
Talk Talk Data Breach
Incognito Lab
วันนี้มาเล่าเรื่อง Data Breach ของบริษัทในอังกฤษนะครับ ใครไปเที่ยวคงเคยเห็น Carphone Warehouse บริษัทเริ่มจากขายโทรศัพท์มือถือแล้วก็ขยายจนไปทำธุรกิจของ Mobile Operator ซึ่งภายในระยะเวลาประมาณ 1 ปีเนี่ยเกิด Data Breach ไปมากถึง 3 ครั้งเลย
- Carphone Warehouse บริษัทของอังกฤษ ที่ทำธุรกิจขายโทรศัพท์มือถือ
- Carphone Warehouse ขยายธุรกิจในปี 2003 โดยเปิดบริษัทลูกชื่อ TalkTalk ให้บริการเป็น Mobile Operator
- ในปี 2009 Carphone Warehouse ซื้อ Tiscali ซึ่งเป็น Mobile Operator รายใหญ่ในยุโรป โดยจะทำการรวม (merge) Tiscali เข้ากับ TalkTalk เพื่อให้ TalkTalk เป็นผู้บริการที่มีฐานลูกค้าใหญ่มากขึ้น
- ในปี 2010 มีการแยก TalkTalk ออกจาก Carphone Warehouse เพื่อออกมาตั้งเป็นบริษัท
- ในช่วง Q4 ปี 2014 ลูกค้าของ TalkTalk ได้รับ call แปลก ๆ เป็นจำนวนมาก โดย call เหล่านี้เป็น scam call (พวกที่หลอกลวงต้มตุ๋นทางโทรศัพท์) บทสนทนาเริ่มจาก
- แจ้งลูกค้าว่าโทรมาจาก TalkTalk ถ้าลูกค้าไม่เชื่อก็จะพยายาม convince ว่าโทรจาก TalkTalk จริง ๆ นะ เพราะว่ามีรายละเอียดข้อมูลของลูกค้าทั้งหมดเลย
- หลังจากนั้นบอกว่ามีการจ่ายเงินเกินจาก TalkTalk เข้าบัญชีของลูกค้า
- ให้ลูกค้าเปิดคอมพิวเตอร์แล้วทำการ Share Screen ให้หน่อย จากนั้นพยายามหลอกให้ลูกค้าติดตั้ง Malware
- โดย Malware ตัวนี้จะทำการเปลี่ยนตัวเลข Balance ในบัญชีให้มีเยอะกว่าความเป็นจริง ทำให้ลูกค้าเชื่อว่า TalkTalk จ่ายเงินเกินมาจริง ๆ
- หลังจากนั้นก็พยายามให้ลูกค้าโอนเงินกลับไปให้
- จากการตรวจสอบพบว่าสาเหตุของปัญหานี้ไม่ได้เกิดขึ้นกับ Server ในอังกฤษหรือยุโรปเลย แต่เกิดขึ้นในอินเดีย
- TalkTalk มีการ Outsource ส่วนของ Call Centre ให้บริษัท Wipro ดูแล โดยบริษัทนี้อยู่ในอินเดียซึ่งมีพนักงานมากกว่า 1,000 คนที่สามารถเข้าถึงฐานข้อมูลของ TalkTalk ได้ แต่ว่ามีพนักงานประมาณ 40 คนที่มีสิทธิในการ search ได้มากกว่าคนอื่น คือ search แบบ wildcard ได้ เช่น search ว่า "A*" ก็จะ list รายการที่ขึ้นต้นด้วยอักษร "A" ออกมาทั้งหมด แต่ทั้งนี้แต่ละรอบในการ search จะถูก limit ไว้ที่ 500 รายการ
- พบว่ามีพนักงานจำนวน 3 คนที่ทำการนำข้อมูลออกผ่าน USB drive จำนวน 21,000 รายการ โดยที่พนักงานเหล่านี้นำข้อมูลไปให้ Scammer เพื่อทำการโทรหลอกเหยื่อ ซึ่งถ้าหลอกรายไหนได้สำเร็จ พนักงานก็จะได้รับส่วนแบ่งรายได้
- หลังจากที่เกิด Data Breach ทาง TalkTalk แจ้ง ICO ซึ่งเป็น Data Protection Authority ของอังกฤษ ในเดือนกุมภาพันธ์ ปี 2015 (แต่เหตุเกิดตั้งแต่ช่วงเดือนพฤศจิกายน ปี 2014)
- มีเหยื่อที่โดน Scam call แล้วจ่ายเงินมากถึง 3,900 GBP ซึ่งในเหตุการณ์นี้ TalkTalk ก็มีการจ่ายเงินคืนให้กับลูกค้าที่ได้รับผลกระทบแค่บางรายเท่านั้น โดยช่วงนั้น TalkTalk ก็ได้ออก awareness campaign ให้ลูกค้ามีความตระหนักเกี่ยวกับเรื่องนี้มากขึ้น โดยเมื่อไรก็ตามที่ได้รับ Scam call ที่ไม่แน่ใจให้ทำ 3 Steps ง่าย ๆ คือ 1.Hang up 2.Make Tea 3.Call back to official number
- ในช่วงสิงหาคมปี 2015 เว็บไซต์หลัก 3 เว็บไซต์ของ Carphone Warehouse จู่ ๆ ก็ไม่สามารถเข้าได้ วันถัดมาได้มีการแจ้งลูกค้าว่าเกิด Data breach (ข้อมูลรั่วไหล) โดยข้อมูลที่คาดว่าหลุดออกมานั้นมีข้อมูลของลูกค้าจำนวน 2.5 ล้านราย ซึ่งมีประมาณ 450,000 ราย ที่เป็นลูกค้าของ TalkTalk
- ในช่วงตุลาคมปี 2015 จู่ ๆ TalkTalk network ก็มีปัญหาทั้งโทรศัพท์ไม่ได้ และ Internet ก็ช้า ในตอนเที่ยงเว็บไซต์ของ TalkTalk ก็ไม่สามารถเข้าใช้งานได้ ในวันถัดมาทาง TalkTalk ได้ออกมาแจ้งว่าเกิด Data Breach ขึ้น ซึ่งเหตุการณ์ที่เกิดขึ้นในครั้งนี้ทาง TalkTalk ได้ออกมาแจ้งว่าทาง TalkTalk โดนโจมตี DDOS ทุกวัน และมีข้อมูลของลุกค้าหลุดออกไปเป็นจำนวน 4 ล้านราย โดยทาง TalkTalk ได้เสนอว่าจะให้บริการ Credit monitoring กับลุกค้าของ TalkTalk เป็นระยะเวลา 1 ปี พร้อมทั้งมีส่วนลดต่าง ๆ ให้ แต่ก็มีลูกค้าจำนวนไม่น้อยที่ต้องการย้ายออกจาก TalkTalk เพื่อไป Operator รายอื่น ซึ่งสำหรับลูกค้าที่ย้ายไปโดยยังไม่หมด Contract นั้นทาง TalkTalk ก็ไม่มีการลดหรือ waive ค่าธรรมเนียมแต่อย่างใด
- ในเหตุการณ์นี้ CEO ของ TalkTalk (Dido Harding) ต้องเข้าไปให้สัมภาษณ์กับสื่อต่าง ๆ มากมาย รวมไปถึงต้องเข้าไปคุยกับ ICO ซึ่งหนึ่งใน session ที่โดนสัมภาษณ์มีความยาวประมาณ 2 ชั่วโมง โดนยิงคำถามไป 145 คำถาม นอกจากนี้ CEO ยังบอกว่าโดน email เรียกค่าไถ่ ว่าถ้าไม่จ่ายเงินให้จะนำข้อมูลของลูกค้าเปิดเผยสู่สาธารณะ
- หลังจากตรวจสอบปัญหาที่เกิดขึ้นพบว่าสาเหตุที่ข้อมูลรั่วไหลเกิดจากช่องโหว่ SQL Injection ในช่วงตุลาคม 2015 นั้นโดนโจมตีด้วยเทคนิค SQL Injection มากกว่า 14,000 ครั้ง Source IP มาจากหลายที่ (เค้าใช้คำว่า Coordinated attack)
- โดยเครื่องที่ถูกโจมตีนั้นเป็นเครื่อง Server ของ Tiscali (บริษัทที่ไปซื้อมา) ซึ่งเครื่องนี้ไม่ได้ patch มาหลายปี ในบทสัมภาษณ์ของ Dido Harding ก็บอกว่าเค้าไม่รู้ด้วยซ้ำว่าต้องป้องกันอะไร เพราะเค้าไม่รู้ว่ามี Server นี้อยู่ใน list ของเค้า ประเด็นนี้สำคัญมากนะครับ หลาย ๆ องค์กรปัจจุบันไม่รู้จริง ๆ ว่าตัวเองมี Asset อะไรบ้าง ถ้าไปอ่าน CIS Critical Control จะพบว่าเรื่องการทำ Asset Inventory นี่จะอยู่ในข้อแรก ๆ เลย.
- ในเวลา 3 เดือน ตำรวจได้มีการสืบเรื่องนี้และตามจับได้ 6 คน ซึ่งทั้งหมดนี้เป็นผู้ชายมีอายุต่ำกว่า 21 ปี (ต่ำสุดคือ 15 ปี) โดยพบว่ามีทั้งคนที่ทดลอง Hack เพื่อความสนุกแล้วเอาไป post ตาม forum ของ hacker, คนที่ส่ง email เรียกค่าไถ่, คนที่เอาข้อมูลที่ขโมยออกมาไปขายใน underground market
- TalkTalk เสียค่าปรับเป็นเงิน 550,000 USD และสูญเสียลูกค้ากว่า 1 แสนรายจากเหตุการณ์ครั้งนี้ ถือว่าโชคดีมากเพราะว่าในตอนนั้นยังไม่มีเรื่อง GDPR (General Data Protection Regulation) เพราะว่าค่าปรับของ GDPR เนี่ยสูงถึง 20 ล้านยูโร หรือ 4% ของรายรับขององค์กรนั้น ขึ้นกับว่าอันไหนแพงกว่ากัน
- คำแนะนำจาก Dido Harding สำหรับเรื่องนี้คือ 1.เมื่อเกิดเหตุการณ์แบบนี้คุณควรจะบอกความจริงกับลูกค้า 2.เรื่อง Cybersecurity เป็นเรื่องที่สำคัญเป็นเรื่องที่บอร์ดบริหารจะต้องให้ความสำคัญ ไม่ใช่เพียงแค่จะส่งให้คนอื่นจัดการ เพราะสุดท้ายแล้วก็เป็นความรับผิดชอบของผู้บริหาร
Ref: https://darknetdiaries.com/episode/4/
หนึ่งในจุดเริ่มต้นของปัญหาที่ TalkTalk พบนั้นเกิดจากตอนที่ไปซื้อกิจการจาก Tiscali ซึ่งถ้าในมุมมองทางการเงิน ข้อมูลพวกนี้สามารถดูได้จากงบการเงิน แต่ถ้าเป็นเรื่องของ Cybersecurity ล่ะ???
ปัจจุบันมี Solution หลาย ๆ อันที่ทำการประเมินคะแนนด้าน Cybersecurity โดยดูจาก Public IP Address ขององค์กร และให้คะแนนตามหมวดหมู่ต่าง ๆ ซึ่ง SecurityScorecard เป็นหนึ่งในเครื่องมือที่ทำการวิเคราะห์โดยอ้างอิงข้อมูล 10 แกน ทั้งข้อมูลจาก Public IP address และ ข้อมูลจาก Dark web เพื่อทำการวิเคราะห์ระดับความปลอดภัยด้าน Cybersecurity ขององค์กร ซึ่งข้อมูลนี้ไม่เพียงแต่ใช้บอกได้ว่าองค์กรของเรามีความปลอดภัยเพียงใด แต่ยังใช้ดูได้ว่าคู่ค้าของเราแต่ละรายมีความมั่นคงปลอดภัยเพียงใด ในยุคนี้การทำงานต้องมีการส่งข้อมูลหากันมากขึ้น ถ้าคู่ค้าของเราดูแลข้อมูลไม่ดี เหตุการณ์แบบ TalkTalk ก็คงไม่ไกลตัวเราเกินไป
Up Next

NEWS
Apr
06
2021
CANS Communication ISO27001
เมื่อวันอังคารที่ 6 เมษายน 2564 ตัวแทนบริษัท อินค็อกนิโตแล็บ จำกัด เข้าร่วมแสดงความยินดีกับ บริษัท แคนส์คอมมิวนิเคชั่น จำกัด ในโอกาสที่ได้รับรองมาตรฐาน ISO/IEC 27001:2013 เพื่อเน้นย้ำถึงการให้ความสำคัญด้านความปลอดภัยไซเบอร์
READ MORE

ARTICLES
Mar
08
2021
Comparing Pentest Certificates
บทความนี้ขอพูดถึง Certificate ยอดนิยมที่เกี่ยวข้องกับการทดสอบเจาะระบบ (Pentest)
READ MORE

ARTICLES
Mar
05
2021
Phishing domain
Phishing domain
READ MORE