การละเมิดข้อมูลที่บริษัทฟินเทค Betterment เปิดเผย 1.4 ล้านบัญชี

แฮกเกอร์ได้ขโมยที่อยู่อีเมลและข้อมูลส่วนบุคคลอื่นๆ จากบัญชี 1.4 ล้านบัญชีของแพลตฟอร์มการลงทุนอัตโนมัติ Betterment ในเดือนมกราคม หลังจากการโจมตีด้วยวิธี Social Engineering ทำให้สามารถเข้าถึงระบบได้ ข้อมูลที่รั่วไหลประกอบด้วยที่อยู่อีเมล ชื่อ ที่อยู่ทางกายภาพ วันเกิด หมายเลขโทรศัพท์ และข้อมูลการจ้างงาน แม้ว่า Betterment จะยืนยันว่าไม่มีการประนีประนอมบัญชีลูกค้า รหัสผ่าน หรือข้อมูลการเข้าสู่ระบบ แต่ข้อมูลส่วนบุคคลจำนวนมากถูกเปิดเผย นอกจากนี้ บริษัทยังประสบกับการโจมตีแบบ Distributed Denial-of-Service (DDoS) และความพยายามกรรโชกทรัพย์หลังเหตุการณ์ดังกล่าว

Severity: สูง

System Impact:

• แพลตฟอร์มการลงทุนอัตโนมัติ Betterment
• ระบบอีเมลของ Betterment (ใช้ส่งอีเมลปลอม)
• เว็บไซต์และแอปพลิเคชันบนมือถือของ Betterment (ได้รับผลกระทบจาก DDoS)

Technical Attack Steps:

1. ผู้ไม่ประสงค์ดีทำการโจมตีด้วยวิธี Social Engineering เพื่อเข้าถึงระบบบางส่วนของ Betterment
2. ขโมยข้อมูลส่วนบุคคลจาก 1.4 ล้านบัญชี รวมถึงที่อยู่อีเมล ชื่อ ที่อยู่ทางกายภาพ วันเกิด หมายเลขโทรศัพท์ และข้อมูลการจ้างงาน
3. ใช้การเข้าถึงที่ได้รับเพื่อส่งอีเมลหลอกลวงที่ปลอมแปลงเป็นการโปรโมทของ Betterment โดยพยายามหลอกล่อลูกค้าให้ส่งสกุลเงินดิจิทัลไปยังกระเป๋าเงินของแฮกเกอร์
4. หลังจากเหตุการณ์ละเมิดข้อมูล Betterment ยังถูกโจมตีแบบ Distributed Denial-of-Service (DDoS) และมีการพยายามกรรโชกทรัพย์เกิดขึ้น

Recommendations:

Short Term:

• เพิ่มความระมัดระวังเป็นพิเศษต่ออีเมลหรือข้อความโปรโมทที่มาจาก Betterment หรือบริการทางการเงินอื่นๆ ที่อาจดูน่าสงสัย
• ตรวจสอบแหล่งที่มาของอีเมลและลิงก์ก่อนคลิก โดยเฉพาะที่เกี่ยวข้องกับการทำธุรกรรมทางการเงินหรือข้อมูลส่วนบุคคลที่ละเอียดอ่อน
• หลีกเลี่ยงการตอบกลับหรือดำเนินการตามคำขอในอีเมลที่น่าสงสัยโดยไม่ได้รับการยืนยันจากช่องทางที่เป็นทางการ
• ตรวจสอบบัญชี Betterment ของตนเองเพื่อหาสิ่งผิดปกติหรือกิจกรรมที่ไม่ได้รับอนุญาต

Long Term:

• บริษัทควรเสริมสร้างการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัย (Security Awareness Training) ให้กับพนักงานอย่างสม่ำเสมอเพื่อป้องกันการโจมตีแบบ Social Engineering
• พิจารณาการใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) สำหรับการเข้าถึงระบบที่สำคัญทั้งหมด
• ปรับปรุงระบบรักษาความปลอดภัยอีเมล เช่น DMARC, SPF, DKIM เพื่อลดความเสี่ยงของการปลอมแปลงอีเมล (email spoofing)
• ทบทวนและปรับปรุงแผนการรับมือเหตุการณ์ (Incident Response Plan) และแผนการกู้คืนจากภัยพิบัติ (Disaster Recovery Plan) อย่างสม่ำเสมอ
• ดำเนินการตรวจสอบความปลอดภัยและการประเมินช่องโหว่ (Security Audits and Vulnerability Assessments) เป็นประจำเพื่อระบุและแก้ไขจุดอ่อน
• ลงทุนในโซลูชันการป้องกัน DDoS และแผนสำรองที่แข็งแกร่งเพื่อรับมือกับการโจมตีที่อาจเกิดขึ้นอีก
• มีการเฝ้าระวังและตรวจสอบการรั่วไหลของข้อมูลส่วนบุคคลอย่างต่อเนื่องในแหล่งข้อมูลสาธารณะและ Dark Web

Source: https://www.bleepingcomputer.com/news/security/data-breach-at-fintech-firm-betterment-exposes-14-million-accounts/