ข้อมูลส่วนบุคคลของพนักงานโรงเรียน 137,000 รายรั่วจาก Infinite Campus ผ่าน Salesforce

การโจมตีของกลุ่มอาชญากรรมไซเบอร์ ShinyHunters ทำให้ข้อมูลส่วนบุคคลของพนักงานโรงเรียนกว่า 137,000 ราย ถูกขโมยจากระบบ Infinite Campus ซึ่งเป็นแพลตฟอร์มจัดการข้อมูลนักเรียนระดับ K‑12 ที่ใช้โดยโรงเรียนหลายพันแห่งในสหรัฐอเมริกา การรั่วไหลเกิดจากการเข้าถึงข้อมูลใน Salesforce ของบริษัทในเดือนมีนาคมที่ผ่านมาและเป็นเหตุให้วงการการศึกษาเผชิญกับความเสี่ยงด้านความปลอดภัยข้อมูลที่เพิ่มขึ้นอย่างชัดเจน

Overview

Infinite Campus เป็นระบบสารสนเทศโรงเรียน (Student Information System – SIS) ที่ให้บริการจัดการข้อมูลนักเรียน ครู ผู้ปกครอง และพนักงานโรงเรียนทั่วประเทศ ระบบนี้เชื่อมต่อกับ Salesforce เพื่อใช้เป็นเครื่องมือจัดการความสัมพันธ์กับลูกค้า (CRM) และบันทึกข้อมูลผู้ใช้หลายระดับ การโจมตีครั้งนี้ทำให้ข้อมูลส่วนบุคคลของผู้ใช้ที่อยู่ในฐานข้อมูล Salesforce ถูกขโมยออกไปโดยไม่ได้รับอนุญาต

การแฮกครั้งนี้เกิดขึ้นในเดือนมีนาคม 2024 ตามรายงานของบริษัทตรวจสอบความปลอดภัย โดยกลุ่ม ShinyHunters ใช้วิธีการขโมยข้อมูลจาก Salesforce แทนที่จะแฮกระบบ SIS โดยตรง ซึ่งบ่งชี้ถึงความอ่อนแอของการเชื่อมต่อภายนอกและการจัดการสิทธิ์การเข้าถึงข้อมูลในองค์กร

Key Details

ข้อมูลที่ถูกขโมยประกอบด้วยชื่อเต็มของพนักงานโรงเรียน, ที่อยู่อีเมล, ตำแหน่งงาน, และบางส่วนอาจรวมถึงหมายเลขโทรศัพท์ส่วนตัวตามที่ระบบบันทึกไว้ ข้อมูลเหล่านี้อาจนำไปใช้ในการทำฟิชชิงหรือการโจมตีแบบสวมรอยในอนาคต

กลุ่ม ShinyHunters ได้เผยแพร่รายละเอียดข้อมูลที่ได้มาบนฟอรั่มของตน พร้อมเรียกร้องค่าไถ่จาก Infinite Campus เพื่อปกปิดการเปิดเผยต่อสาธารณะ อย่างไรก็ตาม บริษัทยังไม่ได้ยืนยันว่าจะมีการชำระเงินหรือไม่ และได้ประกาศว่ากำลังทำงานร่วมกับเจ้าหน้าที่บังคับใช้กฎหมายเพื่อสืบสวนคดี

Response from Infinite Campus

บริษัท Infinite Campus ตอบสนองต่อเหตุการณ์โดยการแจ้งเตือนผู้ใช้ทั้งหมดให้ทำการรีเซ็ตรหัสผ่านและตรวจสอบกิจกรรมที่ผิดปกติบนบัญชีของตน บริษัทระบุว่าได้ทำการปิดการเข้าถึงที่ไม่ได้รับอนุญาตใน Salesforce และกำลังทำการตรวจสอบความเสียหายอย่างละเอียด

นอกจากนี้ Infinite Campus ยังได้ให้คำแนะนำแก่โรงเรียนและผู้ดูแลระบบให้เพิ่มระดับการยืนยันตัวตน (MFA) และตรวจสอบการตั้งค่าสิทธิ์ของผู้ใช้ในระบบ CRM เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตในอนาคต

Analysis

การโจมตีนี้ชี้ให้เห็นถึงความเสี่ยงที่เกิดจากการใช้บริการคลาวด์ของบุคคลที่สามในโครงสร้างพื้นฐานของการศึกษา แม้ว่าระบบ SIS จะได้รับการออกแบบให้มีความปลอดภัยระดับสูง แต่การเชื่อมต่อกับแพลตฟอร์มเช่น Salesforce ทำให้เกิดจุดอ่อนใหม่ที่อาจถูกโจมตีได้

นักวิจัยด้านความปลอดภัยหลายรายได้ชี้ให้เห็นว่าองค์กรการศึกษาควรทบทวนการจัดการสิทธิ์การเข้าถึงข้อมูล (access control) และทำการประเมินความเสี่ยงของซัพพลายเออร์อย่างสม่ำเสมอ การเพิ่มการตรวจสอบแบบหลายชั้น (defense‑in‑depth) จึงเป็นสิ่งจำเป็นเพื่อจำกัดผลกระทบหากมีการละเมิดข้อมูลในส่วนใดส่วนหนึ่งของระบบ

Impact

ผู้ที่ได้รับผลกระทบโดยตรงคือพนักงานโรงเรียนที่ข้อมูลส่วนบุคคลของพวกเขาถูกเปิดเผย ซึ่งอาจเสี่ยงต่อการถูกใช้ในการทำฟิชชิงหรือการโจมตีแบบสังคมวิศวกรรม (social engineering) นอกจากนี้ ความเชื่อมั่นของผู้ปกครองและนักเรียนต่อระบบสารสนเทศของโรงเรียนอาจลดลง ทำให้ต้องใช้เวลาและทรัพยากรเพิ่มในการฟื้นฟูภาพลักษณ์

ในระดับอุตสาหกรรม การรั่วไหลของข้อมูลจำนวนมากจากระบบ SIS อาจกระตุ้นให้ผู้ให้บริการเทคโนโลยีการศึกษาต่าง ๆ ปรับนโยบายการจัดการข้อมูลและเพิ่มมาตรการความปลอดภัยในผลิตภัณฑ์ของตน เพื่อหลีกเลี่ยงการสูญเสียลูกค้าและค่าปรับตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Summary

การโจมตีของ ShinyHunters ทำให้ข้อมูลส่วนบุคคลของพนักงานโรงเรียนกว่า 137,000 รายถูกขโมยจาก Infinite Campus ผ่านการละเมิดระบบ Salesforce ของบริษัท การตอบสนองของ Infinite Campus เน้นการรีเซ็ตรหัสผ่านและเพิ่มมาตรการยืนยันตัวตนเพื่อป้องกันเหตุการณ์ซ้ำในอนาคต ผลกระทบต่ออุตสาหกรรมเทคโนโลยีการศึกษาเน้นความสำคัญของการจัดการความปลอดภัยในซัพพลายเออร์และการตรวจสอบสิทธิ์การเข้าถึงข้อมูลอย่างต่อเนื่อง.