Instructure ผู้ให้บริการ Canvas จ่ายค่าไถ่ให้แฮ็กเกอร์

 (insidehighered.com)
1 คะแนน โดย GN⁺ 6 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Instructure ได้จ่ายค่าไถ่ (Ransom) ให้กับ ShinyHunters ซึ่งเจาะระบบ Canvas แพลตฟอร์มจัดการการเรียนรู้ของบริษัทถึงสองครั้ง และบรรลุข้อตกลงเพื่อกู้คืนระบบ
  • บริษัทระบุว่า ตามข้อตกลงดังกล่าว แฮ็กเกอร์ได้ส่งคืนข้อมูลที่ถูกเจาะซึ่งเกี่ยวข้องกับผู้ใช้ราว 275 ล้านคน จาก มากกว่า 8,800 องค์กร
  • Instructure อธิบายว่าได้รับ shred logs เพื่อยืนยันการทำลายข้อมูล และได้รับการรับประกันว่าลูกค้าจะไม่ถูกข่มขู่เรียกเงินเพิ่มเติม
  • ShinyHunters เคยขู่ว่าจะเปิดเผยชื่อ อีเมล รหัสนักศึกษา และข้อความส่วนตัวที่รั่วไหล ขณะที่การหยุดชะงักของ Canvas ทำให้มหาวิทยาลัยหลายแห่งต้องเลื่อนการสอบและกำหนดส่งงาน
  • Cliff Steinhauer จาก National Cybersecurity Alliance ประเมินว่าการจ่ายค่าไถ่อาจเท่ากับการตอบแทนผู้โจมตีและเพิ่มความเสี่ยงของการเปิดเผยข้อมูลในระยะยาว

การจ่ายค่าไถ่ของ Instructure และการกู้คืน Canvas

  • Instructure จ่ายค่าไถ่ให้กับกลุ่มอาชญากรไซเบอร์ที่แฮ็ก Canvas ระบบจัดการการเรียนรู้ของบริษัทถึงสองครั้งในช่วงสัปดาห์ครึ่งที่ผ่านมา
  • ตามอัปเดตเมื่อคืนวันจันทร์ของ Instructure ข้อตกลงครั้งนี้ทำให้แฮ็กเกอร์ส่งคืนข้อมูลที่ถูกเจาะซึ่งเกี่ยวข้องกับผู้ใช้ราว 275 ล้านคนจากมากกว่า 8,800 องค์กร
  • Instructure ระบุว่าได้รับ shred logs ซึ่งเป็นการยืนยันทางดิจิทัลว่าข้อมูลถูกทำลายแล้ว และยังได้รับการรับประกันว่า “ลูกค้า Instructure จะไม่ถูกข่มขู่เรียกเงิน ไม่ว่าจะในที่สาธารณะหรือในรูปแบบอื่นใด” จากเหตุการณ์ครั้งนี้
  • ข้อตกลงนี้ครอบคลุม “ลูกค้า Instructure ที่ได้รับผลกระทบทั้งหมด” และมีการแจ้งว่าแต่ละลูกค้า “ไม่จำเป็น” ต้องติดต่อกับ ShinyHunters กลุ่มข่มขู่เรียกเงินที่เจาะ Canvas สองครั้งและทำให้ระบบใช้งานไม่ได้ชั่วคราว
  • Instructure มองว่าแม้ไม่มีความแน่นอนสมบูรณ์เมื่อต้องรับมือกับอาชญากรไซเบอร์ แต่การดำเนินมาตรการทุกอย่างที่ควบคุมได้เพื่อสร้างความมั่นใจเพิ่มเติมให้ลูกค้าเป็นสิ่งสำคัญ
  • Instructure ยังคงทำงานร่วมกับบริษัทผู้เชี่ยวชาญเพื่อสนับสนุนการวิเคราะห์ทางนิติวิทยาศาสตร์ดิจิทัล เสริมความแข็งแกร่งให้สภาพแวดล้อม และทบทวนข้อมูลที่เกี่ยวข้องทั้งหมด พร้อมระบุว่าจะอัปเดตเพิ่มเติมตามความคืบหน้าของงาน

ข้อเรียกร้องของ ShinyHunters และการหยุดชะงักของบริการ Canvas

  • Instructure ไม่เปิดเผยมูลค่าของข้อตกลง แต่การตกลงเกิดขึ้นหนึ่งวันก่อนถึง เส้นตายเรียกค่าไถ่วันที่ 12 พฤษภาคม ที่ ShinyHunters กำหนด
  • ShinyHunters ยังเชื่อมโยงกับเหตุข้อมูลรั่วไหลล่าสุดของ University of Pennsylvania, Princeton University และ Harvard University
  • การเจาะ Canvas ของ ShinyHunters ทำให้เกิดการหยุดชะงักของบริการอย่างรุนแรง และเตือน Instructure ให้จ่ายเงินหากไม่ต้องการให้ข้อมูลผู้ใช้ซึ่งมีชื่อ ที่อยู่อีเมล และหมายเลขประจำตัวนักศึกษาถูกเปิดเผย
  • ในจดหมายเรียกค่าไถ่ที่โพสต์บน Ransomware.live เมื่อวันที่ 3 พฤษภาคม ShinyHunters อ้างว่าครอบครอง “ข้อความส่วนตัวนับพันล้านรายการระหว่างนักเรียนกับครู และระหว่างนักเรียนกับนักเรียน” รวมถึงบทสนทนาส่วนบุคคลและข้อมูลระบุตัวตนอื่น ๆ
  • แฮ็กเกอร์เรียกร้องให้ Instructure ติดต่อกลับภายในวันที่ 6 พฤษภาคม 2026 มิฉะนั้นจะปล่อยข้อมูลและก่อ “ปัญหาดิจิทัลที่น่ารำคาญ”
  • ดูเหมือนว่า Instructure จะไม่ได้ตอบสนองต่อข้อเรียกร้องดังกล่าว แต่ได้จัดการปัญหาด้านความปลอดภัย และทำให้ Canvas กลับมาใช้งานได้เต็มรูปแบบภายในวันอังคารที่ 5 พฤษภาคม
  • อย่างไรก็ตาม ในวันพฤหัสบดี ผู้ใช้ Canvas กลับไม่สามารถเข้าถึงบัญชีได้อีกครั้ง และผู้ใช้จำนวนมากที่กำลังเตรียมสอบปลายภาคและงานปลายภาคเห็นเพียงข้อความจากแฮ็กเกอร์
  • ข้อความของแฮ็กเกอร์ระบุว่า “ShinyHunters ได้เจาะ Instructure อีกครั้ง” และอ้างว่า Instructure เพียงแค่ทำ security patch โดยไม่ติดต่อพวกตน
  • ข้อความดังกล่าวเรียกร้องให้โรงเรียนที่ได้รับผลกระทบ หากต้องการป้องกันการเปิดเผยข้อมูล ให้ปรึกษาบริษัทที่ปรึกษาด้านไซเบอร์และติดต่อแบบส่วนตัวผ่าน TOX เพื่อเจรจาข้อตกลง พร้อมกำหนดเส้นตาย 12 พฤษภาคม ให้ทั้งสถาบันต่าง ๆ และ Instructure
  • ในจดหมายเรียกค่าไถ่ที่โพสต์บน RansomLook ShinyHunters อ้างว่า Instructure ไม่ได้พยายามทำความเข้าใจสถานการณ์หรือเข้าสู่การเจรจาเพื่อป้องกันการเปิดเผยข้อมูล และยอดเงินที่เรียกร้องก็ไม่ได้สูงอย่างที่คิด

การตอบสนองของมหาวิทยาลัยและการเปลี่ยนแปลงด้านการสื่อสารของ Instructure

  • เมื่อปัญหา Canvas ล่มยืดเยื้อ มหาวิทยาลัยหลายแห่งจึงเลื่อนการสอบและกำหนดส่งโปรเจกต์สุดท้าย ระหว่างรอการแก้ไขปัญหา
  • Steve Daly ซีอีโอของ Instructure ยอมรับในอัปเดตบนเว็บไซต์ของบริษัทหลังการเจาะครั้งที่สองว่า สัปดาห์ก่อนบริษัทพยายามตรวจสอบข้อเท็จจริงให้ถูกต้องก่อนพูดต่อสาธารณะ แต่ตัดสินใจเรื่องสมดุลนี้ผิดพลาด
  • Daly กล่าวว่า “เราโฟกัสกับการตรวจสอบข้อเท็จจริง และกลับเงียบไปในช่วงที่ทุกคนต้องการการอัปเดตอย่างต่อเนื่อง” พร้อมระบุว่าจะเปลี่ยนแนวทางนี้ในอนาคต
  • หลังจากนั้น Instructure ดูเหมือนจะเริ่มสื่อสารกับแฮ็กเกอร์ด้วยเช่นกัน และในช่วงบ่ายวันจันทร์ได้ประกาศบนเว็บไซต์ว่า “สภาพแวดล้อม Canvas ทั้งหมดพร้อมใช้งาน”

ความเสี่ยงของการจ่ายค่าไถ่

  • Cliff Steinhauer ผู้อำนวยการฝ่ายความมั่นคงสารสนเทศและการมีส่วนร่วมของ National Cybersecurity Alliance ประเมินว่า แม้การจ่ายค่าไถ่อาจช่วยแก้ปัญหาเฉพาะหน้าของ Instructure ได้ แต่ก็ขัดกับหลักการตอบสนองด้านความปลอดภัยไซเบอร์โดยทั่วไป
  • Steinhauer มองว่าการจ่ายค่าไถ่อาจสร้าง “วงจรป้อนกลับที่อันตราย ซึ่งทำให้ผู้โจมตีได้รับผลตอบแทนจากการเจาะระบบที่สำเร็จ”
  • แม้องค์กรจะเชื่อว่ากำลัง “แก้” วิกฤตเฉพาะหน้า แต่ก็อาจเป็นการเสริม แรงจูงใจทางเศรษฐกิจ ของการข่มขู่เรียกเงินทางไซเบอร์ และส่งสัญญาณให้ผู้ไม่หวังดีเห็นว่าการโจมตีแพลตฟอร์มการศึกษาขนาดใหญ่หรือบริการสำคัญนั้นทำกำไรได้
  • เขาระบุว่าเช่นเดียวกับที่หน่วยงานบังคับใช้กฎหมายเตือนอย่างต่อเนื่อง การจ่ายค่าไถ่จะยิ่งกระตุ้นการโจมตีเพิ่มเติมทั่วทั้งอุตสาหกรรม และเสี่ยงทำให้การจ่ายเงินกลายเป็นกลยุทธ์ตอบสนองต่อเหตุการณ์ที่ถูกมองว่าเป็นเรื่องปกติ
  • Steinhauer ยังประเมินว่าข้อตกลงระหว่าง Instructure กับ ShinyHunters ทิ้งคำถามเรื่อง ความไว้วางใจและความแน่นอน เอาไว้
  • แม้อาชญากรจะอ้างว่าลบข้อมูลที่ขโมยไปแล้ว หรือแสดง “หลักฐาน” การทำลายข้อมูล ก็ไม่มีวิธีตรวจสอบได้อย่างน่าเชื่อถือ และในอดีตก็มักมีกรณีที่ข้อมูลถูกเก็บไว้ ขายต่อ หรือถูกนำกลับมาใช้ข่มขู่เรียกเงินอีกในอนาคต
  • ในมุมมองด้านความเสี่ยง องค์กรอาจกำลังแลกการหยุดชะงักของบริการระยะสั้นตรงหน้ากับปัญหาการเปิดเผยข้อมูลระยะยาว ซึ่งอาจกลับมาปรากฏอีกครั้งในอีกหลายเดือนหรือหลายปีข้างหน้า โดยอาจไม่มีเครื่องมือต่อรองเพิ่มเติมเพื่อหยุดยั้งมัน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 6 시간 전
ความคิดเห็นจาก Hacker News
  • เมื่อหลายปีก่อน มีเจ้าหน้าที่กระทรวงยุติธรรมคนหนึ่งเข้าร่วมงานประชุมที่มีวงเสวนาในหัวข้อ การจ่ายค่าไถ่ แบบนี้
    เขาอธิบายว่ามันคล้ายกับค่าไถ่จากการลักพาตัว หากชาวอเมริกันถูกจับเป็นตัวประกัน แต่ละครอบครัวก็ย่อมอยากจ่ายเงิน แต่ผลลัพธ์คือเกิดอุตสาหกรรมลักพาตัวชาวอเมริกันขึ้นมา สภาคองเกรสจึงทำให้การจ่ายเงินให้ผู้ลักพาตัวเป็นสิ่งผิดกฎหมายเพื่อหยุดเรื่องนี้ และเมื่อไม่คุ้มกำไร การลักพาตัวชาวอเมริกันก็ลดลง ขณะที่ชาวยุโรปกลับกลายเป็นเป้าหมายแทน
    ข้อเสนอของเขาคือควรเริ่มเตือน ที่ปรึกษาด้านความมั่นคงปลอดภัยไซเบอร์และบริษัทประกันภัย ที่มักเข้ามาเกี่ยวข้องในสถานการณ์แบบนี้ ว่าการจ่ายเงินไปยังประเทศที่ถูกคว่ำบาตรมีแนวโน้มสูงว่าอาจผิดกฎหมายอยู่แล้วและอาจถูกสอบสวนได้ ช่วงแรกคนที่โดนก่อนจะเจ็บหนัก แต่สุดท้ายทั้งอุตสาหกรรมจะปรับทิศทางและเล็งบริษัทอเมริกันน้อยลง
    • แนวทางนี้ถูกต้อง ดีกว่าการสร้าง อุตสาหกรรมอาชญากรรมแรนซัมแวร์ ขึ้นมาใหม่ด้วยการจ่ายค่าไถ่ เราควรบังคับให้บริษัทกู้คืนจากแบ็กอัปและตัดแรงจูงใจทางการเงินของอาชญากรรมออกไป
      ผู้บริหารที่ไม่จัดให้มีการสำรองข้อมูลอย่างสม่ำเสมออย่างเหมาะสมก็ควรต้องรับผิดชอบตามนั้น
    • ใครกันจะคิดว่าการให้วัยรุ่นได้เงินหลายล้านดอลลาร์ผ่านคริปโตเป็นความคิดที่ดี
      เงินนั้นมีแต่จะถูกเอาไปใช้โจมตีช่องโหว่มากขึ้นและทำเรื่องไร้สาระมากขึ้น เป็นการแข่งขันถอยหลังลงคลองไม่รู้จบ แม้แต่ Lapsus$ ซึ่งเป็นกลุ่มระดับบนของ ShinyHunters ยังโพสต์บนเว็บไซต์ของตัวเองว่าจะซื้อสิทธิ์เข้าถึงเครือข่ายภายในบริษัท พวกเขาบอกว่าไม่ต้องการข้อมูล แค่อยากได้ทางเข้า
      ถ้ายังจ่ายเงินหลายล้านให้คนร้ายผ่านคริปโตที่ติดตามยากต่อไป ก็จะได้ผลแบบนี้แหละ
    • ผมไม่เข้าใจว่าทำไม การจ่ายค่าไถ่ แบบนี้ถึงไม่ถือว่าผิดกฎหมายป้องกันการฟอกเงิน ดูไม่น่าเป็นไปได้เลยว่ามีการตรวจสอบว่าผู้รับไม่ได้อยู่ในรายชื่อคว่ำบาตรหรือไม่ได้เกี่ยวข้องกับองค์กรที่ถูกคว่ำบาตร
    • ในสหรัฐฯ การจ่ายเงินให้ผู้ลักพาตัวผิดกฎหมายจริงหรือ? ผมหาหลักฐานไม่เจอว่ามีกฎหมายแบบนั้นผ่านออกมาจริง
  • มีการพูดถึงทฤษฎีเกมและแรงจูงใจทางเศรษฐกิจดีมากมาย แต่มีประเด็นที่สำคัญกว่าและเป็นเรื่องป้องกันตัวเองด้วย คือ ถ้าจ่ายค่าไถ่ แฮ็กเกอร์จะกรูกันมาเพิ่มอีก 10 เท่า
    การจ่ายค่าไถ่ส่งสัญญาณ 3 อย่าง: คุณโจมตีได้ง่าย, คุณกู้ตัวจากการโจมตีเองไม่ได้ และคุณมีเงินสด ผลลัพธ์คือจะถูกโจมตีมากขึ้นอย่างมาก จะถามว่าผมรู้ได้อย่างไรก็ได้นะ แต่ผมจะไม่ตอบ
  • ด้านหนึ่ง ทุกครั้งที่มีการจ่ายค่าไถ่ ก็ยิ่งกระตุ้นให้คนประเภทเดียวกันเริ่มหรือขยาย ธุรกิจแรนซัมแวร์ ซึ่งไม่ดีเลย
    แต่อีกด้าน กลุ่มแรนซัมแวร์ที่อยากทำธุรกิจต่อก็ต้อง “ซื่อสัตย์” ในแง่ที่ว่าจะไม่เปิดเผยหรือลบข้อมูลทิ้ง เพื่อรักษาความน่าเชื่อถือในฐานะผู้ให้บริการแรนซัมแวร์ที่ไว้ใจได้ ฟังดูตลกร้ายดี ในหลายกรณี ผู้เสียหายกลับเลือกให้เงินไปอยู่กับผู้ให้บริการแรนซัมแวร์มากกว่าปล่อยให้ข้อมูลรั่วไหล ดังนั้นสำหรับเหยื่อปัจจุบัน การจ่ายเงินอาจเป็นทางเลือกที่ดีที่สุด แต่ก็เพิ่มโอกาสให้มีเหยื่อในอนาคต
    พลวัตและเศรษฐศาสตร์ของแรนซัมแวร์น่าสนใจดี
    • นี่คือ ทฤษฎีเกม ของค่าไถ่เสมอ และเป็น ปัญหาการลงมือร่วมกัน แบบคลาสสิก รวมถึงอยู่ในรูปของภาวะนักโทษ
      แต่ละบริษัทมีแนวโน้มว่าจะได้ประโยชน์จากการจ่ายค่าไถ่มากกว่า แต่ถ้าทุกคนไม่จ่าย ทุกฝ่ายจะดีกว่า
      นั่นจึงเป็นเหตุผลว่าทำไมในที่อย่างสหรัฐฯ ถึงมีนโยบายไม่จ่ายค่าไถ่อย่างเป็นทางการ และยังมีนโยบายไม่จ่ายค่าไถ่แบบอื่น ๆ ด้วย ถ้าไม่มีมาตรการบังคับไม่ให้เหยื่อแต่ละรายจ่ายเงิน แรงจูงใจก็จะเทไปทางการจ่ายเสมอ และค่าไถ่ก็จะยังทำกำไรได้ต่อไป
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • ผมไม่แน่ใจว่าชื่อเสียงของผู้โจมตีมีความหมายขนาดนั้นหรือเปล่า พวกนี้รีแบรนด์เป็นชื่อใหม่ได้ทุกเมื่อ ยังไงก็เป็นอาชญากรไซเบอร์นิรนามอยู่แล้ว และนอกจากเพื่อฟอกชื่อเสียงก็ยังมีเหตุผลอื่นอีกมากที่ต้องทำแบบนั้น
      ไม่ว่าคนกลุ่มเดิมจะใช้ชื่อ “ใหม่” หรือชื่อเดิม การคำนวณของเหยื่อในสถานการณ์ที่ระบบถูกจับเป็นตัวประกันก็ดูจะไม่ต่างกันมากนัก
    • การจ่ายค่าไถ่ควรผิดกฎหมายเสมอ และพนักงานที่อนุมัติการจ่ายควรถูก ดำเนินคดีอาญาระดับรัฐบาลกลาง ต่อให้ผลลัพธ์คือบริษัทล่มหรือมีคนตาย ผมก็มองว่าเป็นความสูญเสียที่ยอมรับได้
    • หากสมมติว่าแรนซัมแวร์จะยังคงอยู่ต่อไป และข้อมูลทั้งหมดสามารถถูกจับเป็นตัวประกันได้ทุกเมื่อ โลกก็จะถูกออกแบบให้เข้ากับความจริงนั้น
      สุดท้ายเราอาจได้ “กิลด์แรนซัมแวร์” แบบ Discworld ที่เก็บ “เบี้ยประกัน” แล้วไปจัดการคนที่จับข้อมูลเป็นตัวประกันโดยไม่ได้รับอนุญาต หรือไม่ก็จะมีระบบที่สร้างบน การเข้ารหัสแบบต้นทางถึงปลายทาง จนทำให้ข้อมูลหมดมูลค่าไปเลย
    • ผมเคยนึกถึงแนวคิดเรื่อง “ผู้ก่อการร้ายใจบุญ”[0] เป็นบางครั้ง หมายถึงสิ่งมีชีวิตที่ทำร้ายคนบางส่วนอย่างหนักเพื่อพาโลกไปสู่สภาพที่ดีกว่า Dune มี Kwisatz Haderach เป็นตัวอย่างชัดเจนอยู่แล้ว เลยไม่ใช่ไอเดียที่ใหม่สนิทนัก แต่ผมก็เคยคิดว่าถ้าดำเนินบริษัทแรนซัมแวร์ที่พอรับค่าไถ่แล้วก็ไม่รักษาสัญญาเลยจะเป็นอย่างไร
      มันคงทำลายชีวิตคนจำนวนมาก แต่ถ้าเลียนแบบพวกเขาได้ดีพอ และยิ่งรับเงินแล้วไม่กู้คืนให้มากเท่าไร สุดท้ายก็อาจทำให้แรนซัมแวร์ทำเป็นธุรกิจไม่ได้อีกต่อไป อะไรจะผิดพลาดได้ล่ะ? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • สุดท้ายแล้ว เรื่องนี้ดูเหมือนเป็นการเอาคำว่า “เราจ่ายค่าไถ่ไปแล้ว แต่ไม่ต้องห่วงนะ เพราะคนร้ายรับประกันว่าโอเค” ไปห่อด้วย ถ้อยคำเพื่อบริหารภาพลักษณ์ แบบจัดเต็ม
    • เขาบอกว่า “เราได้รับการยืนยันทางดิจิทัลว่าข้อมูลถูกทำลายแล้ว (shred logs)” นี่กำลังพยายามทำให้ผู้ใช้เชื่อจริง ๆ เหรอว่าแฮ็กเกอร์ไม่ได้เก็บข้อมูลไว้แม้แต่นิดเดียว?
    • ผมนึกว่าการจ่ายเงินให้แฮ็กเกอร์เป็นสิ่งผิดกฎหมาย แต่ดูเหมือนว่ามันอาจถูกกฎหมายหรืออย่างน้อยก็ยังไม่ชัดเจน เท่าที่ผมเข้าใจ อย่างน้อยบริษัทต้องทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายเพื่อยืนยันว่าค่าไถ่จะไม่ถูกส่งไปยังกลุ่มแฮ็กเกอร์ที่อยู่ในรายชื่อคว่ำบาตรของรัฐบาล
      ผมก็สงสัยเหมือนกันว่าต้นเหตุของการโจมตีคืออะไร เห็นข่าวลือออนไลน์ว่าอาจเกี่ยวข้องกับ ช่องโหว่ของ Salesforce Experience Cloud site ซึ่งเป็นรูปแบบที่ ShinyHunters ใช้บ่อย แต่ยังไม่มีการยืนยัน สิ่งที่ยืนยันชัดเจนแล้วคือช่องโหว่นั้นเกี่ยวข้องกับฟีเจอร์ “Free-For-Teacher accounts” ของ Canvas
    • ถ้าคนร้ายที่ได้รับเงินแล้วปล่อยข้อมูลออกมาอีก ก็จะลดโอกาสที่พวกตัวเองจะได้เงินในอนาคต แถมยังลดโอกาสที่คนร้ายกลุ่มอื่นจะได้เงินด้วย
      เพราะงั้นแม้แต่อาชญากรด้วยกันเองก็มีแรงจูงใจจะขัดขวางคนที่รับเงินแล้วแต่ยังปล่อยข้อมูล

  • We received digital confirmation of data destruction (shred logs).
    นี่เป็นคำพูดที่ ไร้เดียงสา จนน่าตกใจ

    • แฮ็กเกอร์มีแรงจูงใจที่จะลบข้อมูลตามที่สัญญาไว้ เพราะถ้ารูปแบบกลายเป็นว่าจ่ายค่าไถ่แล้วข้อมูลก็ยังรั่ว ต่อไปคงไม่มีใครยอมจ่ายอีก
      แน่นอนว่ามันไม่ได้ป้องกันกรณีที่แฮ็กเกอร์แอบขายข้อมูลไว้แล้ว จากนั้นค่อยบอกว่า “ไม่ใช่พวกเรา มีคนอื่นได้ข้อมูลชุดเดียวกันจากการแฮ็กอีกครั้งต่างหาก”
    • ไม่ใช่ว่าไร้เดียงสาหรอก ดูเหมือนจะกำลังหวังพึ่งความไร้เดียงสาของลูกค้ามากกว่า
    • จะรับประกันได้อย่างไรว่าพวกเขาไม่ได้คัดลอกข้อมูลไว้ก่อน แล้วค่อยทำลายแค่สำเนาชุดหนึ่ง หรือไม่ก็แค่ปลอม shred logs ขึ้นมาเฉย ๆ
    • ผมได้แต่หวังว่านี่เป็นถ้อยคำประชาสัมพันธ์เพื่อรักษาหน้า ถึงอย่างนั้นก็อยากให้บริษัทเลิกอ้างแบบนี้เสียที
  • ถ้ามีโครงการสาธารณะด้านไอทีดี ๆ สักอย่าง ก็ควรเป็น รายชื่อสาธารณะขององค์กรที่ยอมตามข้อเรียกร้องค่าไถ่ เพื่อให้พวกเราเลือกใช้ที่อื่นได้
    แต่ก็คงเป็นเรื่องที่ต้องใช้ความกล้าอยู่ไม่น้อยเมื่อเผชิญกับความเสี่ยงเรื่องความรับผิดฐานหมิ่นประมาท และผมไม่คิดว่าคำชี้แจงปฏิเสธความรับผิดจะช่วยเลี่ยงความเสี่ยงนั้นได้มากนัก
    • ถ้าอย่างนั้นคุณจะย้ายธุรกิจไปหาที่ที่โดนแฮ็กเหมือนกัน แต่ไม่จ่ายค่าไถ่จนข้อมูลลูกค้ารั่วแทนหรือ?

  • The data was returned to us.
    เท่าที่ผมเข้าใจ ข้อมูลถูกคัดลอกไป[1] ถ้าต้นฉบับไม่ได้ถูกเข้ารหัสหรือลบ ผมก็คงไม่ใช้คำว่า “ส่งคืน” ข้อมูล ถ้อยคำนี้ชวนสับสน แต่อาจเป็นสำนวนที่ใช้กันในวงการก็ได้
    นี่เป็นข่าวดีสำหรับ Monero[2] การปั่นราคาในเดือนมกราคมอาจเกี่ยวกับการแฮ็กก็ได้[3]
    บนเว็บไซต์ของ ShinyHunters เคยมีชื่อ Canvas ขึ้นอยู่[4] แล้วก็ถูกเอาลง[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • แฮ็กเกอร์ก็น่าจะมีแรงจูงใจที่จะไม่ปล่อยข้อมูล ถ้าพวกเขาอยากได้เงินค่าไถ่ครั้งต่อไป
    • นี่เป็นจังหวะดีที่จะชี้ว่า เวลามีข้อมูลรั่ว ข้อมูลจริง ๆ มักไม่ได้ถูก “ขโมย” ไป ความเสี่ยงและความเสียหายที่แท้จริงจะเกิดขึ้นเมื่อข้อมูลที่ถูกนำออกไปถูกใช้ในทางที่เป็นโทษต่อเจ้าของข้อมูล
    • บรรทัดถัดจากข้อความที่อ้างมาคือ:

      We received digital confirmation of data destruction (shred logs).
      ถ้าไม่ได้ลบก็คงไม่น่าแปลกใจ แต่ผมเดาว่านั่นคงเป็นเหตุผลที่พวกเขาใช้คำว่า “ส่งคืน” เพราะตามความเชื่อของพวกเขา ข้อมูลถูก “ส่งคืน” แล้วจากนั้นก็ถูกลบ

  • ในระยะยาว ผมสงสัยว่าคงดีกว่าหรือไม่ถ้าบริษัทแบบนี้โดนแฮ็กแล้วต้อง พังไปไม่ทางใดก็ทางหนึ่ง จากผลของการจ่ายค่าไถ่แบบมีลักษณะเป็นสินบน
    ผมมองว่าต้นทุนของการถูกแฮ็กยังต่ำเกินไป โดยเฉพาะสำหรับผู้จัดการระดับสูงหรือผู้บริหาร มันถูกมองเป็นแค่งานนามธรรมที่มีต้นทุนเวลาและทรัพยากรอย่างหนึ่งเท่านั้น
    • ผมไม่เคยเห็นบริษัทไหนยอมรับว่าการรั่วไหลของข้อมูลคือจุดเริ่มต้นของการล้มละลายของบริษัท
      หลังเหตุรั่วไหล ลูกค้าก็ไม่ได้หนีออกไปเป็นจำนวนมาก แถมสถาบันการศึกษา 7,000 แห่งที่เงินน้อยและคนทำงานล้นมือก็คงไม่ย้ายระบบพร้อมกัน
      เพราะงั้นก็แทบพูดได้อย่างปลอดภัยว่า ต่อให้เกิดข้อมูลรั่วกับบริษัท ก็ไม่มีผลกระทบระยะยาวอะไร อีกไม่กี่เดือนทุกคนก็ลืมหมด
  • พอมันหายไปจากหน้า ShinyHunters และกู้คืนได้เร็วขนาดนี้ ผมก็เดาไว้อยู่แล้ว สิ่งที่อยากรู้ที่สุดคือ จ่ายไปเท่าไร
    ผมก็ไม่ค่อยชอบถ้อยคำที่พวกเขาใช้ว่าข้อมูลปลอดภัยหรือถูกทำลายแล้ว ในเหตุการณ์แบบนี้ คำสัญญาแบบนั้นดูน่าสงสัยพอตัว
  • เรื่องแบบนี้เขาทำ บัญชี กันอย่างไร? จะตั้งชื่อรายการค่าใช้จ่ายว่าอะไร? บริษัทสามารถโอนเงินก้อนใหญ่ไปยังบัญชีคริปโตที่ไม่ทราบที่มาโดยไม่ต้องอธิบายอะไรกับหน่วยงานภาษีได้หรือ?
    • ผมคิดว่าปกติบริษัทประกันจะเป็นคนจ่ายค่าไถ่ และจะผูกการจ่ายนั้นเข้ากับกรมธรรม์ประกันที่ใช้อยู่ ส่วนผลทางภาษีผมไม่ทราบ ผมไม่ได้อยู่สายการเงินหรือบัญชี
    • น่าจะเรียกว่า “การกู้คืนข้อมูล” มั้ง?