การโจมตีห่วงโซ่อุปทานข้อมูลของบริษัทจัดอันดับเครดิตเพื่อเปิดเผยข้อมูลส่วนบุคคลของชาวอเมริกันในราคา 15 ดอลลาร์
(404media.co)- เพียงแค่มีชื่อและรัฐที่อยู่อาศัย ก็สามารถรับไฟล์ที่มีที่อยู่เก่า รายชื่อญาติ หมายเลขโทรศัพท์ อีเมล และข้อมูลใบขับขี่ได้ โดยมีค่าค้นหา Bitcoin มูลค่า 15 ดอลลาร์
- เครื่องมือนี้ดูเหมือนจะเข้าถึงข้อมูล credit header ที่ Experian, Equifax และ TransUnion ถือครองอยู่ และในบางกรณียังให้หมายเลขประกันสังคม (SSN) ได้ในราคา 20 ดอลลาร์
- credit header คือข้อมูลส่วนบุคคลที่สร้างจากข้อมูลเกี่ยวกับบัตรเครดิตของผู้ใหญ่ชาวอเมริกันจำนวนมาก และถูกส่งต่อผ่านสัญญาและการซื้อขายไปยังบริษัททวงหนี้ บริษัทประกัน และหน่วยงานบังคับใช้กฎหมาย
- อาชญากรเข้าถึงห่วงโซ่อุปทานข้อมูลนี้ได้ด้วยวิธีอย่างเช่น การปลอมตัวตนของอดีตเจ้าหน้าที่บังคับใช้กฎหมาย และขายสิทธิ์เข้าถึงแบบไม่จำกัดให้กับอาชญากรรายอื่นทางออนไลน์
- เครื่องมือนี้ยังถูกใช้ค้นหาข้อมูลของบุคคลมีชื่อเสียงอย่าง Elon Musk, Joe Rogan และ Joe Biden และแม้ว่าข้อมูลบางส่วนอาจไม่ใช่ข้อมูลอ่อนไหว แต่อย่างน้อยบางส่วนได้รับการยืนยันว่าถูกต้อง
การค้นหาข้อมูลส่วนบุคคลที่ขายผ่านบอต Telegram
- บน Telegram เพียงป้อน ชื่อและรัฐที่อยู่อาศัย ของเป้าหมาย ก็จะมีการสร้างไฟล์ข้อมูลส่วนบุคคลขึ้นมาในเวลาไม่นาน
- ในไฟล์มีที่อยู่ที่เป้าหมายเคยอาศัยอยู่ในสหรัฐฯ รวมถึงที่อยู่หอพักมหาวิทยาลัยเมื่อกว่า 10 ปีก่อนด้วย
- ข้อมูลที่ให้มาพร้อมกันประกอบด้วยรายการที่สามารถใช้ยืนยันตัวตนและติดตามตัวได้
- ชื่อญาติและปีเกิด
- หมายเลขโทรศัพท์มือถือและผู้ให้บริการเครือข่าย
- ที่อยู่อีเมลส่วนตัว
- ข้อมูลใบขับขี่และหมายเลขระบุตัวตนเฉพาะ
- ค่าค้นหาทั้งหมดอยู่ที่ Bitcoin มูลค่า 15 ดอลลาร์ และบางครั้งบอตยังให้หมายเลขประกันสังคมในราคา 20 ดอลลาร์
การโจมตีห่วงโซ่อุปทานข้อมูลของบริษัทจัดอันดับเครดิต
- เครื่องมือนี้ดูเหมือนจะเข้าถึงข้อมูล credit header ที่ Experian, Equifax และ TransUnion ถือครองอยู่ สำหรับผู้ใหญ่จำนวนมากในสหรัฐฯ
- ข้อมูล credit header เป็นข้อมูลส่วนบุคคลที่สร้างจากข้อมูลเกี่ยวกับบัตรเครดิต และถูกส่งต่อไปยังบริษัทอื่นผ่านสัญญาและการซื้อขายหลายทอด
- ข้อมูลที่ถูกส่งต่อมีเส้นทางไปยังบริษัททวงหนี้ บริษัทประกัน และหน่วยงานบังคับใช้กฎหมาย
- อาชญากรสามารถเข้าถึงห่วงโซ่อุปทานนี้ได้สำเร็จ และในบางกรณีมีการใช้ การปลอมตัวตนของอดีตเจ้าหน้าที่บังคับใช้กฎหมาย
- เครื่องมือที่ถูกทดสอบยังถูกใช้เก็บข้อมูลของบุคคลมีชื่อเสียงอย่าง Elon Musk, Joe Rogan และ Joe Biden และดูเหมือนว่าถูกใช้งานโดยไม่มีข้อจำกัดด้านการเข้าถึง
- ผลการตรวจสอบพบว่าข้อมูลทั้งหมดไม่ได้เป็นข้อมูลอ่อนไหวเสมอไป แต่ข้อมูลอย่างน้อยบางส่วนถูกต้อง
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
การตั้งค่าระงับเครดิตไว้กับทั้งสามแห่งคือ Experian, TransUnion, Equifax คุ้มค่ามาก
ตอนตั้งค่าครั้งแรกน่ารำคาญเพราะต้องให้ข้อมูลส่วนตัวเยอะมาก แต่พอทำเสร็จแล้ว การระงับหรือยกเลิกการระงับก็ค่อนข้างง่าย
เก็บ URL, ชื่อผู้ใช้ และรหัสผ่านไว้ในโน้ตที่ปลอดภัย แล้วเมื่อจำเป็นต้องสมัครเครดิตก็ค่อยยกเลิกการระงับแค่สักหนึ่งวันหรือหนึ่งสัปดาห์ก็พอ
เมื่อก่อนมีปัญหา การโจรกรรมตัวตน เปิดเครดิตในชื่อผมเยอะมาก แต่การระงับเครดิตแก้ปัญหานี้ได้
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
ผมเกลียดบริษัทพวกนี้จริง ๆ แต่การยอมผ่านขั้นตอนเหล่านี้คุ้มค่า และแนะนำให้ทุกคนทำ
ครั้งล่าสุดบัญชีถูกล็อกเพราะไม่ได้ล็อกอินมา 3 ปี และต้องยืนยันตัวตนเพิ่มเติมอีกมาก
บางครั้งการยืนยันใช้ข้อมูลแบบที่เคยถามตอนตั้งค่าครั้งแรก เช่น ที่อยู่เก่า ๆ ซึ่งกลับดูไม่น่าไว้ใจ และบางทีก็ซับซ้อนกว่าเดิม
เมื่อเวลาผ่านไป ในจังหวะที่คาดไม่ถึงที่สุด พวกเขาอาจอ้างว่าการยืนยันบัญชีต้องใช้เวลา 60 วัน แล้วขัดขวางไม่ให้ยกเลิกการระงับเครดิตได้
ทุกครั้งที่เกิดเรื่องแบบนี้ ควรปรับผู้ออกเครดิตเป็นเงินมหาศาล
ในการฉ้อโกงแบบนี้ เหยื่อไม่ใช่บุคคล แต่เป็นธนาคาร
ตัวตนของผมยังอยู่กับผม ธนาคารหรือเจ้าหนี้แค่เอาเงินของตัวเองไปให้犯罪โดยความประมาทของตัวเองเท่านั้น
การทำให้คนที่ไม่ได้มีส่วนเกี่ยวข้องเลยกลายเป็นเหยื่อเป็นภาพลวงตาที่ไม่สมเหตุสมผล และกฎหมายก็ควรถูกปรับให้สะท้อนความจริงนี้
ตราบใดที่ธนาคารยังผลักภาระต้นทุนจากความประมาทของตัวเองไปให้ผู้บริสุทธิ์ได้ พวกเขาก็จะยังทำตัวหละหลวมต่อไป
ทุกครั้งที่มีการใช้คำนี้ในพื้นที่สาธารณะ ควรเผยแพร่ความเข้าใจด้วยการปฏิเสธการหลอกลวงของคำว่า “การโจรกรรมตัวตน”
สเก็ตรายการวิทยุของ Mitchell and Webb ที่เกี่ยวข้อง: https://www.youtube.com/watch?v=CS9ptA3Ya9E
ผมเคยต้องจัดการเรื่องมิจฉาชีพที่ไม่เพียงเปิดเบอร์มือถือ แต่ยังสมัครไฟฟ้าสำหรับอพาร์ตเมนต์ของตัวเองในชื่อผมด้วย และการตั้งค่า ระงับ ที่นี่ช่วยแก้ปัญหาได้
ไม่แน่ใจว่าไม่เป็นไรหรือเปล่า เพราะตั้งแต่แรกก็ไม่เคยเริ่มอะไรไว้เลย
เพื่อช่วยประหยัดคลิกให้: อาวุธลับคือการจ่าย 15 ดอลลาร์ ให้犯罪ในกลุ่ม Telegram เพื่อให้ไปขุดข้อมูลส่วนตัวของใครสักคน
เนื้อหาส่วนใหญ่ของบทความพูดถึงว่าบริการขุดข้อมูลส่วนตัวเหล่านั้นได้ข้อมูลมาจากไหน และแหล่งข้อมูลนั้นเปลี่ยนไปอย่างไร
ตอนนี้ TLOxp ของ TransUnion เป็นบริการที่ได้รับความนิยม
TLOxp คือเวอร์ชันล่าสุดของเทคโนโลยีพลิกเกมที่เปิดทางให้กับสาขา data fusion
รายการการใช้งาน TLOxp ระบุไว้ว่าใช้ในการทวงหนี้ ผู้เชี่ยวชาญด้านกฎหมาย ฝ่ายกฎหมายภายในองค์กร นักสืบที่มีใบอนุญาต บริการทางการเงิน ประกันภัย ความเสี่ยงองค์กร นักข่าวเชิงสืบสวน หน่วยงานบังคับใช้กฎหมาย รัฐบาลระดับรัฐ ท้องถิ่น และรัฐบาลกลาง การกู้คืนสินทรัพย์และการยึดทรัพย์
มีข้อผิดพลาดแบบเดียวกับข้อมูลผิด ๆ ที่สถาบันการเงินถามเพื่อยืนยันตัวตน จึงคิดว่าแหล่งที่มาน่าจะเป็นบริษัทข้อมูลเครดิต
ควรค้นหาชื่อตัวเองปีละสองสามครั้ง แล้วส่งคำขอลบข้อมูลไปยังเว็บไซต์เหล่านั้น
ส่วนใหญ่ดำเนินการให้ค่อนข้างเร็ว
แม้อาจดูเหมือนบทความแนวคลิกเบต “โดนจับได้แล้ว” แต่ผมคิดว่าหัวข้อส่งมอบสิ่งที่สัญญาไว้ได้ตรงทีเดียว
ประเด็นคือมีการขาย การขุดข้อมูลส่วนตัวและสิ่งที่แย่กว่านั้น ผ่านเครื่องมือค้นหาที่กำกับดูแลไม่เข้มงวดซึ่งบริษัทข้อมูลเครดิตจัดหาให้
มีอะไรที่ทำให้ข้อกล่าวอ้างเหล่านี้อ่อนลงหรือเปล่า?
วิธีคิดนี้ผิดตั้งแต่ต้น
ตัวตนและการยืนยันตัวตนของบุคคลไม่ควรตั้งอยู่บน ข้อมูลที่เปลี่ยนไม่ได้และอาจถูกเปิดเผยต่อสาธารณะได้ เช่น หมายเลขประกันสังคม หมายเลขใบขับขี่ หรือประวัติที่อยู่
ข้อมูลพวกนี้รั่วไหลได้หลายทาง และรั่วครั้งเดียวก็อยู่ไปตลอดกาล
เราต้องมี บัตรประจำตัวดิจิทัล กลไกการยืนยันตัวตน และการระงับข้อพิพาทที่เหมาะสม
มันอาจไม่ถูก แต่ในระยะยาว ทางเลือกอื่นแพงกว่า
ค่อนข้างยุ่งยาก แต่แฮ็กได้ยากพอสมควร
แน่นอนว่าถ้าไม่มีหนังสือเดินทางหรือบัตรประจำตัวที่เทียบเท่า ก็ใช้วิธีนี้ไม่ได้
ลองนึกภาพว่ากำลังจะกู้เงิน แล้วพบว่าตัวตนของตัวเองถูกยกเลิกไปแล้ว และมีคนอื่นยึดไปเรียบร้อยแล้ว
TransUnion บอกว่า “ในกรณีที่พบได้ยากมากซึ่งยืนยันได้ว่ามีการใช้งาน TLOxp ในทางที่ผิด เราจะร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อช่วยดำเนินคดีกับผู้รับผิดชอบ” แต่นี่เป็นเรื่องโกหกสิ้นเชิง
TransUnion เคยส่ง รายงานเครดิตฉบับเต็มของผม ให้แฮกเกอร์ที่มีแค่ข้อมูลสาธารณะ และไม่ได้ใส่ใจอะไรเลย
แต่ดูเหมือนเรื่องแบบนั้นจะยังไม่เกิดขึ้นในเร็ว ๆ นี้
แน่นอนว่ามันยุ่งยากมาก
แต่ไม่ได้พูดอะไรเลยว่าใส่ใจแค่ไหน หรือมีการติดตามหลังยืนยันแล้วมากน้อยเพียงใด
มีอีกเรื่องที่ไม่ชอบเกี่ยวกับบริษัทข้อมูลเครดิต
ลองไปที่บริษัทนายหน้าอสังหาริมทรัพย์เชิงพาณิชย์ จะเห็นว่านายหน้าทุกคนมีไลเซนส์ของบริษัทข้อมูลเครดิต และโดยเฉพาะนายหน้าระดับจูเนียร์กำลังค้นหาข้อมูลเจ้าของอสังหาริมทรัพย์ทุกวันเพื่อโทรขายทางมือถือ
TLO ก็น่าจะรู้ดีว่าไม่มีทางที่วงการนายหน้าอสังหาริมทรัพย์เชิงพาณิชย์ส่วนใหญ่ใช้ผลิตภัณฑ์ของตนทุกวันเพื่อ วัตถุประสงค์ในการปฏิบัติตาม GLBA แต่ก็ทำเป็นไม่เห็นและหาวิธีทำเงินจากมัน
ไม่ต้องไปขุดคุ้ยตามมุมมืดของอินเทอร์เน็ตเพื่อให้ได้ข้อมูลนี้ด้วยซ้ำ
แค่เดินเข้าประตูหน้าไปก็พอ
“ถ้ารับเงินค่าข้อมูลจากอาชญากร มันไม่ใช่การรั่วไหลของข้อมูล
ตอนนั้นมันคือการให้บริการ”
— บริษัทข้อมูลเครดิตทั้งหลาย
ถ้ามีใครโทรมาและพยายามพิสูจน์ว่าเป็น “ของจริง” โดยบอกว่ารู้ข้อมูลส่วนตัวของคุณอยู่มากแล้ว ก็ห้ามให้ ข้อมูลส่วนตัว เด็ดขาด
ต้องโทรกลับไปยังหมายเลขที่คุณค้นหาเองเสมอ ไม่ใช่หมายเลขที่พวกเขาบอก
เมื่อก่อนเคยมีกรณีมิจฉาชีพโทรมาอ้างว่าเป็นธนาคาร แล้วบอกให้โทรกลับไปที่เบอร์หลังบัตรเครดิต
พอเหยื่อวางสายแล้วยกหูใหม่ มิจฉาชีพยังค้างสายไว้ เปิดเสียงสัญญาณโทรปลอม แล้วให้อีกคน “รับสาย” เพื่อหลอกเหยื่อ
ถ้าเป็นเบอร์ไม่รู้จักยิ่งไม่รับเข้าไปใหญ่
ปัญหาที่บทความพูดถึงทำให้ทุกคนเปราะบาง
ต่อไปคงจะแย่ลงอีก
มีข้อมูลที่ยังไม่ได้จัดประเภทกองเป็นภูเขาเพราะไม่มีใครสนใจ และตอนนี้ โมเดลภาษาขนาดใหญ่ ที่พอใช้ได้ก็ทำงานนั้นแทนได้แล้ว
ควรสั่งห้ามทั้งอุตสาหกรรมนี้ไปเลย
ให้ศาลบันทึกการผิดนัดชำระหนี้และส่งข้อมูลนั้นให้เจ้าหนี้ก็พอ
ในรายงานไม่ควรมีอะไรนอกเหนือจากนั้น
ผู้ให้กู้ก็ตรวจสอบรายได้อย่างอิสระอยู่แล้ว และในกรณีสินเชื่อที่อยู่อาศัยก็ตรวจสอบค่าใช้จ่ายรายเดือนด้วย
ข้อมูลที่เหลือซึ่งเข้าไปอยู่ในรายงานเครดิตและถูกใช้คำนวณคะแนนเครดิต ดูเหมือนมีไว้เพื่อบังคับให้ผู้คนต้องทำบัตรเครดิต และทำให้ การเหยียดเชื้อชาติแบบเชิงโครงสร้าง ดำรงอยู่ต่อไป
เรื่องนี้ชัดเจนมาตั้งแต่ 20 ปีก่อนแล้ว ตอนที่นักสืบเอกชนไปบรรยายในงานประชุมแฮกเกอร์ถึงสารพัดวิธีในการได้ข้อมูลที่ต้องการอย่างถูกกฎหมาย
แค่ค้นหานิดหน่อยก็มีบริการออนไลน์ราว 500 แห่งที่ขุดข้อมูลส่วนตัวได้ด้วยเงินไม่มาก
เป็นบริการที่ดำเนินการโดย บริษัทมหาชน ไม่ใช่แฮกเกอร์
ดูเหมือนตอนนี้มีคนเพิ่งสร้างบอทที่ทำให้เรื่องนั้นง่ายขึ้นอีก
บทความแบบนี้อ่านแล้วสำหรับแฮกเกอร์ก็เหมือนบทความที่บอกว่า “กลอนประตูไม่ปลอดภัย”
สิ่งที่เขามีมีแค่ชื่อผมกับมหาวิทยาลัยที่ผมเรียน
พอถามว่าได้เบอร์มาได้อย่างไร เขาบอกว่าใช้บริการแบบที่พูดถึงข้างต้น
สำหรับคนที่ตั้งใจจริง เรื่องแบบนี้ไม่ได้ยากเป็นพิเศษ
สิ่งที่ต้องมีมีเพียงเบอร์โทรศัพท์ของคนนั้น
ถึงอย่างนั้นแม้เมื่อ 20 ปีก่อนก็ชัดเจนว่า ถ้ารู้เรื่องของคนคนหนึ่งเพียงเล็กน้อย โดยเฉพาะถ้าชื่อไม่ได้พบได้ทั่วไป ก็สามารถหาข้อมูลจำนวนมหาศาลได้