
ที่มาภาพ: The Register
การหลอกลวงเทค‑ซัพพอรต์ทำให้ Qantas รั่วข้อมูลส่วนบุคคล 5.7 ล้านคน
⚡ สรุป 30 วิ
รายงานเปิดเผยว่าโจมตีแบบ vishing ผ่านศูนย์ติดต่อของ Qantas ทำให้ข้อมูลส่วนบุคคลของผู้โดยสารกว่า 5.7 ล้านคนถูกเปิดเผย…
การสอบสวนของ คณะกรรมการความเป็นส่วนตัวแห่งออสเตรเลีย เปิดเผยว่าเหตุหลักของการรั่วไหลข้อมูลขนาดใหญ่ของสายการบิน Qantas ในปี 2025 นั้นเกิดจากกลโกง “เทค‑ซัพพอร์ต” ที่มุ่งเจาะระบบศูนย์ติดต่อ (contact centre) รายงานระบุว่าถึงแม้ข้อมูลส่วนตัวของลูกค้า 5.7 ล้านคน จะถูกเปิดเผย แต่ Qantas ไม่ได้ละเมิดข้อบังคับด้านความเป็นส่วนตัวตาม **Australian Privacy Principles (APPs) และไม่มีการเปิดการสอบสวนอย่างเป็นทางการ
Overview
เหตุการณ์รั่วไหลเกิดขึ้นเมื่อผู้ไม่ประสงค์ดีที่อ้างว่าเป็นเจ้าหน้าที่ “Qantas IT help” โทรหาเจ้าหน้าที่ศูนย์ติดต่อและสั่งให้เข้าถึงระบบจัดการลูกค้าสัมพันธ์ (CRM) เพื่อทำขั้นตอนปิดใบสนับสนุน – ขั้นตอนดังกล่าวได้เชื่อมต่อ CRM กับเครื่องมือดึงข้อมูลที่ใช้สำหรับขโมยบันทึกของลูกค้า การโจรกรรมนี้เป็นรูปแบบของ vishing ซึ่งอาศัยการหลอกลวงทางเสียงเพื่อให้ผู้ใช้งานทำตามคำสั่งโดยไม่ตั้งข้อสงสัย
คณะกรรมการได้ตรวจสอบว่า Qantas มีขั้นตอนปฏิบัติที่เหมาะสมในการจัดการความเสี่ยงดังกล่าวหรือไม่ โดยอ้างอิงจากหลักเกณฑ์ของ APPs ที่กำหนดให้ต้องมีมาตรการ “reasonable steps” ป้องกันข้อมูลส่วนบุคคลจากการเข้าถึงโดยไม่ได้รับอนุญาต รายงานสรุปว่า Qantas ได้ดำเนินการหลายด้านที่สอดคล้องกับข้อกำหนดเหล่านี้
Attack Details
ตามรายงานของคณะกรรมการ ผู้โจมตีได้ใช้เทคนิค “social engineering” ทำให้เจ้าหน้าที่ศูนย์ติดต่อเชื่อถือและเปิดช่องทางเข้าถึงระบบ CRM ผ่านบัญชีผู้ใช้ที่ได้รับอนุญาตแล้ว การกระทำนี้ไม่ได้เป็นผลมาจากความบกพร่องของระบบการควบคุมการเข้าถึง (role‑based access controls) ที่ Qantas มีอยู่
แทนที่จะปิดใบสนับสนุนตามขั้นตอนปกติ ระบบได้ถูกเชื่อมต่อกับซอฟต์แวร์ดึงข้อมูลโดยอัตโนมัติ ซึ่งทำให้ผู้โจมตีสามารถสกัดบันทึกลูกค้าออกมาเป็นไฟล์จำนวนมากในช่วงเวลาสั้น ๆ การโจรกรรมดังกล่าวส่งผลให้ข้อมูลส่วนบุคคลของ 5.7 ล้านคน รวมถึงรายละเอียดการจองและข้อมูลติดต่อ ถูกเปิดเผยต่อสาธารณะ
Qantas Compliance Assessment
คณะกรรมการได้พิจารณาว่า Qantas ปฏิบัติตาม APPs อย่างเต็มที่หรือไม่ โดยอ้างอิงจากหลายมาตรการสำคัญ:
- การตรวจสอบผู้ให้บริการศูนย์ติดต่อ และการทดสอบความเข้าใจด้านความปลอดภัยของพนักงานเป็นประจำ
- การฝึกอบรมบังคับใช้และต่อเนื่อง เกี่ยวกับการจัดการข้อมูลส่วนบุคคล (PII) สำหรับเจ้าหน้าที่ทุกระดับ
- การนำ role‑based access controls มาใช้เพื่อจำกัดสิทธิ์เข้าถึงข้อมูลตามหน้าที่
นอกจากนี้ Qantas ยังมีขั้นตอนกำหนดลบข้อมูลจาก CRM อย่างสม่ำเสมอ รายงานระบุว่าการทำความสะอาดข้อมูลเป็นประจำปีทำให้ไม่มีบันทึกที่ควรจะถูกลบอยู่ในระบบขณะเกิดเหตุ ทำให้คณะกรรมการเห็นว่า Qantas ปฏิบัติตามข้อกำหนดเรื่องการทำลายหรือไม่ระบุข้อมูลส่วนบุคคลอย่างเหมาะสม
Regulatory Decision
หลังจากตรวจสอบหลักฐานทั้งหมด คณะกรรมการความเป็นส่วนตัวได้สรุปว่า ไม่มีการละเมิด APPs และจึงตัดสินใจ ไม่เปิดการสอบสวนแบบเป็นทางการ อีกต่อไป รายงานอธิบายว่าการเข้าถึงของผู้โจมตีเกิดจาก “vishing attack” ที่ยากจะคาดการณ์หรือป้องกันได้โดยการเสริมความแข็งแรงของระบบควบคุมการเข้าถึงที่มีอยู่แล้ว
อย่างไรก็ตาม คณะกรรมการยังระบุว่า พวกเขามีอำนาจกว้างในการเปิดการสอบสวนในกรณีที่พบข้อมูลใหม่ที่อาจชี้ให้เห็นว่าการป้องกันไม่เพียงพอ การตัดสินใจครั้งนี้จึงไม่ได้เป็นการยืนยันว่าความเสี่ยงทั้งหมดถูกกำจัดแล้ว แต่เป็นการประเมินว่า Qantas ทำตามขั้นตอนที่จำเป็นอย่างเหมาะสม ณ เวลานั้น
Potential Aftermath
แม้คณะกรรมการจะไม่ดำเนินการสอบสวนเพิ่มเติม แต่ **คดีฟ้องร้องแบบกลุ่ม (class‑action lawsuits) ยังคงดำเนินต่อไปโดยผู้เสียหายหลายราย ซึ่งอาจทำให้ Qantas ต้องเผชิญกับค่าเสียหายและความเสี่ยงด้านภาพลักษณ์ในระยะยาว
นักวิเคราะห์บางคนได้สันนิษฐานว่า กลุ่ม Scattered Spider อาจเป็นผู้กระทำเหตุการณ์นี้ เนื่องจากมีการโจมตีต่ออุตสาหกรรมการบินหลายกรณีก่อนหน้าที่เกิดขึ้นกับ Qantas อย่างไรก็ตาม รายงานของคณะกรรมการไม่ได้ระบุหรือยืนยันตัวตนของผู้โจมตีอย่างเป็นทางการ
Qantas จึงต้องเตรียมพร้อมรับมือกับความท้าทายทั้งด้านกฎหมายและการฟื้นฟูความเชื่อมั่นของลูกค้า ในขณะที่อุตสาหกรรมการบินโดยรวมกำลังพิจารณาเพิ่มมาตรการป้องกันการโจมตีแบบ “social engineering” ให้เข้มงวดยิ่งขึ้น
Summary
คณะกรรมการความเป็นส่วนตัวแห่งออสเตรเลียตัดสินว่าการรั่วไหลข้อมูลของ Qantas ในปี 2025 แม้ส่งผลให้ข้อมูลส่วนบุคคลของ 5.7 ล้านคน ถูกเปิดเผย แต่สายการบินไม่ได้ละเมิด Australian Privacy Principles และจึงไม่มีการสอบสวนอย่างเป็นทางการต่อไป ความเสี่ยงด้านกฎหมายและภาพลักษณ์ยังคงอยู่ในระยะยาว.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Tech support scam caused massive data breach at Australian airline Qantas
- ผู้เขียน
- Unknown
- แหล่ง
- The Register
- วันที่เผยแพร่
- 16 กรกฎาคม 2569 เวลา 13:27



