ShinyHunters อ้างว่าขโมยข้อมูล 3.1TB จากการโจมตีช่องโหว่ Oracle Zero-Day ของ NAIC

ShinyHunters อ้างว่าขโมยข้อมูล 3.1TB จากการโจมตีช่องโหว่ Oracle Zero-Day ของ NAIC

สมาคมคณะกรรมาธิการประกันภัยแห่งชาติ (NAIC) ยืนยันการละเมิดข้อมูลครั้งใหญ่ หลังจากกลุ่มแฮ็กเกอร์ ShinyHunters เผยแพร่สิ่งที่อ้างว่าเป็นข้อมูลที่ถูกขโมย 3.1 เทราไบต์ทางออนไลน์ การโจมตีนี้ใช้ประโยชน์จากช่องโหว่ Oracle zero-day ทำให้เหตุการณ์นี้เป็นการโจมตีห่วงโซ่อุปทาน มากกว่าที่จะเป็นความล้มเหลวโดยตรงของระบบป้องกันของ NAIC เอง NAIC ระบุว่าตรวจพบการละเมิดครั้งแรกเมื่อวันที่ 11 มิถุนายน และข้อมูลที่ถูกขโมยประกอบด้วยรายงานทางการเงินและข้อมูลทางเทคนิค แม้ว่า ShinyHunters จะกล่าวหาว่าสิ่งที่ขโมยไปนั้นกว้างกว่านั้นมาก

สำหรับใครก็ตามที่เคยมีปฏิสัมพันธ์กับระบบประกันภัยของสหรัฐฯ การละเมิดครั้งนี้ทำให้เกิดคำถามทันทีว่าข้อมูลใดถูกเปิดเผย มันหลุดออกไปได้อย่างไร และประชาชนทั่วไปจะทำอะไรได้บ้างเมื่อสถาบันที่ควรปกป้องผู้บริโภคกลับตกเป็นเหยื่อเสียเอง

สิ่งที่ถูกขโมยและวิธีการโจมตี

NAIC ทำหน้าที่เป็นหน่วยงานประสานงานให้กับหน่วยงานกำกับดูแลการประกันภัยระดับรัฐทั่วสหรัฐอเมริกา ฐานข้อมูลของสมาคมประกอบด้วยเอกสารการยื่นข้อบังคับของผู้รับประกันภัย แฟ้มอันดับความน่าเชื่อถือ คำสั่งซื้อจำนวนมากของลูกค้า และข้อมูลโครงสร้างพื้นฐานทางเทคนิค รวมถึงการอ้างอิงถึงสภาพแวดล้อม AWS ShinyHunters อ้างว่าระบบเช่น INSData และ Vision ได้รับผลกระทบ

ช่องทางโจมตีคือช่องโหว่ zero-day ในซอฟต์แวร์ของ Oracle นั่นหมายความว่าผู้โจมตีใช้ประโยชน์จากข้อบกพร่องที่ยังไม่มีแพตช์แก้ไขในเวลานั้น นี่คือข้อแตกต่างที่สำคัญ: แม้แต่องค์กรที่มีแนวปฏิบัติด้านความปลอดภัยภายในที่แข็งแกร่งก็อาจถูกบุกรุกได้เมื่อมีช่องโหว่ในซอฟต์แวร์ของบุคคลที่สามที่พวกเขาใช้งาน การโจมตีห่วงโซ่อุปทานในลักษณะนี้ป้องกันได้ยากเป็นพิเศษ เพราะจุดอ่อนอยู่นอกเหนือการควบคุมโดยตรงขององค์กรเป้าหมาย

ShinyHunters เป็นภัยคุกคามที่มีการบันทึกไว้อย่างดี มีประวัติการขโมยข้อมูลขนาดใหญ่ ข้ออ้างของกลุ่มนี้ควรได้รับการพิจารณาอย่างจริงจัง แม้ว่าขอบเขตทั้งหมดของสิ่งที่ถูกขโมยอาจแตกต่างจากบัญชีอย่างเป็นทางการของ NAIC

เหตุใดการละเมิดครั้งนี้จึงสำคัญนอกเหนือจากพาดหัวข่าว

ข้อมูลประกันภัยไม่เหมือนกับบัตรสะสมแต้มร้านค้าปลีกที่ถูกขโมย เอกสารการยื่นข้อบังคับประกอบด้วยข้อมูลทางการเงินที่ละเอียดอ่อนเกี่ยวกับบริษัทประกันภัย และบันทึกที่เชื่อมโยงกับเอกสารเหล่านั้นอาจรวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้เกี่ยวกับผู้ถือกรมธรรม์ ผู้เรียกร้องค่าสินไหม และผู้ประกอบวิชาชีพในอุตสาหกรรม

ข้อกังวลที่ลึกกว่านี้คือเชิงระบบ NAIC ตั้งอยู่ที่ศูนย์กลางของกรอบการกำกับดูแลการประกันภัยของสหรัฐฯ การละเมิดในระดับนี้ไม่เพียงส่งผลกระทบต่อบริษัทเดียวหรือรัฐเดียวเท่านั้น แต่อาจสัมผัสถึงกระแสข้อมูลข้ามบริษัทประกันภัยและหน่วยงานกำกับดูแลหลายสิบแห่งที่มีปฏิสัมพันธ์กับแพลตฟอร์มของ NAIC เมื่อโหนดกำกับดูแลกลางถูกบุกรุก ผลกระทบลูกโซ่จะยิ่งยากต่อการทำแผนที่และยากต่อการควบคุม

นอกจากนี้ยังเพิ่มพยานหลักฐานที่มากขึ้นเรื่อย ๆ ว่าการโจมตีแบบ zero-day กำลังถูกใช้เป็นอาวุธต่อต้านโครงสร้างพื้นฐานที่สำคัญและสถาบันที่ทำหน้าที่กำกับดูแลการละเมิดครั้งนี้สอดคล้องกับรูปแบบที่กว้างขึ้นของภัยคุกคามที่มีความซับซ้อน ซึ่งมุ่งเป้าไปที่องค์กรที่รวบรวมข้อมูลที่ละเอียดอ่อนในปริมาณมาก ซึ่งการโจมตีสำเร็จเพียงครั้งเดียวให้ผลตอบแทนมหาศาล

สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ

หากคุณเคยยื่นเคลมประกัน ถือกรมธรรม์ หรือทำงานในอุตสาหกรรมประกันภัยในสหรัฐอเมริกา มีความเป็นไปได้ที่สมเหตุสมผลว่าบันทึกบางส่วนที่เกี่ยวข้องกับกิจกรรมของคุณอาจเคยถูกส่งผ่านระบบที่เชื่อมต่อกับ NAIC ในบางช่วง ข้อนี้ไม่ได้รับประกันว่าข้อมูลของคุณถูกขโมย แต่มันหมายความว่าความเสี่ยงนั้นมีจริงและควรค่าแก่การจัดการเชิงรุก

การละเมิดเช่นนี้เป็นเครื่องเตือนใจว่าการปกป้องข้อมูลส่วนบุคคลไม่สามารถปล่อยให้เป็นหน้าที่ของสถาบันทั้งหมดได้ มีขั้นตอนที่เป็นรูปธรรมหลายประการที่ควรทำในตอนนี้

ประการแรก ตรวจสอบรายงานเครดิตของคุณอย่างใกล้ชิด ข้อมูลทางการเงินและข้อบังคับเมื่อรวมกับข้อมูลอื่นที่ถูกขโมย อาจถูกนำไปใช้สร้างความพยายามฉ้อโกงข้อมูลส่วนบุคคลที่น่าเชื่อถือ การตรวจสอบเครดิตฟรีมีให้บริการผ่านสำนักงานเครดิตหลักหลายแห่ง และการอายัดเครดิตเป็นวิธีที่ประหยัดในการปิดกั้นการขอสินเชื่อโดยไม่ได้รับอนุญาต

ประการที่สอง เปลี่ยนรหัสผ่านที่เกี่ยวข้องกับพอร์ทัลประกันภัยและบัญชีใด ๆ ที่คุณใช้ข้อมูลประจำตัวซ้ำกัน ผู้จัดการรหัสผ่านช่วยให้จัดการได้โดยไม่ต้องจดจำรหัสผ่านที่ไม่ซ้ำกันหลายสิบนวลี

ประการที่สาม ระวังความพยายามฟิชชิ่ง ผู้โจมตีที่ได้รับข้อมูลประกันภัยมักใช้ข้อมูลนั้นสร้างอีเมลฟิชชิ่งที่เจาะจงเป้าหมายสูงซึ่งดูเหมือนมาจากผู้รับประกันภัยหรือหน่วยงานกำกับดูแลที่ถูกต้อง ปฏิบัติต่ออีเมลที่ไม่คาดคิดที่ขอให้คุณล็อกอินหรือยืนยันข้อมูลด้วยความสงสัยเพิ่มขึ้น

สุดท้าย พิจารณาวิธีที่คุณทำธุรกรรมที่ละเอียดอ่อนทางออนไลน์ การเข้ารหัสการเชื่อมต่ออินเทอร์เน็ตของคุณเมื่อเข้าถึงพอร์ทัลประกันภัย บัญชีการเงิน หรือบริการของรัฐ ช่วยเพิ่มขั้นการป้องกันเพิ่มเติมจากการดักฟัง โดยเฉพาะบนเครือข่ายที่คุณควบคุมไม่ได้อย่างเต็มที่

ข้อปฏิบัติที่นำไปใช้ได้จริง

• อายัดเครดิตกับสำนักงานเครดิตหลักทั้งสามแห่งหากคุณกังวลเกี่ยวกับการฉ้อโกงข้อมูลส่วนบุคคลที่เกิดจากการเปิดเผยข้อมูลประกันภัย
• ใช้รหัสผ่านที่ไม่ซ้ำกันและแข็งแกร่งสำหรับทุกบัญชีที่เกี่ยวข้องกับประกันภัย และเปิดใช้การยืนยันตัวตนสองขั้นตอนทุกที่ที่มีให้บริการ
• ระวังอีเมลฟิชชิ่งที่อ้างอิงถึงผู้รับประกันภัยหรือเอกสารข้อบังคับของคุณ หากไม่แน่ใจ ให้ไปยังเว็บไซต์ทางการโดยตรงแทนที่จะคลิกลิงก์ในอีเมล
• พิจารณาใช้ VPN เมื่อเข้าถึงบัญชีการเงินหรือประกันภัยบนเครือข่ายสาธารณะหรือที่ใช้ร่วมกัน การเข้ารหัสการเชื่อมต่อของคุณช่วยลดความเสี่ยงจากการดักจับข้อมูลระหว่างเซสชันที่ละเอียดอ่อน
• ตรวจสอบการสื่อสารอย่างเป็นทางการของ NAIC เพื่ออัปเดตว่ามีข้อมูลใดถูกยืนยันว่าถูกขโมยและจะมีการแจ้งเตือนไปยังผู้บริโภคหรือไม่

สถาบันที่เป็นศูนย์กลางของอุตสาหกรรมที่สำคัญจะเป็นเป้าหมายที่มีมูลค่าสูงเสมอ การละเมิดข้อมูลของ NAIC ไม่ใช่เหตุผลที่ต้องตื่นตระหนก แต่มันเป็นสัญญาณชัดเจนว่าสุขอนามัยข้อมูลส่วนบุคคลมีความสำคัญ แม้แต่เมื่อองค์กรขนาดใหญ่ที่มีทรัพยากรพร้อมไม่สามารถป้องกันการโจมตีได้ การควบคุมสิ่งที่คุณสามารถปกป้องได้คือการตอบสนองที่เป็นประโยชน์ที่สุดที่มีอยู่