- แพลตฟอร์มการชำระเงิน Checkout.com ถูกองค์กรอาชญากรรมไซเบอร์พยายาม ข่มขู่เรียกค่าไถ่ แต่ ปฏิเสธการจ่ายค่าไถ่ และนำจำนวนเงินดังกล่าวไป บริจาคให้การวิจัยด้านความปลอดภัยไซเบอร์ แทน
- ผู้โจมตีเข้าถึง ระบบจัดเก็บไฟล์บนคลาวด์ของบุคคลที่สามแบบเลกาซี ที่ใช้งานก่อนปี 2020 โดยไม่ได้รับอนุญาต และได้ข้อมูลบางส่วนไป
- Checkout.com ระบุชัดว่า แพลตฟอร์มประมวลผลการชำระเงิน เงินทุนของร้านค้า และข้อมูลบัตรไม่ได้รับผลกระทบแต่อย่างใด
- บริษัทประเมินว่าอาจมีผลกระทบต่อ ร้านค้าน้อยกว่า 25% ของทั้งหมด และกำลัง ร่วมมือกับหน่วยงานบังคับใช้กฎหมายและหน่วยงานกำกับดูแล
- บริษัทได้บริจาคให้กับ Carnegie Mellon University และ University of Oxford Cyber Security Center พร้อมย้ำอีกครั้งว่า ความโปร่งใสและความไว้วางใจคือคุณค่าหลักของอุตสาหกรรม
ภาพรวมเหตุการณ์
- Checkout.com ได้รับการติดต่อเมื่อสัปดาห์ที่แล้วจาก กลุ่มอาชญากรรมชื่อ “ShinyHunters” ซึ่งอ้างว่าได้ข้อมูลที่เกี่ยวข้องกับ Checkout.com และ เรียกค่าไถ่
- จากการสอบสวนพบว่า ผู้โจมตีได้เข้าถึง ระบบจัดเก็บไฟล์บนคลาวด์ของบุคคลที่สามที่ใช้งานก่อนปี 2020 โดยไม่ได้รับอนุญาต
- ระบบดังกล่าวใช้สำหรับจัดเก็บ เอกสารการดำเนินงานภายในและเอกสาร onboarding ของร้านค้า
- Checkout.com ยอมรับว่าเป็นความผิดพลาดของบริษัทที่ ไม่ได้ยกเลิกการใช้งานระบบนี้อย่างเหมาะสม
- บริษัทระบุว่าเหตุการณ์นี้ ไม่ส่งผลกระทบต่อแพลตฟอร์มประมวลผลการชำระเงิน และผู้โจมตี ไม่สามารถเข้าถึงเงินทุนของร้านค้าหรือหมายเลขบัตรได้
ผลกระทบและมาตรการตอบสนอง
- Checkout.com ประเมินว่า ปัจจุบันมีร้านค้าน้อยกว่า 25% ที่อาจได้รับผลกระทบ
- บริษัทกำลังดำเนินการ ระบุร้านค้าที่ได้รับผลกระทบและติดต่อเป็นรายบุคคล พร้อมทั้ง ร่วมมือกับหน่วยงานบังคับใช้กฎหมายและหน่วยงานกำกับดูแลที่เกี่ยวข้อง
- Checkout.com เน้นย้ำเรื่อง ความโปร่งใสและความรับผิดชอบ และแสดงเจตนารมณ์ที่จะ รักษาความไว้วางใจ ของพาร์ตเนอร์และลูกค้า
การปฏิเสธค่าไถ่และการตัดสินใจบริจาค
- Checkout.com ประกาศว่าจะไม่จ่ายค่าไถ่ให้กับอาชญากร
- บริษัทจะนำจำนวนเงินที่ถูกเรียกร้องจากการโจมตีไป บริจาคเป็นทุนสนับสนุนการวิจัยอาชญากรรมไซเบอร์ ให้แก่ Carnegie Mellon University และ University of Oxford Cyber Security Center แทน
- บริษัทระบุว่าจะเปลี่ยนเหตุการณ์ครั้งนี้ให้เป็น แรงผลักดันต่อการลงทุนด้านความปลอดภัยของทั้งอุตสาหกรรม
จุดยืนและคำมั่นของบริษัท
- Checkout.com ระบุว่า “ความปลอดภัย ความโปร่งใส และความไว้วางใจ คือรากฐานของอุตสาหกรรม” พร้อมกล่าวว่า จะยอมรับความผิดพลาดและปกป้องร้านค้า
- บริษัทย้ำว่าจะ ลงทุนในการต่อสู้กับการกระทำผิดที่คุกคามเศรษฐกิจดิจิทัล
- ร้านค้าสามารถ ขอรับการสนับสนุนผ่านช่องทางติดต่อ Checkout เดิมที่มีอยู่
บทสรุป
- Checkout.com แสดงให้เห็นถึง จุดยืนที่เด็ดขาดต่อการข่มขู่เรียกค่าไถ่ทางไซเบอร์ ผ่านเหตุการณ์ครั้งนี้ และ
มุ่งเสริมความแข็งแกร่งให้การป้องกันของทั้งอุตสาหกรรมผ่านการบริจาคเพื่อการวิจัยด้านความปลอดภัย - บริษัทกำลังมุ่งเน้น การฟื้นฟูความไว้วางใจของร้านค้า ผ่าน การเปิดเผยข้อมูลอย่างโปร่งใสและมาตรการที่มีความรับผิดชอบ
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เมื่อหลายปีก่อน สมาชิกของ ShinyHunters เคยถูก FBI จับกุม
ฉันเคยอยู่เรือนจำเดียวกับ Sebastian Raoult ซึ่งเป็นหนึ่งในนั้น และได้คุยกันพอสมควร
ความมุ่งมั่นอย่างไม่ลดละที่พวกเขาแสดงออกมาเพื่อทำ การโจมตีแบบฟิชชิง ในวงกว้างนั้นน่าทึ่งมาก พวกเขาได้สิทธิ์เข้าถึงส่วนใหญ่ด้วยวิธีนั้น และนอกจากนี้ก็หา API endpoint บน GitHub เพื่อตามหา คีย์ที่รั่วไหล
เขาไม่ค่อยชอบตัวสแกนอัตโนมัติของ GitHub เท่าไร
บทความที่เกี่ยวข้อง: ข่าวประชาสัมพันธ์ของกระทรวงยุติธรรมสหรัฐฯ
เพราะแบบนั้นจึงไม่น่าแปลกใจที่พวกเขาได้สิทธิ์เข้าถึงผ่าน social engineering
ที่น่าสนใจคือ ตัวพวกเขาเองก็อาจเป็นเหยื่อของ social engineering ได้เช่นกัน คนที่ทำ exploit สำหรับเกมออนไลน์เพื่อล่อแฮ็กเกอร์อายุน้อย สุดท้ายก็กำลังสร้างโครงสร้างที่ทำเงินได้ปลอดภัยกว่า
เลยอดสงสัยไม่ได้ว่าใช้ โฮสติ้งผิดกฎหมาย หรือถูกตามรอยผ่านผู้ให้บริการชำระเงิน
แล้วก็อยากรู้ด้วยว่าเว็บนั้นเป็นแบบ Sportsurge ที่แค่ให้ลิงก์ หรือโฮสต์สตรีมจริง ๆ
จากคำขอโทษของบริษัท
สิ่งที่สำคัญกว่าคำขอโทษจริง ๆ คือ การวิเคราะห์สาเหตุราก และมาตรการป้องกันไม่ให้เกิดซ้ำ
ต้องเปิดเผยให้ได้ว่ายังมีระบบเก่าที่จัดการข้อมูลลูกค้าอยู่อีกมากแค่ไหน และใครเป็นคนขวางงบประมาณ ถึงจะกู้ความเชื่อมั่นกลับมาได้
คำขอโทษที่แท้จริงต้องแสดงออกผ่าน การชดเชย ไม่ใช่แค่คำพูด
ถ้าฉันเป็นลูกค้า ก็คงโกรธเหมือนกัน แต่คิดว่าการรับมือครั้งนี้เป็น รูปแบบที่ดีที่สุดเท่าที่พอจะเป็นไปได้
ต้องมีทั้ง ความรับผิดทางกฎหมาย การคืนเงิน และ การกำกับดูแลที่เข้มงวดขึ้น ควบคู่กันไป
อยากให้เผยแพร่ ผลการตรวจสอบและ postmortem ออกมาพร้อมกันเพื่อความโปร่งใส
การบริจาคครั้งนี้ให้ความรู้สึกเหมือนเป็น การสร้างภาพ มากกว่าการปรับปรุงความปลอดภัยอย่างเป็นรูปธรรม
การทำตามแนวปฏิบัติด้านความปลอดภัยที่รู้กันอยู่แล้วสำคัญกว่า เงินก้อนนั้นควรถูกนำไปใช้กับ การจ้างบุคลากรด้านความปลอดภัย หรือเสริมความแข็งแกร่งให้ระบบมากกว่า
(อ้างอิง: การแฮ็กเกิดขึ้นใน ระบบเลกาซี ที่ยังไม่ได้ปลดระวาง)
มันไม่ใช่แค่การแสดงคุณธรรม แต่เป็นสัญญาณว่า ‘เราไม่ยอมก้มหัวให้ข้อเรียกร้องค่าไถ่’
ถ้าจ่ายค่าไถ่ ก็อาจยิ่งเชิญชวนให้เกิดการโจมตีมากขึ้น
ถึงจะเสียเงินไป แต่การเลือกใช้มันใน ทิศทางที่มีคุณค่า ก็ถือว่าฉลาด
แม้จะมีผลเสียจากการนำเงินไปสนับสนุนอาชญากร แต่ถ้าไม่จ่าย ลูกค้าอาจได้รับความเสียหายมากกว่า
ถ้อยคำที่ว่า “ผู้โจมตีเข้าถึงผ่านระบบ คลาวด์สตอเรจของบุคคลที่สาม” ฟังดูคล้าย การปัดความรับผิดชอบ เล็กน้อย
ต่อให้เกิดเหตุแบบนี้ ก็แค่โดนหัวเราะเยาะอยู่ประมาณสัปดาห์หนึ่งแล้วก็จบ สุดท้าย แทบไม่มีการเปลี่ยนแปลงที่รากฐาน
ฉันคิดว่าการ ตอบสนองอย่างเปิดเผยและการบริจาค แบบนี้เป็นการตัดสินใจที่กล้าหาญ
ความปลอดภัยที่สมบูรณ์แบบเป็นไปไม่ได้ และตอนนี้ยังไม่มี postmortem ออกมา จึงยากที่จะรีบตำหนิ
การไม่ปกปิดและเปิดเผยต่อสาธารณะ รวมถึง แนวทางเพื่อประโยชน์สาธารณะผ่านการบริจาคให้ภาควิชาการ เป็นสิ่งที่น่าชื่นชมมาก
เมื่อดูจากประโยคที่ว่า “ระบบที่ใช้สำหรับเอกสารปฏิบัติการภายในและเอกสาร onboarding ของร้านค้า” ก็มีโอกาสสูงว่าน่าจะเป็น เอกสารที่เก็บระหว่างกระบวนการ KYC
กล่าวคือ อาจรวมถึงเอกสารบริษัทหรือ สแกนหนังสือเดินทาง/บัตรประจำตัว
ข้อมูลแบบนี้มี ความเสี่ยงต่อการขโมยตัวตน สูง และอาจยังใช้การได้อีกหลายปี
หลัง GDPR ข้อมูลอ่อนไหวแบบนี้มักถูกเก็บไว้ใน โซนความปลอดภัยแยกต่างหาก
น่าจะเป็นเพียง คลังเก็บ PDF หรือเอกสารแบบสอบถาม ที่ทีม onboarding ใช้งานมากกว่า
ต่อให้บอกว่า “มีลูกค้าได้รับผลกระทบน้อยกว่า 25%” ถ้าฉันเป็นหนึ่งในนั้น ก็คงยากที่จะพอใจกับ ท่าทีเชิงสัญลักษณ์ที่ไม่มีการชดเชย
“OXCIS” หมายถึง Oxford Centre for Islamic Studies ดังนั้นไม่น่าใช่อันนั้น
ปลายทางการบริจาคจริงน่าจะเป็น ศูนย์วิจัยด้าน Cyber Security ของมหาวิทยาลัย Oxford
จากประสบการณ์ที่เคยทำงานในวงการฟินเทค ข้อมูลที่รั่วครั้งนี้น่าจะเป็น เอกสาร KYB ของร้านค้า
นี่คือข้อมูลสำหรับประเมินความเสี่ยงของผู้ประกอบการ ซึ่งไม่ได้อ่อนไหวเท่า ข้อมูลการชำระเงินหรือ PAN
แน่นอนว่าการถูกแฮ็กเป็นเรื่องแย่ แต่ข้อมูลลักษณะนี้บางส่วนก็อาจเป็น ข้อมูลสาธารณะ อยู่แล้ว
ฉันชื่นชมที่บริษัท เปิดเผยเรื่องนี้อย่างโปร่งใส
ดังนั้นจึงยังมีความเสี่ยงต่อ การขโมยตัวตนของกลุ่มคนฐานะดี อยู่เช่นกัน