เป็นอีกหนึ่งกรณี Data Breach ที่น่าจับตามองมากเมื่อ T-Mobile ผู้ให้บริการธุรกิจ Telecommunication ได้ออกมายอมรับว่าถูกขโมยข้อมูลส่วนตัวของลูกค้าในประเทศสหรัฐอเมริกามากถึง 15 ล้านราย โดยการถูกขโมยข้อมูลครั้งนี้ไม่ได้เกิดจากระบบภายในของ T-Mobile แต่อย่างใด แต่ถูกขโมยจาก Experian ผู้ให้บริการตรวจสอบเครดิตของลูกค้า T-Mobile โดยข้อมุลของลูกค้าที่ยื่นข้อมูลเครดิตให้ทาง T-Mobile ตรวจสอบตั้งแต่วันที่ 1 กันยายน 2013 – 16 กันยายน 2015 นั้นตกอยู่ในกลุ่มเสี่ยงนี้
สำหรับข้อมูลของลูกค้าที่ถูกขโมยไปนั้น ได้แก่ ที่อยู่, Social Security Number, วันเกิด, เลขทะเบียนใบขับขี่, เลขพาสปอร์ต, Military I.D. และอื่นๆ ที่ T-Mobile ใช้ในการตรวจสอบเครดิต โดยไม่ได้ถูกขโมยข้อมูลบัตรเครดิตหรือธนาคารไป ซึ่งถึงแม้ข้อมูลที่ถูกขโมยไปบางส่วนนั้นจะมีการเข้ารหัสเอาไว้โดย Experian แต่ทาง T-Mobile ก็กล่าวว่าข้อมูลเหล่านั้นก็อาจถูกถอดรหัสสำเร็จก็เป็นได้
การถูกขโมยข้อมูล Social Security Nubmer สร้างความเสียหายได้มากกว่าข้อมูลบัตรเครดิต
โดยทั่วไปถ้าหากลูกค้าถูกขโมยบัตรเครดิตไปนั้น กระบวนการหรือขั้นตอนต่างๆ ในการระงับการใช้จ่าย หรือการนำเงินที่ถูกใช้จ่ายไปแล้วกลับคืนมายังมีความเป็นไปได้อยู่ และสามารถร้องขอบัตรใบใหม่เพื่อใช้งานต่อไปได้ แต่ในกรณีของการถูกขโมย Social Security Number ไปพร้อมกับข้อมูลส่วนตัวอื่นๆ นั้น ผู้ขโมยอาจนำไปใช้สมัครบัตรเครดิตใบใหม่โดยที่เจ้าของที่แท้จริงไม่ทราบเรื่องใดๆ จนเกิดความเสียหายกับสภาพความน่าเชื่อถือในเครดิตได้ รวมถึงเลข Social Security Number เหล่านี้ยังเปลี่ยนได้ยากจนแทบจะเป็นไปไม่ได้อีกด้วย
การบรรเทาปัญหาให้แก่ลูกค้าของ T-Mobile
T-Mobile ทราบเป็นอย่างดีว่าถึงแม้การถูกขโมยข้อมูลครั้งนี้จะเกิดจากความหละหลวมของ Experian แต่ T-Mobile เองก็ไม่สามารถปฏิเสธความรับผิดชอบที่มีต่อลูกค้าได้เช่นกัน สิ่งที่ T-Mobile ทำคือการประสานงานกับทาง Experian เพื่อเปิดบริการเฝ้าระวังและตรวจสอบการลักลอบนำ Social Security Number ของลูกค้าไปใช้ทำธุรกรรมต่างๆ โดยที่เจ้าตัวไม่รู้ฟรีๆ ถึง 2 ปีที่ http://www.protectmyid.com/default.aspx?sc=678628 ในขณะที่ก็ได้ทบทวนความสัมพันธ์ที่มีต่อ Experian แต่ก็ยังคงทำงานร่วมกับ Experian ในช่วงนี้เพื่อไม่ให้เกิดเหตุซ้ำสองอีก
ทำไมกรณีนี้ถึงมีความน่าสนใจ?
กรณีนี้ถือว่าเป็นหนึ่งในการโจมตีที่มีความน่าสนใจและสามารถหยิบยกมาเป็นกรณีศึกษาได้เป็นอย่างดี ด้วยประเด็นดังต่อไปนี้
- การโจมตีครั้งนี้เกิดขึ้นที่บริษัท Outsource ขององค์กร ไม่ใช่ระบบเครือข่ายขององค์กรโดยตรง ซึ่งเป็นอีกแง่มุมที่องค์กรส่วนใหญ่มักจะละเลยไป เพราะสุดท้ายแล้วถึงแม้การโจมตีเหล่านี้จะไม่ได้เกิดกับองค์กร และองค์กรเองมีการปกป้องตัวเองเป็นอย่างดีแล้ว แต่ผลเสียหายตกอยู่ที่ลูกค้าขององค์กร องค์กรก็ต้องออกมารับผิดชอบอยู่ดี
- ถึงแม้ข้อมูลที่เก็บไว้จะมีการเข้ารหัส แต่การเข้ารหัสนั้นก็ไม่ได้เป็นที่น่าเชื่อถือว่าจะไม่มีวันถูกถอดรหัสได้อีกต่อไป
- ข้อมูลส่วนตัวที่ถูกขโมยไปนั้น อาจนำไปใช้สร้างความเสียหายได้มากกว่าการถูกขโมยข้อมูลบัตรเครดิตเสียอีก
- การรับมือและการรับผิดชอบต่อลูกค้าของ T-Mobile ร่วมกับ Experian ที่พยายามป้องกันไม่ให้ลูกค้าเกิดความเสียหายใดๆ จากความผิดพลาดในครั้งนี้
ก็ถือว่าจะเป็นแนวทางในการรับมือ Crisis ที่ดีสำหรับองค์กรเมื่อเกิดการโจมตีลักษณะนี้ขึ้นได้ครับ
ที่มา: http://thehackernews.com/2015/10/experian-tmobile-hack.html , http://www.t-mobile.com/landing/experian-data-breach.html?icid=WOR_NA_CLRSKY_GP21HHC35JV3079 , http://www.experian.com/data-breach/t-mobilefacts.html
from:https://www.techtalkthai.com/t-mobile-15-million-customers-data-breach-via-experian/
techfeedthai 