คลังเก็บป้ายกำกับ: GDPR

Airbus ถูกแฮ็ก ข้อมูลพนักงานหลายรายรั่วสู่ภายนอก

Airbus บริษัทผลิตและประกอบเครื่องบินสัญชาติฝรั่งเศส ออกมาแถลงการณ์ยอมรับเมื่อวานนี้ว่า เกิดเหตุ Data Breach บนระบบสารสนเทศ “Commercial Aircraft Business” ส่งผลให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลของพนักงานบริษัทบางส่วนได้

Credit: Airbus.com

ทางบริษัทผลิตเครื่องบินยังไม่ได้ออกมาให้รายละเอียดเกี่ยวกับเหตุการณ์ดังกล่าว แต่ก็ได้ยืนยันว่าเหตุการณ์ Security Breach ครั้งนี้ไม่ได้ส่งผลกระทบต่อการดำเนินการเชิงพาณิชย์ นั่นหมายความว่าสายการผลิตเครื่องบินไม่ได้รับผลกระทบใดๆ

จากการตรวจสอบพบว่า แฮ็กเกอร์สามารถเข้าถึงข้อมูลบางส่วนของระบบ Commercial Aircraft Business ได้เมื่อต้นเดือนที่ผ่านมา ซึ่งส่วนใหญ่จะเป็นข้อมูลส่วนบุคคลของพนักงานบริษัทฯ ที่อาศัยอยู่ในยุโรป ขณะนี้กำลังค้นหาว่าแฮ็กเกอร์พุ่งเป้าที่ข้อมูลใดเป็นพิเศษหรือไม่ และสาเหตุของการแฮ็กเกิดขึ้นได้อย่างไร รวมไปถึงผลกระทบทั้งหมดที่เกิดขึ้นต่อบริษัทฯ

นอกจากนี้ Airbus ยังได้เริ่มมาตรการป้องกันอย่างเร่งด่วนเพื่อเสริมการรักษาความมั่นคงปลอดภัยให้แข็งแกร่งยิ่งขึ้น รวมไปถึงเตรียมรับมือกับผลกระทบที่อาจจะเกิดขึ้นตามมา เพื่อให้มั่นใจว่าสามารถป้องกันแฮ็กเกอร์ออกจากระบบได้และจะไม่เกิดเหตุ Data Breach แบบนี้ขึ้นอีกในอนาคต นอกจากนี้ทางบริษัทฯ ยังได้ติดต่อกับหน่วยงานกำกับดูแลและหน่วยงานด้านกฏหมายที่เกี่ยวข้องเพื่อให้มั่นใจว่าการดำเนินการทุกอย่างสอดคล้องกับ GDPR

อ่านแถลงการณ์ของ Airbus ฉบับเต็มได้ที่: https://www.airbus.com/newsroom/press-releases/en/2019/01/airbus-statement-on-cyber-incident.html

ที่มา: https://thehackernews.com/2019/01/airbus-data-breach.html

from:https://www.techtalkthai.com/airbus-suffers-data-breach/

โฆษณา

ฝรั่งเศสสั่งปรับกูเกิล 50 ล้านยูโร ฐานทำผิดกฎ GDPR เรื่องการขอใช้ข้อมูลจากผู้ใช้

Commission Nationale de l’Informatique et des Libertés (CNIL) หน่วยงาน้านการคุ้มครองข้อมูลของฝรั่งเศส สั่งปรับกูเกิลเป็นเงิน 50 ล้านยูโร (1.8 พันล้านบาท) เนื่องจากทำผิดกฎ GDPR

CNIL ระบุว่าได้รับคำร้องเรียนจากกลุ่ม None Of Your Business (“NOYB”) และ La Quadrature du Net (“LQDN”) ว่ากูเกิลทำผิดกฎ GDPR สองเรื่อง

ข้อหาแรกคือ GDPR กำหนดให้บริษัทต้องประกาศให้ผู้ใช้ทราบว่าจะนำข้อมูลไปจัดเก็บและประมวลผลอย่างไรบ้างเพื่อแสดงโฆษณาให้ตรงตามผู้ใช้แต่ละคน แต่ประกาศของกูเกิลกระจัดกระจายอยู่ตามที่ต่างๆ ทำให้ค้นหาได้ยากและมีขั้นตอนมากมาย จึงถือว่าไม่เป็นไปตาม GDPR เรื่องความโปร่งใสในการนำข้อมูลไปใช้งาน

ข้อหาที่สองคือ กูเกิลขอคำยินยอมจากผู้ใช้เพื่อนำข้อมูลไปใช้แสดงผลโฆษณา แต่ CNIL มองว่ากระบวนการขอคำยินยอมไม่ชัดเจนพอ คำขอของกูเกิลไม่ได้ระบุชัดเจนว่าขอข้อมูลไปใช้กับบริการตัวใดบ้าง และการยินยอมให้ข้อมูลต่อกูเกิลเป็นการให้ข้อมูลทั้งหมดกับบริการทุกตัว ซึ่งผิด GDPR ที่กำหนดให้ต้องระบุชัดเจนว่าขอไปใช้กับบริการตัวไหน

CNIL จึงสั่งปรับกูเกิล 50 ล้านยูโร และถือเป็นครั้งแรกที่ CNIL ใช้อำนาจสั่งปรับตามกฎใหม่อย่าง GDPR ด้วย

ที่มา – CNIL, Fortune

No Description

ภาพจาก Google

Topics: 

from:https://www.blognone.com/node/107666

ชาวเยอรมันขอข้อมูลส่วนตัวจาก Amazon แต่กลับได้เสียงสั่งใช้งาน Alexa ของคนอื่น

C’T Magazin แมกกาซีนด้านเทคโนโลยีของเยอรมนีรายงานว่าชาวเยอรมันที่ใช้นามแฝงว่า Martin Schneider ได้ยื่นเรื่องขอข้อมูลส่วนตัวจาก Amazon ตามกฎ GDPR ที่สามารถร้องขอข้อมูลส่วนตัวของตัวเองได้จากผู้ให้บริการและเจ้าของผลิตภัณฑ์ ปรากฎว่าสิ่งที่ Amazon ส่งให้ Schneider กลับเป็นเสียงบันทึกจากการใช้งาน Alexa ปัญหาคือตัวเขาเองไม่มี Echo และไม่ได้ใช้งาน Alexa

Schneider ระบุว่าตัวเขาพยายามติดต่อ Amazon แต่ไม่สำเร็จจึงนำเรื่องนี้ไปให้ C’T Magazin ก่อนจะพบว่าข้อมูลเสียงการใช้งาน Alexa ที่เป็นของผู้ใช้งานคนอื่นนั้นชี้ว่าเจ้าของเสียงนี้ก็สั่งขอข้อมูลส่วนตัวจาก Amazon ในลักษณะเดียวกัน และ Amazon น่าจะสลับข้อมูลของสองรายนี้ ขณะเดียวกันข้อมูลเสียงก็บ่งชี้พฤติกรรมส่วนตัวของเจ้าของมากมาย อาทิ ทั้งชื่อ, นามสกุล, รู้ว่ามีแฟน รวมถึงรู้ว่ามีอุปกรณ์อะไรในบ้านบ้าง

ด้าน Amazon แถลงว่าแก้ปัญหาดังกล่าวกับผู้ใช้งานทั้งสองรายแล้ว และความผิดพลาดครั้งนี้เป็น human error พร้อมระบุว่าติดต่อหน่วยงานภาครัฐที่เกี่ยวข้องแล้วด้วย

ที่มา – The Verge

No Description

from:https://www.blognone.com/node/107163

ชาวเยอรมันขอข้อมูลส่วนตัวจาก Amazon ตามกฎ GDPR กลับได้ข้อมูลเสียงชายแปลกหน้าใน Alexa มาด้วย

กำลังเป็นข่าวใหญ่ในเยอรมนีตอนนี้ เมื่อชายชาวเยอรมันคนหนึ่งได้ร้องขอข้อมูลส่วนตัวของตนเองจาก Amazon ตามกฎที่ระบุไว้ใน GDPR ว่าทุกคนต้องสามารถขอข้อมูลที่เกี่ยวข้องกับตนเองจากเหล่าผู้ให้บริการได้ แต่ข้อมูลที่ Amazon ส่งมาให้เขานั้น นอกจากจะมีข้อมูลของตัวเขาเองแล้ว ยังมีไฟล์เสียงของชายหนุ่มคนอื่นที่ใช้คุยกับ Alexa ปนมาด้วย

Credit: Amazon

ไฟล์บันทึกเสียง Alexa กว่า 1,700 ไฟล์นี้ถูกส่งมาถึงเขา โดยไฟล์เหล่านี้เกิดจากการบันทึกเสียงที่ใช้พูดคุยกับ Amazon Echo ที่ใช้ Alexa เป็นเทคโนโลยีเบื้องหลัง เนื่องจากตัวเขาเองไม่เคยมี Amazon Echo ไว้ใช้งานมาก่อนไฟล์เหล่านี้จึงไม่ใช่ไฟล์ของเขาแน่ๆ และเสียงในไฟล์ที่บันทึกนี้ก็ไม่ใช่เสียงของเขาด้วย โดยในไฟล์ดังกล่าวได้มีทั้งข้อความเสียงที่ใช้สั่งให้เปิดเพลง, สอบถามสภาพอากาศ, สอบถามการจราจร, ตั้งข้อความแจ้งเตือน แถมยังมีข้อความที่ชายหนุ่มแปลกหน้าพูดถึงแฟนสาวของเขาอีกต่างหาก

เขาได้แจ้งไปทาง Amazon ทันทีถึงความผิดพลาดดังกล่าว ซึ่งถึงแม้ Amazon จะไม่ได้โต้ตอบอะไรเขากลับมา แล้วก็ได้ทำการลบไฟล์ดังกล่าวออกไป ทำให้ชายหนุ่มคนนี้ตัดสินใจนำเรื่องราวเหล่านี้ไปพูดคุยกับ Heise สื่อที่เยอรมนี จนติดตามสืบเสาะได้ว่าชายหนุ่มแปลกหน้าเจ้าของเสียงที่คุยกับ Amazon Echo คือใคร ซึ่งชายหนุ่มคนนั้นเองก็ตกใจกับเรื่องราวเหล่านี้ไม่แพ้กัน

ทาง Amazon ออกมาระบุว่าเหตุการณ์ดังกล่าวเป็นความผิดพลาดที่เกิดขึ้นจริง โดยเกิดจากความผิดพลาดของมนุษย์ และทาง Amazon เองก็ขอโทษต่อเหตุการณ์ที่เกิดขึ้น และจะมีการปรับปรุงการทำงานภายในเพื่อไม่ให้เหตุการณ์ดังกล่าวเกิดขึ้นซ้ำรอยอีก รวมถึงกำลังดำเนินการตามขั้นตอนทางกฎหมายเพื่อให้ทุกอย่างเป็นไปอย่างถูกต้อง

ที่มา: https://www.theregister.co.uk/2018/12/20/amazon_alexa_recordings_stranger/

from:https://www.techtalkthai.com/amazon-alexa-stranger-info-was-sent-to-a-man-requested-for-his-own-information/

INET ผู้ให้บริการ Trusted Cloud Service Provider ได้รับการรับรอง มาตรฐาน ISO 27018 เป็นรายแรก และรายเดียวในประเทศไทย

บริษัท อินเทอร์เน็ตประเทศไทย จำกัด (มหาชน) หรือไอเน็ต (INET) ผู้นำการให้บริการ Cloud Service Provider ได้รับการรับรองมาตรฐาน ISO 27018 จาก Certification Body (SGS) เป็นรายแรก รายเดียวในประเทศไทย และยังนับเป็นรายที่ 5 ของโลกอีกด้วย การได้รับรองมาตรฐานดังกล่าว ถือเป็นเครื่องยืนยันให้กับผู้ใช้บริการเกิดความเชื่อมั่น และไว้วางใจในเรื่องของความปลอดภัยข้อมูลส่วนบุคคลผู้ใช้บริการ เนื่องจากมาตรฐานดังกล่าว เป็นมาตรฐานสากลสำหรับการปกป้องข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (Personally Identifiable Information: ข้อมูล PII) ในบริการระบบ Cloud ของ INET

สืบเนื่องจาก INET ต้องการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยภัยสารสนเทศ และสร้างความมั่นคงปลอดภัยที่เฉพาะด้านของ Cloud Service จึงได้ดำเนินการพัฒนามาตรฐาน ISO 27018 เพื่อให้ Cloud Service มีศักยภาพเพิ่มขึ้น สำหรับบริการ INETS3 Service และ INET Privacy Box Service เป็นบริการที่ให้ลูกค้าเช่าใช้พื้นที่ (Resource) ในการจัดเก็บข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) หรือข้อมูลสำคัญตามการร้องขอของผู้ใช้งาน และเพื่อรองรับกับร่างกฎหมายข้อมูลส่วนบุคคล (Data Privacy) ที่กำลังจะมีผลบังคับใช้ในเร็ว ๆ นี้ และสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation : GDPR) ที่มีผลบังคับใช้แล้ว แม้ว่าจะเป็นกฎหมายที่ออกโดยสหภาพยุโรป แต่ก็มีผลกระทบกับผู้ประกอบการไทยที่ต้องติดต่อกับพลเมือง EU เนื่องจากหากทำผิดกฎหมายข้อมูลส่วนบุคคล มีโทษปรับสูงถึง 20 ล้านยูโรเลยทีเดียว

มาตรฐาน ISO 27018 นี้เป็นเครื่องหมายยืนยันให้ผู้ใช้บริการ เกิดความมั่นใจในเรื่องการรักษาข้อมูลของผู้ใช้ให้ปลอดภัยที่องค์กรหลายที่กำลังมองหาเพื่อตอบสนองความต้องการ การให้บริการที่ได้รับมาตรฐานนี้ ถือเป็นสิ่งหนึ่งที่INET ให้ความสำคัญมากที่สุด ซึ่งจะทำให้ผู้ใช้บริการไม่ต้องนำข้อมูลไปฝากไว้ที่ Cloud ต่างประเทศ ดังนั้น ผู้ใช้บริการสามารถมั่นใจได้ว่า ข้อมูลของคุณจะอยู่ในไทย และไม่รั่วไหลไปไหนแน่นอน

ทั้งนี้ INET หวังเป็นอย่างยิ่งว่า ผู้ใช้บริการจะได้รับการให้บริการที่มีความมั่นคงปลอดภัย มีคุณภาพในการใช้บริการได้อย่างคุ้มค่า และเป็นบริการที่ช่วยรักษาความมั่นคงปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ของลูกค้าต่อไป หากสนใจสามารถติดต่อสอบถามข้อมูลเพิ่มเติมได้ที่ https://inet.co.th

from:https://www.techtalkthai.com/inet-got-iso-27018/

เครือโรงแรม Marriott ถูกแฮ็ก ข้อมูลแขกราว 500 ล้านคนหลุดสู่ภายนอก

Marriott International เครือโรงแรมที่ใหญ่ที่สุดในโลกออกแถลงการณ์ กลุ่มโรงแรม Starwood ถูกแฮ็กเกอร์นิรนามแฮ็กฐานข้อมูลการจองที่พัก ขโมยข้อมูลแขกของโรงแรมไปกว่า 500 ล้านคน นับเป็นหนึ่งในเหตุ Data Breach ที่ใหญ่ที่สุดในโลกต่อจากการแฮ็ก Yahoo ในปี 2016

Credit: StarwoodHotels.com

Starwood Hotels and Resorts Worldwide เป็นกลุ่มโรงแรมในเครือของ Marriott International ถูกควบรวมกิจการเมื่อปี 2016 โดยมีมูลค่าการเข้าซื้อสูงถึง $13,000 ล้าน (ประมาณ 428,000 ล้านบาท) จากการตรวจสอบพบว่าเหตุ Data Breach นี้เกิดขึ้นตั้งแต่ปี 2014 หลังจากที่ “กลุ่มที่ไม่ได้รับอนุญาต” ประสบความสำเร็จในการเข้าถึงฐานข้อมูลการจองที่พักของ Starwood ได้โดยมิชอบ และได้ทำการคัดลองและเข้ารหัสข้อมูลภายใน

Marriott International ตรวจพบการแฮ็กนี้เมื่อวันที่ 8 กันยายนที่ผ่านมา หลังจากที่ได้รับการจากเตือนจากอุปกรณ์รักษาความมั่นคงปลอดภัยภายในเกี่ยวกับความพยายามที่จะเข้าถึงฐานข้อมูลการจองที่พักของเครือ Starwood ในสหรัฐอเมริกา ต่อมาในวันที่ 19 พฤศจิกายน ทีมสืบสวนพบการเข้าถึงฐานข้อมูลการจองที่พักโดยมิชอบ โดยแฮ็กเกอร์สามารถเข้าถึงข้อมูลของแขกของเครือโรงแรม Starwood ที่เข้ามาจองที่พักตั้งแต่ก่อนวันที่ 10 กันยายน 2018

ฐานข้อมูลการจองที่พักของเครือโรงแรมที่ถูกขโมยไปประกอบด้วยข้อมูลส่วนบุคลของแขกที่ได้รับการยืนยันแล้วประมาณ 327 ล้านคน ได้แก่ ชื่อ อีเมล เบอร์โทร หมายเลขพาสปอร์ต วันเกิด เพศ ข้อมูลไฟลท์บิน วันที่จอง และคำร้องขออื่นๆ นอกจากนี้ หมายเลขบัตรเครดิตและวันหมดอายุของแขกบางคนก็ถูกขโมยออกไปอีกด้วย เคราะห์ดีที่ข้อมูลบัตรเครดิตเหล่านั้นถูกเข้ารหัสอยู่

จนถึงตอนนี้ Marriott International กำลังตรวจสอบจำนวนผู้ที่ได้รับผลกระทบทั้งหมดในฐานข้อมูล ซึ่งคาดว่าอาจมีจำนวนสูงถึง 500 คน นอกจากนี้ การสืบสวนที่ดำเนินไปกระทำเฉพาะบนเครือข่ายของ Starwood เท่านั้น ขณะนี้ทางโรงแรมกำลังเริ่มตรวจสอบเครือข่ายของโรงแรมภายในเครือทั้งหมดเพื่อยืนยันผลกระทบที่เกิดขึ้น

เนื่องจากเหตุ Data Breach นี้อยู่ภายใต้ความคุ้มครอง GDPR ของสหภาพยุโรปด้วย ส่งผลให้ Marriott International อาจถูกปรับเป็นจำนวนเงินสูงสุดถึง 700 ล้านบาท หรือ 4% ของรายได้จากทั่วโลก ถ้าพบว่ามีการละเมิดกฎหมายดังกล่าว

ที่มา: https://thehackernews.com/2018/11/marriott-starwood-data-breach.html

from:https://www.techtalkthai.com/marriott-starwood-hacked-500-million-customer-data-stolen/

Knuddels ข้อมูลผู้ใช้รั่วกว่า 1.8 ล้านราย สังเวย GDPR รายแรกในเยอรมนี

หลังจากถูกแฮ็กเกอร์ล้วงข้อมูลชื่อผู้ใช้และรหัสผ่านไปกว่า 1,800,000 ราย และอีเมลอีกกว่า 808,000 เมื่อเดือนกรกฎาคมที่ผ่านมา Knuddels.de แพลตฟอร์มโซเชียลมีเดียชื่อดังในเยอรมนีถูก Baden-Württemberg Data Protection Authority ปรับเป็นเงิน 760,000 บาทฐานละเมิด GDPR

Credit: ShutterStock.com

Knuddels.de เป็นแพลตฟอร์มแชตจีบสาวที่รู้จักกันดีในประเทศเยอรมนี ถูกแฮ็กเกอร์โจมตีเมื่อเดือนกรกฎาคมที่ผ่านมา ส่งผลให้เกิดเหตุ Data Breach และข้อมูลของผู้ใช้จากเซิร์ฟเวอร์ถูกเผยแพร่ออนไลน์ในรูปของ Clear Form บน Pastebin และ Mega (บริการเก็บข้อมูลบน Cloud) หนึ่งในผู้ดูแลระบุในขณะนั้นว่า เหตุการณ์นี้ส่งผลกระทบต่อผู้ใช้ทั้งหมดที่มีบัญชีบนแพลตฟอร์ม ณ วันที่ 20 กรกฎาคม 2018 ในขณะที่ผู้ดูแลอีกคนระบุว่า อีเมลผู้ใช้ที่หลุดออกไปได้รับการยืนยันเรียบร้อยแล้ว 330,000 ราย ส่งผลให้ทีมงานเพิ่มมาตรการรักษาความมั่นคงปลอดภัยทันที และแจ้งผู้ใช้ให้รีเซ็ตรหัสผ่านใหม่ทั้งหมด

ที่น่าตกใจคือ มีการค้นพบภายหลังว่าแพลตฟอร์มดังกล่าวไม่มีการวางมาตรการควบคุมเพื่อคุ้มครองข้อมูลสำคัญ เช่น รหัสผ่าน และจัดเก็บข้อมูลเหล่านั้นในรูปของ Plain Text

จากเหตุ Data Breach นี้ เมื่อพิจารณาถึงจำนวนผู้ใช้ที่ได้รับผลกระทบ ข้อกฎหมายที่ละเมิด การรับมือต่อเหตุการณ์ มาตรการป้องกัน และความร่วมมือกับหน่วยงานกำกับดูแลที่เกี่ยวข้อง แล้ว Baden-Württemberg Data Protection Authority ได้สั่งปรับ Knuddels.de เป็นเงินประมาณ 760,000 บาท นับว่าเป็นการลงโทษฐานละเมิด GDPR ครั้งแรกในประเทศเยอรมนี

ถึงแม้ว่าพวกเขาล้มเหลวในการปฏิบัติตามข้อพึงปฏิบัติทั่วไปด้านความมั่นคงปลอดภัยข้อมูล Article 32, a) of the GDPR regarding pseudonymization and encryption of users personal data แต่นับว่า Knuddels.de ให้ความร่วมมือกับหน่วยงานกำกับดูแลที่เกี่ยวข้องและตอบสนองต่อเหตุการณ์ Data Breach ที่เกิดขึ้นได้ดี รวมไปถึงปฏิบัติตามกฎหมายได้เกือบทั้งหมด จึงถูกลงโทษไม่รุนแรงมากนัก

ที่มา: https://www.bleepingcomputer.com/news/security/first-gdpr-sanction-in-germany-fines-flirty-chat-platform-eur-20-000/

from:https://www.techtalkthai.com/first-gdpr-sanction-fines-knuddels-760-thousand/