Workday ยักษ์ใหญ่ด้านเทคโนโลยี HR ที่ให้บริการแก่บริษัทกว่า 11,000 แห่งและผู้ใช้ทั่วโลก 70 ล้านคน เพิ่งเปิดเผยเหตุการณ์การละเมิดข้อมูลที่ส่งผลกระทบต่อข้อมูลการติดต่อของลูกค้า เหตุการณ์ที่เกิดขึ้นเมื่อวันที่ 6 สิงหาคม 2024 ได้จุดประกายการอภิปรายในชุมชนเกี่ยวกับผลกระทบที่กว้างขึ้นของการโจมตีที่อิงบน Salesforce และความโปร่งใสของบริษัทในการแจ้งเตือนการละเมิดข้อมูล
ขนาดของ Workday :
- ให้บริการ: บริษัทมากกว่า 11,000 แห่ง
- ผู้ใช้งาน: 70 ล้านคนทั่วโลก
- สถานะ: ผู้ให้บริการที่ได้รับการอนุญาต FedRAMP
- ข้อกำหนดด้านกฎระเบียบ: การรายงาน FISMA เป็นข้อบังคับสำหรับสัญญาของรัฐบาลกลาง
ขอบเขตจำกัดแต่เป็นส่วนหนึ่งของแคมเปญขนาดใหญ่
การละเมิดข้อมูลส่งผลกระทบต่อฐานข้อมูลความสัมพันธ์ลูกค้าของบุคคลที่สามของ Workday โดยเปิดเผยชื่อ ที่อยู่อีเมล และหมายเลขโทรศัพท์ของผู้ใช้บางราย การวิเคราะห์จากชุมชนชี้ให้เห็นว่าส่วนใหญ่ส่งผลกระทบต่อรายละเอียดการติดต่อของสมาชิกทีมผู้ดูแลระบบและ HR ในองค์กรลูกค้า มากกว่าข้อมูลพนักงานที่ละเอียดอ่อนจากผู้ใช้ทั้งหมด ข้อมูลที่ถูกขโมยดูเหมือนจะเป็นข้อมูลการติดต่อทางธุรกิจที่น่าจะเป็นข้อมูลกึ่งสาธารณะตั้งแต่แรก เนื่องจากทีมขายจะต้องค้นหาและป้อนข้อมูลนี้เข้าไปในระบบตั้งแต่เริ่มต้น
อย่างไรก็ตาม เหตุการณ์นี้เป็นส่วนหนึ่งของแคมเปญการโจมตีขนาดใหญ่ที่กำหนดเป้าหมายไปที่ระบบ Salesforce Customer Relationship Management คลื่นการละเมิดข้อมูลเดียวกันนี้ได้ส่งผลกระทบต่อบริษัทใหญ่ๆ รวมถึง Adidas , Google , Qantas Airways และ Cisco โดยการโจมตีส่วนใหญ่มาจากกลุ่มแฮกเกอร์ ShinyHunters ที่เป็นที่รู้จักในด้านกลยุทธ์ social engineering และ voice phishing
บริษัทที่ได้รับผลกระทบจากแคมเปญโจมตี Salesforce:
- Workday (เทคโนโลยีทรัพยากรบุคคล)
- Adidas (ค้าปลีก)
- Google (เทคโนโลยี)
- Qantas Airways (การบิน)
- Cisco (เทคโนโลยีเครือข่าย)
- AT&T (ข้อมูลลูกค้า 73 ล้านรายการ)
- PowerSchool (นักเรียนและครูหลายล้านคน)
ผลกระทบต่อสัญญาของรัฐบาลกลางเพิ่มความเสี่ยง
การละเมิดข้อมูลมีน้ำหนักเพิ่มเติมเนื่องจากสัญญาของรัฐบาลกลางที่กว้างขวางของ Workday ในฐานะผู้ให้บริการที่ได้รับการอนุญาตจาก FedRAMP บริษัทต้องเผชิญกับข้อกำหนดการรายงานภาคบังคับภายใต้ FISMA และต้องดำเนินการประเมินเหตุการณ์อย่างเป็นทางการกับลูกค้าหน่วยงานรัฐบาลกลางภายในกรอบเวลาที่เข้มงวด การตรวจสอบด้านกฎระเบียบนี้เพิ่มความซับซ้อนเหนือกว่าการตอบสนองต่อการละเมิดข้อมูลของบริษัททั่วไป
ข้อกังวลด้านความโปร่งใสและการตอบสนองของบริษัท
ผู้สังเกตการณ์จากชุมชนได้สังเกตเห็นแง่มุมที่น่าสงสัยในแนวทางการเปิดเผยของ Workday แม้ว่าบริษัทจะไม่ได้ปกปิดการละเมิดข้อมูล แต่ใช้เวลาก่อนที่จะประกาศและในตอนแรกใช้มาตรการทางเทคนิคที่อาจจำกัดการมองเห็นประกาศการละเมิดข้อมูลในผลการค้นหา แม้ว่าบางคนจะปกป้องว่านี่เป็นแนวทางมาตรฐานในโพสต์บล็อกของพวกเขา แต่คนอื่นๆ มองว่าเป็นความพยายามที่จะลดการรับรู้ของสาธารณชน
ประเภทของข้อมูลที่ผู้โจมตีได้รับส่วนใหญ่เป็นข้อมูลการติดต่อทางธุรกิจที่หาได้ทั่วไป เช่น ชื่อ ที่อยู่อีเมล และหมายเลขโทรศัพท์ ซึ่งอาจใช้เพื่อส่งเสริมการหลอกลวงด้วย social engineering
เหตุการณ์นี้เน้นย้ำให้เห็นว่าบริษัทสมัยใหม่พึ่งพาแพลตฟอร์มอย่าง Salesforce มากขึ้นไม่เพียงแค่สำหรับข้อมูลการขาย แต่ยังเป็นแพลตฟอร์มแอปพลิเคชันภายในที่มีวัตถุประสงค์ทั่วไป การใช้งานที่ขยายตัวนี้หมายความว่าการละเมิดข้อมูล Salesforce สามารถแตกต่างกันอย่างมากในด้านขอบเขตและผลกระทบ ทำให้ยากต่อการประเมินขอบเขตที่แท้จริงของข้อมูลที่ถูกละเมิดโดยไม่มีการสืบสวนโดยละเอียด
การละเมิดข้อมูลนี้เป็นอีกหนึ่งเตือนสติว่าแม้การเปิดเผยข้อมูลที่จำกัดก็สามารถเปิดทางให้การโจมตี social engineering ที่ซับซ้อน โดยเฉพาะเมื่อผู้คุกคามสามารถใช้ข้อมูลการติดต่อทางธุรกิจที่ถูกต้องตามกฎหมายเพื่อสร้างแคมเปญ phishing ที่น่าเชื่อถือซึ่งกำหนดเป้าหมายไปที่องค์กรอื่นๆ
อ้างอิง: HR Giant Workday Got Hacked
 |
|---|
| ความโปร่งใสขององค์กรมีความสำคัญอย่างยิ่งในช่วงวิกฤตการละเมิดข้อมูล |