Equifax ได้รับการแจ้งเตือนถึงช่องโหว่ 6 เดือนก่อนถูกแฮ็ก

ก่อนเกิดเหตุข้อมูลรั่วไหลถึง 6 เดือน Equifax ได้รับคำเตือนถึงช่องโหว่จากนักวิจัยด้านความมั่นคงปลอดภัย ทำให้หลายฝ่ายเกิดคำถามถึงมาตรฐานการรักษาความมั่นคงปลอดภัยของ Equifax ถึงการเกิดเหตุการณ์ครั้งนี้

ถ้าเหตุการณ์ Equifax ทำข้อมูลรั่วไหลซึ่งส่งผลกระทบต่อชาวอเมริกันกว่า 143 ล้านคนเพราะเป็นการโจมตีที่ไม่ทราบมาก่อนจริงก็ยังฟังดูมีเหตุผล แต่มีข่าวว่าก่อนเกิดเหตุที่แฮ็คเกอร์จะโจมตีหน้าเว็บบริษัทและขโมยข้อมูลไปถึง 6 เดือน โดยแหล่งข่าวนักวิจัยด้านความปลอดภัยที่ไม่ประสงค์ออกนามได้บอก Motherboard ว่า ได้พบช่วงโหว่ในเว็บไซต์ตั้งแต่เดือนธันวาคมปีที่แล้ว ผลของช่องโหว่คือทำให้ใครก็ตามสามารถนำข้อมูลของทุกคนออกจากฐานข้อมูลได้ภายในไม่กี่นาที ประกอบด้วย ชื่อและนามสกุล วันเกิด โดยใช้เทคนิคที่เรียกว่า Forceful Browsing  หรือคือการเดาใส่พารามิเตอร์ใน URL นั่นเอง โดยหน้าของเว็บไซท์ที่โดนโจมตีทำขึ้นเพื่อให้พนักงานใช้งานแต่คนทั่วไปกลับสามารถมองเห็นได้และไร้กระบวนการพิสูจน์ตัวตนใดๆ

นอกจากนี้นักวิจัยยังพบอีกช่องโหว่อื่นที่ทำให้แฮ็กเกอร์สามารถเข้าควบคุมเว็บเซิร์ฟเวอร์ของ Equifax ได้ เช่น ช่องโหว่แบบ SQL injection ที่ทำให้สามารถใส่คำสั่งให้ Back End ประมวลผลได้ แต่ถึงตอนนี้ยังไม่สามารถยืนยันได้ว่าส่วนหนึ่งของช่องโหว่เหล่านี้ถูกใช้ในในการโจมตีหรือไม่ นักวิจัยชี้นำไปถึงความหย่อนยานในการรักษาความมั่นคงปลอดภัยที่อาจทำให้แฮ็กเกอร์สามารถเข้าไปยังระบบเครือข่ายของบริษัทได้อย่างง่ายดายเนื่องจากช่วงโหว่ที่เกิดขึ้นกับ Equifax ว่าเป็นช่องโหว่พื้นฐานของความมั่นคงปลอดภัยสำหรับเว็บไซต์

นักวิจัยยังได้อ้างเพิ่มเติมกับ Motherboard ว่า “ช่องโหว่เหล่านี้ควรจะถูกแก้ทันทีเมื่อถูกพบ มันใช้เวลาจัดการแค่ 5 นาทีเท่านั้น พวกเขาแค่ต้องปิดระบบแบบอย่างไม่เป็นทางการ แต่ผมได้รับคำตอบจาก Equifax ว่าไม่สามารถปิดเว็บไซต์ได้” ไม่มีรายงานการปิดเว็บไซต์จนกระทั่งเปิดมิถุนายนทั้งๆ ที่ถูกเตือนล่วงหน้าตั้งแต่ธันวาคมปี 2016 เหตุการณ์ที่เกิดขึ้นหลังจากถูกแฮ็ก Equifax ได้ออกมาแถลงการณ์โทษว่าช่องโหว่เกิดจากการไม่อัพเดทแพตซ์เว็บแอปพลิเคชัน Apache Struts จากพนักงานรายหนึ่ง ทั้งนี้ Equaifax ได้ปฏิเสธที่จะตอบคำถามถึงประเด็นการกล่าวอ้างจากนักวิจัยครั้งนี้ โดยให้เหตุผลว่า “เป็นนโยบายของบริษัทที่จะไม่แสดงความเห็นต่อสาธรณะ ในเรื่องกระบวนการความมั่นคงปลอดภัยภายในบริษัท”

ที่มา : https://www.wired.com/story/equifax-warned-of-vulnerability-months-before-breach/ และ https://motherboard.vice.com/en_us/article/ne3bv7/equifax-breach-social-security-numbers-researcher-warning