Hacking News

Carphone Warehouse จ่ายค่าปรับจำนวนมากหลังประสบเหตุการณ์ล้วงข้อมูลเมื่อปี 2015

ค่าปรับ 500,000 ยูโรสำหรับ Carphone Warehouse ผลจากเหตุการณ์ล้วงข้อมูลเมื่อปี 2015

ผู้จัดจำหน่ายโทรศัพท์มือถือสัญชาติอังกฤษ Carphone Warehouse ต้องชำระเงินค่าปรับเป็นเงินกว่า 400,000 ยูโร ให้กับเจ้าหน้าที่ดูแลข้อมูลของสหราชอาณาจักร หลังจากองค์กรโดนล้วงข้อมูลในปี 2015

สำนักงานคณะกรรมการดูแลข้อมูล (ICO) สรุปรายละเอียดจากการสืบสวนพบว่าทาง Carphone Warehouse มีมาตรการรักษาความปลอดภัยที่หละหลวม ทำให้แฮกเกอร์สามารถแฮกเข้าไปในเซิร์ฟเวอร์แสมือนของเวลาของช่วงเดือนกรกฎาคม 2014 ถึงต้นปี 2015 ได้

จากการคาดการณ์คาดว่าการแฮกครั้งนี้ส่งผลกระทบต่อข้อมูลส่วนตัวของลูกค้ามากกว่า 3 ล้านราย และพนักงานมากกว่า 1,000 คน ข้อมูลส่วนตัวประกอบไปด้วย ชื่อ, ที่อยู่, เบอร์โทรศัพท์, วันเกิด และที่น่าเป็นห่วงกว่านั้นคือ บันทึกการชำระเงินของลูกค้ามากกว่า 18,000 คนที่หลุดออกไป

ทาง ICO พบข้อบกพร่องด้านความปลอดภัยของ Carphone Warehouse หลายจุด คุณ Elizabeth Denham กรรมาธิการความปลอดภัยข้อมูลพูดว่า:

“A company as large, well-resourced, and established as Carphone Warehouse, should have been actively assessing its data security systems, and ensuring systems were robust and not vulnerable to such attacks … Carphone Warehouse should be at the top of its game when it comes to cyber-security, and it is concerning that the systemic failures we found related to rudimentary, commonplace measures.”

การโจมตีถูกพอเมื่อวันที่ 5 สิงหาคม 2015 และทางองค์กรเลือกที่จะไม่เปิดเผยกับสาธารณะ แต่หลังจากนั้น 3 วันระบบการขายปลีกของพวกเขาโดนโจมตี ในครั้ง IP มาจากประเทศเวียดนาม และเปลี่ยนตำแหน่งไปเรื่อยๆหลังจากนั้น

ในรายละเอียดรายงานของ ICO พบว่าแฮกเกอร์ค้นหาจุดอ่อนภายในระบบขององค์กร ระบบ WordPress ที่พวกเขาใช้ดูเหมือนจะไม่ได้ทำการอัพเดต ซึ่งทำให้มีช่องโหว่และจุดอ่อนมากมาย

นอกจากนี้ยังพบว่าแฮกเกอร์ได้ใช้รหัสผ่านตัวจริงล็อคอินเข้าไปในระบบ WordPress ก่อนที่จะติดตั้งปลั๊กอินอันตรายลงบนระบบของ Carphone Warehouse เพื่อให้พวกเขาสามารถจัดการกับไฟล์และใช้งานฟังก์ชั่นของฐานข้อมูลได้

แฮกเกอร์เก็บข้อมูลสำคัญออกไปและใช้มันเป็นเครื่องมือในการไปยังส่วนอื่นๆของฐานข้อมูล และทำให้พวกเขาได้ข้อมูลการชำระเงินไป

ส่วนค่าปรับที่ทาง Carphone Warehouse ต้องจ่ายก็คือ 500,000 ยูโร ซึ่งเป็นค่าปรับสูงสุดของเหตุการณ์ล้วงข้อมูล

ทาง Carphone Warehouse ได้พูดกับ BBC ไว้ว่า “Since the attack in 2015 we have worked extensively with cyber-security experts to improve and upgrade our security systems and processes,”

Author: TOMÁŠ FOLTÝN
Source:
https://www.welivesecurity.com/2018/01/17/carphone-warehouse-fine-breach/
Translated by: Worapon H.

%d bloggers like this: