การหลอกลวงเทค‑ซัพพอรต์ทำให้ Qantas รั่วข้อมูลส่วนบุคคล 5.7 ล้านคน

ที่มาภาพ: The Register

Security-อ่าน 6 นาทีThe Register

การหลอกลวงเทค‑ซัพพอรต์ทำให้ Qantas รั่วข้อมูลส่วนบุคคล 5.7 ล้านคน

⚡ สรุป 30 วิ

รายงานเปิดเผยว่าโจมตีแบบ vishing ผ่านศูนย์ติดต่อของ Qantas ทำให้ข้อมูลส่วนบุคคลของผู้โดยสารกว่า 5.7 ล้านคนถูกเปิดเผย…

การสอบสวนของ คณะกรรมการความเป็นส่วนตัวแห่งออสเตรเลีย เปิดเผยว่าเหตุหลักของการรั่วไหลข้อมูลขนาดใหญ่ของสายการบิน Qantas ในปี 2025 นั้นเกิดจากกลโกง “เทค‑ซัพพอร์ต” ที่มุ่งเจาะระบบศูนย์ติดต่อ (contact centre) รายงานระบุว่าถึงแม้ข้อมูลส่วนตัวของลูกค้า 5.7 ล้านคน จะถูกเปิดเผย แต่ Qantas ไม่ได้ละเมิดข้อบังคับด้านความเป็นส่วนตัวตาม **Australian Privacy Principles (APPs) และไม่มีการเปิดการสอบสวนอย่างเป็นทางการ

Overview

เหตุการณ์รั่วไหลเกิดขึ้นเมื่อผู้ไม่ประสงค์ดีที่อ้างว่าเป็นเจ้าหน้าที่ “Qantas IT help” โทรหาเจ้าหน้าที่ศูนย์ติดต่อและสั่งให้เข้าถึงระบบจัดการลูกค้าสัมพันธ์ (CRM) เพื่อทำขั้นตอนปิดใบสนับสนุน – ขั้นตอนดังกล่าวได้เชื่อมต่อ CRM กับเครื่องมือดึงข้อมูลที่ใช้สำหรับขโมยบันทึกของลูกค้า การโจรกรรมนี้เป็นรูปแบบของ vishing ซึ่งอาศัยการหลอกลวงทางเสียงเพื่อให้ผู้ใช้งานทำตามคำสั่งโดยไม่ตั้งข้อสงสัย

คณะกรรมการได้ตรวจสอบว่า Qantas มีขั้นตอนปฏิบัติที่เหมาะสมในการจัดการความเสี่ยงดังกล่าวหรือไม่ โดยอ้างอิงจากหลักเกณฑ์ของ APPs ที่กำหนดให้ต้องมีมาตรการ “reasonable steps” ป้องกันข้อมูลส่วนบุคคลจากการเข้าถึงโดยไม่ได้รับอนุญาต รายงานสรุปว่า Qantas ได้ดำเนินการหลายด้านที่สอดคล้องกับข้อกำหนดเหล่านี้

Attack Details

ตามรายงานของคณะกรรมการ ผู้โจมตีได้ใช้เทคนิค “social engineering” ทำให้เจ้าหน้าที่ศูนย์ติดต่อเชื่อถือและเปิดช่องทางเข้าถึงระบบ CRM ผ่านบัญชีผู้ใช้ที่ได้รับอนุญาตแล้ว การกระทำนี้ไม่ได้เป็นผลมาจากความบกพร่องของระบบการควบคุมการเข้าถึง (role‑based access controls) ที่ Qantas มีอยู่

แทนที่จะปิดใบสนับสนุนตามขั้นตอนปกติ ระบบได้ถูกเชื่อมต่อกับซอฟต์แวร์ดึงข้อมูลโดยอัตโนมัติ ซึ่งทำให้ผู้โจมตีสามารถสกัดบันทึกลูกค้าออกมาเป็นไฟล์จำนวนมากในช่วงเวลาสั้น ๆ การโจรกรรมดังกล่าวส่งผลให้ข้อมูลส่วนบุคคลของ 5.7 ล้านคน รวมถึงรายละเอียดการจองและข้อมูลติดต่อ ถูกเปิดเผยต่อสาธารณะ

Qantas Compliance Assessment

คณะกรรมการได้พิจารณาว่า Qantas ปฏิบัติตาม APPs อย่างเต็มที่หรือไม่ โดยอ้างอิงจากหลายมาตรการสำคัญ:

  • การตรวจสอบผู้ให้บริการศูนย์ติดต่อ และการทดสอบความเข้าใจด้านความปลอดภัยของพนักงานเป็นประจำ
  • การฝึกอบรมบังคับใช้และต่อเนื่อง เกี่ยวกับการจัดการข้อมูลส่วนบุคคล (PII) สำหรับเจ้าหน้าที่ทุกระดับ
  • การนำ role‑based access controls มาใช้เพื่อจำกัดสิทธิ์เข้าถึงข้อมูลตามหน้าที่

นอกจากนี้ Qantas ยังมีขั้นตอนกำหนดลบข้อมูลจาก CRM อย่างสม่ำเสมอ รายงานระบุว่าการทำความสะอาดข้อมูลเป็นประจำปีทำให้ไม่มีบันทึกที่ควรจะถูกลบอยู่ในระบบขณะเกิดเหตุ ทำให้คณะกรรมการเห็นว่า Qantas ปฏิบัติตามข้อกำหนดเรื่องการทำลายหรือไม่ระบุข้อมูลส่วนบุคคลอย่างเหมาะสม

Regulatory Decision

หลังจากตรวจสอบหลักฐานทั้งหมด คณะกรรมการความเป็นส่วนตัวได้สรุปว่า ไม่มีการละเมิด APPs และจึงตัดสินใจ ไม่เปิดการสอบสวนแบบเป็นทางการ อีกต่อไป รายงานอธิบายว่าการเข้าถึงของผู้โจมตีเกิดจาก “vishing attack” ที่ยากจะคาดการณ์หรือป้องกันได้โดยการเสริมความแข็งแรงของระบบควบคุมการเข้าถึงที่มีอยู่แล้ว

อย่างไรก็ตาม คณะกรรมการยังระบุว่า พวกเขามีอำนาจกว้างในการเปิดการสอบสวนในกรณีที่พบข้อมูลใหม่ที่อาจชี้ให้เห็นว่าการป้องกันไม่เพียงพอ การตัดสินใจครั้งนี้จึงไม่ได้เป็นการยืนยันว่าความเสี่ยงทั้งหมดถูกกำจัดแล้ว แต่เป็นการประเมินว่า Qantas ทำตามขั้นตอนที่จำเป็นอย่างเหมาะสม ณ เวลานั้น

Potential Aftermath

แม้คณะกรรมการจะไม่ดำเนินการสอบสวนเพิ่มเติม แต่ **คดีฟ้องร้องแบบกลุ่ม (class‑action lawsuits) ยังคงดำเนินต่อไปโดยผู้เสียหายหลายราย ซึ่งอาจทำให้ Qantas ต้องเผชิญกับค่าเสียหายและความเสี่ยงด้านภาพลักษณ์ในระยะยาว

นักวิเคราะห์บางคนได้สันนิษฐานว่า กลุ่ม Scattered Spider อาจเป็นผู้กระทำเหตุการณ์นี้ เนื่องจากมีการโจมตีต่ออุตสาหกรรมการบินหลายกรณีก่อนหน้าที่เกิดขึ้นกับ Qantas อย่างไรก็ตาม รายงานของคณะกรรมการไม่ได้ระบุหรือยืนยันตัวตนของผู้โจมตีอย่างเป็นทางการ

Qantas จึงต้องเตรียมพร้อมรับมือกับความท้าทายทั้งด้านกฎหมายและการฟื้นฟูความเชื่อมั่นของลูกค้า ในขณะที่อุตสาหกรรมการบินโดยรวมกำลังพิจารณาเพิ่มมาตรการป้องกันการโจมตีแบบ “social engineering” ให้เข้มงวดยิ่งขึ้น

Summary

คณะกรรมการความเป็นส่วนตัวแห่งออสเตรเลียตัดสินว่าการรั่วไหลข้อมูลของ Qantas ในปี 2025 แม้ส่งผลให้ข้อมูลส่วนบุคคลของ 5.7 ล้านคน ถูกเปิดเผย แต่สายการบินไม่ได้ละเมิด Australian Privacy Principles และจึงไม่มีการสอบสวนอย่างเป็นทางการต่อไป ความเสี่ยงด้านกฎหมายและภาพลักษณ์ยังคงอยู่ในระยะยาว.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Tech support scam caused massive data breach at Australian airline Qantas
ผู้เขียน
Unknown
แหล่ง
The Register
วันที่เผยแพร่
16 กรกฎาคม 2569 เวลา 13:27

Related

บทความที่เกี่ยวข้อง

EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาตSecurity
8 กรกฎาคม 2569 เวลา 05:30

EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาต

บริษัทตรวจสอบระดับโลก EY ออสเตรเลียได้ไล่พนักงานสองคนหลังพบว่าพวกเขาเข้าถึงข้อมูลบัญชีธนาคารของนายกรัฐมนตรี Anthony Albanese โดยไม่ได้รับอนุญาต…

The Register7 นาที
UNC3753 ใช้ Vishing ผสมการบุกรุกกายภาพในการขโมยข้อมูลและเ…Security
10 มิถุนายน 2569 เวลา 14:30

UNC3753 ใช้ Vishing ผสมการบุกรุกกายภาพในการขโมยข้อมูลและเ…

Google Mandiant และ GTIG เปิดเผยแคมเปญ UNC3753 ผสม Vishing กับการบุกรุกกายภาพเพื่อขโมยข้อมูลจากองค์กรกฎหมายและการเงินในสหรัฐระหว่างม.ค.–พ.ค. 2026.…

The Hacker News9 นาที
ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆSecurity
16 กรกฎาคม 2569 เวลา 13:00

ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆ

ShinyHunters แทรกซึม Salesforce ผ่าน OAuth ของ Microsoft Maps ทำให้ข้อมูลลูกค้าและตำแหน่งถูกขโมยอย่างเงียบ ๆ โดยไม่ใช้ช่องโหว่ของระบบ.

The Hacker News6 นาที
รัฐบาลสหรัฐเตือนแฮกเกอร์รัฐรัสเซียมุ่งโจมตีเราเตอร์ภายในบ้านและองค์กรSecurity
16 กรกฎาคม 2569 เวลา 04:00

รัฐบาลสหรัฐเตือนแฮกเกอร์รัฐรัสเซียมุ่งโจมตีเราเตอร์ภายในบ้านและองค์กร

CISA แจ้งว่ากลุ่มแฮกเกอร์รัฐรัสเซียกำลังสร้างบอทเน็ตโดยยึดครองเราเตอร์ของผู้ใช้ ทั้งในภาครัฐและเอกชน…

Ars Technica Tech Lab7 นาที
คัดลอกลิงก์แล้ว!