ข้อมูลใดบ้างที่ถูกเปิดเผยในการละเมิดของ Odido และใครได้รับผลกระทบ
การละเมิดข้อมูลของ Odido เป็นหนึ่งในเรื่องราวที่น่าอึดอัดใจที่สุดที่เกิดขึ้นในภาคโทรคมนาคมของยุโรปในปีนี้ Odido ซึ่งเป็นผู้ให้บริการมือถือรายใหญ่อันดับสามของเนเธอร์แลนด์ มีข้อมูลลูกค้า 6.5 ล้านรายถูกขโมยในเดือนกุมภาพันธ์ ข้อมูลติดต่อ วันเกิด หมายเลขประจำตัวลูกค้า และข้อมูลส่วนบุคคลอื่น ๆ ถูกดูดออกไปในการโจมตีครั้งนี้ สิ่งที่ทำให้เหตุการณ์นี้น่าตกใจเป็นพิเศษไม่ใช่แค่ขนาดของความเสียหาย แต่เป็นเพราะทีมความปลอดภัยของ Odido เองพลาดเหตุการณ์นี้ไปอย่างสิ้นเชิง
บริษัทยืนยันว่าทราบถึงการละเมิดดังกล่าวก็ต่อเมื่อกลุ่มแฮกเกอร์ ShinyHunters ติดต่อมาโดยตรงเท่านั้น ShinyHunters เป็นกลุ่มอาชญากรไซเบอร์ที่มีชื่อเสียงในด้านการขโมยข้อมูลจำนวนมาก และในครั้งนี้พวกเขาเป็นผู้แจ้งเตือนเหยื่อเอง CEO ของ Odido ยอมรับต่อสาธารณะว่าเกิดข้อผิดพลาดขึ้น รายงานระบุว่ารหัสผ่าน ข้อมูลการเรียกเก็บเงิน บันทึกการโทร และข้อมูลตำแหน่งไม่ได้รวมอยู่ในชุดข้อมูลที่ถูกขโมย แต่การให้ความมั่นใจเพียงเล็กน้อยนั้นไม่ได้เปลี่ยนแปลงปัญหาหลัก: ผู้คนหลายล้านคนมีข้อมูลโทรคมนาคมของตนถูกเปิดเผยโดยที่บริษัทไม่รู้ตัว
ระบบตรวจจับภายในของ Odido ล้มเหลวอย่างไรเป็นเวลาหลายเดือน
นี่คือส่วนของเรื่องราวการละเมิดข้อมูลของ Odido ที่การรายงานส่วนใหญ่มักข้ามผ่านไป การโจมตีเกิดขึ้นในเดือนกุมภาพันธ์ บริษัทดำเนินการสอบสวนภายใน การสอบสวนนั้นไม่พบสิ่งใดเลย จนกระทั่งผู้โจมตีเองต้องเป็นคนมาปิดช่องว่างนั้น
ความล้มเหลวในการตรวจจับแบบนี้ไม่ใช่เรื่องที่เกิดขึ้นเฉพาะกับ Odido บริษัทโทรคมนาคมบริหารจัดการระบบ CRM ขนาดใหญ่ที่มีบันทึกข้อมูลหลายล้านรายการ และเทคนิคการบุกรุกที่ซับซ้อนสามารถทิ้งร่องรอยไว้น้อยมากหากผู้โจมตีระมัดระวัง แต่ความล้มเหลวนี้ชี้ให้เห็นถึงช่องว่างเชิงระบบ: การตรวจสอบภายในดูเหมือนจะไม่เพียงพอในการตรวจจับการรั่วไหลของข้อมูลแบบเรียลไทม์ เมื่อถึงเวลาที่ Odido ยืนยันสิ่งที่เกิดขึ้น ข้อมูลก็อยู่ในมือของกลุ่มที่มีประวัติการขายบันทึกที่ถูกขโมยในตลาดมืดบนดาร์กเว็บไปเรียบร้อยแล้ว
สำหรับบริบทเกี่ยวกับรูปแบบที่กว้างขึ้นของ ShinyHunters กลุ่มนี้เชื่อมโยงกับการละเมิดขนาดใหญ่หลายครั้งที่บริษัทต่าง ๆ ตอบสนองล่าช้าหรือไม่รู้ตัวเช่นกัน การโจมตี Canvas ของพวกเขาในช่วงต้นปีนี้ ใช้แนวทางที่คล้ายกัน: ขโมยข้อมูล เปิดเผยการละเมิดต่อสาธารณะหรือผ่านทางเหยื่อ และกดดัน เหตุการณ์ Odido เข้ากับแม่แบบนั้นแทบทุกประการ
เหตุใดการละเมิดข้อมูลโทรคมนาคมจึงเป็นอันตรายต่อความเป็นส่วนตัวเป็นพิเศษ
การละเมิดข้อมูลไม่ได้มีความเสี่ยงในระยะยาวเท่ากันทุกกรณี ข้อมูลโทรคมนาคมอยู่ที่จุดตัดที่อันตรายเป็นพิเศษ เพราะมันเชื่อมโยงตัวตนที่แท้จริงของคุณกับหมายเลขโทรศัพท์ของคุณ และการผสมผสานนั้นเปิดทางให้เกิดการโจมตีในรูปแบบเฉพาะ
การฉ้อโกงแบบ SIM-swap คือความกังวลที่เร่งด่วนที่สุด เมื่อผู้โจมตีมีชื่อ หมายเลขโทรศัพท์ และรายละเอียดบัญชีของคุณ พวกเขาสามารถติดต่อผู้ให้บริการของคุณโดยแอบอ้างเป็นคุณและขอโอน SIM ไปยังอุปกรณ์ที่พวกเขาควบคุม เมื่อพวกเขาได้หมายเลขของคุณ พวกเขาสามารถดักจับรหัสการยืนยันตัวตนแบบสองขั้นตอนทาง SMS และเข้าถึงบัญชีธนาคาร อีเมล และกระเป๋าสตางค์คริปโตได้ นี่ไม่ใช่ความเสี่ยงในเชิงทฤษฎี แต่เป็นหนึ่งในวิธีหลักในการแสวงหาประโยชน์จากบันทึกโทรคมนาคมที่ถูกขโมย
นอกจาก SIM swap แล้ว ข้อมูล metadata ของโทรคมนาคมยังช่วยให้ฟิชชิงมีความแม่นยำสูงมาก ผู้โจมตีที่รู้ชื่อ หมายเลขมือถือ และรู้ว่าคุณเป็นลูกค้าของผู้ให้บริการรายใดรายหนึ่ง สามารถสร้างข้อความที่น่าเชื่อถือโดยแอบอ้างเป็นทีมสนับสนุนของผู้ให้บริการรายนั้นได้ นี่ไม่ใช่สแปมทั่วไป แต่เป็นการโจมตีด้วยวิศวกรรมสังคมที่สร้างจากข้อมูลจริง ซึ่งทำให้ยากต่อการตรวจจับมากขึ้นอย่างมีนัยสำคัญ
นี่คือส่วนหนึ่งของรูปแบบที่กว้างขึ้นซึ่งมองเห็นได้จากการละเมิดทั่วยุโรป การรั่วไหลของผู้ให้บริการอีเมลฝรั่งเศสที่เปิดเผยบันทึก 40 ล้านรายการ และ การเปิดเผยบันทึกบัตรประชาชนฝรั่งเศส 18 ล้านรายการโดยแฮกเกอร์วัยรุ่น ต่างแสดงให้เห็นว่าการรวบรวมข้อมูลส่วนบุคคลทำให้ความเสี่ยงต่อบุคคลเพิ่มขึ้นอย่างไร แม้ว่าข้อมูลแต่ละชิ้นจะดูไม่เป็นอันตรายร้ายแรงเมื่อแยกกัน ข้อมูลโทรคมนาคมมีค่าเป็นพิเศษเพราะมันเชื่อมโยงข้อมูลที่รวบรวมทั้งหมดนั้นกับช่องทางการสื่อสารแบบเรียลไทม์ที่เข้าถึงได้จริง
การป้องกันแบบหลายชั้นที่ผู้ใช้ VPN ควรเพิ่มหลังข้อมูลโทรคมนาคมรั่วไหล
หากคุณเป็นลูกค้าของ Odido หรือเป็นเพียงผู้ที่กำลังคิดว่าการละเมิดนี้มีความหมายอย่างไรสำหรับคนอย่างคุณ มีขั้นตอนเป็นรูปธรรมที่คุ้มค่าที่จะดำเนินการตอนนี้
ประการแรก ติดต่อผู้ให้บริการมือถือของคุณและขอเพิ่ม SIM-lock หรือ port freeze ในบัญชีของคุณ สิ่งนี้ทำให้ผู้โจมตีโอนหมายเลขของคุณได้ยากขึ้นอย่างมีนัยสำคัญโดยไม่ต้องยืนยันตัวตนด้วยตนเอง ผู้ให้บริการหลายรายเสนอบริการนี้แต่ไม่ได้โฆษณาอย่างเด่นชัด
ประการที่สอง เลิกใช้การยืนยันตัวตนแบบสองขั้นตอนทาง SMS ให้มากที่สุดเท่าที่จะเป็นไปได้ ใช้แอปพลิเคชัน authenticator แทน หากหมายเลขโทรศัพท์ของคุณถูกบุกรุกในการ SIM swap รหัส SMS จะกลายเป็นช่องโหว่แทนที่จะเป็นการป้องกัน
ประการที่สาม ตรวจสอบว่าหมายเลขโทรศัพท์ของคุณถูกใช้เป็นวิธีการกู้คืนที่ไหนบ้าง บัญชีอีเมล แอปธนาคาร และแพลตฟอร์มโซเชียลมีเดียที่ใช้หมายเลขมือถือของคุณสำหรับการกู้คืนบัญชีล้วนเป็นเป้าหมายที่อาจเกิดขึ้นได้หากข้อมูลโทรคมนาคมของคุณถูกเปิดเผย
ประการที่สี่ พิจารณาใช้ VPN ที่มีการป้องกัน DNS leak สำหรับอุปกรณ์มือถือของคุณ VPN ไม่ได้ป้องกัน SIM swap แต่เพิ่มชั้นการป้องกันสำหรับการท่องเว็บและการรับส่งข้อมูลของแอปบนอุปกรณ์ของคุณ โดยเฉพาะบนเครือข่ายสาธารณะที่ผู้โจมตีอาจพยายามดักจับการรับส่งข้อมูลหลังจากที่ SIM ถูกบุกรุก
สุดท้าย ใช้บริการตรวจสอบการละเมิดเพื่อติดตามว่าที่อยู่อีเมลหรือหมายเลขโทรศัพท์ของคุณปรากฏในชุดข้อมูลที่รั่วไหลใหม่หรือไม่ Have I Been Pwned ได้จัดทำดัชนีการละเมิดของ Odido ไว้แล้ว
ความหมายของเรื่องนี้สำหรับคุณ
การละเมิดข้อมูลของ Odido เป็นเครื่องเตือนใจว่าบริษัทที่ถือข้อมูลของคุณอาจไม่รู้ว่าข้อมูลถูกขโมยไปจนกว่าคนอื่นจะบอกพวกเขา ความล้มเหลวในการตรวจจับเกิดขึ้นได้ และเมื่อเกิดขึ้น ช่วงเวลาระหว่างการขโมยข้อมูลกับการรับรู้ของคุณอาจยาวนานหลายเดือน ในช่วงเวลานั้น ข้อมูลของคุณสามารถถูกซื้อ ขาย และนำไปใช้ได้
ใช้สิ่งนี้เป็นสัญญาณให้ตรวจสอบความปลอดภัยของบัญชีโทรคมนาคมของคุณและลดการพึ่งพาการยืนยันตัวตนที่ใช้หมายเลขโทรศัพท์สำหรับบัญชีที่สำคัญที่สุดของคุณ เหตุการณ์ Odido ยังคุ้มค่าที่จะมองควบคู่กับกิจกรรมที่กว้างขึ้นของ ShinyHunters การทำความเข้าใจรูปแบบการโจมตีแพลตฟอร์มขนาดใหญ่ที่เผชิญกับผู้บริโภคของกลุ่มนี้ช่วยอธิบายว่าเหตุใดไม่มีบริษัทหรือภาคส่วนใดที่ถือได้ว่าปลอดภัย เริ่มต้นด้วยหมายเลขโทรศัพท์ของคุณ นั่นคือกุญแจที่ไขประตูได้มากกว่าที่คนส่วนใหญ่ตระหนัก
