ฝรั่งเศสเปิดการสอบสวนอย่างเป็นทางการต่อวัยรุ่นผู้อยู่เบื้องหลังการละเมิดข้อมูล ANTS ครั้งใหญ่
อัยการฝรั่งเศสได้เปิดการสอบสวนทางกระบวนการยุติธรรมอย่างเป็นทางการต่อผู้ต้องสงสัยอายุ 15 ปี ซึ่งถูกกล่าวหาว่าเป็นผู้รับผิดชอบต่อการละเมิดข้อมูลประจำตัวครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์ฝรั่งเศส แฮกเกอร์รายนี้ซึ่งเป็นที่รู้จักในโลกออนไลน์ในนาม 'breach3d' ถูกกล่าวหาว่าขโมยข้อมูลระหว่าง 12 ถึง 18 ล้านรายการจากสำนักงานแห่งชาติเพื่อเอกสารความปลอดภัย หรือที่รู้จักในชื่อย่อภาษาฝรั่งเศสว่า ANTS ซึ่งคิดเป็นประมาณหนึ่งในสามของประชากรผู้ใหญ่ทั้งหมดของฝรั่งเศส
ผู้ต้องสงสัยถูกควบคุมตัวหลังจากถูกกล่าวหาว่าพยายามขายฐานข้อมูลที่ถูกขโมยบนฟอรัมดาร์กเว็บ ข้อมูลที่รั่วไหลจากการละเมิดครั้งนี้ประกอบด้วยชื่อ-นามสกุล ที่อยู่อีเมล วันเกิด และหมายเลขโทรศัพท์ ซึ่งเป็นข้อมูลส่วนบุคคลประเภทที่เอื้อให้เกิดการโจรกรรมข้อมูลประจำตัว การหลอกลวงแบบฟิชชิง และการเข้าครอบครองบัญชีผู้ใช้
ข้อมูลอะไรถูกขโมยและเหตุใดจึงสำคัญ
ANTS คือหน่วยงานรัฐบาลฝรั่งเศสที่รับผิดชอบด้านการจัดการเอกสารประจำตัวที่มีความปลอดภัยสูง รวมถึงหนังสือเดินทางและเอกสารการจดทะเบียนยานพาหนะ ขนาดของการละเมิดนี้มีนัยสำคัญไม่เพียงแค่เพราะปริมาณข้อมูลที่เกี่ยวข้อง แต่ยังเพราะลักษณะของสถาบันที่ถูกโจมตีด้วย เมื่อโครงสร้างพื้นฐานของเอกสารประจำตัวถูกละเมิด ผลกระทบย่อมขยายออกไปไกลเกินกว่าการรีเซ็ตรหัสผ่านเพียงครั้งเดียว
ประเภทของข้อมูลที่ถูกขโมยไปนั้นมีความละเอียดอ่อนเป็นพิเศษเมื่อนำมารวมกัน ชื่อเมื่อจับคู่กับวันเกิดและหมายเลขโทรศัพท์ก็เพียงพอสำหรับผู้โจมตีที่มุ่งมั่นในการพยายาม SIM-swapping ซึ่งเป็นเทคนิคที่ใช้ในการจี้หมายเลขโทรศัพท์และหลีกเลี่ยงการยืนยันตัวตนแบบสองขั้นตอนบนบัญชีธนาคารและอีเมล เมื่อเพิ่มที่อยู่อีเมลเข้าไปในชุดข้อมูลนี้ พื้นที่การโจมตีก็ยิ่งขยายออกไปอย่างมาก
ข้อเท็จจริงที่ว่าวัยรุ่นคนหนึ่งถูกกล่าวหาว่าดำเนินการละเมิดนี้และพยายามสร้างรายได้จากมันบนตลาดดาร์กเว็บ ตอกย้ำให้เห็นความจริงในวงกว้างขึ้น นั่นคือการโจรกรรมข้อมูลที่ซับซ้อนไม่ได้เป็นขอบเขตพิเศษขององค์กรอาชญากรรมที่มีทรัพยากรพร้อมมูลอีกต่อไป เครื่องมือแฮกและฟอรัมที่เปิดให้ใช้งานสาธารณะได้ลดกำแพงการเข้าสู่วงการนี้ลงอย่างมาก
ปัญหาตลาดดาร์กเว็บ
เมื่อฐานข้อมูลที่ถูกขโมยถูกนำขึ้นขายบนฟอรัมดาร์กเว็บ โดยทั่วไปแล้วข้อมูลเหล่านั้นแทบจะไม่มีวันหายไปแม้ว่าผู้ขายรายแรกจะถูกจับกุม สำเนาข้อมูลจะหมุนเวียน ถูกรวมเข้ากับชุดข้อมูลที่รั่วไหลอื่น ๆ และโผล่ขึ้นมาอีกครั้งในเดือนหรือปีต่อมาในรูปแบบการโจมตีด้วย credential-stuffing การจับกุม 'breach3d' อาจหยุดยั้งการขายได้หนึ่งครั้ง แต่ไม่ได้รับประกันว่าข้อมูลจะถูกควบคุมไว้ได้
นี่คือลักษณะที่ปรากฏซ้ำในการละเมิดข้อมูลขนาดใหญ่ เจ้าหน้าที่บังคับใช้กฎหมายสามารถดำเนินคดีกับผู้ที่ดึงข้อมูลออกไปได้ แต่ตัวข้อมูลเองเมื่อถูกเปิดเผยออกไปแล้ว เป็นเรื่องยากอย่างยิ่งที่จะดึงกลับคืนมา บุคคลที่ได้รับผลกระทบมักไม่มีทางรู้ว่าข้อมูลของตนไปอยู่ที่ใดหรือเมื่อไรที่ข้อมูลเหล่านั้นอาจถูกนำมาใช้เป็นเครื่องมือโจมตีตนเอง
สิ่งนี้หมายความว่าอะไรสำหรับคุณ
หากคุณเป็นผู้พักอาศัยในฝรั่งเศสหรือเคยติดต่อกับบริการเอกสารของรัฐบาลฝรั่งเศส มีความเป็นไปได้จริงที่ข้อมูลส่วนตัวของคุณอยู่ในบรรดาข้อมูลที่ถูกขโมย แม้ว่าคุณจะไม่ได้รับผลกระทบโดยตรงจากการละเมิดครั้งนี้โดยเฉพาะ แต่กลวิธีที่ใช้ในที่นี้เป็นเรื่องที่พบได้ทั่วไป และการเปิดเผยข้อมูลประจำตัวที่ถือครองโดยรัฐบาลเป็นปัญหาที่เกิดขึ้นซ้ำในหลายประเทศ
ต่อไปนี้คือขั้นตอนที่เป็นประโยชน์ซึ่งทุกคนสามารถดำเนินการได้หลังจากการละเมิดประเภทนี้:
- ตรวจสอบบัญชีของคุณอย่างใกล้ชิด ความพยายามเข้าสู่ระบบที่ผิดปกติ อุปกรณ์ที่ไม่คุ้นเคย หรือคำขอยืนยันตัวตนแบบสองขั้นตอนที่ไม่คาดคิด ล้วนเป็นสัญญาณเตือนที่ควรตรวจสอบทันที
- ตั้งข้อสังเกตต่อการติดต่อที่ไม่ได้ร้องขอ อีเมลฟิชชิงและข้อความ SMS จะน่าเชื่อถือมากขึ้นอย่างมากเมื่อผู้โจมตีรู้ชื่อ วันเกิด และหมายเลขโทรศัพท์ของคุณอยู่แล้ว จงระวังข้อความที่ไม่คาดคิดซึ่งขอให้คุณยืนยันสิ่งใดก็ตามด้วยความระมัดระวังเป็นพิเศษ
- เสริมความแข็งแกร่งให้กับตัวเลือกการกู้คืนบัญชี หากเป็นไปได้ ให้เปลี่ยนจากการยืนยันตัวตนแบบสองขั้นตอนผ่าน SMS ไปเป็นแอปพลิเคชันยืนยันตัวตน การโจมตีแบบ SIM-swapping ใช้ประโยชน์จากการยืนยันผ่าน SMS โดยตรง
- ตรวจสอบบริการแจ้งเตือนการละเมิดข้อมูล บริการที่รวบรวมข้อมูลจากชุดข้อมูลที่รั่วไหลที่ทราบแล้วสามารถบอกคุณได้ว่าที่อยู่อีเมลของคุณปรากฏในฐานข้อมูลที่รั่วไหลหรือไม่ ช่วยให้คุณเห็นภาพรวมที่ชัดเจนขึ้นของความเสี่ยงในปัจจุบัน
- พิจารณาการแจ้งเตือนด้านเครดิตหรือการตรวจสอบข้อมูลประจำตัว ในบางเขตอำนาจศาล คุณสามารถยื่นคำขอแจ้งเตือนการฉ้อโกงกับสำนักงานเครดิตได้ ซึ่งทำให้การเปิดบัญชีใหม่ในชื่อของคุณเป็นเรื่องยากขึ้น
สำหรับบุคคลที่ต้องการลดความเสี่ยงในระยะยาว การไตร่ตรองว่าบริการใดบ้างที่ถือครองข้อมูลส่วนตัวของคุณ และมากน้อยเพียงใด เป็นนิสัยที่มีความหมายในระยะยาว หน่วยงานรัฐบาลจะเก็บข้อมูลบางอย่างอยู่เสมอ แต่บริการเชิงพาณิชย์มักเก็บรวบรวมข้อมูลมากกว่าที่จำเป็นอย่างมาก
การละเมิดข้อมูล ANTS เป็นเครื่องเตือนใจว่าแม้แต่สถาบันที่มีหน้าที่รับผิดชอบในการรักษาความปลอดภัยโครงสร้างพื้นฐานด้านข้อมูลประจำตัวโดยเฉพาะก็ไม่ได้รอดพ้นจากการถูกโจมตี การปกป้องตัวเองเริ่มต้นด้วยการเข้าใจว่าข้อมูลใดบ้างที่มีอยู่แล้วและการดำเนินขั้นตอนอย่างจงใจเพื่อจำกัดความเสียหายที่อาจเกิดขึ้น
