1 คะแนน โดย GN⁺ 2025-11-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • แพลตฟอร์มการชำระเงิน Checkout.com ถูกองค์กรอาชญากรรมไซเบอร์พยายาม ข่มขู่เรียกค่าไถ่ แต่ ปฏิเสธการจ่ายค่าไถ่ และนำจำนวนเงินดังกล่าวไป บริจาคให้การวิจัยด้านความปลอดภัยไซเบอร์ แทน
  • ผู้โจมตีเข้าถึง ระบบจัดเก็บไฟล์บนคลาวด์ของบุคคลที่สามแบบเลกาซี ที่ใช้งานก่อนปี 2020 โดยไม่ได้รับอนุญาต และได้ข้อมูลบางส่วนไป
  • Checkout.com ระบุชัดว่า แพลตฟอร์มประมวลผลการชำระเงิน เงินทุนของร้านค้า และข้อมูลบัตรไม่ได้รับผลกระทบแต่อย่างใด
  • บริษัทประเมินว่าอาจมีผลกระทบต่อ ร้านค้าน้อยกว่า 25% ของทั้งหมด และกำลัง ร่วมมือกับหน่วยงานบังคับใช้กฎหมายและหน่วยงานกำกับดูแล
  • บริษัทได้บริจาคให้กับ Carnegie Mellon University และ University of Oxford Cyber Security Center พร้อมย้ำอีกครั้งว่า ความโปร่งใสและความไว้วางใจคือคุณค่าหลักของอุตสาหกรรม

ภาพรวมเหตุการณ์

  • Checkout.com ได้รับการติดต่อเมื่อสัปดาห์ที่แล้วจาก กลุ่มอาชญากรรมชื่อ “ShinyHunters” ซึ่งอ้างว่าได้ข้อมูลที่เกี่ยวข้องกับ Checkout.com และ เรียกค่าไถ่
  • จากการสอบสวนพบว่า ผู้โจมตีได้เข้าถึง ระบบจัดเก็บไฟล์บนคลาวด์ของบุคคลที่สามที่ใช้งานก่อนปี 2020 โดยไม่ได้รับอนุญาต
    • ระบบดังกล่าวใช้สำหรับจัดเก็บ เอกสารการดำเนินงานภายในและเอกสาร onboarding ของร้านค้า
    • Checkout.com ยอมรับว่าเป็นความผิดพลาดของบริษัทที่ ไม่ได้ยกเลิกการใช้งานระบบนี้อย่างเหมาะสม
  • บริษัทระบุว่าเหตุการณ์นี้ ไม่ส่งผลกระทบต่อแพลตฟอร์มประมวลผลการชำระเงิน และผู้โจมตี ไม่สามารถเข้าถึงเงินทุนของร้านค้าหรือหมายเลขบัตรได้

ผลกระทบและมาตรการตอบสนอง

  • Checkout.com ประเมินว่า ปัจจุบันมีร้านค้าน้อยกว่า 25% ที่อาจได้รับผลกระทบ
  • บริษัทกำลังดำเนินการ ระบุร้านค้าที่ได้รับผลกระทบและติดต่อเป็นรายบุคคล พร้อมทั้ง ร่วมมือกับหน่วยงานบังคับใช้กฎหมายและหน่วยงานกำกับดูแลที่เกี่ยวข้อง
  • Checkout.com เน้นย้ำเรื่อง ความโปร่งใสและความรับผิดชอบ และแสดงเจตนารมณ์ที่จะ รักษาความไว้วางใจ ของพาร์ตเนอร์และลูกค้า

การปฏิเสธค่าไถ่และการตัดสินใจบริจาค

  • Checkout.com ประกาศว่าจะไม่จ่ายค่าไถ่ให้กับอาชญากร
  • บริษัทจะนำจำนวนเงินที่ถูกเรียกร้องจากการโจมตีไป บริจาคเป็นทุนสนับสนุนการวิจัยอาชญากรรมไซเบอร์ ให้แก่ Carnegie Mellon University และ University of Oxford Cyber Security Center แทน
  • บริษัทระบุว่าจะเปลี่ยนเหตุการณ์ครั้งนี้ให้เป็น แรงผลักดันต่อการลงทุนด้านความปลอดภัยของทั้งอุตสาหกรรม

จุดยืนและคำมั่นของบริษัท

  • Checkout.com ระบุว่า “ความปลอดภัย ความโปร่งใส และความไว้วางใจ คือรากฐานของอุตสาหกรรม” พร้อมกล่าวว่า จะยอมรับความผิดพลาดและปกป้องร้านค้า
  • บริษัทย้ำว่าจะ ลงทุนในการต่อสู้กับการกระทำผิดที่คุกคามเศรษฐกิจดิจิทัล
  • ร้านค้าสามารถ ขอรับการสนับสนุนผ่านช่องทางติดต่อ Checkout เดิมที่มีอยู่

บทสรุป

  • Checkout.com แสดงให้เห็นถึง จุดยืนที่เด็ดขาดต่อการข่มขู่เรียกค่าไถ่ทางไซเบอร์ ผ่านเหตุการณ์ครั้งนี้ และ
    มุ่งเสริมความแข็งแกร่งให้การป้องกันของทั้งอุตสาหกรรมผ่านการบริจาคเพื่อการวิจัยด้านความปลอดภัย
  • บริษัทกำลังมุ่งเน้น การฟื้นฟูความไว้วางใจของร้านค้า ผ่าน การเปิดเผยข้อมูลอย่างโปร่งใสและมาตรการที่มีความรับผิดชอบ

1 ความคิดเห็น

 
GN⁺ 2025-11-14
ความคิดเห็นจาก Hacker News
  • เมื่อหลายปีก่อน สมาชิกของ ShinyHunters เคยถูก FBI จับกุม
    ฉันเคยอยู่เรือนจำเดียวกับ Sebastian Raoult ซึ่งเป็นหนึ่งในนั้น และได้คุยกันพอสมควร
    ความมุ่งมั่นอย่างไม่ลดละที่พวกเขาแสดงออกมาเพื่อทำ การโจมตีแบบฟิชชิง ในวงกว้างนั้นน่าทึ่งมาก พวกเขาได้สิทธิ์เข้าถึงส่วนใหญ่ด้วยวิธีนั้น และนอกจากนี้ก็หา API endpoint บน GitHub เพื่อตามหา คีย์ที่รั่วไหล
    เขาไม่ค่อยชอบตัวสแกนอัตโนมัติของ GitHub เท่าไร
    บทความที่เกี่ยวข้อง: ข่าวประชาสัมพันธ์ของกระทรวงยุติธรรมสหรัฐฯ

    • โดยทั่วไปแล้ว ในโลกไซเบอร์ซีเคียวริตี้ มนุษย์มักเป็น จุดอ่อนที่สุด
      เพราะแบบนั้นจึงไม่น่าแปลกใจที่พวกเขาได้สิทธิ์เข้าถึงผ่าน social engineering
      ที่น่าสนใจคือ ตัวพวกเขาเองก็อาจเป็นเหยื่อของ social engineering ได้เช่นกัน คนที่ทำ exploit สำหรับเกมออนไลน์เพื่อล่อแฮ็กเกอร์อายุน้อย สุดท้ายก็กำลังสร้างโครงสร้างที่ทำเงินได้ปลอดภัยกว่า
    • น่าเสียดายที่ต้องเข้า เรือนจำกลางของสหรัฐฯ เพราะการทำเว็บสตรีมกีฬา
      เลยอดสงสัยไม่ได้ว่าใช้ โฮสติ้งผิดกฎหมาย หรือถูกตามรอยผ่านผู้ให้บริการชำระเงิน
      แล้วก็อยากรู้ด้วยว่าเว็บนั้นเป็นแบบ Sportsurge ที่แค่ให้ลิงก์ หรือโฮสต์สตรีมจริง ๆ
    • เรื่องที่เขาไม่ชอบสแกนเนอร์ของ GitHub ทำให้อยากรู้ว่าเป็นเพราะมัน มีประสิทธิภาพ มากจนขัดขวางกิจกรรมของพวกเขา หรือเพราะเขา คิดว่ามันไร้ความสามารถ
    • อยากฟังคำอธิบายเพิ่มเติมว่า “ความมุ่งมั่นอย่างไม่ลดละสำหรับการทำฟิชชิงในวงกว้างนั้นน่าทึ่ง” หมายถึงอะไรในเชิงรูปธรรม
  • จากคำขอโทษของบริษัท

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    ส่วนนี้ฉันชอบมาก ถึงจะเป็น LLM หรือทีม PR เขียน ก็ยังเป็น ประโยคที่ให้ความรู้สึกจริงใจ

    • เวลาเห็นคำขอโทษแบบนี้ ฉันจะนึกถึง ฉากล้อเลียน BP ใน South Park ทุกที
      สิ่งที่สำคัญกว่าคำขอโทษจริง ๆ คือ การวิเคราะห์สาเหตุราก และมาตรการป้องกันไม่ให้เกิดซ้ำ
      ต้องเปิดเผยให้ได้ว่ายังมีระบบเก่าที่จัดการข้อมูลลูกค้าอยู่อีกมากแค่ไหน และใครเป็นคนขวางงบประมาณ ถึงจะกู้ความเชื่อมั่นกลับมาได้
      คำขอโทษที่แท้จริงต้องแสดงออกผ่าน การชดเชย ไม่ใช่แค่คำพูด
    • คำว่า “We are sorry.” เป็น ถ้อยคำที่พบได้ไม่บ่อย สำหรับองค์กร เลยรู้สึกสดใหม่
    • ฉันคิดว่าแทนที่จะใช้ “We are fully committed to maintaining your trust.” ควรใช้ “rebuilding your trust” มากกว่า
    • ท่าทีแบบแข็งกร้าวอย่าง “เราจะจ่าย 500,000 ดอลลาร์ให้ผู้ที่ให้ข้อมูลซึ่งนำไปสู่การจับกุมคนร้าย” อาจสร้างความเชื่อมั่นได้มากกว่า
    • ชอบที่ไม่มีสำนวนจำเจอย่าง “due to an abundance of caution” โดยรวมแล้วดูเป็น การรับมือที่เป็นแบบอย่าง
  • ถ้าฉันเป็นลูกค้า ก็คงโกรธเหมือนกัน แต่คิดว่าการรับมือครั้งนี้เป็น รูปแบบที่ดีที่สุดเท่าที่พอจะเป็นไปได้

    • การตอบสนองที่รวดเร็ว การเปิดเผยโดยสมัครใจของบริษัท คำขอโทษที่จริงใจ และการอธิบายขอบเขตความเสียหาย ถือว่าครบเกณฑ์ส่วนใหญ่
    • แต่ถ้าจบแค่ “เราขอโทษ” อุตสาหกรรมนี้จะเจอหายนะที่ใหญ่กว่าเดิม
      ต้องมีทั้ง ความรับผิดทางกฎหมาย การคืนเงิน และ การกำกับดูแลที่เข้มงวดขึ้น ควบคู่กันไป
    • แม้จะบอกว่า “ตอบสนองอย่างรวดเร็ว” แต่บริษัทตรวจพบการแฮ็กเองไม่ได้ และเพิ่งเปิดเผยหลังจากผู้โจมตีติดต่อมาก่อน จึง น่าสงสัยว่ารวดเร็วจริงหรือไม่
    • ในมุมของลูกค้า การเลือกที่จะ จ่ายค่าไถ่ เพื่อป้องกันข้อมูลรั่วไหลอาจจะดีกว่าก็ได้
      อยากให้เผยแพร่ ผลการตรวจสอบและ postmortem ออกมาพร้อมกันเพื่อความโปร่งใส
  • การบริจาคครั้งนี้ให้ความรู้สึกเหมือนเป็น การสร้างภาพ มากกว่าการปรับปรุงความปลอดภัยอย่างเป็นรูปธรรม
    การทำตามแนวปฏิบัติด้านความปลอดภัยที่รู้กันอยู่แล้วสำคัญกว่า เงินก้อนนั้นควรถูกนำไปใช้กับ การจ้างบุคลากรด้านความปลอดภัย หรือเสริมความแข็งแกร่งให้ระบบมากกว่า
    (อ้างอิง: การแฮ็กเกิดขึ้นใน ระบบเลกาซี ที่ยังไม่ได้ปลดระวาง)

    • ฉันมองว่าการบริจาคนี้เป็น การยั่วอาชญากร อย่างหนึ่ง เป็นข้อความว่า “เรามีเงิน แต่จะไม่ให้พวกคุณ”
      มันไม่ใช่แค่การแสดงคุณธรรม แต่เป็นสัญญาณว่า ‘เราไม่ยอมก้มหัวให้ข้อเรียกร้องค่าไถ่’
    • ถึงอย่างนั้น การ ส่งสัญญาณเชิงบวก ในสถานการณ์แบบนี้ก็ไม่ใช่เรื่องแย่
      ถ้าจ่ายค่าไถ่ ก็อาจยิ่งเชิญชวนให้เกิดการโจมตีมากขึ้น
      ถึงจะเสียเงินไป แต่การเลือกใช้มันใน ทิศทางที่มีคุณค่า ก็ถือว่าฉลาด
    • สำหรับตอนนี้ ฉันคิดว่า การสร้างภาพเชิงคุณธรรมก็ยังดีกว่าการสร้างภาพเชิงเลวร้าย
    • คำว่า ‘Virtue signaling’ มักใช้วิจารณ์ พฤติกรรมเสแสร้ง แต่ในกรณีนี้ ท่าทีที่ไม่เจรจากับอาชญากรและสนับสนุนงานวิจัยด้านความปลอดภัย เป็นทิศทางที่ถูกต้องในระยะยาว
    • ถึงอย่างนั้น ในมุมของลูกค้า การจ่ายค่าไถ่อาจทำให้ความเสียหายน้อยลง ก็ได้
      แม้จะมีผลเสียจากการนำเงินไปสนับสนุนอาชญากร แต่ถ้าไม่จ่าย ลูกค้าอาจได้รับความเสียหายมากกว่า
  • ถ้อยคำที่ว่า “ผู้โจมตีเข้าถึงผ่านระบบ คลาวด์สตอเรจของบุคคลที่สาม” ฟังดูคล้าย การปัดความรับผิดชอบ เล็กน้อย

    • ถ้าผู้โจมตีได้ข้อมูลอ่อนไหวไปจริง ๆ ฉันก็สงสัยว่าการตอบสนองของบริษัทจะต่างออกไปแค่ไหน
    • โค้ดเบสของบริษัทส่วนใหญ่ยังเต็มไปด้วย เทคโนโลยีเลกาซี
      ต่อให้เกิดเหตุแบบนี้ ก็แค่โดนหัวเราะเยาะอยู่ประมาณสัปดาห์หนึ่งแล้วก็จบ สุดท้าย แทบไม่มีการเปลี่ยนแปลงที่รากฐาน
  • ฉันคิดว่าการ ตอบสนองอย่างเปิดเผยและการบริจาค แบบนี้เป็นการตัดสินใจที่กล้าหาญ
    ความปลอดภัยที่สมบูรณ์แบบเป็นไปไม่ได้ และตอนนี้ยังไม่มี postmortem ออกมา จึงยากที่จะรีบตำหนิ
    การไม่ปกปิดและเปิดเผยต่อสาธารณะ รวมถึง แนวทางเพื่อประโยชน์สาธารณะผ่านการบริจาคให้ภาควิชาการ เป็นสิ่งที่น่าชื่นชมมาก

    • ใน Hacker News มีแนวโน้มที่จะมอง ท่าทีเย้ยหยัน ว่าเป็นเหมือนความเหนือกว่าทางปัญญาอยู่บ่อย ๆ
  • เมื่อดูจากประโยคที่ว่า “ระบบที่ใช้สำหรับเอกสารปฏิบัติการภายในและเอกสาร onboarding ของร้านค้า” ก็มีโอกาสสูงว่าน่าจะเป็น เอกสารที่เก็บระหว่างกระบวนการ KYC
    กล่าวคือ อาจรวมถึงเอกสารบริษัทหรือ สแกนหนังสือเดินทาง/บัตรประจำตัว
    ข้อมูลแบบนี้มี ความเสี่ยงต่อการขโมยตัวตน สูง และอาจยังใช้การได้อีกหลายปี

    • แต่มีความเป็นไปได้น้อยที่สแกนหนังสือเดินทางจะถูกเก็บไว้รวมกับเอกสาร KYB ทั่วไป
      หลัง GDPR ข้อมูลอ่อนไหวแบบนี้มักถูกเก็บไว้ใน โซนความปลอดภัยแยกต่างหาก
      น่าจะเป็นเพียง คลังเก็บ PDF หรือเอกสารแบบสอบถาม ที่ทีม onboarding ใช้งานมากกว่า
  • ต่อให้บอกว่า “มีลูกค้าได้รับผลกระทบน้อยกว่า 25%” ถ้าฉันเป็นหนึ่งในนั้น ก็คงยากที่จะพอใจกับ ท่าทีเชิงสัญลักษณ์ที่ไม่มีการชดเชย

  • “OXCIS” หมายถึง Oxford Centre for Islamic Studies ดังนั้นไม่น่าใช่อันนั้น
    ปลายทางการบริจาคจริงน่าจะเป็น ศูนย์วิจัยด้าน Cyber Security ของมหาวิทยาลัย Oxford

    • Cyber Security Oxford เป็น ชุมชนนักวิจัยด้านไซเบอร์ซีเคียวริตี้ ภายใต้มหาวิทยาลัยออกซ์ฟอร์ด
  • จากประสบการณ์ที่เคยทำงานในวงการฟินเทค ข้อมูลที่รั่วครั้งนี้น่าจะเป็น เอกสาร KYB ของร้านค้า
    นี่คือข้อมูลสำหรับประเมินความเสี่ยงของผู้ประกอบการ ซึ่งไม่ได้อ่อนไหวเท่า ข้อมูลการชำระเงินหรือ PAN
    แน่นอนว่าการถูกแฮ็กเป็นเรื่องแย่ แต่ข้อมูลลักษณะนี้บางส่วนก็อาจเป็น ข้อมูลสาธารณะ อยู่แล้ว
    ฉันชื่นชมที่บริษัท เปิดเผยเรื่องนี้อย่างโปร่งใส

    • แต่ในเอกสาร KYB ก็มักมี หนังสือเดินทางหรือเลขประจำตัวผู้เสียภาษีของผู้ถือผลประโยชน์ที่แท้จริงหรือกรรมการบริษัท รวมอยู่ด้วย
      ดังนั้นจึงยังมีความเสี่ยงต่อ การขโมยตัวตนของกลุ่มคนฐานะดี อยู่เช่นกัน