การรั่วไหลของข้อมูล

ข้อมูลลูกค้ารั่วไหลจากเหตุละเมิดข้อมูลของ London Hydro

23 มิถุนายน 2569อ่าน 6 นาที

By มาร์คัส เวเบอร์ — ผ่านการรับรอง CISSP, 12 ปีในวงการข่าวความปลอดภัยไซเบอร์

ข้อมูลลูกค้ารั่วไหลจากเหตุละเมิดข้อมูลของ London Hydro

การไฟฟ้าของแคนาดายอมรับเหตุละเมิดข้อมูลของบริษัทสาธารณูปโภคที่อาจทำให้ชื่อ ที่อยู่ และข้อมูลบัญชีของลูกค้ารั่วไหล แต่บริษัทกลับให้ความชัดเจนเพียงเล็กน้อยเกี่ยวกับวิธีการบุกรุก จำนวนผู้ที่ได้รับผลกระทบ หรือระยะเวลาที่ผู้โจมตีอาจเข้าถึงข้อมูลได้ London Hydro ซึ่งให้บริการในเมืองลอนดอน รัฐออนแทรีโอ ยืนยันเหตุการณ์ดังกล่าวแต่ทิ้งคำถามสำคัญหลายข้อไว้โดยไม่ได้รับคำตอบ ทำให้เกิดข้อกังวลเกี่ยวกับมาตรฐานความโปร่งใสเมื่อผู้ให้บริการที่จำเป็นจัดการข้อมูลส่วนบุคคลที่ละเอียดอ่อน

เหตุใดบริษัทสาธารณูปโภคจึงเป็นเป้าหมายที่อ่อนแอสำหรับอาชญากรไซเบอร์

บริษัทสาธารณูปโภคอยู่ในตำแหน่งที่ไม่สะดวกสบายในโลกความปลอดภัยไซเบอร์ พวกเขาถือครองข้อมูลส่วนบุคคลและการเงินจำนวนมากของลูกค้าที่ไม่มีทางเลือกในทางปฏิบัติอื่นนอกจากต้องทำธุรกรรมกับพวกเขา ซึ่งแตกต่างจากแอปค้าปลีกหรือบริการสตรีมมิง ลูกค้าไม่สามารถลบบัญชีและเดินจากไปจากผู้ให้บริการไฟฟ้าในท้องถิ่นได้

ความสัมพันธ์แบบผูกขาดนั้นสร้างสภาพแวดล้อมที่อุดมไปด้วยข้อมูลซึ่งเป็นที่ดึงดูดสำหรับผู้โจมตี บริษัทสาธารณูปโภคจัดเก็บที่อยู่บ้าน ประวัติการเรียกเก็บเงิน รายละเอียดการชำระเงิน และในบางกรณีรูปแบบการใช้งานที่สามารถเปิดเผยได้ว่ามีผู้อยู่อาศัยในสถานที่นั้นหรือไม่ การรวมกันของข้อมูลที่ระบุตัวบุคคลได้และข้อมูลพฤติกรรมนี้มีค่าสำหรับการฉ้อโกง วิศวกรรมสังคม และการขโมยข้อมูลประจำตัว

ข้อเรียกร้องในการดำเนินงานก็เป็นอุปสรรคต่อสถานะความปลอดภัยที่แข็งแกร่งเช่นกัน เครือข่ายของสาธารณูปโภคจำนวนมากพึ่งพาโครงสร้างพื้นฐานแบบเก่าที่ไม่เคยถูกออกแบบมาโดยคำนึงถึงความปลอดภัยไซเบอร์สมัยใหม่ การแพตช์ระบบหรือการนำโครงสร้างพื้นฐานออฟไลน์เพื่ออัปเดตความปลอดภัยอาจขัดแย้งโดยตรงกับพันธะในการรักษาการจ่ายไฟ ผลลัพธ์คืออุตสาหกรรมที่บรรทุกข้อมูลที่มีมูลค่าสูงในขณะที่บางครั้งล้าหลังในการควบคุมความปลอดภัยที่ภาคส่วนอื่น ๆ ได้ทำให้เป็นมาตรฐานแล้ว

ปัญหาไม่ได้เกิดขึ้นเฉพาะกับ London Hydro เท่านั้น ในตัวอย่างหนึ่งที่โดดเด่นของแคนาดา Nova Scotia Power ประสบเหตุละเมิดที่เปิดเผยข้อมูลส่วนบุคคลของลูกค้าปัจจุบันและอดีตประมาณ 915,000 ราย หลังจากพนักงานเพียงคนเดียวโต้ตอบกับป๊อปอัปที่เป็นอันตราย เหตุการณ์นั้นแสดงให้เห็นว่าจุดล้มเหลวเพียงจุดเดียวภายในองค์กรสาธารณูปโภคขนาดใหญ่สามารถลุกลามเป็นเหตุการณ์ด้านความเป็นส่วนตัวที่สำคัญซึ่งส่งผลกระทบต่อผู้คนเกือบหนึ่งล้านคนได้อย่างไร

สิ่งที่ London Hydro เปิดเผยและไม่เปิดเผยเกี่ยวกับการละเมิด

แถลงการณ์สาธารณะของ London Hydro ยืนยันว่าชื่อ ที่อยู่บ้าน และรายละเอียดบัญชีอาจถูกเปิดเผยในระหว่างการบุกรุก นอกเหนือจากนั้น การเปิดเผยข้อมูลมีน้อย บริษัทไม่ได้ยืนยันเวกเตอร์การโจมตี หมายความว่าบริษัทไม่ได้ระบุว่าการละเมิดเกี่ยวข้องกับฟิชชิง ช่องโหว่ในระบบที่เปิดเผยสู่ภายนอก แรนซัมแวร์ หรือวิธีการอื่นใดโดยสิ้นเชิง

กรอบเวลาของการบุกรุกก็ยังไม่ชัดเจน ลูกค้าไม่ได้รับแจ้งว่าการละเมิดเริ่มต้นเมื่อใด ถูกค้นพบเมื่อใด หรือระยะห่างระหว่างสองเหตุการณ์นั้นนานเท่าใด ช่วงเวลานั้นมีความสำคัญเพราะเป็นตัวกำหนดว่าผู้โจมตีมีเวลานานเท่าใดในการเก็บเกี่ยว คัดลอก หรือนำสิ่งที่พวกเขาเข้าถึงไปใช้เป็นอาวุธ

การขาดรายละเอียดเหล่านี้เป็นสิ่งที่น่าหงุดหงิดสำหรับลูกค้าที่พยายามประเมินความเสี่ยงส่วนบุคคลของตน และสะท้อนให้เห็นถึงรูปแบบที่กว้างขึ้นในการเปิดเผยข้อมูลการละเมิดของสาธารณูปโภค หน่วยงานกำกับดูแลในแคนาดากำหนดให้ต้องแจ้งการละเมิดที่ก่อให้เกิดความเสี่ยงที่แท้จริงของอันตรายที่มีนัยสำคัญภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (PIPEDA) แต่กฎหมายกำหนดเพียงระดับขั้นต่ำสำหรับการเปิดเผยข้อมูล ไม่ใช่เพดาน บริษัทสามารถปฏิบัติตามในทางเทคนิคในขณะที่ยังคงปิดบังรายละเอียดที่จะช่วยให้บุคคลที่ได้รับผลกระทบตัดสินใจอย่างมีข้อมูล

ใครบ้างที่ได้รับผลกระทบและข้อมูลใดที่อาจตกอยู่ในความเสี่ยง

London Hydro ให้บริการลูกค้าที่อยู่อาศัยและพาณิชย์ทั่วเมืองลอนดอน รัฐออนแทรีโอ แม้ว่าบริษัทจะไม่ได้เปิดเผยจำนวนบัญชีที่ได้รับผลกระทบโดยเฉพาะ การละเมิดใด ๆ ที่เกี่ยวข้องกับชื่อ ที่อยู่ และรายละเอียดบัญชีจะสร้างความเสี่ยงที่มีนัยสำคัญสำหรับบุคคลในฐานข้อมูลนั้น

การรวมกันของที่อยู่บ้านและหมายเลขบัญชีนั้นอันตรายมากกว่าข้อมูลแต่ละอย่างเพียงอย่างเดียว ผู้ฉ้อโกงสามารถใช้รายละเอียดบัญชีเพื่อปลอมตัวเป็นลูกค้าเมื่อติดต่อกับสาธารณูปโภค ซึ่งอาจเปลี่ยนเส้นทางการสื่อสารการเรียกเก็บเงินหรือตั้งค่าคำขอบริการที่เป็นการฉ้อโกง ที่อยู่บ้านที่จับคู่กับชื่อสามารถถูกอ้างอิงโยงกับชุดข้อมูลที่รั่วไหลอื่น ๆ เพื่อสร้างโปรไฟล์ที่สมบูรณ์ยิ่งขึ้นซึ่งเหมาะสมสำหรับฟิชชิงแบบมีเป้าหมายหรือการฉ้อโกงทางกายภาพ

หากข้อมูลการชำระเงินรวมอยู่ในข้อมูลที่ถูกเปิดเผย ความเสี่ยงจะเพิ่มสูงขึ้นอีก ในขณะที่เขียนบทความนี้ London Hydro ยังไม่ได้ยืนยันว่ารายละเอียดทางการเงิน เช่น ข้อมูลธนาคารหรือหมายเลขบัตรเครดิต เป็นส่วนหนึ่งของการเปิดเผยหรือไม่ ซึ่งนั่นก็เป็นช่องว่างที่มีนัยสำคัญในการเปิดเผยข้อมูล

วิธีป้องกันตัวเองเมื่อผู้ให้บริการสาธารณูปโภคของคุณถูกเจาะระบบ

เมื่อเกิดเหตุละเมิดข้อมูลของบริษัทสาธารณูปโภค ลูกค้ามีอำนาจต่อรองที่จำกัดแต่มีตัวเลือกในทางปฏิบัติหลายประการในการลดอันตรายที่ตามมา

ตรวจสอบบัญชีของคุณเพื่อดูกิจกรรมที่ผิดปกติ เข้าสู่ระบบบัญชี London Hydro ของคุณและตรวจสอบใบแจ้งหนี้และรายละเอียดการติดต่อล่าสุด หากที่อยู่หรือข้อมูลการติดต่อของคุณถูกเปลี่ยนแปลงโดยที่คุณไม่รู้ ให้รายงานไปยังสาธารณูปโภคทันที

วางการแจ้งเตือนการฉ้อโกงหรือการอายัดเครดิต ในแคนาดา คุณสามารถติดต่อ Equifax Canada หรือ TransUnion Canada เพื่อวางการแจ้งเตือนการฉ้อโกงในไฟล์เครดิตของคุณ การอายัดเครดิตเป็นขั้นตอนที่เข้มงวดยิ่งขึ้น โดยจำกัดการสอบถามเครดิตใหม่จนกว่าคุณจะยกเลิก ทั้งสองวิธีไม่มีค่าใช้จ่ายและสามารถหยุดผู้ขโมยข้อมูลประจำตัวไม่ให้เปิดบัญชีใหม่ในชื่อของคุณ

ระวังการติดตามผลแบบฟิชชิง ข้อมูลที่ถูกละเมิดมักจะตกไปอยู่ในมือของผู้ดำเนินการฟิชชิงซึ่งสร้างข้อความที่น่าเชื่อถือโดยแสร้งว่ามาจากสาธารณูปโภคเอง จงสงสัยในอีเมล ข้อความ หรือโทรศัพท์ใด ๆ ที่อ้างว่ามาจาก London Hydro และขอให้คุณยืนยันรายละเอียดบัญชีหรือคลิกลิงก์

ใช้ที่อยู่อีเมลที่ไม่ซ้ำกันสำหรับบัญชีสาธารณูปโภค หากคุณใช้อีเมลเดียวกันในหลายบริการ การละเมิดที่ผู้ให้บริการรายหนึ่งอาจทำให้คุณเสี่ยงมากขึ้นในที่อื่น ในกรณีที่เป็นไปได้ ให้ใช้อีเมลเฉพาะสำหรับบัญชีสาธารณูปโภคเพื่อให้การโจมตีแบบ credential stuffing มีพื้นที่ผิวน้อยลงในการทำงาน

ตรวจสอบรายงานเครดิตของคุณอย่างสม่ำเสมอ สำนักงานข้อมูลเครดิตหลักทั้งสองแห่งของแคนาดาอนุญาตให้เข้าถึงรายงานเครดิตของคุณได้ฟรี การตรวจสอบเป็นระยะช่วยให้จับสัญญาณของการฉ้อโกงข้อมูลประจำตัวได้ตั้งแต่เนิ่น ๆ เมื่อแก้ไขได้ง่ายกว่า

เหตุละเมิดของ London Hydro เป็นเครื่องเตือนใจว่าองค์กรที่ถือครองข้อมูลส่วนบุคคลที่จำเป็นที่สุดของเรานั้นไม่ใช่ผู้ที่เปิดเผยมากที่สุดเสมอไปเมื่อเกิดข้อผิดพลาด ลูกค้าสมควรได้รับการเปิดเผยข้อมูลที่ชัดเจนกว่า กรอบเวลาที่รวดเร็วกว่า และข้อมูลที่นำไปปฏิบัติได้มากขึ้นเมื่อข้อมูลของพวกเขาตกอยู่ในความเสี่ยง จนกว่ามาตรฐานการกำกับดูแลจะตามทันความคาดหวังนั้น ภาระในการปกป้องก็ตกอยู่กับบุคคลที่ได้รับผลกระทบอย่างไม่สมส่วน การปฏิบัติตามขั้นตอนเพียงไม่กี่ข้อข้างต้นสามารถลดช่วงเวลาแห่งโอกาสสำหรับใครก็ตามที่อาจเข้าถึงข้อมูลของคุณได้อย่างมีความหมาย

// คำถามที่พบบ่อย

ข้อมูลส่วนบุคคลใดบ้างที่ถูกเปิดเผยในเหตุละเมิดข้อมูลของ London Hydro

การละเมิดอาจทำให้ชื่อ ที่อยู่บ้าน และรายละเอียดบัญชีของลูกค้ารั่วไหล

London Hydro อธิบายหรือไม่ว่าการละเมิดเกิดขึ้นได้อย่างไร

ไม่ ทางสาธารณูปโภคไม่ได้ยืนยันเวกเตอร์การโจมตี ทำให้ไม่ทราบวิธีการบุกรุก

มีลูกค้าจำนวนเท่าใดที่ได้รับผลกระทบจากเหตุละเมิดของ London Hydro

London Hydro ไม่ได้เปิดเผยจำนวนบุคคลที่ข้อมูลอาจถูกเปิดเผย

เหตุใดบริษัทสาธารณูปโภคจึงเป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์

สาธารณูปโภคถือครองข้อมูลส่วนบุคคลและการเงินที่ละเอียดอ่อนของลูกค้าที่ไม่สามารถย้ายไปที่อื่นได้ง่าย และมักพึ่งพาโครงสร้างพื้นฐานแบบเก่าที่มีความปลอดภัยอ่อนแอกว่า

มีสาธารณูปโภคอื่นในแคนาดาที่ประสบเหตุละเมิดข้อมูลในลักษณะเดียวกันหรือไม่

เคยมีแล้ว Nova Scotia Power ประสบเหตุละเมิดที่เปิดเผยข้อมูลของลูกค้าปัจจุบันและอดีตประมาณ 915,000 ราย หลังจากพนักงานคลิกป๊อปอัปที่เป็นอันตราย