เกาหลีสั่งปรับ Louis Vuitton, Dior และ Tiffany 770 ล้านบาท หลังทำข้อมูลลูกค้ารั่ว

น่วยงานกำกับดูแลด้านข้อมูลส่วนบุคคลของเกาหลีใต้สั่งปรับบริษัทในเครือของแบรนด์หรูระดับโลกอย่าง Louis Vuitton, Christian Dior และ Tiffany & Co. รวมเป็นเงินกว่า 36,000 ล้านวอน หรือประมาณ 770 ล้านบาท หลังการสอบสวนพบว่าทั้งสามบริษัทมีความบกพร่องด้านความปลอดภัย จนทำให้ข้อมูลลูกค้าจำนวนมากรั่วไหลจากเหตุการณ์โจมตีไซเบอร์ที่เกิดขึ้นผ่านระบบจัดการลูกค้าบนแพลตฟอร์มคลาวด์แบบ SaaS โดยตรง

หน่วยงานกำกับดูแลระบุว่าเหตุการณ์ดังกล่าวไม่ได้เกิดจากช่องโหว่เทคโนโลยีเพียงอย่างเดียว แต่เกิดจากการตั้งค่าความปลอดภัยที่ไม่เพียงพอ รวมถึงการควบคุมสิทธิ์เข้าถึงระบบที่หละหลวม ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้าได้สำเร็จ ข้อมูลที่รั่วไหลประกอบด้วยชื่อ อีเมล หมายเลขโทรศัพท์ และข้อมูลส่วนบุคคลอื่น ๆ ซึ่งส่งผลกระทบต่อผู้ใช้งานหลายล้านรายในเกาหลีใต้

ตั้งค่าความปลอดภัยที่ผิดพลาด ทำให้โดนเจาะ

จากผลสอบสวนพบว่า Louis Vuitton Korea ถูกปรับหนักที่สุด เนื่องจากมีข้อมูลลูกค้าประมาณ 3.6 ล้านรายได้รับผลกระทบ หลังผู้โจมตีสามารถเจาะผ่านอุปกรณ์ของพนักงานและเข้าถึงระบบจัดการข้อมูลลูกค้าได้ โดยบริษัทไม่ได้จำกัดการเข้าถึงผ่าน IP address และไม่ได้ใช้วิธีการยืนยันตัวตนที่ปลอดภัยสำหรับการเข้าระบบจากภายนอก

ในขณะที่ Dior และ Tiffany เผชิญเหตุโจมตีในลักษณะคล้ายกัน แต่เกิดจากพนักงานถูกหลอกผ่านเทคนิคฟิชชิงหรือการหลอกลวงทางเสียง จนเผลอให้สิทธิ์เข้าถึงระบบภายในแก่ผู้ไม่หวังดี ส่งผลให้ข้อมูลลูกค้าประมาณ 1.95 ล้านรายของ Dior และอีกหลายพันรายของ Tiffany ถูกเปิดเผย โดยบางกรณีบริษัทใช้เวลาหลายเดือนกว่าจะตรวจพบเหตุการณ์ผิดปกติ

หน่วยงานกำกับดูแลย้ำว่า แม้องค์กรจะใช้ระบบ SaaS หรือบริการคลาวด์จากผู้ให้บริการภายนอก ความรับผิดชอบด้านความปลอดภัยของข้อมูลยังคงเป็นหน้าที่ขององค์กรผู้ใช้งานเอง หากไม่มีการกำหนดสิทธิ์เข้าถึง การตรวจสอบบัญชีผู้ใช้ หรือมาตรการยืนยันตัวตนที่รัดกุม ก็ยังคงมีความเสี่ยงต่อการถูกโจมตีได้

ที่มา