ข้อมูลรั่วไหลจากการขโมยบันทึกการโทรของลูกค้า AT&T ‘เกือบทั้งหมด’
(techcrunch.com)- เหตุข้อมูลรั่วไหลครั้งใหม่ของ AT&T ส่งผลกระทบต่อบันทึกความสัมพันธ์การโทรและข้อความของลูกค้า เกือบทั้งหมด และมีแผนจะแจ้งเตือนผู้ได้รับผลกระทบราว 110 ล้านคน
- ข้อมูลที่ถูกขโมยเน้นไปที่ เมทาดาทาการโทรและข้อความ ระหว่างวันที่ 1 พฤษภาคม 2022 ถึง 31 ตุลาคม 2022 และลูกค้าบางส่วนมีข้อมูลวันที่ 2 มกราคม 2023 รวมอยู่ด้วย
- แม้จะไม่มีเนื้อหาข้อความหรือเวลาและวันที่ที่แน่นอน แต่มีการเปิดเผยว่าใครติดต่อกับใคร รวมถึงปริมาณการโทร ระยะเวลาการโทร และ หมายเลขระบุไซต์เซลล์ บางส่วน
- เหตุการณ์ครั้งนี้แยกจากเหตุความปลอดภัยของ AT&T เมื่อเดือนมีนาคม และเชื่อมโยงกับกรณีขโมยข้อมูลล่าสุดที่มุ่งเป้าไปยังบัญชีลูกค้า Snowflake
- ประเด็นสำคัญคือการ ไม่ใช้การยืนยันตัวตนหลายปัจจัย เพื่อปกป้องบัญชี Snowflake และ Mandiant ยืนยันว่ามีการขโมยข้อมูลจำนวนมากจากบัญชีลูกค้าราว 165 บัญชี
ขอบเขตของบันทึกการโทรที่รั่วไหลจาก AT&T
- AT&T มีแผนจะแจ้งเตือนผู้ได้รับผลกระทบราว 110 ล้านคน จากเหตุการณ์ครั้งนี้
- ข้อมูลที่ถูกขโมยมีทั้งหมายเลขโทรศัพท์และบันทึกการโทร/ข้อความของลูกค้ามือถือและโทรศัพท์บ้านของ AT&T
- ช่วงเวลาที่ได้รับผลกระทบคือ 6 เดือน ตั้งแต่ 1 พฤษภาคม 2022 ถึง 31 ตุลาคม 2022
- ลูกค้าบางส่วนมีบันทึกล่าสุดกว่านั้นของวันที่ 2 มกราคม 2023 รวมอยู่ด้วย แต่ไม่ได้เปิดเผยจำนวนลูกค้าที่ได้รับผลกระทบในส่วนนี้
- บันทึกการโทร ของลูกค้าผู้ให้บริการมือถือรายอื่นที่ใช้เครือข่าย AT&T ก็รวมอยู่ในข้อมูลที่รั่วไหลด้วย
- ข้อมูลที่รั่วไหลไม่ได้รวมเนื้อหาของการโทรหรือข้อความ
- สามารถเห็นได้ว่าหมายเลข AT&T หมายเลขใดโทรหรือส่งข้อความกับหมายเลขใด
- มีจำนวนการโทรและข้อความทั้งหมดของลูกค้า รวมถึงระยะเวลาการโทร
- ไม่มีเวลาและวันที่ของการโทรหรือข้อความ
- บางบันทึกมี หมายเลขระบุไซต์เซลล์ ที่เชื่อมโยงกับการโทรหรือข้อความ
- ข้อมูลนี้อาจใช้ระบุตำแหน่งโดยประมาณที่มีการโทรหรือส่งข้อความได้
- AT&T เปิดเผยเหตุการณ์นี้ผ่าน หน้าข้อมูลสำหรับลูกค้า และเอกสารยื่นต่อหน่วยงานกำกับดูแล
การขโมยบัญชี Snowflake และสถานะการสืบสวน
- AT&T รับรู้เหตุข้อมูลรั่วไหลครั้งนี้เมื่อวันที่ 19 เมษายน และยืนยันว่าไม่เกี่ยวข้องกับเหตุความปลอดภัยก่อนหน้าที่เปิดเผยในเดือนมีนาคม
- มีการยืนยันว่าบันทึกลูกค้าล่าสุดถูกขโมยมาจาก Snowflake ระหว่างเหตุขโมยข้อมูลล่าสุดที่มุ่งเป้าไปยังลูกค้า Snowflake
- Snowflake เป็นบริการที่ช่วยให้ลูกค้าองค์กรวิเคราะห์ข้อมูลลูกค้าจำนวนมากบนคลาวด์ได้
- ไม่ได้มีการเปิดเผยว่าเหตุใด AT&T จึงเก็บข้อมูลลูกค้าไว้ใน Snowflake
- ในช่วงไม่กี่สัปดาห์ที่ผ่านมา Ticketmaster และ QuoteWizard บริษัทลูกของ LendingTree ก็ยืนยันเช่นกันว่าข้อมูลถูกขโมยจาก Snowflake
- Snowflake มองว่าลูกค้าที่ไม่ได้ใช้ การยืนยันตัวตนหลายปัจจัย เพื่อปกป้องบัญชีต้องรับผิดชอบต่อการถูกขโมยข้อมูล
- Snowflake ไม่ได้บังคับหรือกำหนดให้ลูกค้าต้องใช้ฟีเจอร์ความปลอดภัยดังกล่าว
- Mandiant ซึ่ง Snowflake ว่าจ้างมาเพื่อช่วยสนับสนุนการแจ้งเตือนลูกค้า ยืนยันว่ามีการขโมยข้อมูลจำนวนมากจากบัญชีลูกค้า Snowflake ราว 165 บัญชี
- Mandiant ระบุว่าการเจาะระบบครั้งนี้เป็นฝีมือของกลุ่มอาชญากรรมไซเบอร์ที่ยังไม่ถูกจัดประเภท ซึ่งติดตามในชื่อ UNC5537
- แฮกเกอร์กลุ่มนี้ถูกประเมินว่ามีแรงจูงใจทางการเงิน
- สมาชิกอยู่ในอเมริกาเหนือ และอย่างน้อย 1 คนอยู่ในตุรกี
- ข้อมูลของเหยื่อองค์กรบางรายจากการขโมยบัญชี Snowflake ถูกโพสต์บนฟอรัมอาชญากรรมไซเบอร์ที่เป็นที่รู้จัก แต่ AT&T ระบุว่าไม่เห็นว่าข้อมูลของบริษัทสามารถเข้าถึงได้แบบสาธารณะในขณะนี้
- AT&T กำลังร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อจับกุมอาชญากรไซเบอร์ที่เกี่ยวข้อง และมีการจับกุมแล้วอย่างน้อย 1 ราย
- ผู้ที่ถูกจับกุมไม่ใช่พนักงานของ AT&T
- FBI ปฏิเสธที่จะแสดงความเห็นเกี่ยวกับการจับกุมดังกล่าว
- FBI ยืนยันว่าหลังจาก AT&T รายงานการถูกเจาะระบบ AT&T, FBI และกระทรวงยุติธรรมได้ตกลงเลื่อนการแจ้งเตือนลูกค้าและสาธารณะออกไป 2 ครั้ง
- เหตุผลคือความเสี่ยงที่อาจกระทบต่อ ความมั่นคงแห่งชาติและความปลอดภัยสาธารณะ
- ทั้งสามหน่วยงานได้แบ่งปันข้อมูลภัยคุกคามระหว่างช่วงเลื่อนการแจ้งเตือน เพื่อสนับสนุนการสืบสวนของ FBI และการรับมือเหตุการณ์ของ AT&T
- เหตุการณ์ครั้งนี้เป็นเหตุความปลอดภัยครั้งที่สองที่ AT&T เปิดเผยในปีนี้
- ก่อนหน้านี้ หลังจากมีการโพสต์แคชข้อมูลบัญชีลูกค้าบนฟอรัมอาชญากรรมไซเบอร์ AT&T ต้องรีเซ็ตรหัสผ่านบัญชีของลูกค้าหลายล้านราย
- แคชดังกล่าวมี passcode ที่เข้ารหัสไว้สำหรับเข้าถึงบัญชีลูกค้า AT&T และนักวิจัยด้านความปลอดภัยเห็นว่า passcode เหล่านั้นสามารถถอดรหัสได้ง่าย
1 ความคิดเห็น
ความคิดเห็นใน Hacker News
AT&T มีลูกค้า 110 ล้านคน แค่การบุกรุกครั้งนี้ทำให้ลูกค้าแต่ละคนต้องใช้เวลาเพิ่มอีกคนละ 1 นาทีในการจัดการบัญชี ก็เท่ากับเวลารวม มากกว่า 209 ปี หายไปแล้ว
กฎหมายเกี่ยวกับการรั่วไหลของข้อมูลควรเข้มงวดกว่านี้มาก หากการรั่วไหลแทบไม่มีผลลัพธ์ที่เป็นรูปธรรม บริษัทต่าง ๆ ก็จะลงทุนกับความปลอดภัยของข้อมูลแค่ขั้นต่ำเท่านั้น
ควรเจาะทะลุสถานะนิติบุคคลแล้วดำเนินคดีอาญากับคนที่ประมาทจนทำให้เรื่องแบบนี้เกิดขึ้นได้ หรือไม่ก็ปรับให้หนักพอที่ผู้บริหารและผู้ถือหุ้นจะได้รับผลกระทบจริง
ทุกคนตำหนิบริษัท แต่ไม่เคยคิดบ้างหรือว่ามันแปลกที่รัฐบาลมีบันทึกกิจกรรมการโทรทั้งหมดของเราได้โดยไม่มีใครรู้สึกอะไร เมื่อก่อนเรื่องแบบนี้คงถูกเรียกว่า รัฐเฝ้าระวังแบบดิสโทเปีย ไปแล้ว
ผมเองก็ไม่อยากต้องรับผิดตามกฎหมายเพราะซอฟต์แวร์ของผมถูกเจาะจากช่องโหว่ที่ผมไม่รู้จัก
ก้าวแรกที่สมเหตุสมผลอาจเป็นการสร้าง มาตรฐาน การตรวจสอบ และการรับรองโดยบุคคลที่สาม สำหรับความปลอดภัยของข้อมูล และทำให้ผู้บริโภคที่ให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยรู้ว่าบริษัทกำลังทำอะไรอยู่ หากผู้บริโภคเห็นคุณค่าในจุดนั้น ก็จะเลือกบริษัทนั้นมากขึ้น และบริษัทอื่นก็อาจทำตาม
ผมรับไม่ได้จริง ๆ ที่เรื่องนี้ยังไม่ผิดกฎหมาย
AT&T จะกลายเป็นสิ่งที่แทบเหมือน บริการเข้ารหัสแบบ end-to-end ในชั่วข้ามคืน
แม้ตัวสายสัญญาณจะไม่ได้ถูกเข้ารหัส NSA ก็ยังดักฟังได้อยู่ดี แต่อย่างน้อยในศูนย์ข้อมูลของ AT&T ก็อาจไม่มีที่จัดเก็บแบบแก้ไขได้เลย นอกจากบูตไดรฟ์ คิวข้อความ SMS และการแมป SIM ที่ได้รับอนุญาตกับหมายเลขโทรศัพท์
ไม่เข้าใจว่าทำไมในยุคนี้ยังต้องเก็บบันทึกการโทรไว้ต่อไป วัตถุประสงค์เดิมอย่างการคิดค่าบริการก็ไม่จำเป็นแล้ว
ถ้านี่คือ “การรั่วไหลของข้อมูลที่ยังดำเนินอยู่ ซึ่งเกี่ยวข้องกับลูกค้ากว่า 160 รายของผู้ให้บริการข้อมูลคลาวด์ Snowflake” ก็สงสัยว่าโดยปกติ Snowflake เอาข้อมูลของ AT&T ไปทำอะไรอยู่ แจกจ่ายต่อให้ “พาร์ตเนอร์การตลาด” หรือเปล่า? ดูเหมือนจะเป็นอย่างนั้น
คำแถลงพันธกิจบนเว็บไซต์ของ Snowflake ระบุว่า “พันธกิจของเราคือการทลายไซโลข้อมูล เอาชนะความซับซ้อน และทำให้เกิดความร่วมมือด้านข้อมูลที่ปลอดภัยระหว่างผู้เผยแพร่ ผู้ลงโฆษณา และเทคโนโลยีหลักที่สนับสนุนพวกเขา”
ถ้าอย่างนั้นเรื่องนี้ดูไม่ใช่ระบบปฏิบัติการของ AT&T ที่ถูกบุกรุก แต่เป็นข้อมูลที่ขายให้นักการตลาดอยู่แล้ว แล้วมีคนที่ไม่ได้รับอนุญาตมาเอาไป อยากรู้ว่าผมเข้าใจถูกไหม
เมื่อดูจากการรั่วไหลครั้งนี้และลักษณะของข้อมูลที่อยู่ใน data lake ของ Snowflake จากมุมมองลูกค้า ผมคงไม่มองเหตุการณ์นี้ว่าเป็น “การรั่วไหล” การรั่วไหลจริง ๆ เกิดขึ้นไปแล้วใน ชั้นต้นน้ำ มากกว่านั้น
เมื่อดูจากลักษณะข้อมูลในฐานข้อมูลและแพลตฟอร์มที่ใช้จัดเก็บ ดูเป็นไปได้สูงมากว่าข้อมูลนี้ไม่ได้มีไว้ใช้ภายใน AT&T แต่ถูกทำขึ้นเพื่อให้บุคคลที่สาม เช่น ผู้ลงโฆษณาหรือพาร์ตเนอร์วิเคราะห์ผู้บริโภค หรือหน่วยงานรัฐ ใช้งานจากภายนอก
กล่าวคือถ้าข้อมูลของผมอยู่ในคลังนี้ ผมจะถือว่ามัน “รั่ว” ไปแล้วตั้งแต่วินาทีที่มันถูกใส่เข้าไปในคลัง ปัญหาตรงนี้ดูเหมือนจะเป็นว่า จากมุมมองของ AT&T และ FBI มันรั่วไปยัง คนผิดกลุ่ม
ไม่สำคัญว่าจะเป็น AT&T ธนาคาร หรือรัฐบาล ไม่มีสถานการณ์ใดที่เราคาดหวังได้ว่าข้อมูลอ่อนไหวจะยังคงเป็นส่วนตัว
เมื่อก่อนตอนแนะนำอินเทอร์เน็ตให้เด็ก ๆ เราสอนเรื่องนี้แทบจะเป็นกฎเหล็กเลย น่าทึ่งมากว่าในรอบ 20 ปีมันเปลี่ยนไปมากแค่ไหน
ราคาหุ้น AT&T ฟื้นกลับมาได้มากแล้วจากช่วงเช้าที่เริ่มต้นด้วยการ ลดลง -2.6% ดูเหมือนตลาดจะมองว่า AT&T มีภูมิคุ้มกัน ขณะที่ Snowflake ลดลง -3.9% และมีลูกค้านอกเหนือจาก AT&T อีกมาก
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
ถ้ามีผลกระทบที่เห็นในราคาหุ้น ผมคิดว่าน่าจะไม่เกี่ยวกับข่าวนี้เป็นส่วนใหญ่
ในกรณีนี้ ตามบทความแล้ว สาเหตุของการรั่วไหลที่ Ticketmaster และ Lending Tree ก็เป็น Snowflake เช่นกัน ดังนั้นตอนนี้ ความเชื่อมั่นต่อ Snowflake น่าจะลดลงมาก
ผลของคดีแบบกลุ่มคงกลายเป็นว่าแทนที่แต่ละคนจะได้ 2 ดอลลาร์ ก็ได้สิทธิทดลองใช้ฟรีบริการเสริมริงโทนจากต้นยุค 2000 และสุดท้ายก็แค่เพิ่มรายได้ประจำให้บริษัทเท่านั้น
ในยุโรป การเก็บบันทึกการโทรอย่างครอบคลุมเกินกว่าขอบเขตที่จำเป็นต่อการดำเนินงานน่าจะผิดกฎหมายในหลายประเทศ และโดยทั่วไปก็ไม่สอดคล้องกับ อนุสัญญายุโรปว่าด้วยสิทธิมนุษยชน เว้นแต่จะเป็นมาตรการชั่วคราวภายใต้การกำกับดูแลของศาล และมีภัยคุกคามจริงต่อความมั่นคงของชาติ[1]
ผู้ให้บริการไม่มีเหตุผลอะไรตั้งแต่แรกที่จะต้องเก็บข้อมูลแบบนี้ และการแก้ด้วยกฎหมายก็ไม่ได้ยาก แค่ทำให้การเก็บรักษาไว้เป็นสิ่งผิดกฎหมายก็พอ
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
เยอรมนีถือว่าค่อนข้างสั้นคือ 10 สัปดาห์ แต่ก็ยังต้องเก็บบันทึกแบบนั้นอยู่ดี
การบอกว่าการเก็บบันทึกแบบนี้ผิดกฎหมายในยุโรปนั้นผิดอย่างชัดเจน และยิ่งไปกว่านั้น การเก็บบันทึกมักเป็นข้อบังคับตามระยะเวลาที่แต่ละประเทศกำหนด
บันทึกการโทรจำเป็นสำหรับการคิดค่าบริการ ลูกค้ามักโต้แย้งใบเรียกเก็บเงินกันบ่อย จึงจำเป็นต้องเก็บไว้นานขึ้นอีกสักระยะ
น่าเสียดายที่สหรัฐฯ ดูเหมือนจะให้ความสำคัญกับ “นวัตกรรมพลิกตลาด” มากกว่า การคุ้มครองลูกค้า ดังนั้นการคุ้มครองข้อมูลทางกฎหมายจึงไม่เป็นที่นิยมในสภาคองเกรส
ผมคิดว่านั่นน่าจะเข้าข่ายข้อจำกัดของ GDPR มากกว่า
ผู้บริโภคชาชินกับการรั่วไหลของข้อมูลมากเกินไป จนตอนนี้เหตุการณ์แบบนี้แทบไม่ก่อให้เกิดความโกรธอีกแล้ว หากไม่มีความโกรธจากผู้บริโภค ผมคิดว่าบริษัทแทบไม่มีแรงจูงใจที่จะพยายามมากขึ้นเพื่อป้องกันข้อมูลรั่วไหล
ถ้าเริ่มปรับ หลายพันล้านดอลลาร์ สำหรับเหตุการณ์รั่วไหลแบบนี้ บริษัทต่าง ๆ ก็จะหันมาลงทุนด้านความปลอดภัยขึ้นมาทันที
แต่ดูเหมือนจะเป็นไปไม่ได้ เพราะคำตัดสินล่าสุดของศาลสูงสุดกำลังทำให้อำนาจของหน่วยงานรัฐอ่อนลง
ตอนนี้คงต้องพึ่งศาลแพ่ง หรือก็คือการฟ้องแบบกลุ่ม เพื่อทำให้บริษัทต้องจ่ายค่าปรับ
ผมยกเลิกบัญชี AT&T ไปมากกว่า 10 ปีแล้ว แต่ในการแฮ็กครั้งก่อนเมื่อเดือนมีนาคมปีนี้ พวกเขายังเก็บที่อยู่เก่า ชื่อเต็ม และ หมายเลขประกันสังคม ของผมไว้อยู่
มันไร้เหตุผลจริง ๆ ที่ไม่มีกฎหมายที่เหมาะสมสำหรับลงโทษองค์กรไร้ความสามารถอย่างเป็นรูปธรรม
เมื่อต้นปีนี้ หมายเลขประกันสังคม ของผมก็ไปอยู่บนดาร์กเว็บเพราะการรั่วไหลของ AT&T หรือผู้ขายของพวกเขา การเฝ้าระวัง 1 ปีไม่พอ ต้องเป็นตลอดชีวิต
ความปลอดภัยไม่ใช่เรื่องที่พวกเขาสนใจ ไม่มีแรงจูงใจจริง ๆ ให้เปลี่ยนสภาพที่เป็นอยู่ บริษัทพวกนี้ควรถูกบังคับให้จ่ายค่ามอนิเตอร์แบบไม่มีกำหนด
หมายเลขบัตรประจำตัวประชาชนของประเทศเราคำนวณได้จากวันเกิด เลขลำดับที่เพิ่มขึ้นของคนที่เกิดในวันนั้น และเลขเช็กซัม และถ้าทำธุรกิจส่วนตัวแม้เพียงเล็กน้อย ก็ต้องเขียนหมายเลขภาษีส่วนบุคคลลงในใบเสร็จหรือเอกสารการซื้อขายทางธุรกิจทุกฉบับ
การรู้ว่าหมายเลข ID ของเด็กผู้ชายคนแรกที่เกิดวันนี้คือ 120702450001X ไม่ได้ช่วยให้ทำเรื่องเลวร้ายอะไรได้ ผมขี้เกียจคำนวณเช็กซัม แต่ตัวอัลกอริทึมนั้นเปิดเผยอยู่แล้ว
ลองคิดดูว่าคนที่โทรไปสายด่วนป้องกันการฆ่าตัวตาย คลินิกทำแท้ง หรือบริการชำระคืนเงินกู้จะเป็นอย่างไร
ถ้ามีหมายเลขโทรศัพท์ ก็สามารถรู้เรื่องเหล่านั้นได้
ตามบทความของ TechCrunch มี ตัวระบุสถานีฐาน รวมอยู่ด้วย ซึ่งหมายความว่ามีข้อมูลตำแหน่งโดยประมาณรวมอยู่ด้วย
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
แล้วค่าชดเชยของผมอยู่ที่ไหนกันแน่ แน่นอนว่าผมรู้ว่าไม่มีทางเยียวยา
ถ้าไม่มีใครต้องรับผิดชอบต่อ แนวปฏิบัติที่ปลอดภัย อย่างการเปิดใช้การยืนยันตัวตนหลายปัจจัยกับคลังข้อมูลที่มีข้อมูลส่วนบุคคลของลูกค้าจำนวนมหาศาล ผลลัพธ์ก็เป็นแบบนี้
แค่รายงานแล้วก็ผ่านไปโดยไม่มีแม้แต่คำขอโทษ จบที่ประมาณว่า “อุ๊ย พวกอาชญากรไซเบอร์บ้า ๆ นั่นอีกแล้ว”