หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) ได้สั่งปรับ France Travail (อดีตคือ Pôle Emploi) ซึ่งเป็นหน่วยงานจัดหางานแห่งชาติ เป็นเงิน 5 ล้านยูโร (เกือบ 6 ล้านดอลลาร์สหรัฐ) เนื่องจากความล้มเหลวในการรักษาความปลอดภัยข้อมูลของผู้หางาน ซึ่งส่งผลให้แฮกเกอร์สามารถขโมยข้อมูลส่วนบุคคลของประชาชนกว่า 43 ล้านคนไปได้ โดยข้อมูลที่ถูกขโมยประกอบด้วยชื่อ วันเกิด หมายเลขประกันสังคม ที่อยู่อีเมล ที่อยู่บ้าน และหมายเลขโทรศัพท์ การโจมตีเกิดจากการใช้เทคนิค Social Engineering เพื่อเข้ายึดบัญชีของที่ปรึกษา CAP EMPLOI
Severity: วิกฤต
System Impact:
- ระบบสารสนเทศของ France Travail (หน่วยงานบริการจัดหางานแห่งชาติของฝรั่งเศส)
- บัญชีผู้ใช้งานของที่ปรึกษา CAP EMPLOI (องค์กรที่รับผิดชอบการสนับสนุนผู้พิการในการหางาน)
Technical Attack Steps:
- 1. แฮกเกอร์ใช้เทคนิค ‘Social Engineering’ ซึ่งเป็นการหลอกลวงเพื่อใช้ความเชื่อใจ ความไม่รู้ หรือความเลินเล่อของบุคคล
- 2. เทคนิคดังกล่าวทำให้แฮกเกอร์สามารถเข้ายึด (hijack) บัญชีผู้ใช้งานของที่ปรึกษา CAP EMPLOI ได้สำเร็จ
- 3. จากการเข้าถึงบัญชีที่ถูกยึด แฮกเกอร์ได้ขโมยข้อมูลส่วนบุคคลของผู้หางานจำนวน 43 ล้านคน ซึ่งครอบคลุมระยะเวลา 20 ปี
Recommendations:
Short Term:
- ดำเนินการรีเซ็ตรหัสผ่านและข้อมูลยืนยันตัวตนทั้งหมดที่เกี่ยวข้องกับบัญชีของที่ปรึกษา CAP EMPLOI และบัญชีผู้ใช้งานอื่น ๆ ที่อาจถูกบุกรุกทันที
- บังคับใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับบัญชีผู้ใช้งานทั้งหมด โดยเฉพาะบัญชีที่มีสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ่อน เพื่อเพิ่มชั้นความปลอดภัย
- จัดการฝึกอบรมและสร้างความตระหนักรู้ด้านความปลอดภัยไซเบอร์ให้แก่พนักงานและที่ปรึกษาอย่างเร่งด่วน โดยเน้นย้ำถึงอันตรายและวิธีการรับมือกับเทคนิค Social Engineering
Long Term:
- ปรับปรุงและเสริมสร้างมาตรการรักษาความปลอดภัยของระบบสารสนเทศทั้งหมดให้แข็งแกร่งอย่างต่อเนื่อง โดยเฉพาะการป้องกันการโจมตีแบบ Social Engineering และการจัดการการเข้าถึง
- ดำเนินการตรวจสอบความปลอดภัยและการประเมินความเสี่ยงอย่างสม่ำเสมอและถี่ถ้วน ตามคำสั่งของ CNIL และเอกสารมาตรการแก้ไขที่ต้องจัดส่ง
- พัฒนากรอบการทำงานด้านการกำกับดูแลข้อมูลให้เป็นไปตามกฎระเบียบ General Data Protection Regulation (GDPR) ของยุโรปอย่างเคร่งครัด
- จัดทำและทดสอบแผนการตอบสนองต่อเหตุการณ์ (Incident Response Plan) อย่างสม่ำเสมอ เพื่อให้มั่นใจว่าสามารถรับมือกับการละเมิดข้อมูลในอนาคตได้อย่างมีประสิทธิภาพ
- ใช้มาตรการควบคุมการเข้าถึงข้อมูลที่เข้มงวดและยึดหลักการสิทธิ์ขั้นต่ำ (Least Privilege) เพื่อจำกัดการเข้าถึงข้อมูลเฉพาะผู้ที่จำเป็นต้องใช้ในการปฏิบัติหน้าที่เท่านั้น
Share this content: