Adafruit แจ้งเหตุข้อมูลลูกค้าเข้าถึงได้สาธารณะบน GitHub อดีตพนักงาน

Adafruit แจ้งเหตุข้อมูลลูกค้าก่อนปี 2019 ถูกเข้าถึงได้ผ่าน GitHub ของอดีตพนักงาน

ถ้าใครอยู่ในวงการ Arduino หรือพวกบอร์ดขนาดเล็กคงจะพอเคยได้ยินชื่อ Adafruit มาแล้วบ้าง จากไลบรารีมากมาย เพราะโดยตัวธุรกิจหลักก็คือผู้ผลิตฮาร์ดแวร์โอเพ่นซอร์สต่างๆ ทั้งนี้เรื่องราวค่อนข้างอลเวงเนื่องจากอดีตพนักงานที่มีหน้าที่วิเคราะห์ข้อมูล ได้นำข้อมูลลูกค้า (ไม่เกินปี 2019) ไปใช้งาน โดยข้อมูลนั้นประกอบด้วย ชื่อ อีเมล ที่อยู่ และที่อยู่จัดส่งหากจ่ายเงินสำเร็จ ไปทดสอบใน GitHub ของตน

ประเด็นแม้ไม่มีข้อมูลรหัสผ่านหรือบัตรจ่ายเงินก็ตาม แต่สิ่งที่บริษัทไม่ได้ชี้แจงก็คือใครเป็นคนพบและแจ้งข้อมูล พบได้อย่างไร พนักงานเอาข้อมูลมาได้อย่างไร มีจำนวนเท่าไหร่ อย่างไรก็ตามบริษัทพยายามให้ความมั่นใจว่าตนจัดการภายใน 15 นาทีที่ได้รับแจ้ง พร้อมเตือนลูกค้าให้ระวังแคมเปญหลอกลวงตามมา และนี่ก็เป็นอีกอุทาหรณ์หนึ่งที่นำข้อมูลจริงไปใช้อย่างไม่ระวังครับ

ที่มา : https://nakedsecurity.sophos.com/2022/03/07/adafruit-suffers-github-data-breach-dont-let-this-happen-to-you/ และ https://www.bleepingcomputer.com/news/security/adafruit-discloses-data-leak-from-ex-employees-github-repo/