Cybersecurity Hacking

มหาวิทยาลัย Greenwich ถูกศาลสั่งปรับ 120,000 ยูโร หลังพบว่าข้อมูลของพนักงานและนักศึกษากว่า 20,000 คน ถูกขโมยไป

มหาวิทยาลัยของ Greenwich ของอังกฤษถูกปรับเงินนับแสนยูโร เนื่องจากโดนแฮก

มหาวิทยาลัย Greenwich ของอังกฤษถูกปรับเป็นเงินมากกว่า 120,000 ยูโร สืบเนื่องจากเหตุการณ์ข้อมูลรั่วไหล

“Shadow IT” คือปรากฏการณ์ที่พนักงานในองค์กรทำหน้าที่รับผิดชอบงานที่ฝ่าย IT ควรเป็นฝ่ายลงมือ อย่างเช่น ฝ่ายการตลาดต้องการหน้าเว็บที่ตรงตามแผนการตลาดที่พวกเขาวางเอาไว้ แล้วเขาไม่ไว้ใจให้ฝ่าย IT ทำจึงลงมือทำกันเอง

สำหรับผู้ที่ทำงานอยู่ฝ่าย IT จะทราบดีอยู่แล้วว่า หน้าเว็บไซต์จำเป็นต้องได้รับการตั้งค่าที่เหมาะสม ไม่มีช่องโหว่ และพร้อมรับการอัพเดตใหม่ๆ ซึ่งเกิดขึ้นบ่อยในมหาวิทยาลัย Greenwich ของ London

greenwich

ย้อนกลับไปเมื่อปี 2004 มหาวิทยาลัย Greenwich เปิดโอกาสให้นักศึกษาสร้าง Microsite ได้ตามความต้องการ โดยเว็บไซต์นั่นมีไว้สำหรับอัพโหลดเอกสารให้กับการประชุม

แต่เว็บไซต์นี้ไม่ได้ถูกปิดหรืออัพเดตความปลอดภัยหลังจากงานประชุมเสร็จสิ้น 9 ปีต่อมา ในปี 2013 เว็บไซต์ดังกล่าวถูกเจาะเป็นครั้งแรก

ต่อมาในปี 2016 เว็บไซต์ดังกล่าวถูกแฮกเกอร์โจมตีหลายครั้ง ผ่าน SQL injection เพื่อเข้าถึงสิทธิการควบคุมเว็บไซต์เพื่ออัพโหลด PHP Exploit

คณะกรรมาธิการคุ้มครองข้อมูล (ICO) อธิบายในรายงานว่า แฮกเกอร์สามารถเข้าถึงข้อมูลต่างๆของเซิร์ฟเวอร์ในฐานข้อมูล อย่าง ชื่อ ที่อยู่ เบอร์โทรศัพท์ และอีเมล ของนักศึกษา ศิษย์เก่า และบุคคลากร จำนวนมากกว่า 20,000 คน

มีหลายรายที่มีข้อมูลสำคัญมากๆอย่างข้อมูลทางการแพทย์ ปัญหาทางจิต ความบกพร่อง และประวัติสุขภาพ ข้อมูลทั้งหมดถูกแฮกเกอร์โพสต์ลงบน Pastebin หลังการล้วงข้อมูลถูกเปิดเผย ในวันที่ 8 มิถุนายน 2016

นาย Steve Eckersley อธิบายเหตุผลว่าทำไมมหาวิทยาลัย Greenwich ถึงต้องจ่ายเงินค่าปรับสูงถึง 120,000 ยูโร:

“Whilst the microsite was developed in one of the University’s departments without its knowledge, as a data controller it is responsible for the security of data throughout the institution.

“Students and members of staff had a right to expect that their personal information would be held securely and this serious breach would have caused significant distress. The nature of the data and the number of people affected have informed our decision to impose this level of fine.”

นี่เป็นบทเรียนสำคัญขององค์กรที่ต้องพึงระวังเกี่ยวกับเรื่อง IT เพราะไม่ว่าเรื่องใดก็ตามความปลอดภัยต้องมาก่อน เรื่องของ IT ก็เช่นกัน

ท้ายที่สุดทางมหาวิทยาลัย Greenwich ได้จ่ายเงินค่าปรับเมื่อวันที่ 15 มิถุนายนที่ผ่านมาเป็นเงิน 96,000 เนื่องจากยื่นอุทธรณ์ต่อศาล

Author: Graham Cluley
Source:
https://www.welivesecurity.com/2018/05/23/120000-fine-university-staff-students-data-breach/
Translated by: Worapon H.

%d bloggers like this: