หน่วยงานรัฐบาลฝรั่งเศสยืนยันการถูกเจาะระบบ ท่ามกลางข้อเสนอขายข้อมูลจากแฮ็กเกอร์

 (bleepingcomputer.com)
1 คะแนน โดย GN⁺ 6 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ตรวจพบเหตุการณ์ด้านความปลอดภัยใน พอร์ทัล ANTS ซึ่งใช้จัดการเอกสารยืนยันตัวตนและเอกสารจดทะเบียนของฝรั่งเศส และอาจมีข้อมูลบัญชีส่วนบุคคลและบัญชีวิชาชีพถูกเปิดเผย
  • ข้อมูลที่ยืนยันว่าอาจได้รับผลกระทบประกอบด้วย รหัสเข้าสู่ระบบ ชื่อ-นามสกุล อีเมล วันเดือนปีเกิด และตัวระบุบัญชีเฉพาะ โดยสำหรับผู้ใช้บางรายอาจรวมถึงที่อยู่ สถานที่เกิด และหมายเลขโทรศัพท์ด้วย
  • หน่วยงานระบุว่าข้อมูลเหล่านี้เพียงอย่างเดียว ไม่สามารถใช้เข้าถึงพอร์ทัลโดยไม่ได้รับอนุญาตได้ แต่สามารถถูกนำไปใช้ในการโจมตีแบบฟิชชิงและวิศวกรรมสังคมได้ จึงควรระวังการติดต่อที่น่าสงสัยผ่าน SMS โทรศัพท์ และอีเมล
  • ในอัปเดตที่เผยแพร่เมื่อวันที่ 24 เมษายน ได้ยืนยันว่าจำนวนบัญชีที่ได้รับผลกระทบมี 11.7 ล้านบัญชี และกำลังดำเนินกระบวนการแจ้งเตือนผู้ที่ได้รับผลกระทบ
  • บนฟอรัมของแฮ็กเกอร์ มีผู้ใช้ชื่อ breach3d อ้างว่าเป็นผู้โจมตีและนำข้อมูลสูงสุด 19 ล้านเรคคอร์ดออกขาย แต่ ณ เวลาที่มีรายงาน ข้อมูลยังไม่ได้รั่วไหลในวงกว้าง

การยืนยันการถูกเจาะระบบและขอบเขตผลกระทบ

  • France Titres หรือ ANTS ระบุว่าตรวจพบ เหตุการณ์ด้านความปลอดภัย บนพอร์ทัล ants.gouv.fr และข้อมูลบัญชีส่วนบุคคลและบัญชีวิชาชีพอาจถูกเปิดเผย
    • หน่วยงานนี้ดูแลเอกสารยืนยันตัวตนและเอกสารจดทะเบียนอย่างเป็นทางการในฝรั่งเศส รวมถึงใบขับขี่ บัตรประจำตัวประชาชน หนังสือเดินทาง และเอกสารด้านการย้ายถิ่นฐาน
    • การโจมตีเกิดขึ้นเมื่อสัปดาห์ที่แล้ว และการสอบสวนยังดำเนินต่อไป โดยยังไม่มีการเปิดเผยจำนวนผู้ที่ได้รับผลกระทบ
  • ANTS ประกาศว่าตรวจพบเหตุการณ์ดังกล่าวในวันพุธที่ 15 เมษายน 2026 และกำลังดำเนินกระบวนการแจ้งเตือนผู้ที่ยืนยันว่าได้รับผลกระทบ
    • สามารถดูรายละเอียดเหตุการณ์และคำแนะนำให้เฝ้าระวังได้ใน ประกาศของ ANTS
  • ในอัปเดตที่เผยแพร่เมื่อวันที่ 24 เมษายน ได้ยืนยันว่า จำนวนบัญชีที่ได้รับผลกระทบ อยู่ที่ 11.7 ล้านบัญชี

ข้อมูลที่อาจถูกเปิดเผย

  • ANTS ระบุว่ามี ข้อมูลบัญชี หลายประเภทที่อาจถูกเปิดเผย
    • รหัสเข้าสู่ระบบ
    • ชื่อ-นามสกุล
    • ที่อยู่อีเมล
    • วันเดือนปีเกิด
    • ตัวระบุบัญชีเฉพาะ
  • สำหรับผู้ใช้บางราย อาจรวมถึง ข้อมูลระบุตัวบุคคล เพิ่มเติมด้วย
    • ที่อยู่ไปรษณีย์
    • สถานที่เกิด
    • หมายเลขโทรศัพท์
  • หน่วยงานระบุว่าข้อมูลข้างต้นเพียงอย่างเดียวไม่สามารถใช้เข้าถึงพอร์ทัลอิเล็กทรอนิกส์ของ ANTS โดยไม่ได้รับอนุญาตได้
    • อย่างไรก็ตาม ข้อมูลเดียวกันนี้สามารถถูกนำไปใช้ในการโจมตีแบบ ฟิชชิง และ วิศวกรรมสังคม ได้ จึงต้องใช้ความระมัดระวัง

คำแนะนำและการรับมือสำหรับผู้ใช้

  • ANTS ไม่ได้ขอให้ผู้ใช้ดำเนินการใดเป็นพิเศษ แต่ย้ำให้ระมัดระวังอย่างมากต่อ ข้อความที่น่าสงสัย หรือการติดต่อที่ผิดปกติซึ่งแอบอ้างเป็นหน่วยงาน
    • ช่องทางที่ต้องระวังรวมถึง SMS โทรศัพท์ และอีเมล
  • ในกระบวนการรับมือ ได้มีการแจ้งต่อ CNIL อัยการสาธารณะกรุงปารีส และหน่วยงานความมั่นคงไซเบอร์แห่งชาติ ANSSI
    • พร้อมเตือนด้วยว่าการขายหรือเผยแพร่ข้อมูลเป็นการกระทำที่ผิดกฎหมาย

ข้ออ้างเรื่องการขายข้อมูลของแฮ็กเกอร์

  • เมื่อวันที่ 16 เมษายน บนฟอรัมของแฮ็กเกอร์ มีผู้ไม่หวังดีชื่อ breach3d อ้างว่าอยู่เบื้องหลังการโจมตี ANTS และระบุว่าครอบครองข้อมูลสูงสุด 19 ล้านเรคคอร์ด
  • ผู้ไม่หวังดีรายนี้อ้างว่าข้อมูลที่ขโมยมาได้รวมถึงชื่อ-นามสกุล ข้อมูลการติดต่อ ข้อมูลวันเกิด ที่อยู่บ้าน เมตะดาต้าของบัญชี เพศ และสถานภาพสมรส
  • ข้อมูลดังกล่าวถูกนำไปลงประกาศขายในราคาที่ไม่เปิดเผย ดังนั้น ณ เวลาที่มีรายงาน ยังไม่ได้รั่วไหลในวงกว้าง
  • BleepingComputer ได้สอบถาม ANTS เกี่ยวกับข้ออ้างดังกล่าว แต่จนถึงเวลาที่บทความเผยแพร่ยังไม่ได้รับคำตอบ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 6 일 전
ความคิดเห็นจาก Hacker News

  • ถ้าข้อมูลที่รั่วมีแค่ ชื่อ·วันเดือนปีเกิด·ที่อยู่·หมายเลขโทรศัพท์ ก็แทบไม่ใช่เรื่องใหม่แล้ว
    ตลอด 2~3 ปีที่ผ่านมา ข้อมูลของฉันเองก็รั่วไปหลายรอบอยู่แล้ว และถ้าบทลงโทษที่บริษัทหรือหน่วยงานได้รับมีแค่อีเมลขอโทษฉบับเดียว เรื่องแบบนี้ก็ไม่มีวันเปลี่ยน

    • ตั้งแต่แรกแล้ว รัฐไม่ควรบังคับ KYC กับทุกเรื่องจุกจิกด้วยซ้ำ
      ไม่เข้าใจว่าทำไมแค่ซื้อกล้วยหรือสั่งเดลิเวอรีถึงต้องยืนยันตัวตน และในเมื่อข้อมูลรั่วเป็นสิ่งที่เลี่ยงไม่ได้ KYC เองก็ดูเหมือนการกระทำผิดที่ใหญ่กว่าเสียอีก
      เดิมทีอ้างว่าเพื่อป้องกันการฉ้อโกงและการฟอกเงิน แต่ในความเป็นจริงก็ไม่ได้ป้องกันได้ดี และถ้าลองค้นหา "largest money laundering settlements" ก็จะเห็นทั้งธนาคารใหญ่กับการโกงคริปโตโผล่มาตามเดิม
    • ค่าปรับ ใช้กับหน่วยงานรัฐไม่ค่อยได้ผล
      สุดท้ายก็จ่ายด้วยภาษีอยู่ดีและไม่ได้สร้างแรงจูงใจ งั้นสู้ตั้งหน่วยงานรัฐเฉพาะทางที่ทำ pentest เชิงรุกกับหน่วยงานอื่น ๆ โรงพยาบาล ธนาคาร โครงสร้างพื้นฐาน และบริษัทยักษ์ใหญ่ พร้อมให้เงินเดือนระดับภาคเอกชนยังจะดีกว่า
      ควรบังคับเส้นตายตามกฎหมายให้แก้ปัญหา ภาคเอกชนโดนปรับ ส่วนภาครัฐก็ควรมีบทลงโทษจริงอย่างลดตำแหน่งผู้รับผิดชอบด้าน infosec
      การให้แฮ็กเกอร์ที่รัฐสนับสนุนลองเจาะระบบเหมือนผู้โจมตีจริง ๆ ยังดีกว่า compliance checklist หรือการตรวจแบบ KPMG เสียอีก
      ฝรั่งเศสโดนเจาะระบบภาครัฐหลายระดับมากเกินไปตลอดปีที่ผ่านมา เลยยิ่งจำเป็น
    • อย่าลืม เครดิตมอนิเตอร์ฟรี 1 ปี ด้วย
      ฉันได้รับข้อเสนอแบบนี้บ่อยเกินไปแล้ว ถ้าสมัครทั้งหมดคงยิ่งกระจายข้อมูลส่วนตัวของฉันเพิ่มเป็นสองเท่าไปไว้กับที่ที่อาจโดนแฮ็กอีก
    • พอเห็นข้อมูลรั่วแบบนี้อีกครั้งก็ทำให้อยากกลับมามอง local-first software ใหม่ และนึกถึง https://lofi.so ด้วย
      ถ้าอยากลดการรั่วครั้งใหญ่ สุดท้ายต้องเริ่มจากรื้อในระดับสถาปัตยกรรมว่าทำไมเราถึงต้องมีคลังข้อมูลแบบรวมศูนย์ขนาดมหึมาแบบนี้
      ต่อให้รัฐบาลจำเป็นต้องมีอำนาจส่วนกลาง ก็ยังคิดวิธีเก็บข้อมูลที่ลดขอบเขตความเสียหายได้
      แน่นอนว่าจะมีเสียงคัดค้านมากมาย แต่ถ้าทางเลือกกระแสหลักตอนนี้มีแค่ความสิ้นหวังกับความไร้อำนาจ ความก้าวหน้าก็ควรออกมาจากนวัตกรรมชายขอบบ้าง
    • นี่ถึงขั้นไม่ได้แม้แต่ เครดิตมอนิเตอร์ฟรี สักเดือนเดียวเลยหรือ

  • วันนี้ฉันได้รับอีเมลว่าฉันได้รับผลกระทบ
    น่าขันตรงที่เมื่อหลายปีก่อน หน่วยงานเงินช่วยเหลือผู้ว่างงาน ก็เคยทำข้อมูลชุดเดียวกันนี้รั่วไปแล้วรอบหนึ่ง สำหรับฉันเลยแทบไม่มีอะไรเปลี่ยน
    หลังได้งานใหม่แล้วฉันยังไม่ลบบัญชีนั้นเองก็ดูโง่เหมือนกัน

    • ถ้ามีสำเนาอีเมลเก็บไว้ก็น่าจะดี
      อย่างน้อยมันจะได้เข้าไปอยู่ในชุดข้อมูลของ Anthropic กับ OpenAI ด้วย :)
    • สงสัยว่าเป็นอีเมลจาก ANTS หรือเปล่า
      ฉันยังไม่ได้อะไรเลย

  • ทั้งที่สถานการณ์เป็นแบบนี้ แต่ก็ยังพยายามผลักดัน ID แบบรวมศูนย์ สำหรับอินเทอร์เน็ตต่อไปอีก เป็นเรื่องเหลือเชื่อ
    มันก็แค่สร้าง honeypot ขนาดยักษ์ให้กลุ่มแฮ็กเกอร์ทั่วโลกและบริษัท AI เท่านั้น และในความเป็นจริงข้อมูลรั่วก็เกิดแทบทุกสองเดือน

  • ถ้ารัฐปฏิบัติกับข้อมูลส่วนตัวของฉันเหมือนเป็น ของไร้ค่า ฉันก็ไม่มีเหตุผลจะปฏิบัติกับงานที่มีลิขสิทธิ์เหมือนเป็นของมีค่า
    ถ้าจะสร้างสังคมข้อมูล ก็ห้ามลืมกลุ่มคนที่สำคัญที่สุด

    • ถ้ายึดหลักการแล้วไปปะทะกับรัฐตรง ๆ ในทางปฏิบัติก็น่าจะเป็น เกมที่แพ้ เกือบแน่นอน
      ต่อให้ต้องการการเปลี่ยนแปลง ก็น่าจะมีวิธีที่ดีกว่านั้น

  • รู้สึกเหมือนเราผ่านจุดที่จะกังวลเรื่อง ransomware หรือการปกป้องข้อมูลไปแล้ว
    ควรตั้งสมมติฐานว่า PII ของทุกคนถูกเอาไปหมดแล้ว และหันไปโฟกัสมากกว่าว่าจะยืนยันตัวตนออนไลน์สำหรับสิ่งอย่างสวัสดิการของรัฐอย่างไร
    นึกถึงตัวอย่างอย่าง digital ID ระดับชาติของเนเธอร์แลนด์หรือญี่ปุ่น และการยืนยันตัวตนด้วยชีวมิติของอินเดีย แล้วก็สงสัยว่าสุดท้ายสหรัฐจะเลือกแบบไหน

    • ข้อมูลชีวมิติ แทบเป็นไอเดียที่แย่ที่สุด เพราะมันแค่เพิ่มรายการที่รั่วได้ขึ้นมาอีกอย่าง
      มันอาจถูกนำไปใช้ในทางที่ผิดกับการติดตามผ่านกล้องได้ด้วย เลยยิ่งอ่อนไหวกว่าเดิมมาก และปัญหานี้จริง ๆ แก้ได้มานานแล้วด้วย federated IdP และ MFA
      ใช้สิ่งที่เรามีอย่างอุปกรณ์ OTP หรือ physical token ร่วมกับสิ่งที่เรารู้อย่าง SSN·เลขภาษี·รหัสผ่านก็พอ แต่รัฐบาลมักต้องการไปในทิศทางตรงข้ามกับความเป็นส่วนตัวของประชาชน จึงดูจะชอบข้อมูลชีวมิติมากกว่า
    • ที่ สวีเดน ข้อมูลแทบทุกอย่างเปิดเผยเป็นค่าเริ่มต้น
      แค่รู้ชื่อก็หา адрес บ้านได้ง่าย และยังเห็นวันเดือนปีเกิด อยู่กับใคร อยู่ห้องไหน มีรถ มีสุนัข หรือมีสัญญามือถือหรือไม่ด้วย
      ถ้าจ่ายเงินเล็กน้อยก็สามารถดูข้อมูลรายได้ได้อีก
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      แต่ถึงอย่างนั้น somehow มันก็ยังพอเดินต่อไปได้
    • ดูจากสภาพตอนนี้ วิธีแก้แบบอเมริกันสุดท้ายคงไปจบที่การบังคับ สแกนม่านตา
      ต่อให้จะซื้อกางเกงออนไลน์จาก Target แค่ตัวเดียวก็ต้องสแกน แล้วข้อมูลนั้นก็คงไปโผล่บนดาร์กเว็บพร้อมกับ voice print และภาพสแกนใบขับขี่ของฉัน
    • เนเธอร์แลนด์ มี ID เดียวที่ใช้กับบริการภาครัฐอย่างเป็นทางการทั้งหมด
      โดยพื้นฐานแล้วมันคือโครงสร้าง username/password + MFA ที่รัฐออกให้ และยังสามารถยืนยันตัวตนด้วยการสแกน ชิป NFC ในพาสปอร์ตผ่านสมาร์ตโฟนได้
      แต่ก็ยังไม่แน่ใจว่ามันช่วยแก้ปัญหาข้อมูลรั่วอย่างไร
    • ฝรั่งเศสมีช่องทาง ยืนยันตัวตน ออนไลน์อยู่หลายแบบแล้ว
      France Connect SSO เป็น SSO แบบ federated ชนิดหนึ่ง และยังมีวิธีส่งรหัสยืนยันทางไปรษณีย์ไปที่อยู่ที่ตรวจแล้ว ให้ไปยืนยันตัวจริงที่ไปรษณีย์ หรือถ้ามีบัญชีที่ผ่านการตรวจในโลกจริงแล้วอย่างบัญชีภาษีหรือประกันสังคม ก็ใช้ล็อกอินบริการรัฐอื่นได้เช่นกัน
      นอกจากนี้ยังมีการเสนอแอปที่อ่าน ชิป NFC ของบัตรประจำตัวจริง แล้วเทียบข้อมูลชีวมิติกับเซลฟีเพื่อยืนยันตัวตน

  • มันน่าขันเป็นพิเศษตรงที่เวลาจะออกเอกสารใหม่หรือแก้ไขเอกสาร อย่างเช่นเพิ่มรายการใหม่ลงในใบขับขี่ กลับเรียกขอ สำเนาเอกสารยืนยันตัวตน ทุกแบบที่นึกได้ แต่สุดท้ายข้อมูลของฉันทั้งหมดก็รั่วอยู่ดี
    ทั้งที่จริง ๆ พวกเขาก็มีข้อมูลนั้นทั้งหมดอยู่แล้วแต่แรก

    • ถ้าจะยืนยันว่าเป็นตัวจริง สุดท้ายก็ต้อง แสดงบัตรประจำตัว และเช็กในระบบอยู่ดี
      เพราะงั้นขั้นตอนนั้นเองไม่ได้แปลกอะไร ฉันเลยไม่ค่อยเข้าใจประเด็นของคอมเมนต์ต้นทาง

  • ชาวฝรั่งเศส 19 ล้านคน เหรอ ฉันก็รวมอยู่ในนั้น

  • ระบบ ราชการแบบเก่า ก็มีข้อดีของมันอยู่
    การรั่วครั้งใหญ่แบบนี้เกิดได้ยากกว่ามาก และต่อให้เกิดขึ้น มูลค่าของข้อมูลก็ต่ำกว่ามาก
    ระบบนั้นมีคนทำงานเพื่อรักษากระบวนการและป้องกันการทุจริต ซึ่งช่วยค้ำจุนการมีส่วนร่วมในระบอบประชาธิปไตยด้วย
    เรารู้อยู่แล้วว่าระบบแบบนี้สุดท้ายก็จะถูกเจาะ ดังนั้นตอนนี้ควรออกแบบโดยตั้งต้นว่า "ถ้ามันรั่วแล้วจะปกป้องผู้คนและสถาบันอย่างไร"
    ไม่ว่าจะเดินเส้นทางนี้ต่อเพราะความสะดวก การเฝ้าระวัง หรืออำนาจนิยม เราก็ควรเตรียม สถานการณ์หลังการเจาะระบบ ให้จริงจัง

  • น่าสนใจแปลก ๆ เหมือนกันที่เรื่องนี้เกิดขึ้นทันทีหลังจากที่มีการคุยโม้ว่าจะย้ายระบบออกจาก Microsoft และบริษัทอเมริกันต่าง ๆ ได้อย่างง่ายดาย
    หรือบางทีปีหน้าอาจจะเป็นปีของ Linux desktop จริง ๆ ก็ได้

  • สงสัยว่าจะมีวิธีผสม noise ปริมาณมากเข้าไปจนข้อมูลแบบนี้ไร้ประโยชน์หรือเปล่า
    แล้วก็สงสัยว่า LLM จะช่วยเรื่องนั้นได้ไหม

    • ถ้าถามจริงจัง คำตอบคือ ไม่ได้
      เพราะฐานข้อมูลต้นฉบับที่เชื่อถือได้ถูกขโมยไปแล้ว ผู้โจมตีจึงรู้อยู่แล้วว่าชุดข้อมูลจริงคืออะไร และก็แค่เมิน noise ที่ปนมาจากภายนอกได้