Analysis of 45 Million Travelers to Thailand and Malaysia Data Leaked
Disclaimers
- ผู้เขียนทราบเป็นอย่างดีว่าการพิสูจน์แหล่งที่มาของข้อมูลโดยตรงนั้นสามารถทำได้โดยการระบุหาแหล่งที่มาที่ข้อมูลดังกล่าวถูกขาย ทำการซื้อข้อมูลเพื่อทำการวิเคราะห์และประสานงานกับเจ้าของข้อมูลหรือผู้ควบคุมข้อมูลเพื่อทำการตรวจสอบยืนยัน อย่างไรก็ตามผู้เขียนไม่สามารถระบุแหล่งที่ข้อมูลชุดนี้ถูกขายได้อย่างชัดเจนในขณะนี้ ในขณะเดียวกันการครอบครองข้อมูลที่ถูกแฮกก็ยังมีความสุ่มเสียงต่อผู้ครอบครองไม่ว่าการครอบครองนั้นจะเกิดขึ้นด้วยจุดประสงค์ใดก็ตาม ดังนั้นผู้เขียนจึงหลีกเลี่ยงการดำเนินการในลักษณะดังกล่าว และใช้วิธีในการนำเสนอข้อมูลและหลักฐานในทางอ้อมแทน
- จุดประสงค์ของบทวิเคราะห์ฉบับนี้มีขึ้นเพื่อนำเสนอความเป็นไปได้ในการระบุหาแหล่งที่มาของรั่วไหลของข้อมูลหรือการถูกโจมตี เนื้อหาซึ่งปรากฎในบทวิเคราะห์จึงไม่สามารถนำไปตัดสินข้อเท็จจริงที่เกิดขึ้นได้ ในขณะเดียวกันผู้เขียนก็ไม่สามารถยืนยันความถูกต้องของสารและเนื้อหาซึ่งถูกนำมาวิเคราะห์ได้อย่างสมบูรณ์เช่นเดียวกัน ผู้เขียนขอแนะนำให้มีการใช้วิจารณญาณอย่างถี่ถ้วนก่อนนำบทวิเคราะห์ไปสร้างข้อสรุปใด ๆ ที่บทวิเคราะห์ไม่ได้มีการนำเสนอเอาไว้
- ผู้อ่านควรตระหนักถึงการมีอยู่และมีความเข้าใจใน Confirmation bias ก่อนอ่านบทวิเคราะห์และสร้างข้อสรุปใด ๆ โดย Confirmation bias คือลักษณะของการมีอคติในการตัดสินใจ โดยอาจเกิดขึ้นได้ในลักษณะที่ผู้เขียนมีความเชื่อใดความเชื่อหนึ่งมาก่อนแล้ว และจึงหาหลักฐาน เหตุผลหรือการตีความมาสนับสนุนความเชื่อดังกล่าวให้ดูถูกต้องและสมเหตุสมผล แม้ในความจริงนั้นอาจไม่ถูกต้องเลยก็ตาม
- ผู้เขียนขอสงวนสิทธิ์ในการเปิดเผยแหล่งข้อมูลใด ๆ ซึ่งอาจนำไปสู่การครอบครองข้อมูลบุคคลที่มีลักษณะทั่งสร้างคุณประโยชน์และก่อโทษ แหล่งข้อมูลซึ่งผู้เขียนจะเปิดเผยนั้นจะมีเพียงแหล่งข้อมูลที่ไม่มีการปรากฎของข้อมูลส่วนบุคคลและมีความเกี่ยวข้องกับเนื้อหาเพื่อใช้ในการอ้างอิง
- บทวิเคราะห์ที่ปรากฎนี้เกิดขึ้นจากความเห็นและการวิเคราะห์ส่วนตัว ผู้เขียนไม่ได้มีการแสดงความคิดเห็นหรือเผยแพร่บทวิเคราะห์ภายใต้ชื่อของบริษัทหรือกลุ่มใด ๆ ที่ผู้เขียนสังกัดอยู่
Contents
Executive Summary
เมื่อวันที่ 12 กรกฎาคม 2020 บริษัทด้านความปลอดภัย Cyble, Inc ได้มีการเปิดเผยการค้นพบรายการข้อมูลของผู้โดยสารของสายการบินซึ่งเดินทางมายังประเทศไทยและมาเลเซียกว่า 45 ล้านรายการใน Darkweb โดยแหล่งข้อมูลที่ Cyble, Inc ค้นพบนั้นแสดงให้เห็นถึงความต้องการในการขายข้อมูลโดยผู้ที่ถือข้อมูลอยู่ ข้อมูลที่ถูกขายดังกล่าวถูกระบุประเภทของข้อมูลเอาไว้ ได้แก่ รหัสผู้โดยสาร, ชื่อและนามสกุลของผู้โดยสาร, หมายเลขโทรศัพท์, ข้อมูลในพาสปอร์ต, ที่อยู่, เพศและรายละเอียดเที่ยวบิน
Cyble, Inc กล่าวว่าทางทีมวิเคราะห์ได้มีการซื้อข้อมูลชุดดังกล่าวมาทำการวิเคราะห์แล้วเพื่อนำมาใช้ปรับปรุงบริการแจ้งเตือนตามลักษณะธุรกิจของตนซึ่งให้บริการในการแจ้งเตือนผู้ใช้บริการเมื่อมีการรั่วไหลของข้อมูลส่วนตัว
ในบทวิเคราะห์นี้ ผู้เขียนมีจุดประสงค์ในการนำเสนอสมมติฐานซึ่งบ่งชี้ให้เห็นว่าการขายข้อมูลชุดดังกล่าวซึ่ง Cyble, Inc ค้นพบนั้นมีความเกี่ยวข้องกับกรณีการโจมตีบริการของ Data Viper และความเกี่ยวข้องกับกรณีการโจมตีและการรั่วไหลข้อมูลของสายการบิน Thai Lion Air และ Malindo Air สมมติฐานนี้จะนำเสนอหนึ่งในความเป็นไปได้ในประเด็นที่เกี่ยวกับแหล่งที่มาของข้อมูล ซึ่งสามารถนำไปใช้ในการวิเคราะห์เหตุการณ์ด้านความปลอดภัย ตรวจสอบหลักฐานดิจิตอลและดำเนินการลดผลกระทบที่เกิดขึ้นจากเหตุการณ์ด้านความปลอดภัยต่อไป
Events Timeline
- Sep 11, 2019: มีการเผยแพร่ข้อมูลของ Malindo Air และ Thai Lion Air จำนวนประมาณ 40 ล้านรายการ ในเว็บไซต์ A ผู้ขายข้อมูลให้รายละเอียดไว้เป็นภาษารัสเซียว่ามีข้อมูลนี้มีลักษณะเป็นฐานข้อมูลโดยผู้เข้าชมสามารถดาวโหลดข้อมูลในรูปแบบไฟล์ CSV ได้ฟรี ข้อมูลดังกล่าวประกอบไปด้วยชื่อและนามสกุล, วันเดือนปีเกิด, ที่อยู่, ข้อมูลในพาสบอร์ด, อีเมลและหมายเลขโทรศัพท์ ในปัจจุบันข้อมูลชุดนี้ไม่สามารถดาวโหลดได้แล้ว
- Sep 12, 2019: บัญชีผู้ใช้งานทวิตเตอร์ @UnderTheBreach เริ่มรายงานการมีอยู่ของข้อมูลที่เกี่ยวข้องกับ Thai Lion Air ออกสู่สาธารณะ ทวีตดังกล่าวมีข้อมูลซึ่งระบุเพิ่มเติมว่าแฮกเกอร์ทำการโจมตีและประสบความสำเร็จในการนำข้อมูลออกมาจากฐานข้อมูล โดยฐานข้อมูลแรกนั้นมีข้อมูลทั้งหมด 21 ล้านรายการ ประกอบไปด้วยรหัสผู้โดยสาร, รหัสการจองเที่ยวบิน, ที่อยู่ผู้โดยสาร, หมายเลขโทรศัพท์และอีเมล ในส่วนของฐานข้อมูลที่สองนั้นมีข้อมูลอยู่ 14 ล้านรายการ ประกอบไปด้วยข้อมูลชื่อผู้โดยสาร, วันเดือนปีเกิด, หมายเลขโทรศัพท์, รหัสพาสปอร์ตและวันหมดอายุพาสปอร์ต
- Sep 17, 2019: เว็บไซต์ Blognone ซึ่งเป็นสื่อด้านเทคโนโลยีในไทยเริ่มรายงานการโจมตีโดยอ้างอิงจากเว็บไซต์ BleepingComputer ในรายงานข่าวนั้นมีการให้ข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ดังกล่าวได้แก่
- ฐานข้อมูลทั้ง 2 รายการถูกจัดเก็บอยู่ในไดเรกทอรีที่เกี่ยวข้องกับข้อมูลสำรอง สร้างขึ้นเมื่อเดือนพฤษภาคม 2019
- ยังไม่สามารถระบุได้อย่างชัดเจนว่าฐานข้อมูลชุดนี้ถูกเข้าถึงครั้งแรกเมื่อใด อย่างไรก็ตามมีการให้ข้อมูลเพิ่มเติมจากนักวิจัยด้านความปลอดภัยซึ่งคาดว่าที่มาของแหล่งข้อมูลนี้มาจาก S3 bucket ที่มีการตั้งค่าเอาไว้อย่างไม่ปลอดภัย
- BleepingComputer มีการตรวจสอบ URL ของ S3 bucket ดังกล่าวและพบไฟล์ในลักษณะของไฟล์สำรองของข้อมูล มีการระบุชื่อไฟล์ล่าสุดที่ถูกสร้างขึ้นในวันที่ 25 พฤษภาคม 2019 เอาไว้ว่า “PaymentGateway” และมีการปรากฎของข้อมูลอื่น ๆ ด้วย
- ทาง Lion Air ยังไม่มีการประกาศใด ๆ เกี่ยวกับกรณีดังกล่าวในขณะนั้น
- July 12, 2020:
- Cyble, Inc เปิดเผยการค้นพบรายการข้อมูลของผู้โดยสารของสายการบินซึ่งเดินทางมายังประเทศไทยและมาเลเซียกว่า 45 ล้านรายการใน Darkweb โดยแหล่งข้อมูลที่ Cyble, Inc นั้นค้นพบแสดงให้เห็นถึงความต้องการในการขายข้อมูลโดยผู้ที่ถือข้อมูลอยู่ ข้อมูลที่ถูกขายดังกล่าวถูกระบุประเภทของข้อมูลเอาไว้ ได้แก่ รหัสผู้โดยสาร, ชื่อและนามสกุลของผู้โดยสาร, หมายเลขโทรศัพท์, ข้อมูลในพาสปอร์ต, ที่อยู่, เพศและรายละเอียดเที่ยวบิน แหล่งฐานข้อมูลนี้ถูกนำมาขายนั้นคือเว็บไซต์ B ซึ่งเป็นคนละแหล่งกับเหตุการณ์ในวันที่ Sep 11, 2019
- July 12, 2020: เกิดการโจมตีบริการ Data Viper ซึ่งเป็นบริการสำหรับสืบค้นข้อมูลจากฐานข้อมูลที่ได้มาจากการแฮกหรือมีการรั่วไหลออกมา การโจมตีบริการ Data Viper ส่งผลให้ฐานข้อมูลที่ได้มาจากการแฮกหรือมีการรั่วไหลออกมาที่ Data Viper ครอบครองอยู่นั้นเกิดการรั่วไหล หนึ่งในข้อมูลที่ผู้โจมตีบริการ Data Viper ได้มาจากบริการ Data Viper และถูกนำมาปล่อยขายนั้นคือฐานข้อมูลของ Thai Lion Air จำนวน 13.8 ล้านรายการ โดยมีฟิลด์ข้อมูลคือชื่อและนามสกุล, วันเดือนปีเกิดและชุดตัวเลขซึ่งไม่สามารถระบุประเภทได้ แหล่งฐานข้อมูลนี้ถูกนำมาขายนั้นคือเว็บไซต์ C ซึ่งเป็นคนละแหล่งกับเหตุการณ์ในวันที่ Sep 11, 2019 และในกรณีที่ Cyble, Inc รายงาน
- July 13, 2020: KrebsOnSecurity รายการงานการโจมตีบริการ Data Viper ออกสู่สาธารณะ
- July 14, 2020: เว็บไซต์ TechTalkThai ซึ่งเป็นสื่อด้านเทคโนโลยีในไทยเริ่มรายงานการโจมตีบริการ Data Viper โดยอ้างอิงแหล่งข่าวมาจากเว็บไซต์ ZDNet
จากไทม์ไลน์ดังกล่าว ความสัมพันธ์ระหว่างการเปิดเผยข้อมูล วันที่ที่มีการเปิดเผยข้อมูล แหล่งที่มาของการเปิดเผยข้อมูล จำนวนข้อมูลที่ถูกเปิดเผยและแหล่งที่ข้อมูลถูกขาย สามารถอธิบายและเปรียบเทียบได้ตามตารางดังนี้
| Date | Details | Source | Records (Million) | Where to Buy |
|---|---|---|---|---|
| Sep 11, 19 | มีการเปิดเผยฐานข้อมูลของ Malindo Air และ Thai Lion Air | เว็บไซต์ A | ~40 | เว็บไซต์ A |
| Sep 12, 19 | รายงานการโจมตี Thai Lion Air สู่สาธารณะ | @UnderTheBreach | 14+21 = ~35 | - |
| Jul 12, 19 | รายงานการขายข้อมูลผู้โดยสาร เดินทางมายังไทยและมาเลเซีย | Cyble, Inc | ~45 | เว็บไซต์ B |
| Jul 12, 19 | Data Viper โดนแฮก ข้อมูลของ Thai Lion Air ถูกนำมาขาย | KrebsOnSecurity | ~13.8 | เว็บไซต์ C |
Analysis & Assumptions
- ข้อมูลของผู้โดยสารของสายการบินซึ่งเดินทางมายังประเทศไทยและมาเลเซียกว่า 45 ล้านรายการใน Darkweb ที่ Cyble, Inc ค้นพบนั้นสอดคล้องกับลักษณะการให้บริการของ Thai Lion Air ซึ่งเป็นสายการบินราคาประหยัดในไทยของกลุ่ม Lion Air และ Malindo Air ซึ่งเป็นสายการบินในกลุ่ม Lion Air ที่มีศูนย์กลางการให้บริการอยู่ที่มาเลเซีย
- ลักษณะของข้อมูลที่ถูกปล่อยขายในเว็บไซต์ B และถูกพบโดย Cyble, Inc นั้นมีการสร้างฟิลด์ขึ้นมาจากข้อมูลดั้งเดิมรวมไปถึงมีการทำ normalizing กับข้อมูล ซึ่งจะส่งผลให้ขนาดของข้อมูลโดยรวมนั้นเปลี่ยนไป อย่างไรก็ตามหากอ้างอิงจากผู้ขายข้อมูลในเว็บไซต์ B จำนวนรายการข้อมูลซึ่งมีการอ้างถึงคือ 45,995,073 รายการนั้นเป็นรายการดั้งเดิมของข้อมูลทั้งหมด การเปลี่ยนแปลงหรือดำเนินการกับข้อมูลไม่ได้ทำให้รายการของข้อมูลเปลี่ยนแปลง โดยยังคงข้อมูลบางรายการที่มีข้อมูลไม่ครบถ้วนสมบูรณ์เอาไว้ด้วย
- เนื่องจากมีการสร้างฟิลด์ขึ้นมาใหม่ในข้อมูลซึ่งถูกประกาศขายในเว็บไซต์ B การเปรียบเทียบความคล้ายกันของข้อมูลจึงยังไม่สามารถดำเนินการได้อย่างสมบูรณ์จนกว่าจะสามารถแยกประเภทของฟิลด์ดั้งเดิมและฟิลด์ที่ถูกสร้างขึ้นมาใหม่ได้อย่างถูกต้อง อย่างไรก็ตามหากมองมุมกลับโดยการนำฟิลด์ข้อมูลซึ่งปรากฎในเว็บไซต์ A และเว็บไซต์ C มาตรวจสอบกับตัวอย่างฟิลด์ข้อมูลในเว็บไซต์ B ทั้งฟิลด์ข้อมูลในเว็บไซต์ A และฟิลด์ข้อมูลในเว็บไซต์ C ต่างปรากฎในฟิลด์ข้อมูลในเว็บไซต์ B ซึ่งมีจำนวนรายการข้อมูลที่มากที่สุด
- ในประเด็นเรื่องของจำนวนรายการข้อมูล ทั้งรายละเอียดซึ่งปรากฎในเว็บไซต์ A, ข้อมูลจาก @UnderTheBreach และจากเว็บไซต์ B นั้นบ่งชี้ให้เห็นว่ารายการของข้อมูลอยู่ในช่วง 35 ถึง 45 ล้านรายการ อย่างไรก็ตามข้อมูลซึ่งมีที่มาจากบริการ Data Viper นั้นมีเพียงประมาณ 13.8 ล้านรายการซึ่งแตกต่างจากชุดข้อมูลแรกที่อยู่ในระดับ 35 ถึง 45 ล้านรายการ สมมติฐานที่สอดคล้องและสามารถใช้อธิบายจำนวนข้อมูลที่ Data Viper ถือครองอยู่ได้นั้นคือ Data Viper ถือครองเป็นเพียงแค่ฐานข้อมูลที่สองขนาดประมาณ 14 ล้านรายการที่ @UnderTheBreach รายงาน นั่นหมายถึงบริการ Data Viper อาจไม่ได้ครอบครองข้อมูลทั้งหมดที่มีการรั่วไหลออกมา
- การปรากฎของการขายข้อมูลจำนวน 45,995,073 รายการในเว็บไซต์ B ซึ่งถูกค้นพบโดย Cyble, Inc ในช่วงเวลาที่สอดคล้องกับการโจมตีบริการ Data Viper ซึ่งสามารถระบุได้ว่าเป็นข้อมูลของ Thai Lion Air สามารถมีทฤษฎีมาอธิบายได้คือ การโจมตีบริการ Data Viper ที่นำมาสู่การขายข้อมูลที่บริการ Data Viper ครอบครองอยู่ซึ่งหนึ่งในนั้นคือข้อมูลของ Thai Lion Air นั้นส่งผลให้มูลค่าของข้อมูลถูกกำหนดโดยผู้ที่โจมตีบริการ Data Viper ในขณะเดียวกันผู้ที่ถือข้อมูลจำนวน 45,995,073 รายการซึ่งเป็นชุดที่ใหญ่ที่สุดอยู่ก็อาจถูกบังคับด้วยสถานการณ์ให้จำเป็นต้องขายข้อมูลที่มีอยู่ก่อนที่มูลค่าของข้อมูลจะตกลง ด้วยความได้เปรียบที่มีข้อมูลที่มีปริมาณเยอะกว่าอยู่ในมือ ผู้ที่ถือข้อมูลจำนวน 45,995,073 รายการจะมีทางเลือกเยอะกว่าในการกำหนดราคา และอาจส่งผลให้มีการกำหนดราคาให้เท่ากับที่ผู้โจมตี Data Viper กำหนดเอาไว้เพื่อดึงดูดผู้ซื้อ หรือกำหนดให้มากกว่าเพื่อทำกำไรก็ได้
- ในขณะนี้มีเพียงข้อมูลซึ่งปรากฎในเว็บไซต์ C เท่านั้นซึ่งมีตัวอย่างข้อมูล ในขณะเดียวกันผู้วิเคราะห์ยังไม่สามารถระบุการมีอยู่ของเว็บไซต์ B ได้ และข้อมูลในเว็บไซต์ A ก็ไม่ปรากฎตัวอย่างของข้อมูลให้ทำการตรวจสอบ
Conclusion
ข้อมูลของผู้โดยสารของสายการบินซึ่งเดินทางมายังประเทศไทยและมาเลเซียกว่า 45 ล้านรายการใน Darkweb ที่ Cyble, Inc ค้นพบนั้นมีคุณลักษณะประกอบซึ่งสอดคล้องในหลายกรณีกับการโจมตีและการรั่วไหลของข้อมูลในสายการบิน Thai Lion Air และ Malindo Air รวมไปถึงการโจมตีบริการ Data Viper และการเผยแพร่ข้อมูลของ Thai Lion Air ซึ่ง Data Viper ครอบครองอยู่ ซึ่งอาจบ่งชี้ถึงความเป็นไปได้ว่าเหตุการณ์เหล่านี้นั้นมีความเกี่ยวข้องกัน อย่างไรก็ตามการตรวจสอบและยืนยันสมมติฐานหรือทฤษฎีที่ระบุในบทวิเคราะห์ยังคงต้องอาศัยกระบวนการสำคัญในการตรวจสอบความเหมือนของเนื้อหาของข้อมูลเอง รวมไปถึงการซื้อข้อมูลจากผู้ไม่ประสงค์ดีซึ่งยังคงคลุมเครือว่าสามารถดำเนินการได้หรือไม่ในประเทศไทย
ผู้เขียนขอแนะนำให้ผู้มีส่วนเกี่ยวข้องกับประเด็นดังกล่าวดำเนินการตรวจสอบเหตุการณ์นี้ด้วยตนเองอย่างละเอียดอีกครั้ง เพื่อให้การดำเนินการควบคุมและจัดการกับสถานการณ์เป็นไปอย่างมีประสิทธิภาพ และเพื่อการรักษาไว้ซึ่งความเชื่อใจต่อบริการโดยผู้ใช้บริการครับ