มุมมอง Sophos ต่อกรณี ข้อมูลผู้ขับขี่อูเบอร์ทั่วโลกกว่า 57 ล้านคน โดนเจาะ

Hits: 48

Sophos ชี้ว่าเหตุการณ์ข้อมูลผู้ใช้บริการอูเบอร์ทั่วโลกกว่า 57 ล้านราย โดนแฮคเกอร์เจาะเข้าระบบและโจรกรรมข้อมูลที่มีทั้งชื่อ เบอร์โทรและอีเมล์ในช่วงเดือนตุลาคมของปีที่แล้ว (ปี พ.ศ.2559) แต่กลับถูกเปิดเผยต่อสาธารณะเมื่อวันอังคารที่ 22 พฤศจิกายน 2560 ที่ผ่านมา

ซึ่งแม้ว่าอูเบอร์จะยืนยันว่าไม่มีข้อมูลที่สำคัญเช่นข้อมูลบัตรเครดิต เลขประกันสังคม ตลอดจนรายละเอียดอื่นๆที่สำคัญก็ตาม แต่กระนั้นการยอมจ่ายเงินกว่า 1 แสนเหรียญเพื่อทำให้เรื่องเงียบและไม่เป็นข่าว ก็สร้างความน่าสะพรึงกลัวต่อนโยบายการเก็บรักษาข้อมูลของผู้ให้บริการรายนี้ เป็นอย่างมาก

แน่นอนว่าเหตุการร์เช่นนี้ไม่ได้เพิ่งเคยเกิดขึ้นกับอูเบอร์เท่านั้น แต่บริษัทเทคโนโลยีหลายแห่งที่พลาดและถูกโจรกรรมข้อมูล ต่างล้วนออกมาประกาศเพื่อให้ผู้ใช้งานได้ล่วงรู้และแก้ไขรหัสผ่าน ซึ่งก็เป็นการป้องกันได้ในระดับหนึ่ง

แต่ครั้งนี้มีการปกปิดมานานกว่า 1 ปี การเปลี่ยนแปลงเพื่อรับมือกับเหตุข้อมูลรั่วจึงไม่เกิดขึ้น ซึ่งเท่ากับว่าแฮคเกอร์มีเวลามากพอที่จะแปลเปลี่ยนข้อมูลเหล่านั้นเป็นข้อมูลที่เป็นประโยชน์ต่อตนเองได้นานกว่า 1 ปี

Chester Wisniewski นักวิจัยอาวุโสของ Sophos ผู้เชี่ยวชาญด้านระบบความปลอดภัยบนเครือข่ายและเอนด์พอยต์แบบ Next-Gen ให้ความเห็นว่า เหตุการณ์ข้อมูลรั่วไหลของ Uber นี้ ถือเป็นตัวอย่างสำคัญอีกกรณีหนึ่ง ที่ชี้ให้เห็นว่าผู้พัฒนาระบบจำเป็นต้องคำนึงถึงหลักความปลอดภัยอย่างยิ่งยวด และไม่ควรฝังหรือติดตั้งโทเค่นหรือคีย์ที่ใช้ยืนยันตนในการเข้าถึงระบบลงในซอร์สโค้ด

หลายครั้งที่เหตุการณ์ลักษณะนี้เกิดขึ้นกับองค์กรต่างๆ และองค์กรเหล่านั้นมักเลือกที่จะปกปิดเพื่อปกป้องชื่อเสียงของตนเอง ถ้าเราตัดเรื่องดราม่าที่กำลังเกิดขึ้น หรือบทลงโทษจากกฎหมายใหม่อย่าง GDPR ออกไปแล้ว

เหตุการณ์นี้นับเป็นความบกพร่องของทีมนักพัฒนาระบบที่ไม่ได้ปฏิบัติตามแนวทางด้านความปลอดภัยอย่างเพียงพอ ด้วยการปล่อยให้มีการแบ่งปันรหัสผ่านออกสู่ภายนอก เป็นเรื่องที่น่าเศร้าเพราะเหตุการณ์ลักษณะนี้มักพบได้บ่อยอยู่เสมอ โดยเฉพาะในสภาพแวดล้อมของการพัฒนาระบบที่เน้นความคล่องตัวสูง

ขณะที่ James Lyne ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ของ Sophos ระบุว่า Uber ไม่ได้เป็นบริษัทเดียว และไม่ใช่บริษัทสุดท้ายที่มีการปิดบังหรือซ่อนเร้นเหตุการณ์ข้อมูลรั่วไหล หรือการโดนโจมตีทางไซเบอร์ของตนเอง

ซึ่งเห็นได้ชัดว่า การจงใจไม่แจ้งเตือนให้ลูกค้าทราบนั้นทำให้ตัวเองตกอยู่ในความเสี่ยงมากกว่าเดิมจากการโดนหลอกลวงอย่างต่อเนื่อง เหตุนี้เองที่เป็นปัจจัยสำคัญทำให้หลายประเทศพยายามผลักดันกฎหมายที่บังคับให้เปิดเผยข้อมูลกรณีข้อมูลรั่วไหลขององค์กรออกมาใช้โดยเร็ว

ทั้งนี้ Sophos ยังได้แนะนำสำหรับลูกค้าและผู้ขับรถของ Uber ให้คอยติดตามคะแนนเครดิตของตนเอง และเฝ้าสังเกตรายละเอียดอื่นๆ ที่เกี่ยวข้องกับกรณีข้อมูลรั่วไหลครั้งนี้อย่างใกล้ชิด