ဇွန် ၂၅ – ၂၀၂၆
SN (VOM)
ပြည်တွင်း ပုဂ္ဂလိကဘဏ်တခုဖြစ်တဲ့ ဧရာဝတီဘဏ် (AYA Bank) ရဲ့ ကွန်ပျူတာစနစ်ထဲကို ဟက်ကာတွေ ဝင်ရောက်ပြီး ဘဏ်အသုံးပြုသူတွေရဲ့ ကိုယ်ရေးအချက်အလက်တွေကို ခိုးယူသွားတဲ့ ဆိုက်ဘာတိုက်ခိုက်မှုတခု ဖြစ်ပွားနေတယ်လို့ သတင်းတွေ ထွက်ပေါ်နေပါတယ်။
နိုင်ငံတကာမှာ နာမည်ဆိုးနဲ့ ကျော်ကြားတဲ့ ဆိုက်ဘာရာဇဝတ်ဂိုဏ်း LAPSUS$ က ဧရာဝတီဘဏ် (AYA Bank) ရဲ့ System တွေကို ဖောက်နိုင်ခဲ့ပြီးတော့ အချက်အလက်တွေ ရယူထားနိုင်ခဲ့တယ်လို့ Hacker တွေဘက်ဘက်က အခိုင်အမာ ကြေညာထားတာ တွေ့ရပါတယ်။
ဒီဖြစ်စဉ်နဲ့ပတ်သက်လို့ ဒေတာပေါက်ကြားမှုနဲ့ ဆိုက်ဘာခြိမ်းခြောက်မှုတွေကို စောင့်ကြည့်ဖော်ပြနေတဲ့ Dark Web Informer ရဲ့ အရင်က ‘တွစ်တာ’ လို့ လူသိများခဲ့တဲ့ လူမှုမီဒီယာ ‘ X ’ မှာ မနေ့ ဇွန် ၂၄ က ဖော်ပြထားတာတွေ့ရပြီး ဆိုက်ဘာခြိမ်းခြောက်မှုတွေကို စောင့်ကြည့်တဲ့ ပလက်ဖောင်းတချို့မှာလည်း မှတ်တမ်းတင်ထားတာ တွေ့ရပါတယ်။
“ဒီအကြောင်းအရာက ဖေ့စ်ဘွတ်ခ်မှာလည်း ဒီမနက်မှာ တော်တော်လေး လူပြောများနေတာ တွေ့ရတယ်။ ဟုတ်တယ်၊ မဟုတ်ဘူး ဆိုတာကို ဘဏ်က တရားဝင် စာထုတ်ပြီး ဖြေရှင်းသင့်တယ်” လို့ AYA Mobile Banking အသုံးပြုသူတယောက်က ပြောပါတယ်။
AYA Bank ကတော့ ချစ်ခင်လေးစားအပ်ပါသော AYA Bank သုံးစွဲသူများခင်ဗျာ
AYA Bank တွင် အသုံးပြုသည့် Application Portal အဟောင်း တစ်ခုမှ ငွေကြေးဆိုင်ရာမပါသော လျှောက်လွှာပေါ်ရှိ အချက်အလက်အချို့ ပြင်ပသို့ ပေါက်ကြားခဲ့သော ဖြစ်စဉ်ဖြစ်ပွားခဲ့ပါသည်။
ထိုဖြစ်စဉ်နှင့်ပတ်သက်၍
(၁) ၎င်း Portal သည် ဘဏ်၏ Core Banking System/ AYA Pay System/ Card System အစရှိသော ပင်မစနစ်များနှင့်တိုက်ရိုက်ချိတ်ဆက်ထားမှုမရှိသည့်အပြင် အခြား Systems များအား (လုံးဝ)ထိခိုက်မှုမရှိသည့်အတွက် AYA Pay နှင့် AYA Internet Banking / Mobile Banking စနစ်များကိုလည်း ပုံမှန်အတိုင်း စိတ်ချလုံခြုံမှုအပြည့်နဲ့ ဆက်လက်အသုံးပြုနိုင်ပါသည်။
(၂) AYA Bank သုံးစွဲသူများ၏အချက်အလက် လုံခြုံရေးကို အမြဲတမ်းဦးစားပေးဆောင်ရွက်ခဲ့သော်လည်း ယခုဖြစ်ပေါ်ခဲ့သည့်ဖြစ်စဉ်အတွက် AYA Bank သုံးစွဲသူများ စိတ်အနှောင့်အယှက်တစ်စုံတစ်ရာဖြစ်ပေါ်ခဲ့ပါက အနူးအညွတ်တောင်းပန်အပ်ပါသည်။ AYA Bank ၏ Cyber Security နည်းပညာဆိုင်ရာ လုံခြုံရေးအဆင့်မြှင့်တင်မှုများကိုလည်း တိုးမြှင့်ဆောင်ရွက်ထားလျက်ရှိပါသည်။
(၃) AYA Bank သုံးစွဲသူများ၏ ဘဏ္ဍာရေးဆိုင်ရာအချက်အလက်များ (လုံးဝ)ဘေးကင်းလုံခြုံစွာရှိနေပါကြောင်း နှင့် AYA Bank ၏ ဝန်ဆောင်မှုများကို ယုံကြည်စိတ်ချစွာဖြင့် ဆက်လက်အသုံးပြုနိုင်ပါကြောင်း လေးစားစွာအသိပေးအပ်ပါသည်။
AYA Bank အသုံးပြုသူများ၏ နားလည်ပေးမှုနှင့် ပူးပေါင်းဆောင်ရွက်မှုအတွက် ကျေးဇူးအထူးတင်ရှိပါသည်။ လို့ ထုတ်ပြန်ထားပါတယ်။
ဟက်ကာအဖွဲ့ LAPSUS$ က AYA Bank ရဲ့ Data ပမာဏ 120 GB ခန့်ကို ခိုးယူရရှိထားကြောင်း ပြီးခဲ့တဲ့ ဇွန် ၂၃ ရက်က ထုတ်ဖော်ပြောဆိုခဲ့ပြီး ပါရှိသွားတဲ့ အချက်အလက်တွေကတော့ အကောင့်ပိုင်ရှင်ရဲ့ အမည်၊ မှတ်ပုံတင်အမှတ်၊ ဆက်သွယ်ရမယ့် ဖုန်းနံပါတ်၊ နေရပ်လိပ်စာ၊ ဘဏ်အကောင့် နံပါတ်တွေနဲ့ ငွေစာရင်း အဝင်၊ အထွက် မှတ်တမ်းတွေ ဖြစ်တယ်လို့ သိရပါတယ်။
AYA Bank အနေနဲ့ သူတို့ကို ဆက်သွယ် ညှိနှိုင်းမှု မရှိဘူးဆိုပါက လာမယ့် ဇူလိုင် ၇ ရက်နဲ့ ၈ ရက်နေ့တွေမှာ ဒေတာတွေကို စတင် ရောင်းချသွားမှာဖြစ်ပြီး အဲဒီ ဒေတာတွေကို ဝယ်သူ တယောက်တည်းကိုသာ ရောင်းချသွားမှာဖြစ်ကာ ရောင်းချပြီးပါက အချက်အလက်တွေကို ဖျက်ပစ်မယ်လို့လည်း အသိပေးထားပါတယ်။
“ဟက်ကာအဖွဲ့က ဘဏ်ဘက်က သူတို့နဲ့ ညိနှိုင်းမှုတွေ မလုပ်ဘူးဆိုရင် အဲဒီ အချက်အလက်တွေကို အွန်လိုင်းမှောင်ခိုဈေးကွက်မှာ အမေရိကန်ဒေါ်လာ ကိုးသောင်းခွဲနဲ့ လေလံတင် ရောင်းချမယ်လို့ ခြိမ်းခြောက်ထားတာ တွေ့ရတယ်။ သူတို့အဖွဲ့ရဲ့ အဓိက လုပ်ရပ်က ကုမ္ပဏီတွေရဲ့ အတွင်းရေး ဒေတာတွေ၊ Source Code တွေ၊ သုံးစွဲသူ အချက်အလက်တွေကို ခိုးယူပြီး ငွေညှစ်တာပါ။ ဘဏ်ကတော့ အခုထိ ဘာမှ ဖြေရှင်းလာတာ မတွေ့ရသေးဘူး။ အကယ်၍ အချက်အလက်တွေ ခိုးယူခံရတယ်ထားဦး။ သုံးစွဲသူတွေအနေနဲ့ password ပြောင်းလိုက်ရုံနဲ့ Safe ဖြစ်မသွားပါဘူး။ ဘဏ်ရဲ့ Data Breach ပေါက်သွားတာမို့ ဘဏ်က ဖြေရှင်းပေးမှပဲ ရမှာပါ” လို့ IT နည်းပညာ ကျွမ်းကျင်သူတယောက်က ပြောပါတယ်။
LAPSUS$ အဖွဲ့ဟာ ၂၀၂၁ ခုနှစ်မှ ၂၀၂၂ ခုနှစ်အတွင်း Microsoft, Okta နဲ့ NVIDIA စတဲ့ နည်းပညာကုမ္ပဏီကြီးတွေကို ပစ်မှတ်ထား တိုက်ခိုက်ခဲ့တဲ့ ဟက်ကာအဖွဲ့ဖြစ်ပြီး အဲဒီအဖွဲ့နဲ့ ဆက်စပ်တယ်လို့ ယူဆရသူတချို့ဟာ နောက်ပိုင်းမှာ ဖမ်းဆီးခံခဲ့ရပြီး မူလအဖွဲ့ရဲ့ လှုပ်ရှားမှုတွေလည်း ရပ်တန့်သွားခဲ့တယ်လို့ ဆိုက်ဘာလုံခြုံရေး လေ့လာသူတွေက ယူဆထားကြပါတယ်။
ဒါကြောင့် လက်ရှိ LAPSUS$ အမည်ကို အသုံးပြုနေသူတွေဟာ မူရင်းအဖွဲ့ဝင်တွေ ဟုတ်၊ မဟုတ် အတည်မပြုနိုင်သေးဘဲ အဲဒီအမည်ကို ပြန်လည် အသုံးပြုနေတဲ့ တခြားဟက်ကာအဖွဲ့ (ဒါမှမဟုတ်) Copycat အဖွဲ့ ဖြစ်နိုင်တယ်ဆိုတဲ့ သုံးသပ်မှုတွေလည်း ရှိနေပါတယ်။
“လက်ရှိမှာ အသုံးပြုသူတွေ လုပ်ထားရမှာက password တွေ အမြန်ချိန်းထားဖို့ပါပဲ။ ဒါက ရာနှုန်းပြည့် safe ဖြစ်တယ်လို့ ပြောလို့မရပေမယ့် ကိုယ်တတ်နိုင်တဲ့ဘက်ကနေ လုပ်စရာရှိတာတွေကိုတော့ လုပ်ထားရမှာပေါ့လေ။ တချို့ကလည်း ဒီဘဏ်မှာ အသုံးပြုနေတဲ့ password ကို တခြားဘဏ်အကောင့်မှာလည်း သုံးတတ်တာမျိုးတွေရှိတော့ password ချိန်းထားတာ အကောင်းဆုံးပါပဲ” လို့ IT နည်းပညာ ကျွမ်းကျင်သူက ပြောပါတယ်။
ဒါအပြင် အခုအချိန်မှာ ဘဏ်ဝန်ထမ်း အယောင်ဆောင်ကာ OTP ကုဒ်တွေ တောင်းတာ၊ အချက်အလက် မေးတာမျိုးတွေ ရှိကောင်း ရှိလာနိုင်တဲ့အတွက် ဂဏန်းခြောက်လုံးဖြစ်တဲ့ မိမိတို့ရဲ့ OTP နံပါတ်ကို တခြား မည်သူ့ကိုမှ လုံးဝ (လုံးဝ) မပြောမိစေဖို့နဲ့ မိမိတို့ရဲ့ ဘဏ်ကတ်တွေ၊ အကောင့်တွေမှာ မသင်္ကာစရာ ငွေဖြတ်တာမျိုး ရှိ၊ မရှိကိုလည်း စောင့်ကြည့်စေချင်တယ်လို့ သူက ပြောပါတယ်။
ဒါအပြင် Two-Factor Authentication (2FA) (ဒါမှမဟုတ်) ထပ်ဆင့်လုံခြုံရေးစနစ် ရရှိပါက ဖွင့်ထားဖို့လိုပြီး ဘဏ်မှ ပေးပို့တယ်လို့ ဆိုတဲ့ စာတို၊ အီးမေးလ်၊ လူမှုကွန်ရက်မက်ဆေ့ချ် (ဒါမှမဟုတ်) ဖုန်းခေါ်ဆိုမှုတွေကို အလွယ်တကူ မယုံကြည်ဘဲ ပေးပို့သူရဲ့ အထောက်အထားကို သေချာစစ်ဆေးရမှာဖြစ်တယ်လို့ သိရပါတယ်။
အမည်မသိ Link တွေကို နှိပ်ခြင်းနဲ့ မသေချာတဲ့ Application တွေ ထည့်သွင်းခြင်းကိုလည်း ရှောင်ကြဉ်ဖို့လိုပြီး မိမိအကောင့်အတွင်း သံသယဖြစ်ဖွယ် ငွေလွှဲမှု (ဒါမှမဟုတ်) မိမိ လုပ်ဆောင်ထားခြင်းမရှိတဲ့ လုပ်ဆောင်ချက်တွေ တွေ့ရှိပါက ဘဏ်ရဲ့ တရားဝင် ဆက်သွယ်ရေးလမ်းကြောင်းကနေ ချက်ချင်း ဆက်သွယ်ရမှာဖြစ်တယ်လို့ သိရပါတယ်။
Photo – CJ
