ShinyHunters ขโมยข้อมูล 297 GB จากระบบทรัพยากรบุคคลของสภายุโรป

ShinyHunters ขโมยข้อมูล 297 GB จากระบบทรัพยากรบุคคลของสภายุโรป

สภายุโรป ซึ่งเป็นสถาบันหลักของทวีปด้านสิทธิมนุษยชน ประชาธิปไตย และหลักนิติธรรม ได้ตกเป็นเหยื่อรายล่าสุดของกลุ่มแรนซัมแวร์ ShinyHunters เหตุการณ์ละเมิดข้อมูลครั้งนี้ทำให้ข้อมูลทรัพยากรบุคคลและเงินเดือนที่อ่อนไหวขนาด 297 GB รั่วไหล รวมถึงสลิปเงินเดือนกว่า 409,000 ฉบับ และประวัติส่วนตัว (CV) ของพนักงานกว่า 14,000 ชุด ส่งผลกระทบต่อบุคลากรทั้งสำนักเลขาธิการและผู้อำนวยการฝ่ายทรัพยากรบุคคล การละเมิดข้อมูลของสภายุโรปโดย ShinyHunters ไม่ได้เป็นเพียงเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์เท่านั้น แต่เป็นเครื่องเตือนใจที่ชัดเจนว่า แม้แต่องค์กรที่มีหน้าที่คุ้มครองสิทธิของประชาชน ก็อาจล้มเหลวในการปกป้องข้อมูลส่วนบุคคลของพนักงานตนเองได้

สิ่งที่ถูกขโมย: เจาะลึกการละเมิดข้อมูลทรัพยากรบุคคลและเงินเดือนขนาด 297 GB

ตามคำกล่าวอ้างของ ShinyHunters ข้อมูลที่ถูกขโมยไปในครั้งนี้มีจำนวนมหาศาล กว่า 429,000 ไฟล์ถูกบุกรุก โดยมีข้อมูลครอบคลุมทั้งสลิปเงินเดือน CV สัญญาจ้างงาน และบันทึกภายในของฝ่ายทรัพยากรบุคคล เฉพาะสลิปเงินเดือนเพียงอย่างเดียวมีจำนวนมากกว่า 409,000 เอกสาร ซึ่งหมายความว่าการละเมิดครั้งนี้อาจครอบคลุมพนักงานปัจจุบันและอดีตของสภายุโรปเป็นจำนวนมาก

ความอ่อนไหวของข้อมูลนี้ไม่สามารถกล่าวเกินจริงได้ สลิปเงินเดือนมักประกอบด้วยชื่อ-นามสกุลตามกฎหมาย ที่อยู่บ้าน หมายเลขประจำตัวประชาชน รายละเอียดบัญชีธนาคาร ข้อมูลเงินเดือน และบันทึกภาษี CV เพิ่มมิติการเปิดเผยอีกชั้นหนึ่ง เช่น ประวัติการศึกษา บุคคลอ้างอิง และรายละเอียดการจ้างงานก่อนหน้า เมื่อรวมกันแล้ว ข้อมูลเหล่านี้มอบทุกสิ่งที่อาชญากรไซเบอร์ต้องการเพื่อกำหนดเป้าหมายแคมเปญฟิชชิ่ง ดำเนินการขโมยอัตลักษณ์ หรือขายโปรไฟล์บุคคลในตลาดมืด

การโจมตีที่เน้นทรัพยากรบุคคลแบบนี้พบได้บ่อยขึ้นเรื่อย ๆ การละเมิดข้อมูลระบบทรัพยากรบุคคลของสถิติแอฟริกาใต้ มีรูปแบบที่คล้ายคลึงกันอย่างน่าทึ่ง โดยผู้โจมตีมุ่งเป้าไปที่โครงสร้างพื้นฐานด้านทรัพยากรบุคคลภายใน เพื่อดึงข้อมูลพนักงาน แทนที่จะโจมตีระบบที่ให้บริการลูกค้าภายนอก

เหตุใดสภายุโรปจึงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับกลุ่มแรนซัมแวร์

เมื่อมองเผิน ๆ องค์กรระหว่างรัฐบาลที่มุ่งเน้นด้านสิทธิมนุษยชนอาจดูเหมือนเป้าหมายของแรนซัมแวร์ที่ไม่ปกติ แต่ในทางปฏิบัติแล้ว มันเป็นเป้าหมายที่น่าดึงดูดอย่างยิ่ง สภายุโรปมีพนักงานหลายพันคนทั้งในสำนักงานใหญ่ที่สตราสบูร์กและสำนักงานภาคสนามหลายแห่ง หมายความว่าฐานข้อมูลทรัพยากรบุคคลขององค์กรอัดแน่นไปด้วยข้อมูลส่วนบุคคล ศักดิ์ศรีของสถาบันยังเพิ่มอำนาจต่อรองให้กับกลุ่มแรนซัมแวร์: ความเสียหายด้านชื่อเสียงจากการละเมิดข้อมูลนั้นสูงกว่าสำหรับองค์กรที่มีพันธกิจรวมถึงสิทธิพลเมืองและการคุ้มครองข้อมูล

ShinyHunters มีรูปแบบที่บันทึกไว้อย่างดีในการกำหนดเป้าหมายองค์กรขนาดใหญ่ที่มีชื่อเสียง เพื่อเพิ่มแรงกดดันให้จ่ายค่าไถ่ ก่อนหน้านี้ในปีนี้ กลุ่มดังกล่าวออกคำขาดต่อสาธารณะไปยังผู้ให้บริการโทรคมนาคมสัญชาติดัตช์ Odido ตามที่ให้รายละเอียดไว้ในการรายงานข่าวเกี่ยวกับ การละเมิดข้อมูลของ Odido ที่กระทบต่อลูกค้า 8 ล้านราย ShinyHunters ข่มขู่ว่าจะเผยแพร่ข้อมูลลูกค้าที่ขโมยมา หากไม่มีการจ่ายค่าไถ่ ซึ่งแสดงให้เห็นถึงความเต็มใจที่จะใช้การเปิดเผยต่อสาธารณะเป็นเครื่องมือกดดัน กลยุทธ์เดียวกันนี้ดูเหมือนจะถูกนำมาใช้ในกรณีนี้

การละเมิดข้อมูลของสภายุโรปยังเกิดขึ้นต่อจากการโจมตีที่ ShinyHunters อ้างว่าทำกับโครงสร้างพื้นฐานคลาวด์ของคณะกรรมาธิการยุโรปก่อนหน้านี้ ซึ่งมีรายงานว่าเกี่ยวข้องกับข้อมูลกว่า 350 GB จากแพลตฟอร์ม Europa.eu เมื่อรวมเหตุการณ์เหล่านี้เข้าด้วยกันแล้ว ชี้ให้เห็นว่ากลุ่มดังกล่าวทำให้สถาบันในยุโรปกลายเป็นเป้าหมายหลักในการปฏิบัติการของตนในช่วงปี 2025 และ 2026

ความย้อนแย้งขององค์กรเฝ้าดูแลความเป็นส่วนตัวที่ล้มเหลวในการรักษาความปลอดภัยข้อมูลส่วนบุคคล

สภายุโรปคือหน่วยงานที่รับผิดชอบอนุสัญญายุโรปว่าด้วยสิทธิมนุษยชน และดูแลกรอบการทำงานที่รัฐสมาชิกใช้เพื่อควบคุมการคุ้มครองข้อมูลและความเป็นส่วนตัวทางดิจิทัล พูดอีกอย่างคือ เป็นสถาบันที่กำหนดมาตรฐานว่าควรจัดการและปกป้องข้อมูลส่วนบุคคลอย่างไร ความย้อนแย้งที่สถาบันแห่งนี้ประสบกับการละเมิดข้อมูลในระดับนี้เป็นสิ่งที่ยากจะมองข้าม

นี่ไม่ใช่ความตึงเครียดที่เกิดขึ้นเพียงลำพัง สถาบันขนาดใหญ่มักมีโครงสร้างพื้นฐานด้านไอทีที่เก่ากว่าและซับซ้อน มีความสัมพันธ์กับผู้จัดจำหน่ายอย่างกว้างขวาง และข้อมูลพนักงานกระจัดกระจายอยู่ทั่วระบบที่เชื่อมต่อถึงกันหลายสิบระบบ ความเป็นจริงเชิงโครงสร้างเหล่านี้สร้างพื้นผิวการโจมตีที่ยากจะจัดการอย่างแท้จริง โดยไม่คำนึงว่าคำมั่นสัญญาเรื่องความเป็นส่วนตัวขององค์กรจะแข็งแกร่งเพียงใดก็ตาม การละเมิดนี้แสดงให้เห็นว่าเจตนาทางนโยบายที่ดีไม่ได้แปลมาสู่ความมั่นคงปลอดภัยในการปฏิบัติการที่ดีโดยอัตโนมัติ

สำหรับพนักงานที่ได้รับผลกระทบ ผลที่ตามมานั้นเกิดขึ้นทันทีและเป็นเรื่องส่วนบุคคล ใครก็ตามที่สลิปเงินเดือนหรือ CV อยู่ในไฟล์กว่า 429,000 ไฟล์ ตอนนี้ต้องเผชิญกับการเปิดเผยรายละเอียดทางการเงินและเอกสารระบุตัวตนที่อาจเกิดขึ้นได้ การขายข้อมูลทรัพยากรบุคคลของสถาบันผ่านดาร์กเว็บ อย่างที่เห็นใน ข้อมูลลูกค้าของ Iliad Italia ที่ถูกนำมาลงขาย มักจะตามมาอย่างรวดเร็วหลังจากการละเมิด ทำให้อาชญากรมีตลาดที่พร้อมสำหรับข้อมูลที่ถูกขโมย

วิธีที่บุคคลสามารถป้องกันตนเองเมื่อสถาบันทำได้ไม่เพียงพอ

เมื่อนายจ้างหรือสถาบันถูกละเมิดข้อมูล บุคคลที่ได้รับผลกระทบมีอำนาจควบคุมสิ่งที่ถูกขโมยไปอย่างจำกัด แต่ก็มีขั้นตอนที่เป็นรูปธรรมที่คุณสามารถทำได้เพื่อจำกัดการเปิดเผยเพิ่มเติม

ตรวจสอบบัญชีการเงินของคุณอย่างใกล้ชิด รายละเอียดธนาคารที่เปิดเผยในสลิปเงินเดือนสามารถใช้ในการฉ้อโกงโดยตรงได้ ตั้งค่าการแจ้งเตือนสำหรับธุรกรรมที่ผิดปกติ และพิจารณาว่าการอายัดการตรวจสอบเครดิตชั่วคราวนั้นเหมาะสมในเขตอำนาจศาลของคุณหรือไม่

ระวังการพยายามฟิชชิ่งแบบเจาะจง ผู้โจมตีที่มี CV และสลิปเงินเดือนของคุณรู้จักนายจ้าง ช่วงเงินเดือน และตำแหน่งงานของคุณ พวกเขาสามารถสร้างอีเมลปลอมแปลงที่น่าเชื่อถือสูงโดยใช้บริบทนั้น ปฏิบัติต่อข้อความไม่คาดฝันที่ขอให้ดำเนินการหรือให้ข้อมูลประจำตัวด้วยความสงสัยเป็นพิเศษ แม้ว่าจะดูเหมือนมาจากเพื่อนร่วมงานหรือฝ่ายทรัพยากรบุคคลก็ตาม

ใช้ VPN บนเครือข่ายสาธารณะและที่ใช้ร่วมกัน แม้ว่า VPN จะไม่ป้องกันการละเมิดข้อมูลจากฝั่งเซิร์ฟเวอร์ แต่มันจะปกป้องการรับส่งข้อมูลของคุณจากการถูกดักจับเมื่อคุณเข้าถึงพอร์ทัลของนายจ้างหรือบัญชีที่อ่อนไหวจากระยะไกล ซึ่งลดช่องทางหนึ่งของการขโมยข้อมูลประจำตัว

ตรวจสอบว่าข้อมูลของคุณปรากฏในฐานข้อมูลการละเมิดหรือไม่ บริการที่เฝ้าติดตามชุดข้อมูลการละเมิดที่รู้จักสามารถแจ้งเตือนคุณได้หากอีเมลหรือตัวระบุอื่น ๆ ของคุณปรากฏขึ้นในชุดข้อมูลที่เผยแพร่ใหม่

ขอความชัดเจนจากนายจ้างของคุณ หากคุณเป็นพนักงานหรือผู้รับจ้างของสภายุโรป จงผลักดันให้มีการสื่อสารที่เฉพาะเจาะจงว่าบันทึกใดบ้างที่ได้รับผลกระทบ และมีการเสนอมาตรการเยียวยาใดบ้าง

การละเมิดข้อมูลในระดับสถาบันเช่นนี้เป็นเครื่องเตือนใจว่าสุขลักษณะข้อมูลส่วนบุคคลมีความสำคัญมากที่สุดในช่วงเวลาที่องค์กรซึ่งเก็บรักษาข้อมูลของคุณล้มเหลวในการปกป้องมัน การทบทวนความเสี่ยงของคุณ การรักษาความปลอดภัยให้กับบัญชีของคุณ และการตื่นตัวต่อวิศวกรรมสังคมไม่ใช่สิ่งเสริมที่เลือกได้ แต่คือการตอบสนองพื้นฐานเมื่อข้อมูลที่คุณไม่ได้ส่งมอบให้กับอาชญากรกลับตกไปอยู่ในมือของพวกเขา

การโจมตีสถาบันในยุโรปที่ยกระดับขึ้นของ ShinyHunters ชี้ให้เห็นว่ากลุ่มนี้ไม่ได้ชะลอตัวลง การรับทราบข้อมูลและดำเนินขั้นตอนเชิงรุกกับความมั่นคงทางดิจิทัลของคุณเองคือวิธีตอบสนองที่มีประสิทธิภาพที่สุดสำหรับบุคคลที่ติดอยู่ในสมรภูมิการโจมตีนี้