การละเมิดข้อมูลที่ถูกกล่าวหาอาจส่งผลกระทบต่อประชากรทุกคนในบราซิล
ผู้ก่อภัยคุกคามรายหนึ่งได้อ้างความรับผิดชอบในการขโมยข้อมูลจำนวน 1.8 เทราไบต์จาก Serasa Experian บริษัทในเครือของบราซิลภายใต้บริษัทวิเคราะห์ความเสี่ยงทางเครดิตระดับโลกอย่าง Experian ชุดข้อมูลที่ถูกกล่าวหานี้ครอบคลุมบุคคลจำนวน 223 ล้านคน ซึ่งเป็นตัวเลขที่สะท้อนถึงประชากรทั้งหมดของบราซิลอย่างแท้จริง รวมถึงผู้เสียชีวิตที่ข้อมูลของพวกเขายังคงถูกเก็บรักษาอยู่ในฐานข้อมูลทางการเงิน
จากข้อกล่าวอ้างดังกล่าว ข้อมูลที่ถูกขโมยประกอบด้วยชื่อ-นามสกุล วันเกิด ที่อยู่อีเมล และหมายเลข CPF หมายเลข CPF หรือ Cadastro de Pessoas Físicas คือหมายเลขประจำตัวผู้เสียภาษีแห่งชาติของบราซิล ซึ่งทำหน้าที่คล้ายกับหมายเลขประกันสังคมในสหรัฐอเมริกา โดยใช้สำหรับการเข้าถึงบริการธนาคาร ยื่นภาษี ยืนยันตัวตน และทำธุรกรรมในชีวิตประจำวันนับไม่ถ้วน หากการละเมิดข้อมูลนี้ได้รับการยืนยันในระดับที่อ้างไว้ ก็จะถือเป็นหนึ่งในการรั่วไหลของข้อมูลระดับประเทศที่ใหญ่ที่สุดที่เคยบันทึกไว้
Serasa Experian เป็นหนึ่งในบริษัทข้อมูลเครดิตที่โดดเด่นที่สุดของบราซิล โดยถือครองข้อมูลทางการเงินและข้อมูลส่วนบุคคลของผู้ใหญ่แทบทุกคนในประเทศ บริษัทยังไม่ได้ยืนยันการละเมิดข้อมูลดังกล่าวต่อสาธารณชน ณ เวลาที่รายงานนี้ถูกเผยแพร่
ข้อมูลใดที่ถูกกล่าวหาว่าถูกขโมย และเหตุใดจึงสำคัญ
การรวมกันของประเภทข้อมูลในการละเมิดที่ถูกกล่าวหานี้เป็นเรื่องที่น่ากังวลอย่างยิ่ง หมายเลข CPF ต่างจากรหัสผ่านตรงที่ไม่สามารถรีเซ็ตได้ เมื่อถูกเปิดเผยออกไปแล้ว หมายเลขประจำตัวประชาชนจะกลายเป็นภาระถาวรที่แก้ไขไม่ได้ เมื่อนำมารวมกับชื่อ-นามสกุล วันเกิด และที่อยู่อีเมล ผู้ไม่ประสงค์ดีก็จะได้รับโปรไฟล์ที่ครบถ้วนเกือบสมบูรณ์สำหรับการก่ออาชญากรรมการโจรกรรมข้อมูลส่วนตัว การเปิดบัญชีสินเชื่อปลอม การยื่นแบบภาษีเท็จ หรือการหลีกเลี่ยงระบบยืนยันตัวตน
บราซิลเคยประสบกับเหตุการณ์ข้อมูลรั่วไหลครั้งสำคัญมาก่อน ในปี 2564 การละเมิดข้อมูลแยกต่างหากได้เปิดเผยหมายเลข CPF และข้อมูลส่วนบุคคลของชาวบราซิลหลายร้อยล้านคน ก่อให้เกิดความกังวลอย่างแพร่หลายเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยของบริษัทที่ได้รับมอบหมายให้ดูแลข้อมูลประจำชาติที่ละเอียดอ่อน การเปิดเผยข้อมูลตัวตนพื้นฐานชุดเดิมในระดับใหญ่ครั้งที่สองยิ่งทำให้ความเสี่ยงนั้นทวีคูณขึ้นอย่างมาก ผู้ที่ดำเนินการป้องกันตนเองภายหลังเหตุการณ์ก่อนหน้าแล้วอาจพบว่าความพยายามเหล่านั้นถูกบ่อนทำลาย หากชุดข้อมูลใหม่นี้แพร่กระจายออกไปอย่างกว้างขวาง
ข้อมูลลักษณะนี้มักถูกขายในฟอรัมใต้ดิน นำไปใช้โดยตรงเพื่อการฉ้อโกง หรือรวมกับชุดข้อมูลที่รั่วไหลอื่นๆ เพื่อสร้างโปรไฟล์ที่มีรายละเอียดมากขึ้นเรื่อยๆ ของบุคคลต่างๆ ปริมาณข้อมูลมหาศาลที่อ้างถึงในที่นี้ คือ 1.8 TB บ่งชี้ว่านี่ไม่ใช่การขโมยข้อมูลในระดับเล็กหรือมุ่งเป้าหมายเฉพาะเจาะจง
การละเมิดข้อมูลเหล่านี้ก่อให้เกิดภัยคุกคามต่อความเป็นส่วนตัวในวงกว้างได้อย่างไร
ความเข้าใจผิดที่พบบ่อยคือการละเมิดข้อมูลส่งผลเสียหายเฉพาะต่อผู้ที่ถูกกำหนดเป็นเป้าหมายโดยตรงในการฉ้อโกงเท่านั้น แต่ในความเป็นจริง การรั่วไหลของข้อมูลในระดับใหญ่เช่นนี้สร้างผลกระทบระลอกคลื่นที่แผ่ขยายไปสู่ชีวิตดิจิทัลในชีวิตประจำวัน
เมื่อข้อมูลระบุตัวตนส่วนบุคคล เช่น หมายเลข CPF และที่อยู่อีเมล สามารถเข้าถึงได้สาธารณะ ผู้ลงโฆษณา นายหน้าข้อมูล และผู้ไม่ประสงค์ดีก็สามารถเชื่อมโยงข้อมูลนั้นกับพฤติกรรมออนไลน์อื่นๆ ได้ พฤติกรรมการท่องเว็บ การใช้งานแอป ข้อมูลตำแหน่งที่ตั้ง และประวัติการซื้อของคุณสามารถเชื่อมโยงกลับสู่ตัวตนที่แท้จริงของคุณได้ง่ายขึ้นมาก เมื่อตัวระบุพื้นฐานถูกเปิดเผยออกไป สิ่งนี้บางครั้งเรียกว่า การระบุตัวตนใหม่ (re-identification) และมันทำลายความเป็นส่วนตัวในทางปฏิบัติที่หลายคนคิดว่าตนมีอยู่ทางออนไลน์
นอกเหนือจากการฉ้อโกงที่มุ่งเป้า ข้อมูลที่ถูกเปิดเผยยังเป็นเชื้อเพลิงสำหรับแคมเปญฟิชชิง ด้วยชื่อ อีเมล และหมายเลข CPF ของเหยื่อในมือ นักต้มตุ๋นสามารถสร้างข้อความที่ดูน่าเชื่อถือซึ่งดูเหมือนว่ามาจากธนาคาร หน่วยงานรัฐบาล หรือผู้ให้บริการสาธารณูปโภค การโจมตีเหล่านี้ตรวจจับได้ยากกว่าอย่างแม่นยำเพราะใช้ข้อมูลจริงที่ถูกต้อง
สิ่งที่คุณควรทำ
หากคุณอยู่ในบราซิลหรือมีความเกี่ยวข้องกับระบบการเงินหรือระบบราชการของบราซิล คุณควรสันนิษฐานว่าหมายเลข CPF และข้อมูลส่วนบุคคลที่เกี่ยวข้องของคุณอาจหมุนเวียนอยู่แล้ว โดยไม่คำนึงถึงการละเมิดข้อมูลครั้งนี้โดยเฉพาะ นั่นไม่ใช่เหตุผลที่ต้องตื่นตระหนก แต่เป็นเหตุผลที่ควรพิจารณาพฤติกรรมดิจิทัลของคุณอย่างจริงจัง
ต่อไปนี้คือขั้นตอนที่เป็นรูปธรรมและควรดำเนินการ:
- ติดตามกิจกรรมหมายเลข CPF ของคุณ Receita Federal ของบราซิลและแพลตฟอร์มทางการเงินหลายแห่งช่วยให้คุณตรวจสอบการใช้งานหมายเลข CPF โดยไม่ได้รับอนุญาตได้ ทำให้เป็นนิสัยที่สม่ำเสมอ
- เปิดใช้งานการแจ้งเตือนในบัญชีการเงิน ตั้งค่าการแจ้งเตือนธุรกรรมแบบเรียลไทม์ในทุกบัญชีที่เชื่อมโยงกับ CPF หรือตัวตนทางธนาคารของคุณ
- ตั้งข้อสงสัยต่อการติดต่อที่เข้ามา ปฏิบัติต่ออีเมล SMS หรือการโทรศัพท์ใดๆ ที่ขอให้คุณยืนยันรายละเอียดส่วนตัวด้วยความระมัดระวังอย่างมาก แม้ว่าผู้ส่งจะดูเหมือนรู้ข้อมูลของคุณก็ตาม
- ใช้รหัสผ่านที่ไม่ซ้ำกันและแข็งแกร่ง พร้อมการยืนยันตัวตนสองชั้น ที่อยู่อีเมลที่ถูกเปิดเผยมักถูกใช้ในการโจมตีแบบ credential-stuffing กับบริการอื่นๆ
- พิจารณาว่ากิจกรรมการท่องเว็บและกิจกรรมดิจิทัลของคุณเชื่อมโยงกับตัวตนที่แท้จริงของคุณมากเพียงใด เครื่องมือที่จำกัดการติดตามและลดข้อมูลที่มีให้บุคคลที่สามยิ่งมีคุณค่ามากขึ้น ไม่ใช่น้อยลง เมื่อตัวระบุหลักของคุณถูกเปิดเผยแล้ว
การอ้างสิทธิ์การละเมิดข้อมูล Serasa Experian เป็นเครื่องเตือนใจว่าความเสี่ยงจากการเปิดเผยข้อมูลครั้งเดียวแทบไม่เคยถูกจำกัดอยู่แค่ช่วงเวลาใดเวลาหนึ่งหรือการฉ้อโกงประเภทใดประเภทหนึ่ง ข้อมูลตัวตนพื้นฐาน เมื่อหลุดออกไปแล้ว จะหมุนเวียนอยู่เป็นเวลาหลายปี นิสัยการปกป้องความเป็นส่วนตัวแบบหลายชั้น ซึ่งรวมถึงการติดตามบัญชี ความระมัดระวังต่อการสื่อสารที่เข้ามา และการลดรอยเท้าดิจิทัลของคุณ ถือเป็นการป้องกันที่ปฏิบัติได้จริงมากที่สุดที่มีอยู่ เมื่อข้อมูลนั้นไม่สามารถเรียกคืนได้อีกต่อไป
