าย…

สิบปีในดินแดนลี้ภัยรัสเซียของ ‘เอ็ดเวิร์ด สโนว์เดน’

บทความน่าสนใจBy Admin S.10 1 July 2023

AFP เมื่อสิบปีก่อน เอ็ดเวิร์ด สโนว์เดนเปิดโปงปฏิบัติการจารกรรมของหน่วยข่าวกรองสหรัฐฯ จากนั้นเขาต้องซ่อนตัว ลี้ภัยไปยังรัสเซีย และตอนนี้ได้ฉลองวันเกิดครบรอบ 40 ปีที่นั่น ก่อนหน้านั้นเขาเคยยื่นเรื่องขอลี้ภัยไปลาตินอเมริกาและยุโรปด้วยเหมือนกัน แต่ไม่มีประเทศไหนรับประกันความปลอดภัยของเขาได้ รัสเซียมองเห็นประโยชน์จากกรณีของสโนว์เดนในการกล่าวหาสหรัฐฯ ว่า “สองมาตรฐาน” จึงอ้าแขนต้อนรับเขา เพื่อสะท้อนให้เห็นว่าสหรัฐฯ ประเทศซึ่งอ้างตัวเป็นต้นแบบของเสรีภาพและประชาธิปไตย แต่กลับข่มเหงทางการเมืองกับสโนว์เดนและคนอื่น ๆ วันพุธที่ 21 มิถุนายนที่ผ่านมา สโนว์เดนฉลองวันเกิดครบรอบ 40 ปีพร้อมกับการได้สัญชาติรัสเซีย วันศุกร์เมื่อสิบปีก่อนเขาเดินทางถึงมอสโกด้วยเครื่องบินของสายการบินแอโรฟลอต เขาใช้เวลานานถึง 40 วันในเขตทรานสิตที่สนามบินเชเรเมเตียโว ท่ามกลางสื่อมวลชนทั่วโลกที่พยายามเข้าถึงตัวเขา ก่อนหน้านั้นไม่นานเขาได้ส่งมอบเอกสารเกี่ยวกับการสอดแนมของหน่วยข่าวกรองสหรัฐฯ และ GCHQ ของอังกฤษให้กับสื่อมวลชน ตามคำบอกเล่าของสโนว์เดน เขาต้องการเดินทางไปยังเอกวาดอร์ โดยผ่านฮ่องกง แต่แล้วเขาต้องไปติดอยู่ที่สนามบินเชเรเมเตียโวในมอสโก หลังจากที่สหรัฐฯ ยกเลิกหนังสือเดินทางของเขา เขาไม่มีวีซ่าผ่านแดน และดูเหมือนไม่มีประเทศไหนอยากยุ่งกับสหรัฐฯ เหลือแต่รัสเซียภายใต้การนำของประธานาธิบดีวลาดิมีร์ ปูตินเท่านั้นที่กล้าเปิดประตูบ้านต้อนรับเขา ถึงตอนนั้นสโนว์เดนก็นิ่งเงียบเกี่ยวกับการเมืองของรัสเซีย แลกกับแหล่งพักพิงที่ถูกปกปิดเป็นความลับ หลังจากครบรอบหนึ่งปีของการลี้ภัย สโนว์เดนให้สัมภาษณ์กับเกลนน์ กรีนวัลด์-นักข่าวสหรัฐฯ ยืนยันว่าข้อมูลเกี่ยวกับการซ้อมรบที่รั่วไหลจากหน่วยข่าวกรองสหรัฐฯ…

6 ข้อผิดพลาดที่ทำให้เกิด ‘การรั่วไหล’ ของข้อมูลบ่อยที่สุด

บทความน่าสนใจBy Admin S.10 27 April 2023

วันนี้ผมจะขอสรุปรวมข้อผิดพลาดที่ทำให้เกิดการละเมิดของข้อมูลและเปิดทางให้เหล่าแฮ็กเกอร์เข้าโจมตีระบบของผู้ใช้งานและปล่อยข้อมูลให้รั่วไหลกันครับ 1. ขาดการยืนยันตัวตนแบบหลายปัจจัย (Multi-factor Authentication หรือ MFA) : ช่วยให้แฮ็กเกอร์เข้าถึงข้อมูลที่ละเอียดอ่อนได้ยากมากยิ่งขึ้น 2. การมองเห็นอย่างจำกัดในคลังเก็บข้อมูลทั้งหมด : ธุรกิจต่างๆ ต้องการ single dashboard solution ที่สามารถให้ข้อมูลเชิงลึกเกี่ยวกับความสามารถด้านความปลอดภัยของข้อมูลที่หลากหลายรวมถึงการค้นหาข้อมูล การจัดประเภท การตรวจสอบ การควบคุมการเข้าถึง การวิเคราะห์ความเสี่ยง การจัดการการปฏิบัติตามข้อกำหนด ระบบความปลอดภัยอัตโนมัติ การตรวจจับภัยคุกคาม และการรายงานการตรวจสอบ 3. นโยบายเกี่ยวกับรหัสผ่านที่ไม่ดี : ทุกบริษัทควรฝึกอบรมพนักงานเป็นประจำเกี่ยวกับความสำคัญของการไม่ใช้รหัสผ่านซ้ำหรือแบ่งรหัสผ่านกับเพื่อนร่วมงาน คู่ค้า หรือผู้ขาย 4. โครงสร้างพื้นฐานทางข้อมูลที่กำหนดค่าไม่ถูกต้อง : โครงสร้างพื้นฐานที่จัดการบนคลาวด์ในแต่ละรายการนั้นมีเอกลักษณ์เฉพาะตัว และต้องใช้ชุดทักษะเฉพาะเพื่อจัดการอย่างเหมาะสม การมองเห็นภาพรวมของข้อมูลทั้งหมดที่จัดการบนคลาวด์ผ่านแดชบอร์ดเดียวจะช่วยลดความจำเป็นในการดูแลเรื่องการกำหนดค่าสำหรับการมองเห็นข้อมูล 5. การป้องกันช่องโหว่ที่จำกัด : ช่องโหว่แบบ Zero-day ในโค้ดที่ได้รับความนิยมอาจทำให้เกิดปัญหาด้านความปลอดภัยสำหรับองค์กรหลายแห่ง การป้องกันรันไทม์ช่วยรักษาความปลอดภัยให้แอปพลิเคชันจากช่องโหว่โดยไม่ปล่อยให้แอปพลิเคชันเสี่ยงต่อการถูกโจมตี 6. ไม่เรียนรู้จากการละเมิดข้อมูลในอดีต…

โดนเหมือนกันมาเลเซีย! เบอร์มือถือมาเลเซีย 21 ล้านหมายเลขรั่วไหล ถูกขายให้สแกมเมอร์ปี 2022 คิดเป็น 73% ของประเทศ

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 8 April 2023

โดนเหมือนกันมาเลเซีย! เบอร์มือถือมาเลเซีย 21 ล้านหมายเลขรั่วไหล ถูกขายให้สแกมเมอร์ปี 2022 คิดเป็น 73 เปอร์เซ็นต์ของผู้ที่อาศัยอยู่ในมาเลเซีย ทำให้มาเลเซียกลายเป็นอันดับหนึ่งในด้านหมายเลขโทรศัพท์มือถือที่ถูกละเมิด ตามรายงานการฉ้อโกงประจำปี 2022 ของ Gogolook บริษัทที่พัฒนาแอป WhosCall นั่นเอง iT24Hrs Gogolook บริษัทเทคโนโลยีต่อต้านการโกงและ ผู้ให้บริการด้านการจัดการความเสี่ยง ได้ร่วมมือกับ Constella Intelligence ซึ่งเป็นผู้ให้บริการด้านการป้องกันความเสี่ยงทางดิจิทัลระหว่างประเทศ เพื่อทำความเข้าใจการแฮ็กข้อมูลจาก 5 ประเทศ ได้แก่ ไต้หวัน ญี่ปุ่น ไทย เกาหลี และมาเลเซีย Image : Gogolook พบว่าข้อมูลส่วนตัวที่รั่วไหลมากที่สุดในมาเลเซีย ไต้หวัน และไทย ได้แก่ รหัสผ่านและชื่อสำหรับเข้าสู่ระบบ ตามด้วยที่อยู่ ประเทศ วันเกิด และอีเมล ภาพ :…

ออสเตรเลียเตรียมเพิ่มโทษละเมิดข้อมูลทางคอมพิวเตอร์

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 26 October 2022

ออสเตรเลียเตรียมเสนอกฎหมายเข้ารัฐสภาเพื่อเพิ่มบทลงโทษกับบริษัทที่ละเมิดข้อมูลที่สำคัญทางคอมพิวเตอร์ หลังจากการโจมตีทางไซเบอร์ได้โจมตีชาวออสเตรเลียหลายล้านคนในช่วงไม่กี่สัปดาห์ทีผ่านมา ภาคธุรกิจโทรคมนาคม การเงิน และภาครัฐของออสเตรเลียมีความตื่นตัวสูงนับตั้งแต่บริษัท Optus ซึ่งเป็นบริษัทโทรคมนาคมที่ใหญ่เป็นอันดับสองของประเทศเปิดเผยเมื่อวันที่ 22 ก.ย. ว่ามีการแฮกข้อมูลส่วนบุคคลจากบัญชีผู้ใช้มากถึง 10 ล้านบัญชี ต่อมาในเดือนนี้ มีการละเมิดข้อมูลของบริษัทประกันสุขภาพ Medibank Private ซึ่งครอบคลุมถึง 1 ใน 6 ของชาวออสเตรเลีย ส่งผลให้ลูกค้า 100 รายถูกขโมยข้อมูล รวมทั้งการวินิจฉัยโรคและขั้นตอนทางการแพทย์ ซึ่งเป็นส่วนหนึ่งของการขโมยข้อมูลจำนวน 200 กิกะไบต์ Mark Dreyfus อัยการสูงสุด เปิดเผยในแถลงการณ์อย่างเป็นทางการเมื่อวันเสาร์ว่า รัฐบาลจะเคลื่อนไหวในสัปดาห์หน้าเพื่อ “เพิ่มโทษอย่างมีนัยสำคัญสำหรับการละเมิดความเป็นส่วนตัว” พร้อมกับการแก้ไขกฎหมายความเป็นส่วนตัว การเปลี่ยนแปลงที่เสนอจะยกเลิกบทลงโทษสูงสุดสำหรับการละเมิดความเป็นส่วนตัวอย่างร้ายแรงหรือซ้ำจาก 2.22 ล้านดอลลาร์ออสเตรเลียในปัจจุบัน (1.4 ล้านดอลลาร์) เป็นมากกว่า 50 ล้านดอลลาร์ออสเตรเลีย หรือเป็นมูลค่าสามเท่าของผลประโยชน์ที่ได้รับจากการใช้ข้อมูลในทางที่ผิด หรือ 30% ของยอดขายในช่วงเวลาที่เกี่ยวข้องกับการละเมิด การละเมิดความเป็นส่วนตัวที่ปรากฎในสัปดาห์ที่ผ่านมาได้แสดงให้เห็นว่าระบบการป้องกันที่มีอยู่ไม่เพียงพอ และจำเป็นต้องเพิ่มความรุนแรงของการลงโทษสำหรับการละเมิดข้อมูลที่สำคัญ “เราต้องการกฎหมายที่ดีกว่านี้…

ดราม่าเกิด ตำรวจใช้ DNA ระบุตัวคนร้าย ส่อละเมิดความเป็นส่วนตัว

การรักษาความลับ, ข่าวประจำวันBy Webmaster 13 October 2022

ตอนนี้กำลังมีดราม่าพอสมควรที่สำนักงานตำรวจ Edmonton ได้เผยแพร่ภาพของผู้ต้องสงสัยที่พวกเขาสร้างขึ้นโดยใช้วิธี DNA phenotyping (เป็นการตรวจหา โดยใช้เพียงตัวอย่างหลัก ไม่จำเป็นต้องมีตัวอย่างอ้างอิง มักใช้ในการตรวจหาบุคคลนิรนาม) โดยหวังว่าจะใช้มันในการระบุตัวผู้ต้องสงสัยจากคดีล่วงละเมิดทางเพศได้ และยังอ้างอีกว่า วิธีนี้จะถูกใช้เป็นตัวเลือกสุดท้าย หากช่องทางการสืบสวนอื่น ๆ ไม่สามารถทำได้อีก

Tag Archives: การละเมิดข้อมูล