50 องค์กรมะกันป่วน ถูกขโมยข้อมูลลูกค้า
ถือเป็นหนึ่งในวิกฤตออนไลน์ซึ่งสื่ออเมริกันให้ความสนใจมากในขณะนี้ สำหรับบริษัท Epsilon Data Management บริษัทการตลาดออนไลน์ซึ่งถูกโจรไฮเทคเจาะระบบเข้าไปขโมยข้อมูลส่วนตัวของผู้บริโภคที่ Epsilon เก็บรักษาไว้ เพราะปรากฏว่าส่วนหนึ่งของข้อมูลที่ถูกขโมยไปนั้นเป็นข้อมูลชื่อและอีเมลของลูกค้าขององค์กรยักษ์ใหญ่ในสหรัฐฯมากกว่า 50 แห่ง ทำให้ขณะนี้ บริษัทยักษ์ใหญ่ในสหรัฐฯต่างออกมาประกาศเตือนภัยลูกค้าของตัวเองให้ระมัดระวัง อย่าหลงเชื่ออีเมลปลอมซึ่งอาจแพร่ระบาดในอนาคตอันใกล้
ขณะนี้ บริษัทสถาบันการเงิน ร้านค้าปลีก และบริษัทเอกชนยักษ์ใหญ่อเมริกันอย่าง JPMorgan Chase, Kroger, TiVo, Best Buy, Walgreen, Capital One และบริษัทอื่นๆ เริ่มประกาศเตือนภัยลูกค้าให้ระวังภัยล่อลวงในอีเมล เนื่องจากข้อมูลชื่อและอีเมลลูกค้าบางส่วนนั้นตกอยู่ในมือของโจรไฮเทคทันทีที่บริษัท Epsilon ถูกเจาะระบบ โดยบริษัท Epsilon นั้นเป็นบริษัทรับเอาท์ซอร์สบริการส่งอีเมลแทนองค์กรอเมริกันมากกว่า 2,500 แห่ง
อย่างไรก็ตาม สิ่งที่เกิดขึ้นไม่ได้สร้างความหวั่นใจให้ผู้บริโภคอย่างเดียว แต่ยังนำไปสู่ความไม่พอใจด้วย เพราะชาวอเมริกันมองว่าบริษัทเหล่านี้ไม่มีสิทธิ์ส่งต่อข้อมูลส่วนตัวให้กับบริษัทอื่นโดยที่ไม่ได้รับความเห็นชอบ ที่สำคัญ นักวิเคราะห์นั้นมองว่า การโจมตี Epsilon นั้นเป็นสัญญาณที่แสดงว่านับจากนี้ นักเจาะระบบจะหันมาให้ความสำคัญกับการเจาะระบบบริษัทเอาท์ซอร์สลักษณะเดียวกับ Epsilon เนื่องจากกรณีที่เกิดขึ้นถือเป็นสุดยอดกรณีศึกษาที่ทำให้เห็นความคุ้มค่าในการลงมือเจาะระบบเดียวแต่ได้ข้อมูลเหยื่อจากหลายบริษัท
จุดนี้ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยคอมพิวเตอร์มองว่า นับจากนี้โลกจะกังวลกับช่องโหว่ในบริษัทเอาท์ซอร์สซึ่งเก็บข้อมูลส่วนบุคคลของผู้บริโภคมากยิ่งขึ้น โดย John Pescatore นักวิเคราะห์ด้านความปลอดภัยของการ์ทเนอร์ ให้ความเห็นว่ากรณี Epsilon คือหนึ่งในตัวอย่างมากมายที่แสดงถึงเหตุผลที่บริษัทซึ่งรับเอาท์ซอร์สงานจากบริษัทหลายพันแห่ง จะต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่มากกว่าบริษัทซึ่งเก็บข้อมูลเฉพาะลูกค้าของตัวเอง
สิ่งที่เกิดขึ้นทำให้ผู้เชี่ยวชาญแสดงความกังวลว่า ชาวอเมริกันกำลังตกอยู่ในความเสี่ยงถูกล่อลวงด้วยภัยออนไลน์ทางอีเมล โดยเฉพาะภัยฟิชชิง (phishing) ซึ่งมักทำให้โจรร้ายได้รับข้อมูลสำคัญเช่น รหัสผ่าน ข้อมูลลับทางการเงิน และข้อมูลอื่นๆ แม้ฟิชชิงจะได้รับการระบุว่าเข้าสู่ช่วงขาลงเมื่อปี 2009 ที่ผ่านมา
ฟิชชิงคือการตบตาผู้บริโภคด้วยอีเมลปลอม โดยโจรขโมยข้อมูลจะส่งอีเมลปลอมซึ่งจงใจสร้างให้เหมือนว่าเป็นอีเมลจากธนาคาร สถาบันการเงิน หรือหน่วยงานใหญ่ที่น่าเชื่อถือ เนื้อหาในเมลคือการแต่งเรื่องเพื่อจูงใจให้ผู้ใช้หลงคลิกลิงก์เว็บไซต์ปลอมที่แนบมาในเมล เว็บไซต์ปลอมเหล่านี้จะมีช่องให้ผู้ใช้กรอกข้อมูลสำคัญเพื่อยืนยันตัวบุคคล เช่นชื่อยูสเซอร์เนม พาสเวิร์ด เลขที่บัตรเครดิต หรือข้อมูลสำคัญตามที่โจรต้องการ และเมื่อผู้ใช้หลงกลกรอกและส่งข้อมูลไป ข้อมูลสำคัญก็จะตกไปอยู่ในมือโจรร้ายแทน
ฟิชชิงที่พบบ่อยคือ อีเมลปลอมแจ้งผู้ใช้ว่าธุรกรรมการเงินมีปัญหา และต้องได้รับการยืนยันข้อมูลอย่างเร่งด่วน อย่างไรก็ตาม ปลายปี 2009 ผลสำรวจสแปมเมลจากยักษ์ใหญ่ไอบีเอ็ม (IBM) พบว่าช่วงเวลาดังกล่าวคือภาวะขาลงของอีเมลลวงประเภทฟิชชิงอย่างชัดเจน โดยพบว่าสัดส่วนเมลฟิชชิงครึ่งปีแรกของปี 2009 มีจำนวนน้อยกว่าสัดส่วนในช่วงเวลาเดียวกันของปี 2008 ซึ่งสามารถตรวจพบเมลฟิชชิงราว 0.2-0.8% ของสแปมเมลทั้งหมด
สำหรับกรณีของ Epsilon ประชาสัมพันธ์ Jessica Simon ปฏิเสธที่จะให้ข้อมูลความเสียหายจากการถูกเจาะระบบครั้งนี้ ทั้งในแง่จำนวนชื่อและอีเมลแอดเดรสที่ถูกขโมย รวมถึงแนวทางแก้ไขในอนาคต แต่ยืนยันว่านอกจากชื่อและอีเมล ไม่มีข้อมูลส่วนตัวอื่นใดของลูกค้าที่ถูกขโมย โดยขณะนี้บริษัทกำลังอยู่ระหว่างการสอบสวนและป้องกันปัญหาอย่างเต็มกำลัง
ล่าสุด มีการประเมินจาก SecurityWeek บริษัทอินเทอร์เน็ตซีเคียวริตี้ในสหรัฐฯ ว่า Epsilon นั้นมีการส่งออกอีเมลมากกว่า 4 หมื่นล้านฉบับต่อปี ซึ่งดำเนินการแทนบริษัทอเมริกันมากกว่า 2,500 แห่ง โดยตัวเลขดังกล่าวไม่ได้รับการยืนยันใดๆจาก Epsilon
นอกจากการเตือนภัยลูกค้าของแต่ละบริษัท รายงานระบุว่าบริษัทซึ่งเป็นลูกค้าที่เอาท์ซอร์สงานให้บริษัท Epsilon กำลังมีการสอบสวนภายในเพื่อวิเคราะห์และยืนยันข้อมูลที่ส่งให้ Epsilon โดยทั้งหมดยังไม่มีการให้ข้อมูลผลกระทบที่ลูกค้าได้รับในขณะนี้
9 พฤศจิกายน 2554 |
6852