การรั่วไหลของข้อมูล TalkTalk ในปี 2015

Q: จู่โจม

การโจมตีใช้ ประโยชน์จากช่องโหว่ การฉีด SQL ในสามหน้าของ TalkTalk [ 8 ] พบช่องโหว่โดยใช้เครื่องมือที่เรียกว่า SQLMap [ 8 ] หลังจากการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย [ 13 ] [ 20 ]

การรั่วไหลของข้อมูล TalkTalk ในปี 2015
การรั่วไหลของข้อมูล TalkTalk ในปี 2015
	สำนักงานใหญ่ของ TalkTalk Group ในลอนดอน
รายละเอียดมัลแวร์
พิมพ์	การโจมตีทางไซเบอร์การรั่วไหลของข้อมูล
เหตุการณ์โจมตีทางไซเบอร์
วันที่	15 ตุลาคม 2558 – 21 ตุลาคม 2558
ที่ตั้ง	ลอนดอนสหราชอาณาจักร
ธีม	การโจมตีแบบ SQL injection
เป้า	กลุ่มทอล์คทอล์ค
ผลลัพธ์	ข้อมูลส่วนบุคคลของลูกค้า 156,959 รายถูกเข้าถึง ส่งผลให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคล (ICO) ปรับเป็นเงิน 400,000 ปอนด์

ในเดือนตุลาคม 2558 บริษัทTalkTalk ผู้ให้บริการโทรคมนาคมของอังกฤษ ประสบกับการโจมตีทางไซเบอร์ต่อเว็บไซต์ของตน โดยผู้โจมตีใช้ ช่องโหว่การโจมตี แบบ SQL injectionในหน้าเว็บเก่าที่สืบทอดมาจากการเข้าซื้อกิจการTiscali TalkTalk อธิบายเหตุการณ์นี้ในเบื้องต้นว่าเป็น "การโจมตีทางไซเบอร์ครั้งสำคัญและต่อเนื่อง" และรายงานว่าได้รับข้อเรียกร้องค่าไถ่จากบุคคลที่อ้างว่าเป็นผู้รับผิดชอบ

การประเมินเบื้องต้นระบุว่า ข้อมูลส่วนบุคคลและข้อมูลทางการเงินของลูกค้ามากถึง 4 ล้านรายอาจตกอยู่ในความเสี่ยง แต่ต่อมา TalkTalk ระบุว่า มีบัญชีลูกค้าถูกเข้าถึงเพียง 156,959 บัญชี รวมถึงรายละเอียดบัญชีธนาคารและรหัสสาขา 15,656 ชุด และข้อมูลบางส่วนจากบัตรเครดิตและบัตรเดบิต 28,000 ใบ บริษัทกล่าวว่า รายละเอียดบัตรถูกปกปิดไว้ และบริษัทไม่มีข้อผูกมัดทางกฎหมายที่จะต้องเข้ารหัสข้อมูลที่ถูกขโมยไป

การละเมิดข้อมูลดังกล่าวทำให้เกิดการรายงานข่าวในวงกว้าง การตรวจสอบจากรัฐสภา และการสอบสวนจากหน่วยงานกำกับดูแล TalkTalk ประเมินค่าใช้จ่ายโดยตรงและโดยอ้อมจากเหตุการณ์นี้ไว้ที่ประมาณ 77 ล้าน ปอนด์และสูญเสียลูกค้าบรอดแบนด์ไปหลายหมื่นราย ในปี 2016 สำนักงานคณะกรรมการข้อมูลข่าวสารได้ปรับบริษัทเป็นเงิน 400,000 ปอนด์ฐานไม่ดำเนินการมาตรการรักษาความปลอดภัยที่เหมาะสม และในอีกหลายปีต่อมา บุคคลหลายคนถูกตัดสินว่ามีความผิดในข้อหาแฮ็กข้อมูล ฉ้อโกง และความผิดที่เกี่ยวข้องกับการโจมตีดังกล่าว รวมถึงแดเนียล เคลลีย์ ซึ่งถูกตัดสินจำคุก 4 ปีในปี 2019

บริบท

TalkTalk ก่อตั้งขึ้นในปี 2546 ในฐานะบริษัทลูกของ Carphone Warehouse มีการประกาศแผนการแยก TalkTalk ออกเป็นบริษัทจดทะเบียนอิสระในเดือนเมษายน 2552 ^{[ 1 ]}หนึ่งเดือนต่อมา Carphone Warehouse ตกลงที่จะซื้อบริษัทลูกของTiscali ในสหราชอาณาจักร ในเดือนพฤษภาคม 2552 ในราคา 236 ล้านปอนด์^{[ 2 ]}การซื้อกิจการได้รับการอนุมัติจาก คณะกรรมาธิการ ยุโรปในเดือนมิถุนายน 2552 ^{[ 3 ]}และการขายเสร็จสมบูรณ์ในวันที่ 6 กรกฎาคม 2552 ^{[ 4 ]} Carphone Warehouse ยืนยันว่าธุรกิจจะควบรวมเข้ากับ TalkTalk ก่อนการแยกบริษัทตามแผน^{[ 5 ]}งบกำไรขาดทุนประจำปีของ Carphone Warehouse ในเดือนพฤศจิกายน 2552 เปิดเผยว่าฐานลูกค้าของ TalkTalk เพิ่มขึ้นเป็น 4.1 ล้านรายหลังจากการซื้อ Tiscali UK ในช่วงต้นปี^{[ 6 ]} Tiscali UK ปิดรับลูกค้าใหม่ในวันที่ 7 มกราคม 2553 และ เนื้อหา พอร์ทัล ของบริษัท ได้ย้ายไปยังเว็บไซต์ของ TalkTalk ^{[ 7 ]}ทำให้ TalkTalk ยังคงใช้งานระบบที่เคยเป็นของ Tiscali อยู่ ต่อมา ICO พบว่า TalkTalk 'ไม่ทราบ' ว่าโครงสร้างพื้นฐานของ Tiscali ประกอบด้วยเว็บเพจที่ยังคงสามารถเข้าถึงได้ทางอินเทอร์เน็ตในปี 2015 โดยสามารถเข้าถึงฐานข้อมูลพื้นฐานที่เรียกว่า "Tiscali Master" ^{[ 8 ]}

ในปี 2557 ข้อมูลลูกค้าของ TalkTalk ที่เก็บไว้ในพอร์ทัลบนเว็บสำหรับผู้รับเหมาต่างประเทศถูกพนักงานของ Wipro ผู้จัดจำหน่ายในอินเดียเข้าถึงอย่างไม่เหมาะสม ข้อมูลที่รั่วไหล – รวมถึงชื่อ ที่อยู่ หมายเลขโทรศัพท์ และหมายเลขบัญชีของลูกค้ามากถึง 21,000 ราย – ต่อมาถูกเชื่อมโยงกับกิจกรรมการโทรหลอกลวงขนาดใหญ่^{[ 9 ]}และ TalkTalk ถูกปรับเงิน 100,000 ปอนด์ในภายหลังเนื่องจากไม่ดำเนินการควบคุมความปลอดภัยที่เพียงพอสำหรับพอร์ทัล^{[ 10 ]}

ไทม์ไลน์

ต้นเดือนตุลาคม – ผู้ใช้ที่มีชื่อเล่นว่า "Fearful" และ "Glubz" (ซึ่งตอนนี้ทราบแล้วว่าเป็นElliott Gunton ) ใช้โปรแกรม SQLmap เพื่อตรวจสอบเว็บเพจของ TalkTalk และระบุช่องโหว่^{[ 11 ]}
15–21 ตุลาคม – ICO ระบุช่วงเวลานี้ว่าเป็นช่วงเวลาที่ผู้โจมตีใช้การโจมตีแบบ SQL injection เพื่อดาวน์โหลดฐานข้อมูลที่มีข้อมูลส่วนบุคคล รวมถึงชื่อ ที่อยู่ วันเกิด หมายเลขโทรศัพท์ ที่อยู่อีเมล และข้อมูลทางการเงินของลูกค้า 156,959 ราย^{[ 8 ]}^{: 4}
18 ตุลาคม – "Glubz" โพสต์ช่องโหว่ในส่วนวิดีโอของฟอรัมผู้ใช้ TalkTalk
18–21 ตุลาคม – Matthew Hanley เข้าถึงฐานข้อมูล TalkTalk อย่างไม่เหมาะสมและดึงข้อมูลที่ถูกขโมยออกมา^{[ 12 ]}
21 ตุลาคม – TalkTalk ตรวจพบการโจมตีทางไซเบอร์บนระบบของตนในตอนเช้า ประกาศเหตุการณ์สำคัญหลังจากรับประทานอาหารกลางวันไม่นาน ปิดระบบออนไลน์ที่ให้บริการลูกค้า และแจ้งหน่วยงานบังคับใช้กฎหมายหลังจากได้รับข้อเรียกร้องค่าไถ่ทางอีเมล^{[ 13 ]}^{[ 14 ]}
22 ตุลาคม – บริษัทสรุปว่ามีความเสี่ยงอย่างมากที่ข้อมูลลูกค้าจำนวนมากจะถูกขโมย ยอมรับว่าจะต้องใช้เวลาหลายวันในการตรวจสอบขอบเขตการละเมิดทั้งหมด และแจ้งให้ลูกค้าทุกคนทราบเกี่ยวกับเหตุการณ์ดังกล่าว พร้อมทั้งให้คำแนะนำเกี่ยวกับการป้องกันตนเองจากการฉ้อโกงและการหลอกลวง^{[ 13 ]}ซีอีโอDido Hardingปรากฏตัวในรายการข่าว BBC เพื่อพูดคุยกับลูกค้า โดยกล่าวว่า:

การโจมตีเกิดขึ้นเมื่อวานนี้ เราได้ปิดเว็บไซต์ทั้งหมดของเราเมื่อเที่ยงวันวานนี้ และได้ใช้เวลา 24 ชั่วโมงที่ผ่านมาในการสืบสวนร่วมกับตำรวจนครบาลและที่ปรึกษาด้านความปลอดภัยต่างๆ เพื่อทำความเข้าใจขอบเขตของการโจมตีและสิ่งที่เกิดขึ้นจริง และเราได้ตัดสินใจในเย็นวันนี้ แม้ว่าจะยังเร็วเกินไปที่จะทราบว่าอะไรถูกโจมตีและข้อมูลใดถูกขโมยไป แต่เราต้องการใช้มาตรการป้องกันโดยการติดต่อลูกค้าของเราทั้งหมดโดยเร็วที่สุด^{[ 15 ]}

22 ตุลาคม – TalkTalk รายงานการละเมิดข้อมูลที่อาจเกิดขึ้นกับ ICO ซึ่งเปิดการสอบสวนเบื้องต้นและขอข้อมูลเพิ่มเติม TalkTalk เริ่มแจ้งให้ลูกค้าและสาธารณชนทราบเกี่ยวกับการโจมตี^{[ 13 ]}^{[ 14 ]}
23 ตุลาคม – ICO ออกแถลงการณ์ต่อสาธารณะยืนยันว่าได้รับแจ้งเหตุการณ์ดังกล่าวแล้วและจะประสานงานกับตำรวจ^{[ 14 ]}
23 ตุลาคม – TalkTalk ยืนยันว่าได้รับข้อเรียกร้องค่าไถ่^{[ 15 ]}ข้อเรียกร้องค่าไถ่คือ 80,000 ปอนด์ในสกุล Bitcoinและรวมถึงสำเนาฐานข้อมูลภายในบางส่วนของ TalkTalk เพื่อการตรวจสอบ^{[ 16 ]}
23 ตุลาคม – ณ วันนี้ กลุ่มแฮกเกอร์หลายกลุ่มได้อ้างความรับผิดชอบต่อการโจมตี^{[ 16 ]}
23 ตุลาคม – Matthew Hanley มอบไฟล์ที่มีรายละเอียดส่วนบุคคลและข้อมูลทางการเงินของลูกค้า TalkTalk ประมาณ 8,000 รายให้กับ Connor Allsopp จากนั้น Allsopp ก็ส่งไฟล์ดังกล่าวให้กับผู้ใช้ออนไลน์ชื่อ "Reign" โดยรู้ว่าไฟล์นั้นจะถูกนำไปใช้เพื่อการฉ้อโกง^{[ 12 ]}
26 ตุลาคม – การละเมิดข้อมูลเป็นประเด็นคำถามเร่งด่วนในสภาผู้แทนราษฎร คณะกรรมการวัฒนธรรม สื่อ และกีฬา ระบุว่าจะติดตามความคืบหน้าอย่างใกล้ชิด^{[ 14 ]}
26 ตุลาคม – เด็กชายอายุ 15 ปี ซึ่งต่อมาเปิดเผยว่าเป็นแอรอน สเตอร์ริตต์ หลังจากที่ผู้พิพากษายกเลิกคำสั่งปกปิดชื่อ ถูกจับกุมในข้อหาเกี่ยวข้องกับการโจมตี^{[ 17 ]}
29 ตุลาคม – เด็กชายอายุ 16 ปีจากเวสต์ลอนดอนถูกจับกุมในข้อหาละเมิด^{[ 18 ]}
31 ตุลาคม – ชายอายุ 20 ปีจากสแตฟฟอร์ดเชียร์ถูกจับกุมในข้อหาละเมิด^{[ 18 ]}
3 พฤศจิกายน – คณะกรรมการวัฒนธรรม สื่อ และกีฬา เริ่มการสอบสวนอย่างเป็นทางการเกี่ยวกับการละเมิด TalkTalk ^{[ 14 ]}
3 พฤศจิกายน – เด็กชายอายุ 16 ปีจากเมืองนอริชถูกจับกุมในข้อหาละเมิด ซึ่งเป็นการจับกุมครั้งที่สามที่เกี่ยวข้องกับคดีนี้^{[ 18 ]}
ปลายเดือนตุลาคมถึงต้นเดือนพฤศจิกายน พ.ศ. 2558 – TalkTalk ปิดระบบออนไลน์ไว้ประมาณสามสัปดาห์ในขณะที่ดำเนินการมาตรการรักษาความปลอดภัยเพิ่มเติม และดำเนินการวิเคราะห์ทางนิติวิทยาศาสตร์ซึ่งใช้เวลาประมาณสองสัปดาห์เพื่อยืนยันว่าข้อมูลใดถูกเข้าถึงอย่างแน่ชัด^{[ 13 ]}
24 พฤศจิกายน – แดเนียล เคลลีย์ ถูกจับกุมหลังจากการวิเคราะห์บันทึก IP ^{[ 19 ]}

จู่โจม

การโจมตีใช้ ประโยชน์จากช่องโหว่ การฉีด SQLในสามหน้าของ TalkTalk ^{[ 8 ]}พบช่องโหว่โดยใช้เครื่องมือที่เรียกว่า SQLMap ^{[ 8 ]}หลังจากการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย^{[ 13 ]}^{[ 20 ]}

สำนักงานคณะกรรมการข้อมูลข่าวสาร (ICO) พบว่า:

การโจมตีดังกล่าวใช้ประโยชน์จากเว็บเพจเก่า 3 เว็บเพจที่สืบทอดมาจากการเข้าซื้อกิจการ Tiscali ของ TalkTalk ในปี 2009
ซอฟต์แวร์ฐานข้อมูลพื้นฐานนั้นล้าสมัยและไม่ได้รับการแก้ไข แม้ว่าจะมีวิธีแก้ไขออกมาหลายปีแล้วก็ตาม และ;
การโจมตี SQL injection ก่อนหน้านี้ในเดือนกรกฎาคมและกันยายน พ.ศ. 2558 ไม่ได้กระตุ้นให้เกิดการดำเนินการแก้ไข เนื่องจากหน้าเว็บไม่ได้รับการตรวจสอบอย่างเพียงพอ^{[ 8 ]}

หน้าเว็บดังกล่าวเปิดเผยฐานข้อมูลที่เรียกว่า 'Tiscali Master' ^{[ 11 ]}

ผู้กระทำความผิด

มีการเสนอแนะว่าผู้กระทำความผิดหลายรายโจมตี TalkTalk แยกกันในช่วงเวลาสั้นๆ หลังจากมีการเผยแพร่รายละเอียดของการโจมตีในฟอรัมและแชทกลุ่ม^{[ 21 ]}มีผู้ถูกจับกุมทั้งหมด 5 คนที่เกี่ยวข้องกับการละเมิด^{[ 21 ]}ตามข้อมูลของ BAE Systems ซึ่งได้รับมอบหมายจาก TalkTalk ให้ตรวจสอบการโจมตี อาจมีผู้โจมตีทั้งหมดมากถึง 10 คน^{[ 11 ]}

แอรอน สเตอร์ริตต์ อายุ 15 ปีเมื่อเขาถูกจับกุม^{[ 22 ]}เขาได้รับคำสั่งให้ทำงานบริการชุมชน 50 ชั่วโมงและเขียนจดหมายขอโทษถึงบริษัทสื่อสาร พร้อมกับการควบคุมดูแลเป็นเวลา 12 เดือน ซึ่งเป็นส่วนหนึ่งของแผนการประชุมเยาวชน
เอลเลียต กันตัน อายุ 16 ปีเมื่อเขาถูกจับกุมในข้อหามีส่วนร่วมในการโจมตี^{[ 23 ]}เขายอมรับสารภาพใน 7 ข้อหา^{[ 24 ]}
จากการวิเคราะห์บันทึก IP ^{[ 19 ]}แดเนียล เคลลีย์ ถูกจับกุมเมื่อวันที่ 24 พฤศจิกายน 2015 ขณะอยู่ระหว่างการประกันตัวจากคดีแฮ็กอื่นๆ^{[ 19 ]}เขาถูกตั้งข้อหาขู่กรรโชก แฮ็กคอมพิวเตอร์ และฉ้อโกงที่เกี่ยวข้องกับการรั่วไหลของข้อมูล TalkTalk และการโจมตีอื่นๆ อีกหลายครั้ง^{[ 25 ]}^{[ 26 ]}เขายอมรับสารภาพใน 11 ข้อหาในภายหลังในปี 2016 เขาถูกตัดสินจำคุก 4 ปีในปี 2019 ^{[ 27 ]}ในการสัมภาษณ์เมื่อปี 2023 เคลลีย์อ้างว่าเขาไม่ได้รับการบอกโดยตรงว่าเขาถูกจับได้อย่างไร แต่เชื่อว่า "โดยพื้นฐานแล้วผมแฮ็กเว็บไซต์สองแห่งพร้อมกัน: เว็บไซต์ A และเว็บไซต์ B เว็บไซต์ A เป็นเว็บไซต์ขนาดเล็กมาก และเว็บไซต์ B เป็นเว็บไซต์ขนาดใหญ่มาก ผมพยายามขู่กรรโชกเจ้าของเว็บไซต์ สำหรับเว็บไซต์หนึ่ง ผมใช้ VPN เท่านั้น และสำหรับอีกเว็บไซต์หนึ่ง ผมใช้ Tor เท่านั้น แต่ผมให้กระเป๋าเงินคริปโตเคอร์เรนซีเดียวกันในทั้งสองกรณี ซึ่งทำให้เจ้าหน้าที่สามารถเชื่อมโยงเหตุการณ์ต่างๆ ได้" ^{[ 28 ]}
ในเดือนพฤศจิกายน พ.ศ. 2561 Matthew Hanley และ Connor Allsopp ถูกตัดสินว่ามีความผิดในข้อหาอาชญากรรมทางไซเบอร์ที่เกี่ยวข้องกับการละเมิดข้อมูล Hanley ถูกจำคุก 12 เดือน และ Allsopp ถูกจำคุก 8 เดือน^{[ 29 ]}^{[ 30 ]}

ค่าเสียหาย

เมื่อวันที่ 6 พฤศจิกายน TalkTalk ระบุว่ามีบัญชีลูกค้า 156,959 บัญชีที่ได้รับผลกระทบ โดยรหัสสาขาและหมายเลขบัญชีธนาคารจำนวน 15,656 รายการถูกขโมยไป นอกจากนี้ ข้อมูลบางส่วนของบัตรเครดิตและบัตรเดบิตจำนวน 28,000 ใบก็ถูกขโมยไปด้วย แต่ข้อมูลดังกล่าวไม่เพียงพอสำหรับการทำธุรกรรมบนบัตรเหล่านั้น^{[ 31 ]} TalkTalk ระบุว่าข้อมูลที่สูญหายไม่ได้ถูกเข้ารหัส และพวกเขาไม่มีข้อผูกมัดทางกฎหมายที่จะต้องเข้ารหัสข้อมูลดังกล่าว^{[ 32 ]}^{[ 33 ]}

การสอบสวนและการดำเนินการทางกฎหมาย

ค่าใช้จ่ายโดยตรงและโดยอ้อมของการโจมตีสำหรับ TalkTalk ได้รับการประเมินไว้ที่ 77 ล้านปอนด์^{[ 27 ]} เมื่อวันที่ 5 ตุลาคม 2559 TalkTalk ถูก สำนักงานคณะกรรมการข้อมูลปรับเป็นเงิน 400,000 ปอนด์เนื่องจากประมาทในการรักษาความปลอดภัยข้อมูลลูกค้า ซึ่งเป็นค่าปรับที่สูงที่สุดที่องค์กรนี้เคยถูกเรียกเก็บในขณะนั้น^{[ 34 ]}^{[ 35 ]}

เอลิซาเบธ เดนแฮมผู้ตรวจการข้อมูลข่าวสารแห่งสหราชอาณาจักร กล่าวไว้ว่า:

"ความล้มเหลวของ TalkTalk ในการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ขั้นพื้นฐานที่สุด ทำให้แฮกเกอร์สามารถเจาะระบบของ TalkTalk ได้อย่างง่ายดาย"

ในปี 2020 กลุ่มลูกค้าปัจจุบันและอดีตลูกค้าได้ยื่นฟ้อง TalkTalk ต่อศาลสูงเพื่อเรียกร้องค่าชดเชยสำหรับเหตุการณ์ในปี 2014 และ 2015 ภายใต้พระราชบัญญัติคุ้มครองข้อมูลปี 1998 และในข้อหาละเมิดข้อมูลส่วนบุคคล ในเดือนพฤษภาคม 2022 ข้อเรียกร้องเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลถูกยกฟ้อง โดยศาลตัดสินว่าข้อบกพร่องด้านความปลอดภัยที่ถูกกล่าวหาซึ่งทำให้บุคคลที่สามเข้าถึงข้อมูลโดยผิดกฎหมายนั้นไม่ถือเป็นการ “ละเมิด” ข้อมูลส่วนบุคคลของ TalkTalk เอง แต่การดำเนินคดีอื่นๆ ยังคงดำเนินต่อไป^{[ 36 ]}

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 13 ]

[ 14 ]

[ 17 ]

[ 20 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]