1 คะแนน โดย GN⁺ 2024-07-13 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เหตุข้อมูลรั่วไหลครั้งใหม่ของ AT&T ส่งผลกระทบต่อบันทึกความสัมพันธ์การโทรและข้อความของลูกค้า เกือบทั้งหมด และมีแผนจะแจ้งเตือนผู้ได้รับผลกระทบราว 110 ล้านคน
  • ข้อมูลที่ถูกขโมยเน้นไปที่ เมทาดาทาการโทรและข้อความ ระหว่างวันที่ 1 พฤษภาคม 2022 ถึง 31 ตุลาคม 2022 และลูกค้าบางส่วนมีข้อมูลวันที่ 2 มกราคม 2023 รวมอยู่ด้วย
  • แม้จะไม่มีเนื้อหาข้อความหรือเวลาและวันที่ที่แน่นอน แต่มีการเปิดเผยว่าใครติดต่อกับใคร รวมถึงปริมาณการโทร ระยะเวลาการโทร และ หมายเลขระบุไซต์เซลล์ บางส่วน
  • เหตุการณ์ครั้งนี้แยกจากเหตุความปลอดภัยของ AT&T เมื่อเดือนมีนาคม และเชื่อมโยงกับกรณีขโมยข้อมูลล่าสุดที่มุ่งเป้าไปยังบัญชีลูกค้า Snowflake
  • ประเด็นสำคัญคือการ ไม่ใช้การยืนยันตัวตนหลายปัจจัย เพื่อปกป้องบัญชี Snowflake และ Mandiant ยืนยันว่ามีการขโมยข้อมูลจำนวนมากจากบัญชีลูกค้าราว 165 บัญชี

ขอบเขตของบันทึกการโทรที่รั่วไหลจาก AT&T

  • AT&T มีแผนจะแจ้งเตือนผู้ได้รับผลกระทบราว 110 ล้านคน จากเหตุการณ์ครั้งนี้
  • ข้อมูลที่ถูกขโมยมีทั้งหมายเลขโทรศัพท์และบันทึกการโทร/ข้อความของลูกค้ามือถือและโทรศัพท์บ้านของ AT&T
    • ช่วงเวลาที่ได้รับผลกระทบคือ 6 เดือน ตั้งแต่ 1 พฤษภาคม 2022 ถึง 31 ตุลาคม 2022
    • ลูกค้าบางส่วนมีบันทึกล่าสุดกว่านั้นของวันที่ 2 มกราคม 2023 รวมอยู่ด้วย แต่ไม่ได้เปิดเผยจำนวนลูกค้าที่ได้รับผลกระทบในส่วนนี้
  • บันทึกการโทร ของลูกค้าผู้ให้บริการมือถือรายอื่นที่ใช้เครือข่าย AT&T ก็รวมอยู่ในข้อมูลที่รั่วไหลด้วย
  • ข้อมูลที่รั่วไหลไม่ได้รวมเนื้อหาของการโทรหรือข้อความ
    • สามารถเห็นได้ว่าหมายเลข AT&T หมายเลขใดโทรหรือส่งข้อความกับหมายเลขใด
    • มีจำนวนการโทรและข้อความทั้งหมดของลูกค้า รวมถึงระยะเวลาการโทร
    • ไม่มีเวลาและวันที่ของการโทรหรือข้อความ
  • บางบันทึกมี หมายเลขระบุไซต์เซลล์ ที่เชื่อมโยงกับการโทรหรือข้อความ
    • ข้อมูลนี้อาจใช้ระบุตำแหน่งโดยประมาณที่มีการโทรหรือส่งข้อความได้
  • AT&T เปิดเผยเหตุการณ์นี้ผ่าน หน้าข้อมูลสำหรับลูกค้า และเอกสารยื่นต่อหน่วยงานกำกับดูแล

การขโมยบัญชี Snowflake และสถานะการสืบสวน

  • AT&T รับรู้เหตุข้อมูลรั่วไหลครั้งนี้เมื่อวันที่ 19 เมษายน และยืนยันว่าไม่เกี่ยวข้องกับเหตุความปลอดภัยก่อนหน้าที่เปิดเผยในเดือนมีนาคม
  • มีการยืนยันว่าบันทึกลูกค้าล่าสุดถูกขโมยมาจาก Snowflake ระหว่างเหตุขโมยข้อมูลล่าสุดที่มุ่งเป้าไปยังลูกค้า Snowflake
    • Snowflake เป็นบริการที่ช่วยให้ลูกค้าองค์กรวิเคราะห์ข้อมูลลูกค้าจำนวนมากบนคลาวด์ได้
    • ไม่ได้มีการเปิดเผยว่าเหตุใด AT&T จึงเก็บข้อมูลลูกค้าไว้ใน Snowflake
  • ในช่วงไม่กี่สัปดาห์ที่ผ่านมา Ticketmaster และ QuoteWizard บริษัทลูกของ LendingTree ก็ยืนยันเช่นกันว่าข้อมูลถูกขโมยจาก Snowflake
  • Snowflake มองว่าลูกค้าที่ไม่ได้ใช้ การยืนยันตัวตนหลายปัจจัย เพื่อปกป้องบัญชีต้องรับผิดชอบต่อการถูกขโมยข้อมูล
    • Snowflake ไม่ได้บังคับหรือกำหนดให้ลูกค้าต้องใช้ฟีเจอร์ความปลอดภัยดังกล่าว
    • Mandiant ซึ่ง Snowflake ว่าจ้างมาเพื่อช่วยสนับสนุนการแจ้งเตือนลูกค้า ยืนยันว่ามีการขโมยข้อมูลจำนวนมากจากบัญชีลูกค้า Snowflake ราว 165 บัญชี
  • Mandiant ระบุว่าการเจาะระบบครั้งนี้เป็นฝีมือของกลุ่มอาชญากรรมไซเบอร์ที่ยังไม่ถูกจัดประเภท ซึ่งติดตามในชื่อ UNC5537
    • แฮกเกอร์กลุ่มนี้ถูกประเมินว่ามีแรงจูงใจทางการเงิน
    • สมาชิกอยู่ในอเมริกาเหนือ และอย่างน้อย 1 คนอยู่ในตุรกี
  • ข้อมูลของเหยื่อองค์กรบางรายจากการขโมยบัญชี Snowflake ถูกโพสต์บนฟอรัมอาชญากรรมไซเบอร์ที่เป็นที่รู้จัก แต่ AT&T ระบุว่าไม่เห็นว่าข้อมูลของบริษัทสามารถเข้าถึงได้แบบสาธารณะในขณะนี้
  • AT&T กำลังร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อจับกุมอาชญากรไซเบอร์ที่เกี่ยวข้อง และมีการจับกุมแล้วอย่างน้อย 1 ราย
    • ผู้ที่ถูกจับกุมไม่ใช่พนักงานของ AT&T
    • FBI ปฏิเสธที่จะแสดงความเห็นเกี่ยวกับการจับกุมดังกล่าว
  • FBI ยืนยันว่าหลังจาก AT&T รายงานการถูกเจาะระบบ AT&T, FBI และกระทรวงยุติธรรมได้ตกลงเลื่อนการแจ้งเตือนลูกค้าและสาธารณะออกไป 2 ครั้ง
    • เหตุผลคือความเสี่ยงที่อาจกระทบต่อ ความมั่นคงแห่งชาติและความปลอดภัยสาธารณะ
    • ทั้งสามหน่วยงานได้แบ่งปันข้อมูลภัยคุกคามระหว่างช่วงเลื่อนการแจ้งเตือน เพื่อสนับสนุนการสืบสวนของ FBI และการรับมือเหตุการณ์ของ AT&T
  • เหตุการณ์ครั้งนี้เป็นเหตุความปลอดภัยครั้งที่สองที่ AT&T เปิดเผยในปีนี้
    • ก่อนหน้านี้ หลังจากมีการโพสต์แคชข้อมูลบัญชีลูกค้าบนฟอรัมอาชญากรรมไซเบอร์ AT&T ต้องรีเซ็ตรหัสผ่านบัญชีของลูกค้าหลายล้านราย
    • แคชดังกล่าวมี passcode ที่เข้ารหัสไว้สำหรับเข้าถึงบัญชีลูกค้า AT&T และนักวิจัยด้านความปลอดภัยเห็นว่า passcode เหล่านั้นสามารถถอดรหัสได้ง่าย

1 ความคิดเห็น

 
GN⁺ 2024-07-13
ความคิดเห็นใน Hacker News
  • AT&T มีลูกค้า 110 ล้านคน แค่การบุกรุกครั้งนี้ทำให้ลูกค้าแต่ละคนต้องใช้เวลาเพิ่มอีกคนละ 1 นาทีในการจัดการบัญชี ก็เท่ากับเวลารวม มากกว่า 209 ปี หายไปแล้ว
    กฎหมายเกี่ยวกับการรั่วไหลของข้อมูลควรเข้มงวดกว่านี้มาก หากการรั่วไหลแทบไม่มีผลลัพธ์ที่เป็นรูปธรรม บริษัทต่าง ๆ ก็จะลงทุนกับความปลอดภัยของข้อมูลแค่ขั้นต่ำเท่านั้น
    ควรเจาะทะลุสถานะนิติบุคคลแล้วดำเนินคดีอาญากับคนที่ประมาทจนทำให้เรื่องแบบนี้เกิดขึ้นได้ หรือไม่ก็ปรับให้หนักพอที่ผู้บริหารและผู้ถือหุ้นจะได้รับผลกระทบจริง

    • น่าแปลกที่ไม่มีใครชี้ว่า บริษัทอย่าง AT&T ไม่ได้เก็บข้อมูลแบบนั้นไว้เล่น ๆ มันมีต้นทุนสูงด้วยซ้ำ แต่เป็นเพราะรัฐบาลกำหนดให้ทำตามกฎหมาย
      ทุกคนตำหนิบริษัท แต่ไม่เคยคิดบ้างหรือว่ามันแปลกที่รัฐบาลมีบันทึกกิจกรรมการโทรทั้งหมดของเราได้โดยไม่มีใครรู้สึกอะไร เมื่อก่อนเรื่องแบบนี้คงถูกเรียกว่า รัฐเฝ้าระวังแบบดิสโทเปีย ไปแล้ว
    • ถ้าจะซ่อมปัญหานี้จริง ๆ ก็มีแต่ต้องทำให้ ผู้ถือหุ้นเจ็บตัว เท่านั้น จนกว่าคนรวยจะเสียเงินมากพอให้ผู้บริหารระดับ C-level และคณะกรรมการต้องเผชิญความรับผิดชอบ พวกเขาก็จะตบหลังชมกันเองแล้วรับโบนัสต่อไป
    • คนที่เป็นต้นเหตุของ “ความประมาทที่ทำให้เรื่องนี้เกิดขึ้นได้” น่าจะเป็นพนักงานปฏิบัติการธรรมดาเสียมากกว่า ระวังให้ดีว่าคุณกำลังเรียกร้องอะไร
      ผมเองก็ไม่อยากต้องรับผิดตามกฎหมายเพราะซอฟต์แวร์ของผมถูกเจาะจากช่องโหว่ที่ผมไม่รู้จัก
      ก้าวแรกที่สมเหตุสมผลอาจเป็นการสร้าง มาตรฐาน การตรวจสอบ และการรับรองโดยบุคคลที่สาม สำหรับความปลอดภัยของข้อมูล และทำให้ผู้บริโภคที่ให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยรู้ว่าบริษัทกำลังทำอะไรอยู่ หากผู้บริโภคเห็นคุณค่าในจุดนั้น ก็จะเลือกบริษัทนั้นมากขึ้น และบริษัทอื่นก็อาจทำตาม
    • กฎหมายที่น่าจะป้องกันการรั่วไหลแบบนี้ได้ คือกฎหมายที่ทำให้การที่ผู้ให้บริการโทรคมนาคม ขายข้อมูลลูกค้า เป็นเรื่องผิดกฎหมาย เหตุผลที่ AT&T เอาข้อมูลทั้งหมดไปใส่ใน Snowflake ก็เพื่อขายตำแหน่งและเครือข่ายความสัมพันธ์ทางสังคมของลูกค้าให้นักการตลาด
      ผมรับไม่ได้จริง ๆ ที่เรื่องนี้ยังไม่ผิดกฎหมาย
    • ลองจินตนาการถึงโลกที่ถ้าเกิดข้อมูลรั่ว บริษัทจะไม่สามารถแม้แต่เก็บรวบรวม นับประสาอะไรกับเก็บรักษาหรือขายข้อมูลประเภทนั้นได้เป็นเวลา 10 ปี และกฎนี้มีผลเหนือกฎหมายที่บังคับให้เก็บข้อมูล
      AT&T จะกลายเป็นสิ่งที่แทบเหมือน บริการเข้ารหัสแบบ end-to-end ในชั่วข้ามคืน
      แม้ตัวสายสัญญาณจะไม่ได้ถูกเข้ารหัส NSA ก็ยังดักฟังได้อยู่ดี แต่อย่างน้อยในศูนย์ข้อมูลของ AT&T ก็อาจไม่มีที่จัดเก็บแบบแก้ไขได้เลย นอกจากบูตไดรฟ์ คิวข้อความ SMS และการแมป SIM ที่ได้รับอนุญาตกับหมายเลขโทรศัพท์
      ไม่เข้าใจว่าทำไมในยุคนี้ยังต้องเก็บบันทึกการโทรไว้ต่อไป วัตถุประสงค์เดิมอย่างการคิดค่าบริการก็ไม่จำเป็นแล้ว
  • ถ้านี่คือ “การรั่วไหลของข้อมูลที่ยังดำเนินอยู่ ซึ่งเกี่ยวข้องกับลูกค้ากว่า 160 รายของผู้ให้บริการข้อมูลคลาวด์ Snowflake” ก็สงสัยว่าโดยปกติ Snowflake เอาข้อมูลของ AT&T ไปทำอะไรอยู่ แจกจ่ายต่อให้ “พาร์ตเนอร์การตลาด” หรือเปล่า? ดูเหมือนจะเป็นอย่างนั้น
    คำแถลงพันธกิจบนเว็บไซต์ของ Snowflake ระบุว่า “พันธกิจของเราคือการทลายไซโลข้อมูล เอาชนะความซับซ้อน และทำให้เกิดความร่วมมือด้านข้อมูลที่ปลอดภัยระหว่างผู้เผยแพร่ ผู้ลงโฆษณา และเทคโนโลยีหลักที่สนับสนุนพวกเขา”
    ถ้าอย่างนั้นเรื่องนี้ดูไม่ใช่ระบบปฏิบัติการของ AT&T ที่ถูกบุกรุก แต่เป็นข้อมูลที่ขายให้นักการตลาดอยู่แล้ว แล้วมีคนที่ไม่ได้รับอนุญาตมาเอาไป อยากรู้ว่าผมเข้าใจถูกไหม

    • อาจไม่ต่างจากกรณีที่ Salesforce รั่ว แล้วลูกค้ารายใหญ่ของ Salesforce ได้รับผลกระทบมากนัก บริษัทใหญ่ ๆ ใช้ บริการ SaaS กับงานแบ็กออฟฟิศจำนวนมาก
    • Snowflake หลัก ๆ คือ ฐานข้อมูลคลาวด์สำหรับ OLAP บัญชีของ AT&T ถูกป้องกันด้วยรหัสผ่านที่แย่และไม่มีการยืนยันตัวตนหลายปัจจัย
    • AT&T อาจใช้ Snowflake เพื่อ วิเคราะห์ภายใน ก็ได้
    • ถ้าเป็นอย่างนั้น เป็นไปได้สูงว่า AT&T โกรธมากกว่าเรื่องที่ไม่ได้รับค่าตอบแทนจากข้อมูลนี้
  • เมื่อดูจากการรั่วไหลครั้งนี้และลักษณะของข้อมูลที่อยู่ใน data lake ของ Snowflake จากมุมมองลูกค้า ผมคงไม่มองเหตุการณ์นี้ว่าเป็น “การรั่วไหล” การรั่วไหลจริง ๆ เกิดขึ้นไปแล้วใน ชั้นต้นน้ำ มากกว่านั้น
    เมื่อดูจากลักษณะข้อมูลในฐานข้อมูลและแพลตฟอร์มที่ใช้จัดเก็บ ดูเป็นไปได้สูงมากว่าข้อมูลนี้ไม่ได้มีไว้ใช้ภายใน AT&T แต่ถูกทำขึ้นเพื่อให้บุคคลที่สาม เช่น ผู้ลงโฆษณาหรือพาร์ตเนอร์วิเคราะห์ผู้บริโภค หรือหน่วยงานรัฐ ใช้งานจากภายนอก
    กล่าวคือถ้าข้อมูลของผมอยู่ในคลังนี้ ผมจะถือว่ามัน “รั่ว” ไปแล้วตั้งแต่วินาทีที่มันถูกใส่เข้าไปในคลัง ปัญหาตรงนี้ดูเหมือนจะเป็นว่า จากมุมมองของ AT&T และ FBI มันรั่วไปยัง คนผิดกลุ่ม

    • ปัญหาของการเก็บข้อมูลแบบกวาดเรียบและฐานข้อมูลแบบ Snowflake คือทันทีที่ป้อนข้อมูลส่วนตัวใด ๆ ลงบนอินเทอร์เน็ต มันก็ไม่ปลอดภัยแล้ว เมื่อเวลาผ่านไปพอ ข้อมูลทั้งหมดนั้นจะถูก “แชร์” และถูกใช้เพื่อผลประโยชน์ทางการเงินหรือการเมืองของบุคคลที่สาม
      ไม่สำคัญว่าจะเป็น AT&T ธนาคาร หรือรัฐบาล ไม่มีสถานการณ์ใดที่เราคาดหวังได้ว่าข้อมูลอ่อนไหวจะยังคงเป็นส่วนตัว
      เมื่อก่อนตอนแนะนำอินเทอร์เน็ตให้เด็ก ๆ เราสอนเรื่องนี้แทบจะเป็นกฎเหล็กเลย น่าทึ่งมากว่าในรอบ 20 ปีมันเปลี่ยนไปมากแค่ไหน
    • สงสัยว่า Snowflake เคยส่งต่อ สื่อการล่วงละเมิดทางเพศเด็ก ของลูกค้า AT&T แบบเปิดเผยไปกี่ครั้งแล้ว เพราะดูเหมือนหมกมุ่นแต่กับการกลืนข้อมูลเข้าไปแล้วขายทิ้ง มากกว่าจะตรวจสอบข้อมูล
  • ราคาหุ้น AT&T ฟื้นกลับมาได้มากแล้วจากช่วงเช้าที่เริ่มต้นด้วยการ ลดลง -2.6% ดูเหมือนตลาดจะมองว่า AT&T มีภูมิคุ้มกัน ขณะที่ Snowflake ลดลง -3.9% และมีลูกค้านอกเหนือจาก AT&T อีกมาก
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • ผมไม่เคยรู้สึกว่าตลาดใส่ใจเรื่องข้อมูลรั่วเลย ดูเหมือนบริษัทส่วนใหญ่แทบไม่เคยต้องรับผิดชอบทางการเงินต่อข้อมูลรั่วด้วยซ้ำ
      ถ้ามีผลกระทบที่เห็นในราคาหุ้น ผมคิดว่าน่าจะไม่เกี่ยวกับข่าวนี้เป็นส่วนใหญ่
    • คล้ายกับเอาข้อมูลไปใส่ Salesforce แล้ว Salesforce รั่ว อาจต้องรับผิดที่เลือกผู้ให้บริการผิด แต่การสูญเสียความเชื่อมั่นจริง ๆ จะเกิดกับฝั่ง Salesforce
      ในกรณีนี้ ตามบทความแล้ว สาเหตุของการรั่วไหลที่ Ticketmaster และ Lending Tree ก็เป็น Snowflake เช่นกัน ดังนั้นตอนนี้ ความเชื่อมั่นต่อ Snowflake น่าจะลดลงมาก
    • ต้นทุนไม่ใช่ปัญหาใหญ่ และลูกค้าก็คงไม่ย้ายไปที่อื่น
      ผลของคดีแบบกลุ่มคงกลายเป็นว่าแทนที่แต่ละคนจะได้ 2 ดอลลาร์ ก็ได้สิทธิทดลองใช้ฟรีบริการเสริมริงโทนจากต้นยุค 2000 และสุดท้ายก็แค่เพิ่มรายได้ประจำให้บริษัทเท่านั้น
  • ในยุโรป การเก็บบันทึกการโทรอย่างครอบคลุมเกินกว่าขอบเขตที่จำเป็นต่อการดำเนินงานน่าจะผิดกฎหมายในหลายประเทศ และโดยทั่วไปก็ไม่สอดคล้องกับ อนุสัญญายุโรปว่าด้วยสิทธิมนุษยชน เว้นแต่จะเป็นมาตรการชั่วคราวภายใต้การกำกับดูแลของศาล และมีภัยคุกคามจริงต่อความมั่นคงของชาติ[1]
    ผู้ให้บริการไม่มีเหตุผลอะไรตั้งแต่แรกที่จะต้องเก็บข้อมูลแบบนี้ และการแก้ด้วยกฎหมายก็ไม่ได้ยาก แค่ทำให้การเก็บรักษาไว้เป็นสิ่งผิดกฎหมายก็พอ
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • ตรงกันข้าม หลายประเทศในยุโรปมีระยะเวลาบังคับให้เก็บข้อมูล และหลายกรณีก็เท่ากับหรือนานกว่า 6 เดือนของบันทึกที่ว่ากันว่าอยู่ในการรั่วไหลครั้งนี้
      เยอรมนีถือว่าค่อนข้างสั้นคือ 10 สัปดาห์ แต่ก็ยังต้องเก็บบันทึกแบบนั้นอยู่ดี
      การบอกว่าการเก็บบันทึกแบบนี้ผิดกฎหมายในยุโรปนั้นผิดอย่างชัดเจน และยิ่งไปกว่านั้น การเก็บบันทึกมักเป็นข้อบังคับตามระยะเวลาที่แต่ละประเทศกำหนด
      บันทึกการโทรจำเป็นสำหรับการคิดค่าบริการ ลูกค้ามักโต้แย้งใบเรียกเก็บเงินกันบ่อย จึงจำเป็นต้องเก็บไว้นานขึ้นอีกสักระยะ
    • มีเหตุผลมากมายที่ต้องเก็บไว้ เพียงแต่เหตุผลส่วนใหญ่มักขัดกับวิธีที่ผู้คนคิดว่าบริษัทควรดำเนินงาน
      น่าเสียดายที่สหรัฐฯ ดูเหมือนจะให้ความสำคัญกับ “นวัตกรรมพลิกตลาด” มากกว่า การคุ้มครองลูกค้า ดังนั้นการคุ้มครองข้อมูลทางกฎหมายจึงไม่เป็นที่นิยมในสภาคองเกรส
    • ผมเข้าใจว่ารัฐบาลไม่ได้รับอนุญาตให้สั่งผู้ให้บริการโทรคมนาคมให้เก็บบันทึกการโทรทั้งหมดในลักษณะนี้ แต่ดูเหมือนจะห้ามไม่ได้หากผู้ให้บริการทำเอง
      ผมคิดว่านั่นน่าจะเข้าข่ายข้อจำกัดของ GDPR มากกว่า
    • ดูเหมือนคุณจะอยู่ในที่ที่รัฐบาลมีไว้เพื่อประชาชน ไม่ใช่รัฐบาลที่มีไว้เพื่อตัวเอง
    • สิ่งที่ NSA ต้องการ NSA ก็เอาไปอยู่แล้ว ถ้าระบบทำงานตามที่ตั้งใจไว้ ก็ไม่จำเป็นต้องมีกฎหมายเพิ่มเติม
  • ผู้บริโภคชาชินกับการรั่วไหลของข้อมูลมากเกินไป จนตอนนี้เหตุการณ์แบบนี้แทบไม่ก่อให้เกิดความโกรธอีกแล้ว หากไม่มีความโกรธจากผู้บริโภค ผมคิดว่าบริษัทแทบไม่มีแรงจูงใจที่จะพยายามมากขึ้นเพื่อป้องกันข้อมูลรั่วไหล

    • ตอนนี้เริ่มรู้สึกว่า ความเป็นส่วนตัวของข้อมูล ไม่มีอยู่จริงอีกต่อไปแล้ว ผมไม่รู้ด้วยซ้ำว่าทำไมผู้ดูแลฐานข้อมูลลูกค้าขนาดใหญ่สมัยนี้ยังต้องลำบากตั้งรหัสผ่านกันอยู่
    • หลังเหตุการณ์ Equifax ดูเหมือนว่าไม่มีใครสนใจอีกแล้ว คงต้องมีการรั่วไหลแบบ B2B ขนาดใหญ่ที่เปิดเผย ข้อมูลแกนหลักของธุรกิจ ไม่ใช่ข้อมูลทั่วไปอย่างชื่อ ที่อยู่ หรือเบอร์โทรศัพท์ จึงจะถูกมองว่าเป็นเรื่องใหญ่
    • AT&T เป็นบริษัทมหาชน บริษัทมหาชนก็ควรถูกปรับให้สมฐานะ
      ถ้าเริ่มปรับ หลายพันล้านดอลลาร์ สำหรับเหตุการณ์รั่วไหลแบบนี้ บริษัทต่าง ๆ ก็จะหันมาลงทุนด้านความปลอดภัยขึ้นมาทันที
      แต่ดูเหมือนจะเป็นไปไม่ได้ เพราะคำตัดสินล่าสุดของศาลสูงสุดกำลังทำให้อำนาจของหน่วยงานรัฐอ่อนลง
      ตอนนี้คงต้องพึ่งศาลแพ่ง หรือก็คือการฟ้องแบบกลุ่ม เพื่อทำให้บริษัทต้องจ่ายค่าปรับ
    • หลายบริษัทดูเหมือนคิดว่าการทุ่มเงินให้ทีมความปลอดภัยไซเบอร์จะแก้ปัญหานี้ได้ แต่ ทีมความปลอดภัยไซเบอร์ มักไม่ได้ผลนัก
    • ผมไม่รู้ว่าทำไมตอนที่พวกเราโกรธกันอยู่ก็ยังไม่มีอะไรเกิดขึ้น
  • ผมยกเลิกบัญชี AT&T ไปมากกว่า 10 ปีแล้ว แต่ในการแฮ็กครั้งก่อนเมื่อเดือนมีนาคมปีนี้ พวกเขายังเก็บที่อยู่เก่า ชื่อเต็ม และ หมายเลขประกันสังคม ของผมไว้อยู่
    มันไร้เหตุผลจริง ๆ ที่ไม่มีกฎหมายที่เหมาะสมสำหรับลงโทษองค์กรไร้ความสามารถอย่างเป็นรูปธรรม

  • เมื่อต้นปีนี้ หมายเลขประกันสังคม ของผมก็ไปอยู่บนดาร์กเว็บเพราะการรั่วไหลของ AT&T หรือผู้ขายของพวกเขา การเฝ้าระวัง 1 ปีไม่พอ ต้องเป็นตลอดชีวิต
    ความปลอดภัยไม่ใช่เรื่องที่พวกเขาสนใจ ไม่มีแรงจูงใจจริง ๆ ให้เปลี่ยนสภาพที่เป็นอยู่ บริษัทพวกนี้ควรถูกบังคับให้จ่ายค่ามอนิเตอร์แบบไม่มีกำหนด

    • ผมไม่เข้าใจว่าทำไมในสหรัฐฯ ถึงปฏิบัติกับหมายเลขประกันสังคมเหมือนเป็นความลับ มันควรเป็น “ชื่อผู้ใช้” ไม่ใช่ “รหัสผ่าน”
      หมายเลขบัตรประจำตัวประชาชนของประเทศเราคำนวณได้จากวันเกิด เลขลำดับที่เพิ่มขึ้นของคนที่เกิดในวันนั้น และเลขเช็กซัม และถ้าทำธุรกิจส่วนตัวแม้เพียงเล็กน้อย ก็ต้องเขียนหมายเลขภาษีส่วนบุคคลลงในใบเสร็จหรือเอกสารการซื้อขายทางธุรกิจทุกฉบับ
      การรู้ว่าหมายเลข ID ของเด็กผู้ชายคนแรกที่เกิดวันนี้คือ 120702450001X ไม่ได้ช่วยให้ทำเรื่องเลวร้ายอะไรได้ ผมขี้เกียจคำนวณเช็กซัม แต่ตัวอัลกอริทึมนั้นเปิดเผยอยู่แล้ว
    • ในบางกรณี หมายเลขประกันสังคมอาจเป็นปัญหาที่เล็กที่สุดในบรรดาข้อมูลที่รั่วก็ได้
      ลองคิดดูว่าคนที่โทรไปสายด่วนป้องกันการฆ่าตัวตาย คลินิกทำแท้ง หรือบริการชำระคืนเงินกู้จะเป็นอย่างไร
      ถ้ามีหมายเลขโทรศัพท์ ก็สามารถรู้เรื่องเหล่านั้นได้
    • ตอนผมเข้าเรียนมหาวิทยาลัยช่วงปลายทศวรรษ 1980 หมายเลขประกันสังคมของผมถูกใช้เป็นเลขบัตรนักศึกษาโดยอัตโนมัติ ตอนเปิดบัญชีธนาคารบัญชีแรกในปี 1990 หมายเลขประกันสังคมก็ถูกใช้เป็นเลขบัญชี
    • สำนักงานประกันสังคมเองก็ไม่ยั่งยืนอยู่แล้ว ถ้ามันล้มเหลวภายใน 10 ปีข้างหน้า เรื่องนี้ก็จะไม่เป็นปัญหาอีกต่อไป
  • ตามบทความของ TechCrunch มี ตัวระบุสถานีฐาน รวมอยู่ด้วย ซึ่งหมายความว่ามีข้อมูลตำแหน่งโดยประมาณรวมอยู่ด้วย
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • แล้วค่าชดเชยของผมอยู่ที่ไหนกันแน่ แน่นอนว่าผมรู้ว่าไม่มีทางเยียวยา
    ถ้าไม่มีใครต้องรับผิดชอบต่อ แนวปฏิบัติที่ปลอดภัย อย่างการเปิดใช้การยืนยันตัวตนหลายปัจจัยกับคลังข้อมูลที่มีข้อมูลส่วนบุคคลของลูกค้าจำนวนมหาศาล ผลลัพธ์ก็เป็นแบบนี้
    แค่รายงานแล้วก็ผ่านไปโดยไม่มีแม้แต่คำขอโทษ จบที่ประมาณว่า “อุ๊ย พวกอาชญากรไซเบอร์บ้า ๆ นั่นอีกแล้ว”

    • ถ้าไปศาลและเรียกร้องค่าชดเชย ศาลก็น่าจะให้คุณพิสูจน์ความเสียหาย คุณพิสูจน์ได้ไหม?
    • ผมเคยได้รับเช็คจากเรื่องแบบนี้อยู่สองสามครั้ง สุดท้ายก็เป็นแบบว่ากรอกแบบฟอร์มเรียกร้อง แล้วรอประมาณ 5 ปี จากนั้นวันหนึ่งก็มีเช็คมูลค่าน้อยมากส่งมาทางไปรษณีย์