DataBreaches.net รายงานข่าวการแฮกข้อมูลบริษัท Jasmine International บริษัทแม่ของ 3BB และ Mono Group ของกลุ่มแฮกเกอร์ Altdos พร้อมหลักฐานข้อมูลที่เจาะมาได้ ทั้งข้อมูลด้านการเงินของบริษัท, ฐานข้อมูล HR, ไปจนถึงข้อมูลลูกค้าของ 3BB และช่องทีวี Mono รวมทั้งหมดกว่า 8 ล้านรายการ
อย่างไรก็ตามทาง Mono Group แถลงกับ DataBreaches ว่าบริษัทมีการวางมาตรการป้องกันเอาไว้แล้ว ทั้งเซิร์ฟเวอร์ในศูนย์ข้อมูลบริษัทและบนคลาวด์ ขณะที่ข้อมูลที่หลุดออกไปนั้นไม่มีข้อมูลด้านการเงิน บัตรเครดิตหรือภาพบัตรประชาชน ส่วนข้อมูลด้านการเงิน Mono Group ระบุว่าเป็นข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้ว
ข้อมูลทางการเงินที่ Altdos อ้างว่าดึงออกไปได้ ได้แก่ ราคาค่าโฆษณาย้อนหลังไปจนถึงปี 2014, รายการโอนเงิน, ยอดเงินคงเหลือในบัญชีแต่ละวันย้อนหลัง 6 ปี
Altdos อ้างว่าเจาะเอาข้อมูลจากเซิร์ฟเวอร์ของ Jasmine เป็นระยะเวลารวมกันกว่า 2 เดือน โดยไม่พบการป้องกันหรือแม้แต่ไฟร์วอลล์ใด ๆ รวมถึงมีการแจ้งเตือนวันและเวลาก่อนการโจมตีด้วยซ้ำ
Altdos ระบุว่าช่วงกลางเดือนธันวาคมที่ผ่านมาได้แจ้งไปยังบริษัทและเปิดโต๊ะเจรจาเพื่อเรียกค่าไถ่ข้อมูลนี้เป็นเงิน 500,000 เหรียญ (ราว 15 ล้านบาท) เมื่อกลางเดือนธันวาคม โดยผู้บริหาร Jasmine ขอจ่ายเพียง 1 ใน 3 ส่วนอีก 2 ใน 3 ของค่าไถ่ ขออยู่ในรูปการจ้าง Altdos มาเป็นที่ปรึกษาด้านความปลอดภัยเป็นระยะเวลา 2 ปี ซึ่ง Altdos ปฏิเสธ และให้เวลาผ่อนจ่ายค่าไถ่เป็นระยะเวลา 8 สัปดาห์
ตัวอย่างไฟล์ข้อมูลลูกค้า 3BB
ข้อมูลพนักงานจากฐานข้อมูล HR
จากการตรวจสอบเบื้องต้น ทีมงาน Blognone ยังไม่พบการแถลงจาก Jasmine International เรื่องข้อมูลลูกค้าที่หลุดออกไป ซึ่งหากกฎหมาย PDPA บังคับใช้แล้ว (หลายหมวดเลื่อนไปเป็นวันที่ 1 มิถุนายนนี้) ตามหมวด 3 มาตรา 37 วรรค 4 บริษัทที่ถูกแฮกข้อมูลจะต้องแจ้งให้กับสำนักงานคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชม. และเจ้าของข้อมูล พร้อมแนวทางการเยียวยา และตามมาตรา 40 วรรค 2 ที่บังคับให้มีการใช้มาตรการป้องกันและรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
ทั้งนี้ Blognone ได้สอบสอบถามไปยัง Jasmine เพิ่มเติมแล้วและจะอัพเดตเพิ่มเติมหากได้รับการแถลงกลับมา
ที่มา - DataBreaches.net
update: บริษัทส่งแถลงชี้แจงเพิ่มเติมดังนี้
Comments
ชิบหรัยครับ อันนี้
บัตรเครดิตผูกไว้ในแอพ 3BB ด้วย— มั่ยนะ
เอาแล้วไง จะแก้ตัวยังไง 3BB
ผูกบัตรเครดิตอยู่ เดี๋ยวต้องถอนออก และต้องเปลี่ยน Password อีกแล้ว
Update: 3BB Member ตอนนี้ Login ไม่ได้แล้วนะครับ ขึ้นว่าไม่สามารถเชื่อมต่อได้ (ตอนนี้ได้แล้ว แต่เปลี่ยนรหัสไม่ได้)Update 2: ชี้แจงแล้วไม่ได้ช่วยอะไรเลย และไม่บอกว่าจะจัดการหรือรับผิดชอบยังไงด้วย ข้อมูลส่วนตัว, บัตรเครดิด, รหัสเข้าเว็บ (เข้ารหัสหรือเปล่าก็ไม่รู้) ฯลฯ ก็หลุดไปด้วย
ที่แปลกคือ บริษัทบริการบนเว็บในไทย ทำไมเวลาเกิดเรื่องพวกนี้ มักจะปัดความรับผิดชอบ ไม่ยอมรับตรงๆ หรือพูดอ้อมให้ความเสียหายน้อยลง หรือแม้แต่บางกรณียังฟ้องคนแจ้งด้วย มันเป็นที่อะไร
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
โชคยังดีที่ผมใช้ password เก่า (ที่ถูก breached แล้วและมีในฐานข้อมูลของกูเกิล) และบัตรเครดิตเพิ่งเปลี่ยนใหม่พอดี เพราะอันเก่าโดนสกิม
แต่ของวงในนี่พาสเวิร์ดใหม่ด้วยสิ เลยกลัวๆ
password ที่หลุดออกไปนี่มันเข้ารหัส/hash หรือ plaintext เนี่ย
edited: น่าจะ hash แหละ ดูจากตัวอักษรแรกในรูป แต่ไม่รู้ว่า hash แบบไหนไว้
หลายปีแล้วเขาไม่ hash จริงๆครับ ถ้ากด ลืมพาส ก็จะส่งพาสเดิมกลับมาให้แบบตรงๆเลยเคยแจ้งผ่านพันทิป ่ต่อมาเขาก็แก้เป็นแบบตั้งเองแล้ว (แต่ไม่่รู้ด้านหลังเป็นไงนะ)
ไอเดียการต่อรองดีน่ะ ผมชอบน่ะ เองแฮกแล้ว ไหนๆจะต้องเสียเงินอยู่แล้ว เองก็ทำงานให้ด้วยแล้วกัน วิน-วิน
เหมือนโจรขึ้นบ้าน ไหนๆของก็จะขโมยอยู่แล้ว รบกวนคุณโจร ตัดต้นไม้ ดูแลสวนทำรั้วให้ด้วย 2 เดือนน่ะ
โจรบอก : เอ้ย กรูเป็นโจรน่ะเว้ย ไม่ได้มาสมัครพ่อบ้าน
เจ้าของบ้าน : งั้นเองก็ไม่ต้องเอาตัง....
โจร : งั้นขี้ทิ้งไว้หน้าบ้านแล้วกัน ...กรูไปละ เช็ดเอาเองแล้วกัน
ผมมองว่าแม้งตลกอะ ยังมีหน้าไปจ้างเขาอีก ถ้าอยากจ้างก็จ่าย 500k ก่อนสิ แล้วค่อยเจรจาจ้าง แต่อย่าเลยโดนบริษัทหักหลังแน่ๆไม่ใช้ USA
password หลุดด้วยหรอครับ ขอให้เจริญๆนะครับ3BB เพิ่งยกเลิกปีที่แล้วก็โดนด้วยแน่ๆต้องมาไล่เปลี่ยนpasswordอีกละสิเนี่ย เปลี่ยนจนจำไม่ได้แล้ว
ดีนะย้ายมา AIS สักพักแล้วว่าแต่ ทำไมระบบห่วยถึงขั้นไม่มี fw เลยหรอ
งานหยาบ
โหดกว่าการป้องกันไม่มีช่องโหว่ ก็ ไม่เจอการป้องกันเนี่ยแหละ
ผมแอบสงสัยข้อความนี้ของ ALTDOS อยู่นะครับ คือองค์กรอาจจะพลาดจริง allow port ผิดมันก็ไม่ใช่ไม่มี firewall เลย
lewcpe.com , @wasonliw
กรรมผมผูกบัตรเครดิตไว้ด้วย
Password หลุด แล้วมาพร้อมอีเมล
ผมเชื่อ ประชากรกว่า 80% ใช้ Password แค่ชุดเดียว รวมถึงอีเมลด้วย
งานหยาบมากจริงๆ สงสัยคงได้ยกเลิก
ยอดเงินคงเหลือในบัญชีแต่ละวันย้อนหลัง 6 ปี
-///- เขิลแทน
ดูจากเว็บที่จ่ายค่าบริการอะไรต่าง ๆ แล้ว บอกได้เลยว่าไม่แปลกใจเท่าไร...
Coder | Designer | Thinker | Blogger
ALTDOS did not steal some of their employee records. We stole all of their employee records. The stolen information contains more than just name and age. The HR databases contain everything related to each employee, including their father, mother, brother, sister, education, previous employment, salary amount and a lot more.
โอว
อ่านแถลงจาก 3BB ย่อหน้าที่ 3 จากล่างแล้วแปลก ๆ เหมือนบอกให้ช่วยกันปิดข่าวยังไงไม่รู้
"การนำเสนอข่าวเท่ากับการสนับสนุนอาชญากรรม"T-T
การส่องกระจกคือการสนับสนุนอาชญากรรม
พยายามเข้าระบบไปตรวจสอบ
ใครจะว่าไงไม่รู้นะ บริการออนไลน์ของไทยหลายๆ ตัวผมไม่กล้าผูกบัตรอะไรด้วย บางเว็บเห็นสภาพเว็บแล้วไม่มั่นใจในมาตรการความปลอดภัย
[21:03] เข้าได้ละ
"หากดำเนินคดีเสร็จสิ้น..."รออีก 5 ปี ค่อยว่ากัน
ย่อหน้าแบบแปลก ๆ ขอเก็บเข้า The Wayback Machine นะครับ ...
บล็อก: wannaphong.com และ Python 3
แล้วจากอันนี้อ่ะ
(เคสปี 2017)
3BB เก็บรหัสผ่าน user เป็น plaintext
https://www.facebook.com/1559669844287797/posts/1934837096771068/
https://pantip.com/topic/37179388
ไม่ต้องห่วงครับ แค่เข้าถึง อีเมลล์ (?) เบอร์โทรศัพท์ (??) วันเกิด (???) เอง~
นี่แทบจะขอรีเซ็ตพาสได้ละ
ถึงว่าทำไม server ต่อแค่แลนทิ้งไว้ แต่เชื่อมเน็ต 3BB อยู่ๆโดน Ransomware
จริงหรือเปล่าครับ ขอรายละเอียดด้วย จะได้ระวัง
อันนี้ไม่เกี่ยวกับ 3bb เคสนี้แน่ๆ ครับ...
มีหลายองค์กรเลยนะ ชอบขอข้อมูลลูกค้าเยอะๆเกินความจำเป็นไปมาก แต่รักษาความลับไม่ได้เลย
จริงๆในอนาคตควรจะเป็นภาครัฐทำฐานข้อมูลกลาง แล้วแจกเป็น token แทน ไม่ให้เป็นข้อมูลไป
หรือถ้าจำเป็นจริงๆก็ให้แต่ข้อมูลที่จำเป็น
จดหมายฆ่าตัวตาย
จดหมายแบบนี้น่าตีแผ่ให้เห็นทั้งประเทศนะว่าไม่แคร์เรื่องแก้ปัญหาเท่ารักษาหน้า
ผมใช้ 3BB อยู่ ไม่มีการแจ้งเตือนให้เปลี่ยนรหัสผ่านในช่องทางใดๆ เลยโคตรจะแย่เลยแบบนี้
แต่พื้นที่มันรองรับแค่เจ้านี้ก็คงต้องทนใช้ไป
+1 ถ้ามี AIS Fibre ในพื้นที่ ก็จะย้ายออกละ เพราะใช้สิทธิอะไรได้เยอะกว่า แถมบริการดีกว่า
Coder | Designer | Thinker | Blogger
แย่ละ อย่างนี้ผมต้องเข้าไปลบบัตรเครดิตทิ้งละมั้งเนี่ย... แล้วก็เปลี่ยนผู้ให้บริการไปด้วยเลยถ้าตอบแบบนี้
เซิพเวอร์ ไม่มีการป้องกันใดๆเลย !!
เรื่องเซิร์ฟเวอร์ไม่มีการป้องกันใด ๆ นี่ผมไม่เชื่อนะ ใครมันจะไปชุ่ยเลเวลนั้น น่าจะแค่ปองกันอ่อนปวกเปียกมากกว่า แต่เรื่องจดหมายตอบนี่มัน.... ดีนะย้ายออกมาเกือบปีแล้ว และช่วงที่เคยใช้อยู่ก็ไม่เคยให้ข้อมูลอะไรมากมาย บัตรก็ไม่ได้ผูก
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ทุเรศตรงมาขู่คนทำข่าวด้วย ปัญญาอ่อนละ ต่างประเทศบริษัทกลัวโดนฟ้องที่ทำข้อมูลลูกค้าหลุด ประเทศไทยต้องมากลัวบริษัทฟ้อง ตลกสิ้นดี
ช่วงเวลาเดียวกันนี้ มี 2 บริษัทที่โดนเจาะ
Ubiquity กับ 3BB
ลองอ่านคำแถลงการเทียบกันแล้ว แบบ .... อืมมมม คนละเรื่องเลย