news on December 02, 2017, 09:54:30 PM
ทัศนะของ Sophos ต่อกรณีข้อมูลรั่วไหลของ Uber “นักพัฒนาระบบต้องคำนึงเรื่องหลักความปลอดภัยอย่างยิ่ง”



คุณคงได้เห็นข่าวเมื่อวันก่อนแล้ว สำหรับกรณีที่ Uber โดนโจมตีทางไซเบอร์จนข้อมูลบัญชีของทั้งลูกค้า และคนขับรถในสังกัดรวมกว่า 57 ล้านรายรั่วไหลออกสู่ภายนอก

ถ้าคุณกำลังเขียนข่าวดังกล่าวอยู่ เรามีความคิดเห็นระดับมืออาชีพจากนักวิจัยอาวุโสของ Sophos ชื่อ Chester Wisniewski ดังย่อหน้าด้านล่าง ซึ่งเรายินดีอย่างยิ่งถ้าคุณจะนำข้อความนี้ใส่ลงในบทความของคุณด้วย ดังนี้

“เหตุการณ์ข้อมูลรั่วไหลของ Uber นี้ ถือเป็นตัวอย่างสำคัญอีกกรณีหนึ่ง ที่ชี้ให้เห็นว่าผู้พัฒนาระบบจำเป็นต้องคำนึงถึงหลักความปลอดภัยอย่างยิ่งยวด และไม่ควรฝังหรือติดตั้งโทเค่นหรือคีย์ที่ใช้ยืนยันตนในการเข้าถึงระบบลงในซอร์สโค้ด หลายครั้งที่เหตุการณ์ลักษณะนี้เกิดขึ้นกับองค์กรต่างๆ และองค์กรเหล่านั้นมักเลือกที่จะปกปิดเพื่อปกป้องชื่อเสียงของตนเอง ถ้าเราตัดเรื่องดราม่าที่กำลังเกิดขึ้น หรือบทลงโทษจากกฎหมายใหม่อย่าง GDPR ออกไปแล้ว เหตุการณ์นี้นับเป็นความบกพร่องของทีมนักพัฒนาระบบที่ไม่ได้ปฏิบัติตามแนวทางด้านความปลอดภัยอย่างเพียงพอ ด้วยการปล่อยให้มีการแบ่งปันรหัสผ่านออกสู่ภายนอก เป็นเรื่องที่น่าเศร้าเพราะเหตุการณ์ลักษณะนี้มักพบได้บ่อยอยู่เสมอ โดยเฉพาะในสภาพแวดล้อมของการพัฒนาระบบที่เน้นความคล่องตัวสูง”



นอกจากนี้ เรายังมีมุมมองจากที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ของ Sophos อย่าง James Lyne เพิ่มเติมด้วย ดังนี้:

“Uber ไม่ได้เป็นบริษัทเดียว และไม่ใช่บริษัทสุดท้ายที่มีการปิดบังหรือซ่อนเร้นเหตุการณ์ข้อมูลรั่วไหล หรือการโดนโจมตีทางไซเบอร์ของตนเอง ซึ่งเห็นได้ชัดว่า การจงใจไม่แจ้งเตือนให้ลูกค้าทราบนั้นทำให้ตัวเองตกอยู่ในความเสี่ยงมากกว่าเดิมจากการโดนหลอกลวงอย่างต่อเนื่อง เหตุนี้เองที่เป็นปัจจัยสำคัญทำให้หลายประเทศพยายามผลักดันกฎหมายที่บังคับให้เปิดเผยข้อมูลกรณีข้อมูลรั่วไหลขององค์กรออกมาใช้โดยเร็ว”

สำหรับลูกค้าและผู้ขับรถของ Uber นั้น Sophos แนะนำให้คอยติดตามคะแนนเครดิตของตนเอง และเฝ้าสังเกตรายละเอียดอื่นๆ ที่เกี่ยวข้องกับกรณีข้อมูลรั่วไหลครั้งนี้อย่างใกล้ชิด

คุณสามารถดูเคล็ดลับ และข้อมูลอัพเดตเพิ่มเติมเกี่ยวกับกรณีข้อมูลรั่วไหลของ Uber นี้ได้จากบทความของ Sophos Naked Security เรื่อง “Uber เสียหายอย่างหนักจากข้อมูลรั่วไหลครั้งใหญ่ แต่กลับจ่ายเงินปิดปากแฮ็กเกอร์ให้เก็บเป็นความลับ”ที่ https://nakedsecurity.sophos.com/2017/11/22/uber-suffered-massive-data-breach-then-paid-hackers-to-keep-quiet/

หากมีข้อสงสัยหรือคำถามเพิ่มเติม หรือต้องการสัมภาษณ์ผู้เชี่ยวชาญด้านความปลอดภัยของเราแล้ว สามารถติดต่อขอข้อมูลเพิ่มเติมจากทางเราได้ตลอดเวลา

เกี่ยวกับ Sophos
Sophos เป็นผู้นำด้านระบบความปลอดภัยบนเครือข่ายและเอนด์พอยต์แบบ Next-Gen รวมทั้งเป็นผู้บุกเบิกระบบความปลอดภัยแบบซิงโครไนซ์ที่ยกระดับการประสานงานของโซลูชั่นความปลอดภัยทั้งบนเอนด์พอยต์, เน็ตเวิร์ก, การเข้ารหัส, เว็บ, อีเมล์, และโมบายล์ให้ทำงานร่วมกันได้ดียิ่งขึ้น มีผู้ใช้มากกว่า 100 ล้านรายในกว่า 150 ประเทศที่เลือกโซลูชั่นของ Sophos เป็นระบบป้องกันที่ดีที่สุดเพื่อปกป้องจากอันตรายที่ซับซ้อน และการรั่วไหลของข้อมูล ผลิตภัณฑ์ของ Sophos มีจัดจำหน่ายผ่านช่องทางและตัวแทนต่างๆ ทั่วโลก ผ่านพาร์ทเนอร์ที่ลงทะเบียนไว้กว่า 26,000 ราย Sophos มีสำนักงานใหญ่อยู่ที่เมืองอ๊อกฟอร์ด สหราชอาณาจักร และเปิดให้ลงทุนจากสาธารณะผ่านตลาดหลักทรัพย์ London Stock Exchange ภายใต้เครื่องหมาย “SOPH” สามารถศึกษารายละเอียดเพิ่มเติมได้จาก www.sophos.com
« Last Edit: December 02, 2017, 09:56:35 PM by news »

news on December 02, 2017, 09:58:05 PM
Commentary from Sophos: Uber Breach Affects 57m Customers and Drivers


As you may have seen, it was revealed that Uber suffered a data breach that has affected 57 million customers and drivers.



If you are writing a story on the news, below is expert commentary from Sophos Principal Research Scientist Chester Wisniewski, that you are welcome to include in your article:

“Uber's breach demonstrates once again how developers need to take security seriously and never embed or deploy access tokens and keys in source code repositories. I would say it feels like I have watched this movie before, but usually organizations aren't caught while actively involved in a cover-up. Putting the drama aside and the potential impacts from the upcoming GDPR enforcement, this is just another development team with poor security practices that has shared credentials. Sadly, this is common more often than not in agile development environments.”



For additional perspective, you may also use the below quote from James Lyne, Sopho cyber security advisor:

“Uber isn't the only and won't be the last company to hide a data breach or cyberattack. Not notifying consumers puts them at greater risk of being victimized with fraud. It's for precisely this reason that many countries are driving to regulations with mandatory breach disclosure.”

For Uber customers and drivers, Sophos advises that they monitor their credit scores and keep their eyes peeled for additional information on what was stolen.
 
For additional tips and up-to-date information about the Uber breach, please refer to the Sophos Naked Security article, Uber suffered massive data breach, then paid hackers to keep quiet.

Please let us know if you have any questions or would like an interview with one of our security specialists for further comment.