Hacker admits to leaking stolen Supreme Court data on Instagram

Nicholas Moore ชายชาวเทนเนสซีได้สารภาพผิดในข้อหาเจาะระบบอิเล็กทรอนิกส์ของศาลฎีกาสหรัฐฯ รวมถึงบัญชีของหน่วยงานรัฐบาลกลาง AmeriCorps และกระทรวงกิจการทหารผ่านศึก (Department of Veterans Affairs) โดยเขาได้ใช้ข้อมูลรับรองที่ถูกขโมยมาเพื่อเข้าถึงระบบเหล่านี้และนำข้อมูลที่ได้มาโพสต์ลงบนบัญชี Instagram ของเขาเพื่อโอ้อวดการกระทำดังกล่าว

Severity: สูง

System Impact:

• U.S. Supreme Court’s electronic filing system (ระบบการยื่นเอกสารอิเล็กทรอนิกส์ของศาลฎีกาสหรัฐฯ)
• AmeriCorps U.S. federal agency accounts (บัญชีหน่วยงานรัฐบาลกลาง AmeriCorps)
• Department of Veterans Affairs’ My HealtheVet online personal health record (PHR) portal (พอร์ทัลบันทึกสุขภาพส่วนบุคคลออนไลน์ My HealtheVet ของกระทรวงกิจการทหารผ่านศึก)

Technical Attack Steps:

1. ผู้โจมตีได้รับข้อมูลรับรอง (credentials) ที่ถูกขโมยมา
2. ใช้ข้อมูลรับรองที่ถูกขโมยเพื่อเข้าถึงระบบการยื่นเอกสารอิเล็กทรอนิกส์ของศาลฎีกาสหรัฐฯ อย่างน้อย 25 ครั้ง
3. ใช้ข้อมูลรับรองที่ถูกบุกรุกของ MyAmeriCorps เพื่อเข้าถึงบัญชี AmeriCorps 7 ครั้ง และได้รับข้อมูลส่วนบุคคล (ชื่อ, วันเกิด, อีเมล, ที่อยู่, เบอร์โทรศัพท์, สถานะพลเมือง, สถานะทหารผ่านศึก, ประวัติการรับราชการ, และเลขประกันสังคม 4 หลักสุดท้าย)
4. ใช้ข้อมูลรับรองการเข้าสู่ระบบที่ถูกขโมยของทหารผ่านศึกนาวิกโยธินสหรัฐฯ เพื่อเข้าถึงพอร์ทัล My HealtheVet ของกระทรวงกิจการทหารผ่านศึก 5 ครั้ง และได้รับข้อมูลสุขภาพส่วนบุคคล (รวมถึงยาที่ได้รับและการวินิจฉัย)
5. นำภาพหน้าจอที่แสดงรายละเอียดการยื่นเอกสารของศาลฎีกา ข้อมูลส่วนบุคคลของ AmeriCorps และข้อมูลสุขภาพของทหารผ่านศึกไปโพสต์บนบัญชี Instagram ที่ชื่อ @ihackedthegovernment

Recommendations:

Short Term:

• รีเซ็ตรหัสผ่านและข้อมูลรับรองทั้งหมดที่อาจถูกบุกรุกโดยทันที
• เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) บนทุกระบบที่สำคัญ โดยเฉพาะอย่างยิ่งระบบที่จัดการข้อมูลที่ละเอียดอ่อน
• ทำการตรวจสอบทางนิติวิทยาศาสตร์ (forensic investigation) โดยทันทีเพื่อระบุขอบเขตของการละเมิดและความเสียหายที่เกิดขึ้น
• ตรวจสอบบัญชีและระบบทั้งหมดอย่างใกล้ชิดเพื่อหากิจกรรมที่ผิดปกติ

Long Term:

• เสริมสร้างนโยบายการควบคุมการเข้าถึงและบังคับใช้หลักการสิทธิ์ขั้นต่ำ (least privilege principle)
• ตรวจสอบและอัปเดตการตั้งค่าความปลอดภัยของระบบทั้งหมดเป็นประจำเพื่อแก้ไขช่องโหว่
• จัดการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์ที่ครอบคลุมสำหรับบุคลากรทุกคน โดยเน้นถึงอันตรายของการขโมยข้อมูลรับรองและการโจมตีแบบฟิชชิ่ง
• นำโซลูชันการป้องกันข้อมูลรั่วไหล (DLP) มาใช้เพื่อป้องกันการส่งออกข้อมูลโดยไม่ได้รับอนุญาต
• ทบทวนและแก้ไขช่องโหว่ในระบบยื่นเอกสารอิเล็กทรอนิกส์และแอปพลิเคชันที่สำคัญอื่นๆ อย่างสม่ำเสมอ
• พัฒนาและทดสอบแผนรับมือเหตุการณ์ (incident response plans) อย่างต่อเนื่อง

Source: https://www.bleepingcomputer.com/news/security/hacker-admits-to-leaking-stolen-supreme-court-data-on-instagram/