KDDI เผยการแฮกอีเมลผู้ใช้ 14.2 ล้านบัญชีในญี่ปุ่น

KDDI ผู้ให้บริการโทรคมนาคมของญี่ปุ่นยอมรับว่าระบบอีเมลที่บริษัทดูแลให้กับตนเองและผู้ให้บริการอินเทอร์เน็ตในประเทศอื่น ๆ ถูกแฮก ทำให้ข้อมูลอีเมลและรหัสผ่านของผู้ใช้สูงถึง 14.2 ล้านบัญชี อาจรั่วไหลไปยังผู้ไม่ประสงค์ดี การเปิดเผยนี้ส่งผลต่อผู้ใช้หลายล้านคนและบริษัทผู้ให้บริการอินเทอร์เน็ตหลายรายที่พึ่งพาแพลตฟอร์มของ KDDI

Overview

KDDI ประกาศเมื่อวานนี้ว่าได้ตรวจพบการเข้าถึงโดยไม่ได้รับอนุญาตในระบบอีเมลของตนเมื่อวันที่ 17 มิถุนายน บริษัทระบุว่าเหตุการณ์นี้เกิดจากช่องโหว่ในซอฟต์แวร์ของบุคคลที่สามที่ใช้เป็นส่วนหนึ่งของบริการอีเมล แม้ว่าจะไม่มีการยืนยันว่าช่องโหว่นั้นเป็นศูนย์วัน (zero‑day) หรือว่ามีการอัปเดตแพตช์ก่อนหน้านั้นก็ตาม การตรวจจับและการตอบสนองต่อเหตุการณ์ทำให้ KDDI สามารถหยุดการโจมตีได้ภายในวันเดียวกัน

การเปิดเผยของ KDDI ชี้ให้เห็นว่าบริษัทไม่ได้เพียงแค่ให้บริการอีเมลแก่ลูกค้าโดยตรง แต่ยังให้บริการเดียวกันแก่ผู้ให้บริการอินเทอร์เน็ตหลายรายในญี่ปุ่น ซึ่งทำให้ผลกระทบของการละเมิดข้อมูลขยายตัวไปยังฐานผู้ใช้ที่กว้างขวางกว่าเดิม

How the breach happened

ตามเอกสารการสารภาพของ KDDI (PDF) การตรวจสอบพบว่าผู้โจมตีใช้ช่องโหว่ในซอฟต์แวร์ของบุคคลที่สามซึ่งถูกติดตั้งบนแพลตฟอร์มอีเมลที่บริษัทดูแลอยู่ การโจมตีไม่ได้เกี่ยวข้องกับการรั่วไหลของรหัสผ่านที่จัดเก็บในรูปแบบ plaintext แต่รหัสผ่านเหล่านั้นถูกเก็บไว้ในรูปแบบ hashed และ encrypted ทำให้ความเสี่ยงต่อการเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนลดลง

KDDI ยังไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับประเภทของซอฟต์แวร์หรือเวอร์ชันที่มีช่องโหว่ ซึ่งทำให้ผู้เชี่ยวชาญด้านความปลอดภัยยากต่อการประเมินระดับความรุนแรงของการโจมตีโดยละเอียด

Scope & data exposed

การรั่วไหลอาจรวมถึง ที่อยู่อีเมลและรหัสผ่าน ของผู้ใช้ที่ประมาณ 14.2 ล้านบัญชี ทั้งนี้ KDDI ย้ำว่าข้อมูลส่วนใหญ่ถูกเข้ารหัสและแฮชแล้ว ทำให้ผู้โจมตีอาจนำไปใช้ในการฟิชชิงหรือการขโมยข้อมูลส่วนบุคคลได้ แต่ความเสี่ยงต่อการใช้ข้อมูลเพื่อการโจมตีเชิงลึกอื่น ๆ เช่น การเข้าถึงบัญชีธนาคารหรือข้อมูลการเงินอาจถูกจำกัด

บางส่วนของข้อมูลที่อาจรั่วไหลเป็นข้อมูลของ บัญชีที่ไม่ได้ใช้งานหรือยกเลิกแล้ว ซึ่งทำให้การแจ้งเตือนผู้ใช้ที่อาจได้รับผลกระทบเป็นเรื่องยาก เนื่องจากไม่มีช่องทางติดต่อที่ชัดเจนกับผู้ใช้เหล่านั้น

Response & mitigation

KDDI รายงานว่าได้ดำเนินการ ปิดกั้นการเข้าถึงเพิ่มเติม ภายในวันเดียวกับที่ตรวจพบการโจมตีและได้เสริมความปลอดภัยของระบบอีเมลเพื่อป้องกันการโจมตีในอนาคต บริษัทได้แจ้งหน่วยงานรัฐที่เกี่ยวข้องแล้ว แต่การสอบสวนยังไม่เสร็จสิ้น ทำให้ยังไม่สามารถระบุขอบเขตของความเสียหายได้อย่างชัดเจน

เพื่อช่วยลดผลกระทบต่อผู้ใช้ KDDI แนะนำให้ผู้ใช้ตรวจสอบและเปลี่ยนรหัสผ่านของบัญชีอีเมลที่อาจได้รับผลกระทบ และระมัดระวังการคลิกลิงก์หรือไฟล์แนบที่อาจเป็นฟิชชิงโดยอ้างอิงจากอีเมลที่อาจถูกขโมย

Implications for customers & industry

การรั่วไหลของข้อมูลขนาดนี้ส่งผลกระทบต่อผู้ให้บริการอินเทอร์เน็ตหลายรายที่ใช้แพลตฟอร์มอีเมลของ KDDI ได้แก่

• STNet
• JCOM
• **Chubu Telecommunications Co.
• Nifty Corporation
• BIGLOBE

ผู้ให้บริการเหล่านี้ต้องอธิบายเหตุการณ์ต่อผู้ใช้ของตนเองและอาจต้องพิจารณาการตรวจสอบหรือปรับเปลี่ยนข้อตกลงการให้บริการกับ KDDI เพื่อให้แน่ใจว่าระบบของตนปลอดภัยต่อการโจมตีในอนาคต

สำหรับอุตสาหกรรมเทคโนโลยีในญี่ปุ่น การรั่วไหลของข้อมูลระดับนี้เป็นสัญญาณเตือนให้ผู้ให้บริการคลาวด์และแพลตฟอร์มจัดการข้อมูลต้องตรวจสอบการใช้ซอฟต์แวร์ของบุคคลที่สามอย่างเข้มงวด และเพิ่มการทดสอบความปลอดภัยเป็นประจำเพื่อป้องกันช่องโหว่ที่อาจถูกโจมตี

Analysis

เหตุการณ์นี้แสดงให้เห็นว่าการพึ่งพาซอฟต์แวร์ของบุคคลที่สามโดยไม่มีการอัปเดตหรือทดสอบความปลอดภัยอย่างสม่ำเสมออาจเป็นจุดอ่อนสำคัญของโครงสร้างพื้นฐานด้านไอทีขององค์กรขนาดใหญ่ แม้ว่าข้อมูลรหัสผ่านจะถูกเก็บในรูปแบบแฮชและเข้ารหัสแล้ว ความเสียหายจากการรั่วไหลของ อีเมลและข้อมูลผู้ใช้ ยังคงมีผลกระทบต่อความเชื่อมั่นของผู้บริโภคและอาจนำไปสู่การสูญเสียลูกค้า

การที่ KDDI สามารถหยุดการโจมตีได้ในวันเดียวกันแสดงให้เห็นถึงการตอบสนองที่รวดเร็ว แต่การสื่อสารรายละเอียดของช่องโหว่และการดำเนินการแก้ไขอย่างเต็มรูปแบบยังคงต้องการความโปร่งใสเพิ่มเติม เพื่อให้ผู้ใช้และผู้ร่วมธุรกิจสามารถประเมินความเสี่ยงได้อย่างแม่นยำ

Summary

KDDI ยอมรับว่ามีการรั่วไหลของข้อมูลอีเมลและรหัสผ่านของผู้ใช้ประมาณ 14.2 ล้านบัญชี เนื่องจากช่องโหว่ในซอฟต์แวร์ของบุคคลที่สาม การตอบสนองของบริษัททำให้การโจมตีหยุดได้ในวันเดียวกันและข้อมูลรหัสผ่านยังคงอยู่ในรูปแบบแฮชและเข้ารหัส อย่างไรก็ตาม ผู้ให้บริการอินเทอร์เน็ตหลายรายที่พึ่งพาแพลตฟอร์มของ KDDI จะต้องอธิบายเหตุการณ์ต่อผู้ใช้และพิจารณาการปรับปรุงมาตรการความปลอดภัยต่อไป.