Talk Talk Data Breach

วันนี้มาเล่าเรื่อง Data Breach ของบริษัทในอังกฤษนะครับ ใครไปเที่ยวคงเคยเห็น Carphone Warehouse บริษัทเริ่มจากขายโทรศัพท์มือถือแล้วก็ขยายจนไปทำธุรกิจของ Mobile Operator ซึ่งภายในระยะเวลาประมาณ​ 1 ปีเนี่ยเกิด Data Breach ไปมากถึง 3 ครั้งเลย

1. Carphone Warehouse บริษัทของอังกฤษ ที่ทำธุรกิจขายโทรศัพท์มือถือ
2. Carphone Warehouse ขยายธุรกิจในปี 2003 โดยเปิดบริษัทลูกชื่อ TalkTalk ให้บริการเป็น Mobile Operator
3. ในปี 2009 Carphone Warehouse ซื้อ Tiscali ซึ่งเป็น Mobile Operator รายใหญ่ในยุโรป โดยจะทำการรวม (merge) Tiscali เข้ากับ TalkTalk เพื่อให้ TalkTalk เป็นผู้บริการที่มีฐานลูกค้าใหญ่มากขึ้น
4. ในปี 2010 มีการแยก TalkTalk ออกจาก Carphone Warehouse เพื่อออกมาตั้งเป็นบริษัท
5. ในช่วง Q4 ปี 2014 ลูกค้าของ TalkTalk ได้รับ call แปลก ๆ เป็นจำนวนมาก โดย call เหล่านี้เป็น scam call (พวกที่หลอกลวงต้มตุ๋นทางโทรศัพท์) บทสนทนาเริ่มจาก

• แจ้งลูกค้าว่าโทรมาจาก TalkTalk ถ้าลูกค้าไม่เชื่อก็จะพยายาม convince ว่าโทรจาก TalkTalk จริง ๆ นะ เพราะว่ามีรายละเอียดข้อมูลของลูกค้าทั้งหมดเลย
• หลังจากนั้นบอกว่ามีการจ่ายเงินเกินจาก TalkTalk เข้าบัญชีของลูกค้า
• ให้ลูกค้าเปิดคอมพิวเตอร์แล้วทำการ Share Screen ให้หน่อย จากนั้นพยายามหลอกให้ลูกค้าติดตั้ง Malware
• โดย Malware ตัวนี้จะทำการเปลี่ยนตัวเลข Balance ในบัญชีให้มีเยอะกว่าความเป็นจริง ทำให้ลูกค้าเชื่อว่า TalkTalk จ่ายเงินเกินมาจริง ๆ
• หลังจากนั้นก็พยายามให้ลูกค้าโอนเงินกลับไปให้

6. จากการตรวจสอบพบว่าสาเหตุของปัญหานี้ไม่ได้เกิดขึ้นกับ Server ในอังกฤษหรือยุโรปเลย แต่เกิดขึ้นในอินเดีย
7. TalkTalk มีการ Outsource ส่วนของ Call Centre ให้บริษัท Wipro ดูแล โดยบริษัทนี้อยู่ในอินเดียซึ่งมีพนักงานมากกว่า 1,000 คนที่สามารถเข้าถึงฐานข้อมูลของ TalkTalk ได้ แต่ว่ามีพนักงานประมาณ 40 คนที่มีสิทธิในการ search ได้มากกว่าคนอื่น คือ search แบบ wildcard ได้ เช่น search ว่า "A*" ก็จะ list รายการที่ขึ้นต้นด้วยอักษร "A" ออกมาทั้งหมด แต่ทั้งนี้แต่ละรอบในการ search จะถูก limit ไว้ที่ 500 รายการ
8. พบว่ามีพนักงานจำนวน 3 คนที่ทำการนำข้อมูลออกผ่าน USB drive จำนวน 21,000 รายการ โดยที่พนักงานเหล่านี้นำข้อมูลไปให้ Scammer เพื่อทำการโทรหลอกเหยื่อ ซึ่งถ้าหลอกรายไหนได้สำเร็จ พนักงานก็จะได้รับส่วนแบ่งรายได้
9. หลังจากที่เกิด Data Breach ทาง TalkTalk แจ้ง ICO ซึ่งเป็น Data Protection Authority ของอังกฤษ ในเดือนกุมภาพันธ์ ปี 2015 (แต่เหตุเกิดตั้งแต่ช่วงเดือนพฤศจิกายน ปี 2014)
10. มีเหยื่อที่โดน Scam call แล้วจ่ายเงินมากถึง 3,900 GBP ซึ่งในเหตุการณ์นี้ TalkTalk ก็มีการจ่ายเงินคืนให้กับลูกค้าที่ได้รับผลกระทบแค่บางรายเท่านั้น โดยช่วงนั้น TalkTalk ก็ได้ออก awareness campaign ให้ลูกค้ามีความตระหนักเกี่ยวกับเรื่องนี้มากขึ้น โดยเมื่อไรก็ตามที่ได้รับ Scam call ที่ไม่แน่ใจให้ทำ 3 Steps ง่าย ๆ คือ 1.Hang up 2.Make Tea 3.Call back to official number
11. ในช่วงสิงหาคมปี 2015 เว็บไซต์หลัก 3 เว็บไซต์ของ Carphone Warehouse จู่ ๆ ก็ไม่สามารถเข้าได้ วันถัดมาได้มีการแจ้งลูกค้าว่าเกิด Data breach (ข้อมูลรั่วไหล) โดยข้อมูลที่คาดว่าหลุดออกมานั้นมีข้อมูลของลูกค้าจำนวน 2.5 ล้านราย ซึ่งมีประมาณ 450,000 ราย ที่เป็นลูกค้าของ TalkTalk
12. ในช่วงตุลาคมปี 2015 จู่ ๆ TalkTalk network ก็มีปัญหาทั้งโทรศัพท์ไม่ได้ และ Internet ก็ช้า ในตอนเที่ยงเว็บไซต์ของ TalkTalk ก็ไม่สามารถเข้าใช้งานได้ ในวันถัดมาทาง TalkTalk ได้ออกมาแจ้งว่าเกิด Data Breach ขึ้น ซึ่งเหตุการณ์ที่เกิดขึ้นในครั้งนี้ทาง TalkTalk ได้ออกมาแจ้งว่าทาง TalkTalk โดนโจมตี DDOS ทุกวัน และมีข้อมูลของลุกค้าหลุดออกไปเป็นจำนวน 4 ล้านราย โดยทาง TalkTalk ได้เสนอว่าจะให้บริการ Credit monitoring กับลุกค้าของ TalkTalk เป็นระยะเวลา 1 ปี พร้อมทั้งมีส่วนลดต่าง ๆ ให้ แต่ก็มีลูกค้าจำนวนไม่น้อยที่ต้องการย้ายออกจาก TalkTalk เพื่อไป Operator รายอื่น ซึ่งสำหรับลูกค้าที่ย้ายไปโดยยังไม่หมด Contract นั้นทาง TalkTalk ก็ไม่มีการลดหรือ waive ค่าธรรมเนียมแต่อย่างใด
13. ในเหตุการณ์นี้ CEO ของ TalkTalk (Dido Harding) ต้องเข้าไปให้สัมภาษณ์กับสื่อต่าง ๆ มากมาย รวมไปถึงต้องเข้าไปคุยกับ ICO ซึ่งหนึ่งใน session ที่โดนสัมภาษณ์มีความยาวประมาณ 2 ชั่วโมง โดนยิงคำถามไป 145 คำถาม นอกจากนี้ CEO ยังบอกว่าโดน email เรียกค่าไถ่ ว่าถ้าไม่จ่ายเงินให้จะนำข้อมูลของลูกค้าเปิดเผยสู่สาธารณะ
14. หลังจากตรวจสอบปัญหาที่เกิดขึ้นพบว่าสาเหตุที่ข้อมูลรั่วไหลเกิดจากช่องโหว่ SQL Injection ในช่วงตุลาคม 2015 นั้นโดนโจมตีด้วยเทคนิค SQL Injection มากกว่า 14,000 ครั้ง Source IP มาจากหลายที่ (เค้าใช้คำว่า Coordinated attack)
15. โดยเครื่องที่ถูกโจมตีนั้นเป็นเครื่อง Server ของ Tiscali (บริษัทที่ไปซื้อมา) ซึ่งเครื่องนี้ไม่ได้ patch มาหลายปี ในบทสัมภาษณ์ของ Dido Harding ก็บอกว่าเค้าไม่รู้ด้วยซ้ำว่าต้องป้องกันอะไร เพราะเค้าไม่รู้ว่ามี Server นี้อยู่ใน list ของเค้า ประเด็นนี้สำคัญมากนะครับ หลาย ๆ องค์กรปัจจุบันไม่รู้จริง ๆ ว่าตัวเองมี Asset อะไรบ้าง ถ้าไปอ่าน CIS Critical Control จะพบว่าเรื่องการทำ Asset Inventory นี่จะอยู่ในข้อแรก ๆ เลย.
16. ในเวลา 3 เดือน ตำรวจได้มีการสืบเรื่องนี้และตามจับได้ 6 คน ซึ่งทั้งหมดนี้เป็นผู้ชายมีอายุต่ำกว่า 21 ปี (ต่ำสุดคือ 15 ปี) โดยพบว่ามีทั้งคนที่ทดลอง Hack เพื่อความสนุกแล้วเอาไป post ตาม forum ของ hacker, คนที่ส่ง email เรียกค่าไถ่, คนที่เอาข้อมูลที่ขโมยออกมาไปขายใน underground market
17. TalkTalk เสียค่าปรับเป็นเงิน 550,000 USD และสูญเสียลูกค้ากว่า 1 แสนรายจากเหตุการณ์ครั้งนี้ ถือว่าโชคดีมากเพราะว่าในตอนนั้นยังไม่มีเรื่อง GDPR (General Data Protection Regulation) เพราะว่าค่าปรับของ GDPR เนี่ยสูงถึง 20 ล้านยูโร หรือ 4% ของรายรับขององค์กรนั้น ขึ้นกับว่าอันไหนแพงกว่ากัน
18. คำแนะนำจาก Dido Harding สำหรับเรื่องนี้คือ 1.เมื่อเกิดเหตุการณ์แบบนี้คุณควรจะบอกความจริงกับลูกค้า 2.เรื่อง Cybersecurity เป็นเรื่องที่สำคัญเป็นเรื่องที่บอร์ดบริหารจะต้องให้ความสำคัญ ไม่ใช่เพียงแค่จะส่งให้คนอื่นจัดการ เพราะสุดท้ายแล้วก็เป็นความรับผิดชอบของผู้บริหาร

Ref: https://darknetdiaries.com/episode/4/

หนึ่งในจุดเริ่มต้นของปัญหาที่ TalkTalk พบนั้นเกิดจากตอนที่ไปซื้อกิจการจาก Tiscali ซึ่งถ้าในมุมมองทางการเงิน ข้อมูลพวกนี้สามารถดูได้จากงบการเงิน แต่ถ้าเป็นเรื่องของ Cybersecurity ล่ะ???

ปัจจุบันมี Solution หลาย ๆ อันที่ทำการประเมินคะแนนด้าน Cybersecurity โดยดูจาก Public IP Address ขององค์กร และให้คะแนนตามหมวดหมู่ต่าง ๆ ซึ่ง SecurityScorecard เป็นหนึ่งในเครื่องมือที่ทำการวิเคราะห์โดยอ้างอิงข้อมูล 10 แกน ทั้งข้อมูลจาก Public IP address และ ข้อมูลจาก Dark web เพื่อทำการวิเคราะห์ระดับความปลอดภัยด้าน Cybersecurity ขององค์กร ซึ่งข้อมูลนี้ไม่เพียงแต่ใช้บอกได้ว่าองค์กรของเรามีความปลอดภัยเพียงใด แต่ยังใช้ดูได้ว่าคู่ค้าของเราแต่ละรายมีความมั่นคงปลอดภัยเพียงใด ในยุคนี้การทำงานต้องมีการส่งข้อมูลหากันมากขึ้น ถ้าคู่ค้าของเราดูแลข้อมูลไม่ดี เหตุการณ์แบบ TalkTalk ก็คงไม่ไกลตัวเราเกินไป