ฐานข้อมูล Health Sciences Authority สิงคโปร์รั่ว ข้อมูลผู้บริการโลหิตกว่า 800,000 เสี่ยงถูกเปิดเผยต่อสาธารณะ

The Straits Times สื่อหนังสือพิมพ์ท้องถิ่นของสิงคโปร์รายงาน เกิดเหตุข้อมูลรั่วบนฐานข้อมูลของผู้บริจาคโลหิตที่ Health Sciences Authority (HSA) เก็บมาตั้งแต่ปี 1986 รวมทั้งสิ้น 808,201 ราย หลังเผลอเปิดฐานข้อมูลให้เข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการป้องกันมานานกว่า 2 เดือน

Credit: ShutterStock.com

HSA ได้รับรายงานเกี่ยวกับเหตุการณ์ดังกล่าวครั้งแรกเมื่อวันที่ 13 มีนาคมที่ผ่านมาจากผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยท่านหนึ่งที่ค้นพบว่า ฐานข้อมูลผู้บริจาคโลหิตของ HSA มีช่องโหว่ด้านความมั่นคงปลอดภัย ซึ่งต่อมา HSA ได้ส่งอีเมลแจ้งเตือนไปยังผู้บริจาคโลหิตทุกคนที่ได้รับผลกระทบ ระบุว่า Secur Solutions Group Pte Ltd (SSG) ซึ่งเป็นผู้ให้บริการโซลูชันของ HSA ล้มเหลวในการป้องกันฐานข้อมูลจากการเข้าถึงทางอินเทอร์เน็ตโดยมิชอบ ส่งผลให้ข้อมูลส่วนบุคคลของผู้บริการโลหิต ได้แก่ ชื่อ, NRIC, เพศ, จำนวนครั้งที่บริจาคโลหิต, วันที่บริจาค 3 ครั้งล่าสุด, กรุ๊ปเลือด, ส่วนสูงและน้ำหนัก เสี่ยงรั่วไหลสู่สาธารณะ

จากการตรวจสอบ Log ของฐานข้อมูลเบื้องต้นพบว่า SSG ปล่อยให้ฐานข้อมูลสามารถเข้าถึงได้จากอินเทอร์เน็ตอย่างไร้การป้องกันมาตั้งแต่วันที่ 4 มกราคม 2019 แต่เคราะห์ดีที่มีเพียงคนเดียวที่เข้าถึงฐานข้อมูลนี้ นั่นก็คือผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยที่รายงานเหตุฐานข้อมูลรั่วแก่ HSA นั่นเอง ซึ่งความผิดพลาดนี้เกิดขึ้นโดยที่ HSA ไม่ทราบเรื่องและไม่เคยอนุญาตมาก่อน รวมไปถึงเป็นการละเมิดพันธะสัญญาของ HSA อีกด้วย

SSG ได้ออกแถลงการณ์หลังเกิดเหตุ ระบุว่าจัดการเพิ่มมาตรการป้องกันให้แก่ฐานข้อมูลที่มีปัญหาแล้ว และได้ทำงานร่วมกับผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยภายนอก คือ KPMG เพื่อทำการรีวิวระบบ IT ทั้งหมดโดยละเอียดอีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/insecure-database-exposes-800-000-singapore-blood-donors/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Facebook รับ แอบเก็บข้อมูลอีเมลผู้ใช้กว่า 1,500,000 รายโดยไม่ได้รับอนุญาต

หลังจากที่มีคนจับได้ว่า Facebook แอบถามรหัสผ่านอีเมลของผู้ใช้ใหม่ระหว่างกระบวนการยืนยันตัวตนเมื่อต้นเดือนเมษายนที่ผ่านมาจนถูกตั้งข้อสังเกตว่า Facebook พยายามเข้าถึงอีเมลของผู้ใช้โดยมิชอบเพื่อแอบเก็บข้อมูลอีเมลเหล่านั้นหรือไม่ ล่าสุด Facebook ได้ออกมายอมรับแล้วว่าเป็นความจริง

ไม่ใช่แค่หลักหมื่น!! Facebook เผลอเก็บรหัสผ่านผู้ใช้ Intagram หลายล้านคนแบบ Plaintext

ปลายเดือนมีนาคมที่ผ่านมา Facebook ได้ออกมาเปิดเผยว่า หลังจากทำ Security Review พบว่ามีรหัสผ่านของผู้ใช้หลายร้อยล้านคนถูกเก็บแบบ Plaintext ซึ่งรวมไปถึงผู้ใช้ Instagram ราวหลักหมื่นคน แม้ทาง Facebook จะดำเนินการแก้ไขแล้ว แต่เหตุการณ์กลับเลวร้ายไปกว่านั้น …