94 + 134 + 77 + 110 + 3,000
เท่ากับ 3,415
และตัวเลขเหล่านี้มีหน่วยเป็น ‘ล้าน’ คน
ประเด็นคือ นั่นเป็นเพียงชุดตัวเลขจากเพียง 5 เคส Cyberattack ที่เกิดขึ้นกับโลกมนุษย์และโลกออนไลน์ ในช่วงที่ผ่านมา
ซึ่งที่จริงแล้วพบว่า มีถึง ’20 กรณีตัวอย่าง’ อาชญากรรมไซเบอร์ ที่นำมาซึ่งการรั่วไหลของข้อมูลส่วนบุคคลนับพันๆ ล้านชิ้น ไม่ว่าจะชื่อที่อยู่ อีเมล เบอร์โทรศัพท์ หมายเลขประจำตัวต่างๆ ไปจนถึงบัตรเครดิตและเดบิต
นับตั้งแต่เหตุการณ์ของ TJX Companies ในปี 2006 ที่ทำให้หมายเลขบัตรเครดิต 94 ล้านบัญชี รั่วไหล มาจนถึงคดี Cambridge Analytica ของ Facebook ที่ทำให้ข้อมูลส่วนตัวของคน 87 ล้านคน ถูกเผยแพร่ รวมตัวเลขผู้เสียหายแล้วมีนับพันๆ ล้านคน–หรือแม้กระทั่งจะแตะหมื่นล้าน และไม่อาจประเมินความเสียหายทั้งหมดเป็นตัวเงินได้เลย
แต่ถ้าคุณคิดว่าการรั่วไหลของ Facebook คือกรณีล่าสุดแล้ว ก็ขอให้คิดใหม่ เนื่องจากมีอะไรที่ ‘ใหม่’ กว่านั้นอีก
และน่าหวั่นใจอย่างยิ่งว่าใครจะเป็นรายต่อไป
1. TJX Companies, Inc.
ธันวาคม 2006 แต่เริ่มต้นตั้งแต่ 2003
หมายเลขบัตรเครดิต 94 ล้านบัญชี
TJX Companies เป็นบริษัทค้าปลีกที่ควบคุมดูแลร้านค้าถึง 2,000 แห่งในหลากหลายแบรนด์ เช่น Bob’s Stores, HomeGoods, Marshalls, T.J. Maxx, A.J. Wright โดยพวกเขาพบการถูกล่วงละเมิดข้อมูลของลูกค้า เพื่อเข้าถึงบัตรเครดิตและเดบิต ไปจนถึงเช็คเงินสดและข้อมูลการซื้อขาย ในช่วงปลายปี 2006
กระนั้นอันที่จริง แฮ็กเกอร์เริ่มเจาะข้อมูลของ TJX ในสหรัฐอเมริกา, แคนาดา และเปอร์โตริโก ตั้งแต่ปี 2003 แล้ว
มีข้อสันนิษฐาน 2 กรณีถึงกระบวนการที่แฮ็กเกอร์เข้าเล่นงาน TJX หนึ่งคือกลุ่มแฮ็กเกอร์ฉวยความได้เปรียบจากระบบการเข้ารหัสที่ด้อยประสิทธิภาพ และขโมยข้อมูลบัตรเครดิตผ่านทางการส่งต่อแบบไร้สายระหว่างสโตร์ 2 แห่งในไมอามี่ ส่วนอีกกรณีคือการเจาะเครือข่ายของ TJX ผ่านทางเครื่องลงทะเบียนจัดหางานภายในร้าน
Albert Gonzalez หัวหน้ากลุ่มแฮคเกอร์คดี Heartland Payment Systems ก็เป็นหนึ่งในขบวนการที่เล่นงาน TJX ครั้งนี้ด้วย โดยมีการเผยว่าในช่วงนั้นเขาทำงานเป็นผู้ให้ข้อมูลการทำธุรกรรมทางการเงินสำหรับหน่วยสืบราชการลับของสหรัฐฯ รับเงินเดือนสูงถึง 75,000 ดอลลาร์
รัฐบาลประเมินความเสียหายที่บริษัทหลายแห่ง, ธนาคาร และธุรกิจประกัน ได้รับจากกลุ่มของ Gonzalez ว่ามีมูลค่า 200 ล้านดอลลาร์
2. Heartland Payment Systems
มีนาคม 2008
หมายเลขบัตรเครดิต 134 ล้านบัญชีถูกเจาะข้อมูลเพื่อติดตั้งสปายแวร์ในระบบฐานข้อมูลของ Heartland
ในช่วงที่โดนเล่นงาน Heartland กำลังให้บริการทางธุรกรรมการเงินกับลูกค้าเป็นจำนวน 100 ล้านรายต่อเดือน จากร้านค้าจำนวน 175,000 แห่ง แม้ส่วนใหญ่จะเป็นธุรกิจขนาดกลางและขนาดย่อมก็ตาม ซึ่งกว่าที่พวกเขาจะพบว่าตัวเองโดนเจาะข้อมูลก็ต้องรอจนถึงตอนต้นปี 2009 แล้ว เมื่อบัตรเครดิตของ Visa และ MasterCard ได้แจ้งถึง Heartland ว่ามีการทำธุรกรรมที่น่าสงสัยในบัญชีของพวกเขา
ผลสืบเนื่องคือ Heartland ต้องถูกเข้าจัดการโดยหน่วยงานรักษาความปลอดภัยทางการเงิน Payment Card Industry Data Security Standard (PCI DSS) และไม่ได้รับอนุญาตให้ประมวลผลการชำระเงินจากผู้ให้บริการบัตรเครดิตรายใหญ่จนถึงเดือน พ.ค. 2009 นอกจากนี้ พวกเขายังต้องจ่ายเงินจำนวน 145 ล้านดอลลาร์ เป็นค่าชดเชยสำหรับคดีความ
ต้นปี 2010 ศาลตัดสินให้ Albert Gonzalez และผู้ร่วมขบวนการชาวรัสเซียอีก 2 คน มีความผิดในการขโมยข้อมูลบัตรเครดิตและเดบิต โดยตัว Gonzalez ถูกตัดสินจำคุกเป็นจำนวน 20 ปี
3. Stuxnet
ปี 2010 แต่เริ่มต้นตั้งแต่ 2005
เจตนาแรกสุดคือการโจมตีโปรแกรมนิวเคลียร์ของอิหร่าน แต่มีการล่วงล้ำไปสร้างความเสียหายให้กับแหล่งจ่ายไฟฟ้าและประปา และระบบขนส่งมวลชน
ขอบข่ายผลกระทบของกรณีนี้ถือว่าไม่มากนัก โดยเกิดขึ้นเฉพาะในสหรัฐอเมริกา ทว่าที่ติดโผอยู่ในชาร์ตนี้ก็เป็นเพราะเป็นการโจมตีทางอินเทอร์เน็ตที่เล่นงานระบบสาธารณูปโภคโดยตรง
มัลแวร์ของแฮ็กเกอร์ที่สร้างขึ้นเพื่อเล่นงานระบบ Siemens SCADA เข้าโจมตีโปรแกรมนิวเคลียร์ของประเทศอิหร่านด้วยการทำลายเครื่องปั่นไฟยูเรเนียม 984 ว่ากันว่าการโจมตีครั้งนี้เกิดจากการร่วมมือกันภายใต้ปฏิบัติการลับของกองทัพสหรัฐฯ กับอิสราเอล ทว่าก็ไม่มีการยืนยันแน่ชัด
4. VeriSign
ปี 2010
ไม่มีการเปิดเผยขอบข่ายความเสียหาย
ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าสิ่งที่น่ากังวลที่สุดของคดีลักลอบเจาะข้อมูล VeriSign ที่แฮ็กเกอร์สามารถเข้าถึงฐานข้อมูลและรายละเอียดต่างๆ ได้นั้น คือแนวทางปฏิบัติของบริษัทหลังเกิดเหตุ
เชื่อหรือไม่ว่า VeriSign ไม่เคยแถลงอย่างเป็นทางการถึงเรื่องที่เกิดขึ้น และต้องใช้เวลานับปีถึงจะมีการเผยผ่านสื่อ
“VeriSign ฝังข้อมูลเรื่องนี้ไว้ในรายงานรายไตรมาสของสำนักงานคณะกรรมการกำกับหลักทรัพย์ (Securities and Exchange Commission – SEC) จนดูเหมือนว่ามันเป็นเพียงเรื่องเล็กๆ เรื่องหนึ่งเท่านั้น” PCWorld ระบุ
ภายหลัง VeriSign ยืนยันว่าไม่มีความเสียหายหลักเกิดขึ้นกับเซิร์ฟเวอร์ DNS หรือระบบหลัก โดยระบุว่าพวกตน “ถูกเข้าถึงข้อมูลในจำนวนเล็กน้อยของคอมพิวเตอร์และเซิร์ฟเวอร์” ส่งผลให้สื่อไม่สามารถชี้ชัดขอบข่ายความเสียหายทั้งกับบริษัทและลูกค้าได้
5. RSA Security
มีนาคม 2011
ข้อมูลของพนักงานประมาณ 40 ล้านคนถูกขโมย
RSA ที่เป็นหน่วยความปลอดภัยของ Dell EMC ถูกเจาะช่องโหว่โดยกลุ่มแฮ็กเกอร์ 2 กลุ่มที่มีความเชื่อมโยงกับรัฐบาลต่างชาติ ด้วยวิธีปลอมตัวเป็นพนักงานที่มีระดับความน่าเชื่อถือสูง มาโจมตีพนักงานรายอื่นๆ ด้วยอีเมลล่อลวง และทำการเจาะระบบเครือข่ายของบริษัทจากตรงนั้น จนได้ไปซึ่งบันทึกข้อมูลส่วนบุคคลของพนักงานที่ RSA มีส่วนดูแลถึงกว่า 40 ล้านคน
EMC เผยว่าพวกเขาต้องใช้เงินอย่างน้อย 66 ล้านดอลลาร์เพื่อฟื้นฟูความเสียหาย ในขณะที่ RSA ยืนยันว่าเน็ตเวิร์คของลูกค้าไม่ได้ถูกเล่นงาน ทว่า John Linkous รองประธานและหัวหน้าฝ่ายความปลอดภัยของ eIQnetworks ไม่ขอเชื่อ “การเปิดเผยข้อมูลเกี่ยวกับการโจมตีและข้อมูลที่ถูกขโมยไป ไม่ได้ช่วยให้ RSA มีน้ำหนักน่าเชื่อถือ มันขึ้นอยู่กับเวลาเท่านั้นก่อนที่จะมีการโจมตีสืบเนื่องถึง Lockheed-Martin, L3 และเรื่องอื่นๆ ซึ่งทั้งหมดนี้เชื่อว่าสามารถเกิดขึ้นได้โดยการละเมิดข้อมูลของ RSA“
ที่สำคัญ การที่ RSA ถูกเล่นงาน ยังหมายถึงการที่แม้กระทั่งว่าพวกเขาจะเป็นบริษัทรักษาความปลอดภัยชั้นนำ ก็ไม่ใช่เรื่องเป็นไปไม่ได้ที่จะถูกดัดหลัง
Jennifer Bayuk ที่ปรึกษาด้านความปลอดภัยและศาสตราจารย์แห่งสถาบันเทคโนโลยี Stevens Institute of Technology ยังให้ความเห็นเช่นกันว่ากรณีของ RSA “คือความเสียหายครั้งใหญ่ของอุตสาหกรรมความปลอดภัย เพราะ RSA เป็นเสมือนไอคอนของวงการ พวกเขาเป็นผู้ให้บริการความปลอดภัยระดับสูง การพบความเปราะบางในระบบของพวกเขาคือเรื่องน่าตกตะลึง ฉันไม่คิดว่าจะมีใครลืมเรื่องนี้ได้”
6. Sony’s PlayStation Network
20 เมษายน 2011
77 ล้านบัญชีในเครือข่าย PlayStation Network ถูกแฮ็ก คาดการณ์ความเสียหายเป็นเงิน 171 ล้านดอลลาร์ และเว็บไซต์ปิดตัวไปราว 1 เดือน
หนึ่งในอาชญากรรมไซเบอร์ในวงการเกมที่ใหญ่ที่สุดตลอดกาล บัญชีกว่า 77 ล้านชิ้นได้รับผลกระทบ โดย 12 ล้านรายในจำนวนนั้นถูกเข้าถึงหมายเลขบัตรเครดิต แฮคเกอร์ได้ไปทั้งชื่อสกุลจริง, รหัสผ่าน, อีเมล, ที่อยู่, ประวัติการซื้อไอเทม, เลขบัตรเครดิต และรหัสผ่านในเน็ตเวิร์คของ PlayStation
“มันมากพอที่จะทำให้คนที่มั่นใจในความปลอดภัยของตัวเอง ตั้งคำถามได้ว่า ‘ถ้าสิ่งนี้เกิดขึ้นกับบริษัทอย่าง Sony แล้วบริษัทอื่นๆ ที่เป็นการร่วมทุนของหลายๆ ประเทศ และมีข้อมูลของคนนับล้านๆ เก็บเอาไว้ล่ะ?'” John Linkous แห่ง eIQnetworks กล่าว และเรียกร้องให้ผู้ที่มีหน้าที่ดูแลความปลอดภัยทางข้อมูลของทุกองค์กร เพื่มระดับความเข้มงวดขึ้นอีก “สำหรับบรรดาลูกค้า จงระมัดระวังว่าคุณได้มอบข้อมูลส่วนตัวของคุณไปให้ใคร บางทีมันอาจไม่คุ้มค่ากับการแลกมาเพียงแค่ได้เข้าเล่นเกมออนไลน์ หรือใช้บริการบางอย่าง”
เรื่องเกิดขึ้นในปี 2011 ก่อนที่ 3 ปีหลังจากนั้น Sony จะตกลงจ่ายค่าเสียหายเพื่อระงับข้อพิพาทเป็นจำนวน 15 ล้านดอลลาร์
7. US Office of Personnel Management (OPM)
ปี 2012-2014
ข้อมูลส่วนตัวของพนักงานทั้งปัจจุบันและในอดีตจำนวน 22 ล้านคน
แฮคเกอร์ที่ว่ากันว่ามาจากประเทศจีน เริ่มเจาะเข้าสู่ฐานข้อมูลของสำนักบริหารงานบุคคล (OPM) ในปี 2012 แต่ไม่ถูกจับสังเกตจนกระทั่งเดือน มี.ค. 2014 ร้ายกว่านั้นคือ OPM ยังถูกแฮคเกอร์กลุ่มที่ 2 โจมตีผ่านทางบุคคลที่สามอีกใน 2 เดือนถัดมา และกว่าจะพบความเสียหายก็ร่วม 1 ปีให้หลัง
ข้อมูลส่วนตัวของพนักงานทั้งปัจจุบันและในอดีตจำนวน 22 ล้านคน หลุดไป ซึ่งรวมถึงข้อมูลการรักษาความปลอดภัยและลายนิ้วมือ
ปี 2017 ที่ผ่านมา James Comey อดีตผู้อำนวยการ FBI เผยถึงการโดนลักลอบเข้าถึงแบบฟอร์มที่มีชื่อว่า SF-86 ซึ่งใช้ในการตรวจสอบประวัติความปลอดภัยของพนักงาน “ลิสต์ SF-86 ของผมบันทึกข้อมูลที่อยู่ของผมไว้ตั้งแต่ตอนอายุ 18, ทุกข้อมูลการเดินทางออกนอกประเทศ, ชื่อของสมาชิกทุกคนในครอบครัว และที่อยู่ของพวกเขา ดังนั้นจึงหมายความว่าไม่ใช่เพียงข้อมูลส่วนตัวของผมคนเดียวที่โดนเล่นงาน ลูกๆ ทั้งห้าคน พี่น้องของผม ทุกอย่างอยู่ในนั้นหมด”
ในรายงานเรื่อง “การละเมิดข้อมูลของ OPM : รัฐบาลทำอย่างไรจึงได้ทำลายความมั่นคงของชาติมานานกว่าหนึ่งเจเนอเรชั่น” ที่ออกโดยคณะกรรมาธิการกำกับดูแลกิจการและการปฏิรูปของรัฐบาล (House Committee on Oversight and Government Reform) ระบุว่าช่องโหว่ในเซิร์ฟเวอร์ของ OPM มีอยู่เต็มไปหมด และไม่มีการว่าจ้างพนักงานรักษาความปลอดภัยข้อมูลทางออนไลน์เลยจนกระทั่งถึงปี 2013
8. Adobe
ตุลาคม 2013
ผู้ใช้ 38 ล้านราย
บล็อกเกอร์ด้านความปลอดภัยออนไลน์ Brian Krebs เป็นผู้เสนอรายงานชิ้นแรกในเดือน ต.ค. 2013 ว่า Adobe ได้ถูกโจมตี ซึ่งต้องใช้เวลาหลายสัปดาห์เพื่อตรวจสอบขอบข่ายความเสียหายและความเกี่ยวข้อง ขณะที่บริษัทเผยว่าแฮ็กเกอร์สามารถขโมยข้อมูลบันทึกการใช้งานบัตรเครดิต, ข้อมูลการลงทะเบียน และอื่นๆ ของผู้ใช้ไปเป็นจำนวน 3 ล้านราย
ไม่นานต่อมา Adobe เผยว่าที่จริงแล้วข้อมูลส่วนตัวและรหัสผ่านของ active users จำนวนกว่า 38 ล้านราย ถูกเข้าถึง ขณะที่ Brian Krebs รายงานว่า “ปรากฏว่ายูสเซอร์เนมและรหัสผ่านมากกว่า 150 ล้านชิ้น ถูกขโมยไป”
หลังจากการสอบสวนเพิ่มเติม Adobe พบว่าแฮ็กเกอร์ยังสามารถเข้าถึงชื่อสกุล, ไอดี, รหัสผ่าน และบัตรเครดิตกับเดบิตของผู้ใช้
กลางปี 2015 Adobe ตกลงจ่ายค่าดำเนินการทางกฎหมาย 1.1 ล้านดอลลาร์ พร้อมกับเงินอีกจำนวนหนึ่งเป็นค่าชดเชยผู้เสียหายเพื่อระงับข้อกล่าวหาว่าบริษัทได้ละเมิดกฎหมายเกี่ยวกับประวัติลูกค้าและการดำเนินธุรกิจที่ไม่เป็นธรรม ซึ่งมีการเผยในภายหลังว่าอยู่ที่ตัวเลข 1 ล้านดอลลาร์
9. Target Stores
ธันวาคม 2013
ข้อมูลการใช้บัตรเครดิตและเดบิต และ/หรือข้อมูลการติดต่อ ของลูกค้าประมาณ 110 ล้านคน
การโจมตีเกิดขึ้นก่อนวันขอบคุณพระเจ้า แต่ไม่พบความปิดปกติจนกระทั่งหลายสัปดาห์ให้หลัง ซึ่งแฮคเกอร์ได้เจาะระบบเพื่อเข้าถึงแท่นชำระเงิน point-of-sale (POS) และได้ข้อมูลการใช้บัตรเครดิตและเดบิตของลูกค้าไปประมาณ 40 ล้านบัญชี
กระนั้น ในเดือน ม.ค. 2014 Target Stores ก็เผยว่าความเสียหายได้เกิดขึ้นกับลูกค้าจำนวน 70 ล้านราย ซึ่งข้อมูลอย่างชื่อสกุล, ที่อยู่, อีเมล และหมายเลขโทรศัพท์ หลุดออกไป
อย่างไรก็ตาม การคาดการณ์ขอบข่ายความเสียหายสุดท้าย มาหยุดอยู่ที่ตัวเลขลูกค้าจำนวนถึง 110 ล้านคน
มูลค่าความเสียหายที่พวกเขาต้องแบกรับคือ 162 ล้านดอลลาร์ และทั้งซีอีโอกับซีไอโอของบริษัท ก็ตัดสินใจลาออกเพื่อรับผิดชอบไปตามๆ กัน
10. Yahoo
ช่วงปี 2013-2014
บัญชีผู้ใช้ 3 พันล้านราย
ก.ย. 2016 หนึ่งในยักษ์ใหญ่โลกออนไลน์อย่าง Yahoo ที่กำลังอยู่ในช่วงเจรจาขายกิจการให้กับ Verizon เผยว่าพวกเขาเป็นเหยื่อของการรุกล้ำข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ ซึ่งเริ่มต้นมาตั้งแต่ปี 2014 ที่ถูกเจาะเข้าถึงชื่อสกุลจริง, อีเมล, วันเดือนปีเกิด และหมายเลขโทรศัพท์ของผู้ใช้จำนวน 500 ล้านราย โดยพวกเขาระบุว่ารหัสผ่านเป็นจำนวนมากถูกโจมตีโดยใช้อัลกอริธึม bcrypt ที่มีประสิทธิภาพสูง
สองเดือนให้หลัง มีการเปิดเผยข้อมูลที่ย้อนไปถึงปี 2013 ว่ากลุ่มแฮคเกอร์หลายกลุ่มได้เข้าถึงบัญชีผู้ใช้ Yahoo ถึง 1 พันล้านบัญชี ซึ่งนอกจากข้อมูลพื้นฐานต่างๆ แล้ว แฮคเกอร์ยังเข้าถึงคำถามและคำตอบที่ผู้ใช้ตั้งค่าไว้สำหรับรหัสผ่านด้วย กระทั่งในเดือนต.ค. 2017 Yahoo ก็เผยตัวเลขที่แท้จริงว่ามีถึง 3 พันล้านบัญชีที่ถูกล้วงข้อมูล
กรณีนี้ทำให้ราคาขายของ Yahoo เสื่อมมูลค่าลงไปถึง 350 ล้านดอลลาร์ โดย Verizon ตกลงจ่ายเงิน 4,480 ล้านดอลลาร์เพื่อเข้าฮุบกิจการ และข้อตกลงในการทำสัญญาระบุให้ทั้งสองบริษัทร่วมกันรับผิดชอบหนี้สินและพันธะทางกฎหมายจากการละเมิดดังกล่าว ซึ่งเมื่อขายกิจการแล้ว Yahoo ก็เปลี่ยนชื่อบริษัทไปเป็น Altaba, Inc.
11. eBay
พฤษภาคม 2014
ผู้ใช้ 145 ล้านราย
บนเส้นทางสู่ความเป็นใหญ่ของธุรกิจอีคอมเมิร์ซโลก eBay ก็เคยโดนเล่นงานมาแล้วเหมือนกันในช่วงกลางปี 2014 ที่ข้อมูลส่วนตัวของผู้ใช้จำนวน 145 ล้านราย ทั้งชื่อสกุล, ที่อยู่, วันเดือนปีเกิด และรหัสผ่าน ถูกเข้าถึงในเครือข่ายออนไลน์ของบริษัท ผ่านทางฐานข้อมูลของพนักงานในองค์กร 3 คน
แฮคเกอร์เข้าควบคุมระบบอย่างสมบูรณ์อยู่ถึง 229 วัน จนในช่วงเวลานั้น eBay ไม่สามารถเข้าถึงฐานข้อมูลของตัวเองได้
อย่างไรก็ตาม ในส่วนของข้อมูลทางการเงิน เช่นหมายเลขบัตรเครดิต eBay ยืนยันว่าพวกเขาได้เก็บรักษาแยกจากกัน ทำให้ไม่ได้รับผลกระทบ แต่ถึงอย่างนั้นพวกเขาก็ยังโดนตำหนิสำหรับความเชื่องช้าติดขัดในการแจ้งข้อมูลกับผู้ใช้ และระบบการต่ออายุรหัสผ่าน
John Donahue ซีอีโอของ eBay รับว่าความเสียหายครั้งนี้ส่งผลกระทบโดยตรงทำให้ยอดผู้ใช้งานลดลง แม้จะไม่ได้ทำให้สภาพคล่องของบริษัทสั่นคลอนก็ตาม โดยรายได้และผลกำไรของพวกเขาในไตรมาสที่ 2 ของปี 2014 ยังเพิ่มขึ้น 13% และ 6% ตามลำดับ
12. JP Morgan Chase
กรกฎาคม 2014
เจ้าบ้าน 76 ล้านราย และธุรกิจขนาดย่อม 7 ล้านแห่ง
หนึ่งในธนาคารที่ใหญ่ที่สุด ตกเป็นเหยื่อของการเจาะข้อมูลในช่วงซัมเมอร์ 2014 จนแฮคเกอร์เข้าถึงข้อมูลของเจ้าของบ้านในสหรัฐอเมริกามากกว่าครึ่งประเทศ ตีเป็นตัวเลขกลมๆ ที่ 76 ล้านราย และยังมีธุรกิจขนาดย่อมอีก 7 ล้านแห่ง สิ่งที่หลุดไปคือข้อมูลการติดต่อทั้งชื่อสกุล, ที่อยู่, หมายเลขโทรศัพท์ และอีเมล รวมถึงรายละเอียดเกี่ยวกับตัวลูกค้า
JP Morgan ที่มีค่าใช้จ่ายในการรักษาความปลอดภัยปีละถึง 250 ล้านดอลลาร์ ยืนยันว่าเงินของลูกค้าไม่ได้ถูกขโมย และ “ไม่มีหลักฐานว่าข้อมูลเกี่ยวบัญชีของลูกค้า เช่นหมายเลขบัญชี, รหัสผ่าน, ไอดี, วันเกิด หรือหมายเลขประกันสังคม ถูกรุกล้ำ” แม้กระนั้น แฮคเกอร์ก็ยังสามารถเข้าถึงฐานข้อมูลในเซิร์ฟเวอร์ถึงกว่า 90 เปอร์เซ็นต์ ซึ่งหมายความว่าพวกเขาสามารถแทรกแซงธุรกรรมต่างๆ เช่นการโอนเงินหรือปิดบัญชีของลูกค้าได้
ปลายปี 2015 หน่วยงานรัฐบาลกลางได้ฟ้องร้อง Gery Shalon, Joshua Samuel Aaron และ Ziv Orenstein ในความผิดรวม 23 กระทง เช่นลักลอบเจาะข้อมูลคอมพิวเตอร์, ขโมยข้อมูลส่วนบุคคล, ฉ้อโกงหลักทรัพย์ และฟอกเงิน ซึ่งมีมูลค่าความเสียหายรวม 100 ล้านดอลลาร์ และยังมีแฮ็กเกอร์รายที่ 4 ในขบวนการ ซึ่งไม่ถูกเปิดเผยชื่อ
13. Home Depot
กันยายน 2014
ข้อมูลบัตรเครดิตและเดบิตของลูกค้า 56 ล้านคน
บริษัทค้าอุปกรณ์ฮาร์ดแวร์และอาคารชื่อดัง เผยในเดือน ก.ย. 2014 ว่าพวกเขาสามารถจับความผิดสังเกตมาได้พักหนึ่ง เริ่มต้นตั้งแต่เดือน เม.ย. หรือ พ.ค. ว่าระบบ POS ของพวกเขาถูกติดตั้งมัลแวร์บางอย่าง และการสืบสวนได้ข้อสรุปถึงมัลแวร์ที่ “เป็นเอกลักษณ์และถูกสร้างขึ้นแบบคัสตอม” ถูกนำมาใช้เป็นซอฟท์แวร์แอนตี้ไวรัส
มี.ค. 2016 Home Depot ตกลงจ่ายค่าชดเชยให้กับบรรดาลูกค้าเป็นจำนวนเงินถึง 19.5 ล้านดอลลาร์ ผ่านทางกองทุนมูลค่า 13 ล้านดอลลาร์ที่ตั้งขึ้นเพื่อชดเชยผู้เสียหาย และยังจ่ายเงินอย่างน้อย 6.5 ล้านดอลลาร์ เพื่อจัดหาบริการคุ้มครองผู้ถือบัตรเป็นระยะ 1 ปีครึ่ง
ข้อตกลงนี้ครอบคลุมผู้เสียหายประมาณ 40 ล้านคนที่ถูกขโมยข้อมูลบัตรชำระเงิน ซึ่งเมื่อนับรวมกับคนที่ถูกขโมยอีเมลแล้วก็เป็นจำนวนถึง 52 ล้านราย ท้ายสุดจึงกลายเป็นว่าพวกเขาต้องเสียค่าใช้จ่ายก่อนหักภาษีถึง 161 ล้านดอลลาร์สำหรับการโดนละเมิด ในจำนวนนั้นคือค่าชดเชยและการทำประกัน
14. Anthem
กุมภาพันธ์ 2015
ข้อมูลส่วนตัวของลูกค้าทั้งปัจจุบันและในอดีตจำนวน 78.8 ล้านคน
เดิมเป็นที่รู้จักในชื่อ WellPoint ซึ่งบริษัทประกันสุขภาพที่ใหญ่ที่สุดเป็นอันดับ 2 ของสหรัฐฯ แห่งนี้ ถูกเจาะข้อมูลเข้าถึงชื่อสกุล, ที่อยู่, หมายเลขประกันสังคม, วันเดือนปีเกิด และประวัติต่างๆ ของลูกค้าทั้งปัจจุบันและในอดีตรวมแล้วเกือบ 79 ล้านคน
มีรายงานเมื่อต้นปีว่าการสืบสวนได้ข้อสรุปว่ามีความเป็นไปได้สูงที่แฮคเกอร์กลุ่มนี้จะถูกว่าจ้างจากรัฐบาลต่างชาติ เพื่อสร้างการเจาะข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ด้านรักษาพยาบาล
ความผิดสังเกตในระบบของ Anthem เริ่มต้นขึ้นเมื่อผู้ใช้บริการรายหนึ่งคลิกไปที่ลิงค์ซึ่งถูกส่งมาโดยอีเมลล่อลวง (Phishing Mail) ของบริษัท โดยจนถึงตอนนี้ยังไม่ทราบมูลค่าที่แน่ชัดของความเสียหาย แต่มีการประเมินว่าน่าจะเกินกว่า 100 ล้านดอลลาร์
Anthem เผยในปี 2016 ว่าไม่มีหลักฐานว่าข้อมูลต่างๆ ของลูกค้าที่หลุดไป ถูกนำไปขายต่อให้บุคคลที่สาม รวมทั้งหมายเลขบัตรเครดิตและข้อมูลทางการแพทย์ก็ไม่ได้ถูกขโมยไปแต่อย่างใด
15. Adult Friend Finder
ตุลาคม 2016
มากกว่า 412 ล้านบัญชี
เครือข่าย FriendFinder ที่ประกอบด้วยเว็บไซต์สำหรับผู้ใหญ่ทั้ง Adult Friend Finder, Penthouse.com, Cams.com, iCams.com และ Stripshow.com ถูกเจาะข้อมูลในช่วงกลางเดือน ต.ค. 2016 โดยแฮคเกอร์ทำการเก็บข้อมูลย้อนหลังถึง 20 ปีจนได้มาซึ่งข้อมูลพื้นฐาน 6 อย่าง เช่นชื่อสกุลจริง, อีเมล และรหัสผ่าน
มีการเผยว่ารหัสผ่านที่ใช้ในเว็บไซต์เหล่านี้ ถูกปกป้องแบบหลวมๆ ด้วยอัลกิริธึม SHA-1 ที่มีประสิทธิภาพอ่อนแอ จนมีถึง 99 เปอร์เซ็นต์ของผู้ใช้ที่ถูกล่วงล้ำข้อมูลส่วนตัว จากการเปิดเผยของ LeakedSource.com ในช่วงกลางเดือน พ.ย. ทั้งยังมีรายงานจาก CSO Online ว่าช่องโหว่บนเซิร์ฟเวอร์ของ Adult Friend Finder ถูกลอบใช้งาน และหลังจากนั้น Diana Ballou รองประธานกลุ่ม FriendFinder ก็แถลงการณ์ยอมรับว่ามีข้อผิดพลาดเกิดขึ้นจริง ส่งผลถึงบัญชีผู้ใช้กว่า 412 ล้านราย
16. Uber
ปลายปี 2016
ข้อมูลส่วนตัวของผู้ใช้บริการ 57 ล้านคน และพนักงานขับรถ 6 แสนคน
ขอบข่ายความเสียหายที่ Uber โดนเจาะฐานข้อมูล ไม่ใช่เรื่องเลวร้ายที่สุดในกรณีนี้ เพราะเทียบไม่ได้กับการกระทำของ Uber ในขั้นตอนการรับมือ ซึ่งนี่คือบทเรียนของการทำธุรกิจว่าอะไรที่ไม่ควรทำ
Uber พบว่าในช่วงปลายปี 2016 แฮคเกอร์ 2 รายได้เข้าถึงข้อมูลชื่อสกุล, อีเมล และหมายเลขโทรศัพท์ของผู้ใช้แอพพลิเคชันจำนวน 57 ล้านคน และยังรวมถึงพนักงานขับรถที่มีใบอนุญาตอีก 6 แสนคน ผ่านทางบัญชี GitHub ของ Uber ซึ่งพบว่าในนั้นมีข้อมูลยูสเซอร์เนมและรหัสผ่านต่างๆ เก็บไว้อยู่ แม้ว่าข้อมูลอื่นๆ เช่นหมายเลขบัตรเครดิตและหมายเลขประกันสังคมจะไม่ถูกขโมยไปก็ตาม
อย่างไรก็ตาม ที่หนักหนากว่าการถูกเจาะข้อมูล คือการที่ Uber ปล่อยให้เวลาผ่านมาร่วม 1 ปีหลังเกิดเหตุ ถึงจะมีการเปิดเผยกับสาธารณชน และยังมีการจ่ายเงินให้กับแฮคเกอร์เป็นจำนวน 100,000 ดอลลาร์ เพื่อให้แฮคเกอร์ลบข้อมูลทิ้ง ซึ่งแน่นอนว่าพวกเขาไม่อาจตรวจสอบได้ว่าข้อมูลได้ถูกลบจริงหรือไม่ นอกจากนั้นก็สั่งเด้ง Joe Sullivan เจ้าหน้าที่ฝ่ายรักษาความปลอดภัยทางข้อมูล (CSO) ของตัวเองออกจากตำแหน่ง โดยนัยว่าเป็นแพะรับบาปจากกรณีนี้ (พร้อมค่าปิดปากก้อนโต)
สิ่งที่เกิดขึ้นสร้างความเสียหายทั้งทางการเงินและภาพลักษณ์ของ Uber ซึ่งในช่วงที่คดีถูกเปิดเผย พวกเขากำลังเจรจาขายหุ้นให้กับ Softbank นั่นจึงไม่น่าแปลกใจที่ราคาขายของพวกเขาจะหล่นวูบจาก 68,000 ล้านดอลลาร์ ลงมาเหลือ 48,000 ล้านดอลลาร์
17. Equifax
29 กรกฎาคม 2017
ข้อมูลส่วนตัว (วันเดือนปีเกิด, ที่อยู่, ใบขับขี่, หมายเลขประกันสังคม) ของลูกค้า 143 ล้านคน ในจำนวนนี้ 209,000 คนถูกเข้าถึงข้อมูลบัตรเครดิต
Equifax คือหนึ่งในผู้ให้บริการเครดิตที่ใหญ่ที่สุดของสหรัฐอเมริกา พวกเขายอมรับด้วยตัวเองในเดือนกันยายน 2017 ว่าช่องโหว่ของแอพพลิเคชันบนเว็บไซต์ทำให้เกิดการละเมิดข้อมูลของลูกค้าประมาณ 148 ล้านราย โดยพบการละเมิดในวันที่ 29 กรกฎาคม 2017 แต่ขบวนการนี้ก็เริ่มขึ้นตั้งแต่กลางเดือนพฤษภาคมก่อนหน้านั้น
18. Facebook
มีนาคม 2018 แต่เริ่มต้นตั้งแต่ 2016
บัญชีผู้ใช้ 87 ล้านราย
วิกฤตการณ์ครั้งใหญ่ที่สุดของ Facebook นับตั้งแต่ก่อตั้งโซเชียลมีเดียจนขึ้นแท่นเป็นเบอร์ 1 ของโลก เกิดขึ้นเมื่อพวกเขายินยอมให้ Strategic Communication Laboratories (SCL) นำแอพพลิเคชันการทดสอบทางจิตวิทยา thisisyourdigitallife มาผูกติดกับ Facebook ในปี 2015
หนึ่งปีให้หลัง พบว่าแอพดังกล่าวมีการนำข้อมูลที่ได้จากผู้ใช้ราว 270,000 คน เช่นที่อยู่, สิ่งที่กดไลค์ หรือข้อมูลเกี่ยวกับเพื่อน ส่งต่อให้กับ Cambridge Analytica บริษัทวิเคราะห์ข้อมูลด้านการเมือง และบริษัทแม่ SCL เพื่อใช้ในแคมเปญหาเสียงของประธานาธิบดี Donald Trump
แม้ว่า Facebook จะลบแอพดังกล่าวและสั่งแบนผู้เกี่ยวข้อง รวมถึงให้ Cambridge Analytica ส่งเอกสารรับรองการลบข้อมูลของผู้ใช้มาเพื่อยืนยัน แต่ก็พบในภายหลังว่าเอกสารที่ได้รับ ไม่ตรงกับข้อมูลจริง และสื่อคาดการณ์ว่าข้อมูลผู้ใช้ที่ถูกดึงไปมีจำนวนถึง 50 ล้านบัญชี
แถมจากตัวเลข 50 ล้าน ยังขยับขึ้นเป็น 87 ล้านบัญชีด้วย จากการเปิดเผยของ Mike Schroepfer หัวหน้าฝ่ายเทคโนโลยีของ Facebook เอง เมื่อ 4 เม.ย. “โดยสรุปแล้ว เราเชื่อว่าข้อมูลผู้ใช้ Facebook จำนวน 87 ล้านคน ซึ่งส่วนใหญ่อยู่ในสหรัฐอเมริกา ได้ถูกแชร์อย่างไม่ถูกต้องโดย Cambridge Analytica”
หลังเกิดเหตุ Mark Zuckerberg เทียวออกแถลงการณ์และให้สัมภาษณ์กับสื่อแทบไม่เว้นวัน และมีการปรับเปลี่ยนนำเครื่องมือแสดงข้อมูลการใช้แอพของแต่ละคนมาแสดงบนหน้า News Feed เพื่อความชัดเจนมากขึ้น แต่ก็ดูจะไม่อาจกลบกระแสเสื่อมความนิยม #DeleteFacebook ที่แพร่กระจายเป็นวงกว้างในทวิตเตอร์ ได้มากนัก
ไม่มีรายงานว่า Facebook ได้จ่ายค่าชดเชยใดใดให้กับผู้เสียหาย แต่ The New York Times รายงานว่าพวกเขาสูญเสียมูลค่าหลักทรัพย์ไปถึง 100,000 ล้านดอลลาร์เลยทีเดียว
19. MyFitnessPal
มีนาคม 2018
ข้อมูลส่วนตัวผู้ใช้แอพ 150 ล้านคน
ก่อตั้งขึ้นเป็นเอกเทศในปี 2005 จากนั้นในปี 2015 แอพพลิเคชันสายคนรักสุขภาพ MyFitnessPal จึงได้ถูกแบรนด์เครื่องกีฬามาแรงอย่าง Under Armour เข้าซื้อกิจการด้วยเงินทุน 475 ล้านดอลลาร์
เพียงสามปีให้หลังการเข้าถือครองแอพ Under Armour ก็เจอปัญหาครั้งใหญ่ด้วยการถูกแฮ็กเกอร์โจมตี เจาะเข้าสู่ฐานข้อมูลจนได้ไปทั้งชื่อสกุล, ที่อยู่, อีเมล และรหัสผ่านของผู้ใช้จำนวนถึง 150 ล้านคน
Under Armour ตรวจพบการเจาะข้อมูลในช่วงเดือน ก.พ. ที่ผ่านมา และเมื่อทราบแน่ชัดถึงความเสียหายแล้ว พวกเขาก็ได้ออกคำแนะนำอย่างเป็นทางการให้ผู้ใช้งานทุกคนเปลี่ยนรหัสผ่านของตนในทันที และให้คำมั่นสัญญาว่าจะพัฒนามาตรฐานความปลอดภัยในการรักษาข้อมูลผู้ใช้ให้มากขึ้น พร้อมกับที่จะทำงานร่วมกับเจ้าหน้าที่ตำรวจต่อไปสำหรับการสืบสวนคดี
แง่ดีเพียงอย่างเดียวคือการที่ (Under Armour ยืนยันว่า) ข้อมูลสำคัญเช่นบัตรเครดิต, หมายเลขประกันสังคม หรือใบขับขี่ ที่ผู้ใช้แอพใช้เพื่อยืนยันตัวตนกับบางบริการของ MyFitnessPal นั้น ไม่ได้ถูกโจรกรรมไปด้วย
20. Saks, Lord & Taylor
เมษายน 2018 แต่เริ่มต้นตั้งแต่ 2017
ข้อมูลบัตรเครดิตและเดบิต 5 ล้านบัญชี
ร้านค้าเครื่องแต่งกายแฟชั่น 3 แห่งในแถบอเมริกาเหนือ Lord & Taylor, Saks Fifth Avenue และ Saks Off 5th ซึ่งล้วนแต่อยู่ภายใต้บริษัทแม่ Hudson’s Bay Company ถูกกลุ่มอาชญากรออนไลน์ JokerStash หรือ Fin7 เข้าเจาะฐานข้อมูลในเดือน พ.ค. 2017 ก่อนจะกลายเป็นข่าวดังเมื่อวันที่ 1 เม.ย. ที่ผ่านมา
สิ่งสำคัญสุดที่แฮ็กเกอร์ได้ไปคือข้อมูลบัตรเครดิตและเดบิต จำนวนถึง 5 ล้านบัญชีที่มีการใช้ผ่านทางห้องเสื้อทั้ง 3 และพบว่าในช่วงปลายเดือน มี.ค. มีการปล่อยขายบัญชี 125,000 ชิ้นในตลาดมืดแล้ว พร้อมกับแผนการเทขายบัญชีทั้งหมดเพิ่มเติมในเดือนถัดๆ ไป
Hudson’s Bay Company ยอมรับว่าข้อมูลของลูกค้ามีการรั่วไหลจริง และกำลังดำเนินการสอบสวนอยู่ในเวลานี้ โดยลูกค้าทั้งหมดของพวกเขาจะได้รับการตรวจสอบเครดิตและได้รับการปกป้องข้อมูลส่วนอื่นๆ เพิ่มเติม รวมถึงบริษัทจะรับผิดชอบต่อความเสียหายที่เกิดขึ้นต่อไป อย่างไรก็ตาม Dmitry Chorine เจ้าหน้าที่ฝ่ายเทคโนโลยีของบริษัทรักษาความปลอดภัยข้อมูลออนไลน์ Gemini Advisory เผยว่าตอนนี้ยังเป็นเรื่องยากที่จะประเมินความเสียหายภาพรวม “เนื่องจากแฮ็กเกอร์ยังไม่ได้ปล่อยบัตรทั้งหมดออกมาภายในครั้งเดียว”
นี่คือการรั่วไหลของข้อมูลบัตรเครดิตที่ใหญ่ที่สุดในรอบหลายปี ถัดจากกรณีของ Heartland Payment Systems ที่หมายเลขบัตรเครดิต 134 ล้านบัญชีถูกเข้าถึง ในช่วงต้นปี 2008
เรียบเรียงจาก
The 17 biggest data breaches of the 21st century
Massive TJX Security Breach Reveals Credit Card Data
Did Uber throw its CSO under the bus?
Hackers take 5 million payment cards from Saks, Lord & Taylor stores
Under Armour says 150 million MyFitnessPal accounts compromised in data breach
สำหรับเพื่อนๆ ที่สนใจเรื่องราวเกี่ยวกับนวัตกรรมและธุรกิจ และต้องการพัฒนาตัวเองเพื่ออยู่ข้างหน้าเสมอ สามารถกด like เพจ AHEAD ASIA เพื่อติดตามเรื่องราวที่มีประโยชน์ และข่าวสารกิจกรรมที่น่าสนใจได้อย่างต่อเนื่อง เพื่อให้เราเติบโตและก้าวไปข้างหน้าพร้อมๆ กัน
