Allianz Life ประกาศว่าข้อมูลส่วนบุคคลของลูกค้าส่วนใหญ่ถูกขโมยจากการโจมตีทางไซเบอร์

 (techcrunch.com)
2 คะแนน โดย GN⁺ 2025-07-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Allianz Life บริษัทประกันในสหรัฐฯ ถูกโจมตีทางไซเบอร์ ส่งผลให้ ข้อมูลส่วนบุคคลของลูกค้า ผู้เชี่ยวชาญด้านการเงิน และพนักงานบางส่วน ถูกขโมย
  • ผู้โจมตีขโมยข้อมูลส่วนใหญ่จาก ระบบ CRM บนคลาวด์ ด้วย เทคนิควิศวกรรมสังคม
  • Allianz Life ได้ดำเนินการแจ้งเหตุทางกฎหมายและแจ้ง FBI แล้ว แต่ไม่ได้เปิดเผยการคาดการณ์กลุ่มแฮ็กเกอร์หรือจำนวนผู้เสียหาย
  • ช่วงหลังมานี้ เหตุข้อมูลรั่วไหลลักษณะคล้ายกันเกิดขึ้นต่อเนื่องในอุตสาหกรรมประกันภัย และมีกรณีที่คาดว่าเป็นฝีมือของ กลุ่มแฮ็กเกอร์ Scattered Spider เพิ่มขึ้น
  • คาดว่าจะเริ่มแจ้งผู้เสียหายเป็นรายบุคคลราววันที่ 1 สิงหาคม

ภาพรวมการโจมตีทางไซเบอร์ต่อ Allianz Life

  • Allianz Life บริษัทประกันรายใหญ่ของสหรัฐฯ ยืนยันอย่างเป็นทางการกับ TechCrunch ว่า ใน เหตุข้อมูลรั่วไหลที่เกิดขึ้นช่วงกลางเดือนกรกฎาคม 2025 มีข้อมูลส่วนบุคคลจำนวนมากรวมถึงของลูกค้าถูกขโมย
  • โฆษกของ Allianz Life ยอมรับเหตุการณ์นี้อย่างเป็นทางการ และระบุว่าเกิดการโจมตีเมื่อ 16 กรกฎาคม 2025
  • ผู้โจมตีเข้าถึง ระบบ CRM (การบริหารความสัมพันธ์ลูกค้า) บนคลาวด์ของบุคคลที่สาม และใช้เทคนิควิศวกรรมสังคมขโมย ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ของลูกค้าส่วนใหญ่ ผู้เชี่ยวชาญด้านการเงิน และพนักงานบางส่วน

สถานะข้อมูลรั่วไหลและการตอบสนอง

  • การรั่วไหลของข้อมูลถูกเปิดเผยผ่าน เอกสารแจ้งตามกฎหมายของรัฐเมน โดยยังไม่ได้เปิดเผยจำนวนลูกค้าที่ได้รับผลกระทบในทันที
  • Allianz Life มีลูกค้าในสหรัฐฯ ราว 1.4 ล้านราย ส่วนบริษัทแม่ Allianz มีลูกค้าทั่วโลกมากกว่า 125 ล้านราย
  • Allianz Life ได้แจ้งเหตุไปยัง FBI แต่ไม่ได้เปิดเผยว่ามีการเรียกค่าไถ่จากแฮ็กเกอร์หรือมีการติดต่อโดยตรงหรือไม่
  • บริษัทเน้นย้ำว่าการรั่วไหลจำกัดอยู่ที่ แฮ็กเกอร์เข้าถึงผ่านระบบ CRM เพียงจุดเดียว และไม่พบหลักฐานการเจาะระบบอื่นภายในเครือข่าย

เหตุแฮ็กคล้ายกันในอุตสาหกรรมและเบื้องหลัง

  • ตลอดเดือนที่ผ่านมา มี เหตุแฮ็กขนาดใหญ่ที่มุ่งเป้าไปยังบริษัทประกัน เช่น Aflac เกิดขึ้นต่อเนื่อง
  • นักวิจัยด้านความปลอดภัยของ Google ระบุเมื่อเดือนมิถุนายนว่าพบ เหตุบุกรุกหลายกรณีในอุตสาหกรรมประกันภัย และชี้ว่าเป็นฝีมือของ กลุ่มแฮ็กเกอร์ Scattered Spider ที่ใช้วิศวกรรมสังคม
    • เทคนิควิศวกรรมสังคม: เช่น การโทรปลอมตัวเพื่อหลอกเจ้าหน้าที่เฮลป์เดสก์ให้มอบสิทธิ์เข้าถึงเครือข่าย
  • ก่อนหน้านี้ Scattered Spider เคยโจมตีหลายอุตสาหกรรม ตั้งแต่ ค้าปลีกในสหราชอาณาจักร การบินและขนส่ง ไปจนถึงบริษัทยักษ์ใหญ่ไอทีในซิลิคอนแวลลีย์

การดำเนินการต่อจากนี้และคำแนะนำ

  • Allianz Life วางแผน เริ่มแจ้งลูกค้าที่ได้รับผลกระทบและผู้มีส่วนเกี่ยวข้องเป็นรายบุคคลตั้งแต่ราววันที่ 1 สิงหาคม
  • สำหรับการแจ้งเบาะแสเพิ่มเติมและการสอบถามด้านความปลอดภัย แนะนำให้ใช้ช่องทางเข้ารหัสแยกต่างหาก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-07-28
ความคิดเห็นจาก Hacker News

  • ฉันพูดเรื่องนี้บ่อยมาก รู้ว่าเป็นความเห็นที่ไม่ค่อยมีคนนิยมแต่ก็ไม่เข้าใจนักว่าทำไม
    นักวิจัยด้านความปลอดภัย แฮ็กเกอร์หมวกขาว และแฮ็กเกอร์หมวกเทา ควรได้รับความคุ้มครองทางกฎหมายอย่างเข้มแข็ง หากพวกเขาเพียงแค่รายงานช่องโหว่ที่พบ
    แฮ็กเกอร์ฝ่ายร้ายยังคงค้นหาช่องโหว่ด้านความปลอดภัยต่อไป โดยไม่มีระบบไหนหยุดพวกเขาได้
    แต่ถ้าฝ่ายที่หวังดีทำแบบเดียวกันกลับถูกดำเนินคดีอาญาร้ายแรง
    จากประสบการณ์ก็พิสูจน์แล้วว่าเราล้มเหลวในการสร้างระบบที่ปลอดภัย
    น่าอายอยู่เหมือนกัน แต่บริษัทยักษ์ใหญ่หรือองค์กรส่วนใหญ่ของเราแทบไม่มีความสามารถในการสร้างระบบที่ปลอดภัย
    เหตุผลหนึ่งที่เรายังหลีกเลี่ยงความจริงข้อนี้ก็เพราะแม้แต่งานวิจัยด้านความปลอดภัยของทีม red team ภายในยังไม่ค่อยได้รับอนุญาต
    ผลลัพธ์คือทุกอย่างกลับเอื้อประโยชน์ให้บริษัทและองค์กรที่มีอำนาจ
    บริษัทพูดทำนองว่า "ระบบของเราเป็นความรับผิดชอบของเราเอง และห้ามทดสอบโดยไม่ได้รับอนุญาต แต่ถ้าข้อมูลรั่ว เราก็ไม่ต้องรับผิด"
    จึงเป็นเรื่องน่าขันที่องค์กรเลือกเองว่าจะรับผิดชอบเมื่อไรหรือไม่รับผิดชอบเมื่อไรตามที่เป็นประโยชน์กับตัวเอง
    บริษัทต้องรับผิดชอบต่อความปลอดภัยของระบบตัวเอง หรือว่านี่เป็นภารกิจร่วมกันของพวกเราทุกคน? ประเด็นนี้ต้องทำให้ชัด
    เมื่อข้อมูลของประชากรครึ่งประเทศรั่วเป็นประจำ มันให้ความรู้สึกว่าเป็นปัญหาที่ทุกคนเกี่ยวข้อง
    และนี่เป็นประเด็นความมั่นคงแห่งชาติจริง ๆ
    ตัวอย่างเช่น มีหน่วยงานอิสระตรวจสอบหรือไม่ว่าโครงข่ายไฟฟ้าของประเทศปลอดภัยแค่ไหน หรือฉันสามารถลองตรวจสอบเองอย่างถูกกฎหมายได้ไหม?
    ไม่ได้ ทำไม่ได้ แค่พยายามก็อาจเป็นอาชญากรรมร้ายแรงแล้ว
    องค์กรทรงอำนาจเหล่านี้มีช่องโหว่ในระบบได้โดยแทบไม่ต้องทำอะไร และคนนอกก็ไม่มีสิทธิ์แม้แต่จะศึกษาช่องโหว่นั้น
    สุดท้ายเรากำลังเอาความมั่นคงแห่งชาติไปสังเวยให้กับความสะดวกของบริษัทและการไม่ให้บริษัทต้องเสียหน้า

    • ทำให้นึกย้อนว่าเคยมีฐานข้อมูลลูกค้าของ Google, facebook, Microsoft ถูกแฮ็กจริง ๆ หรือเปล่า
      ทุกวันนี้แทบไม่มีความรับผิดอะไรเลยสำหรับบริษัทที่สร้างซอฟต์แวร์แบบหละหลวมขนาดนี้
      การรั่วไหลแต่ละครั้งควรสร้างความเสียหายให้บริษัทนั้นในระดับที่เหมาะกับขนาดของมัน
      เช่นกรณี Equifax ควรหนักถึงขั้นเกือบทำให้บริษัทล่มสลาย
      ค่าปรับต้องอยู่ในระดับหลายพันล้านดอลลาร์ถึงจะทำให้ตื่นตัวและตรวจสอบภายในกันอย่างจริงจัง
      ตอนนี้แทบไม่มีเหตุผลอะไรเลยที่จะต้องใส่ใจเรื่องความปลอดภัย

    • ถ้าโครงสร้างทำให้บริษัทโดนลงโทษหนักจริง ๆ เช่นมีระบบที่หน่วยงานกำกับประเมินมูลค่าความเสียหายและกำหนดบทลงโทษระยะยาว ราคาหุ้นจะตกและบริษัทก็จะจำเป็นต้องให้ความสำคัญกับความปลอดภัยอย่างจริงจัง
      แต่ความเป็นจริงกลับตรงกันข้าม หลายบริษัทจบแค่โดนเตือนเบา ๆ เท่านั้น

    • เป็นข้อเสนอที่น่าสนใจ
      แต่ถ้าแฮ็กเกอร์หมวกขาวและหมวกเทาได้รับความคุ้มครองทางกฎหมายทั้งหมด แฮ็กเกอร์หมวกดำก็อาจแฮ็กทุกระบบล่วงหน้าได้เต็มที่ แล้วอ้างว่า "ฉันแค่กำลังหาช่องโหว่"
      พวกเขาอาจไม่รายงานช่องโหว่ แค่จำทุกวิธีไว้แล้วเอาไปใช้โจมตีจริงเมื่อไรก็ได้
      หรืออาจแกล้งทำตัวเป็นหมวกขาวไปตลอดชีวิต แต่แอบขายข้อมูลเหล่านั้นลับหลัง
      ระบบปัจจุบันอย่างน้อยก็ช่วยยับยั้งพฤติกรรมแบบนั้นอยู่

    • ถ้าจะไม่ให้เกิดปัญหานี้ เว็บก็ควรมีความไม่ระบุตัวตนอยู่พอสมควร และในกรณีที่เจอช่องโหว่โดยบังเอิญหรือเกิดปัญหาจากการใช้งานตามปกติ ก็ไม่ควรถูกนับเป็นอาชญากรรม
      อีกทางหนึ่งคือเก็บโทเคนแบบการเข้ารหัสอสมมาตรแทนสตริงในฐานข้อมูล เพื่อให้เมื่อเกิดการรั่วไหล ผู้ใช้จะสามารถได้รับการชดเชยจากบริการนั้นได้
      แต่ไม่มีบริษัทไหนอยากรับประกันการคุ้มครองผู้ใช้อย่างแท้จริงในลักษณะนี้
      ท้ายที่สุดงานด้านความปลอดภัยส่วนใหญ่ก็เป็นแค่การทำให้ดูดีเท่านั้น

    • สิ่งสำคัญคือต้องตระหนักว่างานวิจัยด้านความปลอดภัยไม่ใช่เรื่องเดียวกันทั้งหมด
      งานวิจัยระดับสามัญสำนึกที่คนจำนวนมากน่าจะเห็นด้วย—เช่นบังเอิญเจอช่องโหว่แล้วแจ้ง—ควรได้รับความคุ้มครองแน่นอน
      แต่การทดสอบเจาะระบบโดยไม่มีการอนุญาตอย่างชัดเจนอาจสร้างความปั่นป่วนให้ระบบจริงได้
      ถ้าเปิดให้ทุกคนทำได้แบบไม่จำกัด มันอาจรบกวนแม้แต่ระบบที่สร้างมาดีแล้ว
      บางด้านแก้ได้เชิงเทคนิคเหมือนอัลกอริทึมการเข้ารหัส แต่ไซเบอร์ซีเคียวริตี้ก็ยังต้องพึ่งกฎหมายและความไว้วางใจอยู่ดี

  • การรั่วไหลของข้อมูลที่ไม่รู้จบแบบนี้อาจลดลงได้ถ้าเปลี่ยนโครงสร้างแรงจูงใจ แต่ในความเป็นจริงฉันว่าทำได้ยาก
    เราต้องยอมรับว่าไม่สามารถป้องกันได้ทั้งหมด—มนุษย์ทำพลาด และยิ่งระบบใหญ่ ความผิดพลาดก็ยิ่งมาก
    แต่ก็ไม่ได้แปลว่าเราควรหยุดพยายาม
    อีกทางหนึ่งคือควรทำหลายอย่างควบคู่กันเพื่อลดความเสียหายจากข้อมูลส่วนบุคคลรั่วไหล
    อย่าถือว่าวันเดือนปีเกิด ชื่อ ที่อยู่ เบอร์โทร อีเมล SSN และข้อมูลทำนองนี้เป็นความลับ แต่ควรปิดกั้นช่องทางต่าง ๆ ที่ใช้ข้อมูลเหล่านี้ไปก่อ "การขโมยตัวตน" ได้จริง
    ฉันไม่ชอบคำว่า identity theft เลย—มันฟังเหมือนเป็นความผิดของเหยื่อ
    ทั้งที่จริงปัญหาคือบริษัทตรวจสอบตัวตนของอีกฝ่ายแบบลวก ๆ แล้วทำธุรกรรม
    ภาระความรับผิดชอบควรอยู่ที่บริษัท
    เช่นถ้าธนาคารปล่อยกู้ในชื่อของฉัน ความรับผิดควรอยู่ที่ธนาคาร ไม่ใช่ฉัน
    ถ้าเปลี่ยนโครงสร้างนี้ได้ บริษัทก็จะตรวจสอบตัวตนอย่างเข้มงวดขึ้นและแรงจูงใจก็จะถูกต้อง
    แน่นอนว่าปัญหาของข้อมูลรั่วไม่ได้มีแค่เรื่องการขโมยตัวตน แต่แค่มุมนี้ก็น่าจะแก้ได้พอสมควรแล้ว

    • ถ้าคุณเห็นด้วยกับฉันที่ไม่ชอบคำว่า identity theft ฉันอยากแนะนำวิดีโอสเก็ตช์นี้
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • เกี่ยวกับข้ออ้างที่ว่า "ถ้าปรับแรงจูงใจให้ถูก การรั่วไหลจะลดลง" ฉันสงสัยว่าต้นทุนในการรับมือความเสียหายจากการรั่วจริง ๆ สูงกว่าต้นทุนในการป้องกันมันอย่างเป็นระบบหรือไม่
      ถ้าไม่ใช่กรณีที่เกี่ยวข้องกับความมั่นคงแห่งชาติ ก็ยังพูดยากว่าจะสรุปได้ชัดว่าความเสียหายสูงกว่าค่ามาตรการป้องกัน

    • คำว่า "การขโมยตัวตน" ไม่ได้ให้ความรู้สึกว่าผู้เสียหายทำผิดเสมอไป
      เวลาเราบอกว่ามีคนโดนขโมยของ ก็ไม่ได้หมายความว่าคนนั้นเป็นฝ่ายผิด
      เหมือนเงินของฉันถูกขโมยจากตู้นิรภัยของธนาคารก็ไม่ใช่ความผิดของฉัน
      เพียงแต่ในโลกไซเบอร์ ผู้โจมตีอาจอยู่คนละฟากโลก ทำให้คุ้มครองเหยื่อได้ยาก
      สุดท้ายแล้ว เหยื่อก็คือเหยื่ออยู่ดี

    • เรามีทางแก้อยู่แล้ว—MFA (การยืนยันตัวตนหลายปัจจัย) และการรวมศูนย์ IdP (ผู้ให้บริการยืนยันตัวตน)
      อย่างหนึ่งคือสิ่งที่รู้ (ข้อมูล) อีกอย่างคือสิ่งที่มีหรือข้อมูลชีวมิติ (เช่น ลายนิ้วมือ)
      IdP จะเป็นผู้ทำการยืนยันตัวตนทั้งสองด้านและกระจายความรับผิดของการยืนยัน
      คล้ายกับใบขับขี่ที่ฉันถืออยู่ และระบบของรัฐก็สามารถตรวจสอบได้
      ปัญหาคือหลายแห่งใช้การจดจำใบหน้าเป็นปัจจัยที่สอง ซึ่งมีความเสี่ยงด้านความเป็นส่วนตัวสูง
      ในระยะยาว รัฐอาจกลายเป็น IdP เพียงรายเดียวก็ได้
      วิธีที่ไม่ใช่ชีวมิติอาจมีปัญหาจริงในการขยายสเกล แต่ลายนิ้วมือและข้อมูลคล้ายกันนั้นหลายประเทศก็จัดการอยู่แล้วจริง ๆ จึงน่าจะดีกว่าการจดจำใบหน้า

  • เรื่องแบบนี้จะไม่มีวัน ไม่มีวันหายไป จนกว่าผู้บริหารจะล้มละลายหรือถึงขั้นติดคุกเพราะความประมาท
    ถึงต่อให้เป็นแบบนั้น อย่างมากก็แค่ลดความถี่และความรุนแรงลงเท่านั้น

    • ถ้าไม่ใช่ความประมาทโดยเจตนาหรือการกระทำโดยมุ่งร้าย ฉันไม่คิดว่าการส่งใครเข้าคุกคือคำตอบ
      เหตุการณ์ด้านความปลอดภัยส่วนใหญ่เกิดจากความผิดพลาด
      การลงโทษทางการเงินกับบริษัทอาจมีผลยับยั้ง แต่ถ้าบริษัทล้ม คนหลายร้อยหรือหลายพันคนก็อาจตกงานทันที
      เพราะแค่ตั้งค่าไฟร์วอลล์พลาด หรือพนักงานโดน social engineering ก็ทำให้บริษัทเสียหายหนักมากได้
      ทางที่เป็นจริงกว่าอาจเป็นการยอมรับว่าคลาวด์, SaaS และระบบที่เชื่อมต่ออินเทอร์เน็ตนั้นโดยพื้นฐานแล้วไม่ปลอดภัย และจำกัดการใช้งานมันอย่างมาก
      หรือปรับโครงสร้างสังคมเสียใหม่ให้ข้อมูลอย่างชื่อ SSN วันเกิด ที่อยู่ หรือนามสกุลเดิมของแม่ หลุดไปก็ไม่มีความหมาย

    • ฉันเสนอให้ยกเลิกความรับผิดแบบจำกัด
      ผู้ถือหุ้นควรต้องรับผิดชอบความเสียหายทั้งหมดของเหยื่อโดยเอาทรัพย์สินทั้งหมดของตัวเองเป็นเดิมพัน
      ถ้าอยากได้กำไร ก็ต้องรับความเสี่ยงทั้งหมดด้วยเป็นเรื่องธรรมดา

    • จำได้ว่าตอน GDPR ออกมา ผู้คนตื่นเต้นกันมากเพราะมีการโฆษณาว่าผู้บริหารจะต้องรับผิดชอบต่อเหตุแฮ็กโดยตรงเสียที
      ตอนนั้นฉันคิดว่าเป็นเรื่องเพ้อเจ้อ และสุดท้ายก็เป็นอย่างนั้นจริง ๆ
      ถ้าจะให้มีความรับผิดทางกฎหมาย ต้องพิสูจน์ให้ได้ว่าเป็นความประมาทร้ายแรง และในศาลก็มีช่องให้หลุดเยอะมาก
      ยุคที่ผู้บริหารต้องรับผิดชอบทุกอย่างที่เกิดขึ้นในช่วงที่ตัวเองดำรงตำแหน่งคงไม่มีวันมาถึง

  • ฉันคิดว่าควรมีกฎปรับแบบอัตโนมัติ £1,000 ต่อข้อมูลลูกค้าที่รั่ว 1 รายการ
    ถ้าบริษัทมีลูกค้าหลายล้านคน ก็อาจถึงขั้นจบบริษัทได้เลย
    แต่ความจริงคือพวกเขาแทบไม่ใส่ใจ และถ้าวันหนึ่งข้อมูลรั่ว ก็แค่ส่งอีเมลขอโทษแบบไม่ร้อนรนสักฉบับก็จบ
    ในสหราชอาณาจักร ICO (สำนักงานคณะกรรมการข้อมูลข่าวสาร) ไร้ประโยชน์และอันตรายพอ ๆ กับ Ofwat (หน่วยงานกำกับดูแลน้ำ)
    (แก้คำผิดแล้ว)

    • ค่าปรับควรจ่ายให้ลูกค้าโดยตรง
      ตอนนี้โครงสร้างเป็นแบบรอผลคดีแบบกลุ่มไปเป็นปี แล้วสุดท้ายได้เงินคืนแค่ไม่กี่เซ็นต์ ซึ่งแทบไม่ช่วยลูกค้าเลย

    • ถ้าทำให้ "บริษัทฟื้นตัวไม่ได้" แล้วลูกค้าของบริษัทนั้นจะเป็นอย่างไร?
      มันจะไม่กลายเป็นการทำให้ผู้เสียหายโดนซ้ำอีกหรือ?

    • กังวลว่าถ้าค่าปรับสูงเกินไป เศรษฐกิจทั้งประเทศอาจได้รับผลกระทบไหม

  • Allianz เองก็ขายประกันสำหรับรับมือการโจมตีทางไซเบอร์แบบนี้อยู่จริง
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • ตัวประกันเองก็เป็นส่วนหนึ่งของปัญหา
      เพราะสำหรับบริษัทแล้ว การละเลยการพัฒนาซอฟต์แวร์ที่ปลอดภัยและการวิจัย/ลงทุน แล้วไปซื้อประกันแทน กลับถูกกว่า
      ถ้าโครงสร้างนี้ยังอยู่ ก็จะไม่มีอะไรเปลี่ยน

    • อย่างน้อยก็ดีที่เห็นว่าการป้องกัน endpoint ตามสัญญาทำงานได้ถูกต้อง

  • ส่วนหนึ่งก็เป็นเพราะนักพัฒนา Salesforce ไม่ค่อยรู้จักผลิตภัณฑ์ของตัวเองดีพอ และตัว Salesforce เองก็ไม่ได้ใส่ใจความปลอดภัยมากนัก
    ในสภาพแวดล้อมที่ตั้งค่าไม่ดี คุณสามารถดูข้อมูลทั้งหมดที่ดึงออกมาได้ด้วย web request แค่ 2 ครั้งโดยไม่ต้องยืนยันตัวตน
    ระบบมอนิเตอร์ก็แทบไม่มี ต้องออกแบบระบบ security monitoring ภายนอกทั้งหมดใหม่โดยอาศัย log ที่ย่ำแย่ของ Salesforce
    มีคู่มืออ้างอิงที่น่าสนใจด้วยเลยแปะไว้
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    คุณสามารถทำสิ่งนี้ให้เป็นอัตโนมัติและค้นหาไปจนเจอไซต์ Salesforce ได้หลังจากทำ recon เสร็จ
    ฉันเคยทำแบบนั้นมาจริง

  • ในข่าวบอกว่า "เมื่อวันที่ 16 กรกฎาคม 2025 แฮ็กเกอร์ผู้ไม่หวังดีเข้าถึงระบบ CRM บนคลาวด์ของบุคคลที่สามที่ Allianz Life ใช้งานอยู่"
    เลยสงสัยมากว่าเจ้า 'CRM บนคลาวด์ของบุคคลที่สาม' นี้มันคืออะไรกันแน่

    • งานเขียนล่าสุดของ Google เกี่ยวกับ Salesforce ก็น่าอ่านเหมือนกัน
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • ในอีกบทความหนึ่งมีการระบุว่าเป็น Salesforce และบ่อยครั้งที่ฝั่งเจ้าของข้อมูลเองก็ตั้งค่าความปลอดภัยหละหลวม
      tenant ของ Salesforce ที่ตั้งค่าผิดมีอยู่เกลื่อนอินเทอร์เน็ต

    • ไม่ว่าระบบไหนก็คงไม่ได้ต่างกันมากไม่ใช่หรือ
      สาเหตุไม่ใช่การแฮ็กเชิงเทคนิค แต่เป็นการโจมตีแบบ social engineering (หลอกคน)

    • สงสัยว่าขึ้นอยู่กับ CRM ที่ใช้อยู่หรือไม่ เพราะอาจเข้าข่ายละเมิด HIPAA ได้

  • การจัดการความปลอดภัยของข้อมูลที่หละหลวมแทบไม่มีบทลงโทษจริงจังสำหรับบริษัทใหญ่
    รัฐบาลก็ทำให้การเปลี่ยน SSN แทบเป็นไปไม่ได้ แต่ก็ยังใช้ SSN สำหรับยืนยันตัวตนอยู่
    ผลคือคนส่วนใหญ่ถูกเปิดโปงข้อมูลกันไปหมดแล้ว

  • อย่างที่บทความกล่าวไว้ นอกจากการโจมตีแบบ social engineering ผ่านคอลเซ็นเตอร์ที่เป็นตัวอย่างเด่นแล้ว ข้อมูลของบริษัทยังเกลื่อนอินเทอร์เน็ตมาก
    เช่น LinkedIn คือขุมทรัพย์ของ social engineering
    โปรไฟล์สามารถถูกดูได้โดยผู้ใช้ที่ล็อกอินทุกคนไม่ว่าจะเชื่อมต่อกันหรือไม่ ดังนั้นจึงแปลกที่ยังมีบริษัทไม่มากนักที่ตรวจสอบโปรไฟล์พนักงานอย่างจริงจัง

  • สำหรับลูกค้านี่คือความยุ่งยากใหญ่ และสำหรับบริษัทก็กระทบหนัก แต่พอถึงจุดหนึ่งก็อดคิดไม่ได้ว่านี่ควรถูกมองเป็นความล้มเหลวของระบบสังคมแบบ "โศกนาฏกรรมของทรัพยากรส่วนรวม" หรือไม่
    ในทางกฎหมาย ถ้าธนาคารใช้แค่ข้อมูลสาธารณะที่เสี่ยงต่อการถูกนำไปสวมสิทธิ์สูงมากในการยืนยันตัวตน (เช่น SSN หรือนามสกุลเดิมของแม่) แล้วเกิดเหตุจริง ธนาคารก็ควรต้องเป็นฝ่ายรับผิดไม่ใช่หรือ