สรุปสั้น

บริษัท Medtronic ผู้ผลิตอุปกรณ์การแพทย์รายใหญ่กำลังแจ้งลูกค้าที่ได้รับผลกระทบเกี่ยวกับเหตุข้อมูลรั่วที่เปิดเผยข้อมูลส่วนบุคคลของพวกเขาต่อบุคคลที่สามที่ไม่ได้รับอนุญาต ก่อนหน้านี้บริษัทได้ยืนยันแล้วว่าระบบไอทีของตนถูกแฮ็กเกอร์เจาะ และกลุ่มรีดไถข้อมูลชื่อกระฉ่อนอย่าง ShinyHunters ได้ออกมาอ้างความรับผิดชอบต่อการโจมตีครั้งนี้ โดยแฮ็กเกอร์ระบุว่าตนถือข้อมูล Medtronic ไว้ถึง 9 ล้านรายการที่มีข้อมูลระบุตัวตน (PII) และข้อมูลภายในองค์กร ตามเอกสารแจ้งเตือน บริษัทตรวจพบกิจกรรมผิดปกติบนระบบไอทีองค์กรบางส่วนเมื่อวันที่ 15 เมษายน 2569 และได้เริ่มการสอบสวนโดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ภายนอกเพื่อประเมินขอบเขตและผลกระทบ

ผลการสอบสวนพบว่าระหว่างวันที่ 13 ถึง 19 เมษายน 2569 มีผู้ไม่ได้รับอนุญาตเข้าถึงระบบไอทีองค์กรบางส่วนของ Medtronic ข้อมูลที่อาจถูกเปิดเผยรวมถึงชื่อ-นามสกุลเต็ม ข้อมูลติดต่อ วันเดือนปีเกิด เลขประกันสังคม และข้อมูลด้านสุขภาพ อย่างไรก็ตาม Medtronic เน้นย้ำในหนังสือแจ้งลูกค้าว่าข้อมูลที่ถูกขโมยไม่ได้ถูกเผยแพร่ออนไลน์ และยืนยันอีกครั้งว่าอุปกรณ์การแพทย์ทั้งหมดยังคงปลอดภัยและไม่ได้รับผลกระทบจากเหตุการณ์นี้

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 2 กรกฎาคม 2569 ว่า Medtronic เริ่มส่งหนังสือแจ้งลูกค้าที่ได้รับผลกระทบจากเหตุข้อมูลรั่ว หลังยืนยันว่าระบบไอทีองค์กรถูกเจาะโดยกลุ่ม ShinyHunters ซึ่งขึ้นชื่อเรื่องการรีดไถข้อมูล โดยกลุ่มนี้อ้างถือครองข้อมูลกว่า 9 ล้านรายการ Medtronic เป็นบริษัทอุปกรณ์การแพทย์ที่ดำเนินธุรกิจใน 150 ประเทศ มีรายได้ต่อปี 33.5 พันล้านดอลลาร์สหรัฐ และมีพนักงาน 95,000 คน

ตามไทม์ไลน์ ผู้ไม่ได้รับอนุญาตเข้าถึงระบบระหว่างวันที่ 13-19 เมษายน 2569 ก่อนที่ ShinyHunters จะนำ Medtronic ขึ้นพอร์ทัลรีดไถบนดาร์กเว็บเมื่อวันที่ 18 เมษายน พร้อมขู่จะปล่อยข้อมูลที่ขโมยได้ราว 9 ล้านรายการหากไม่มีการจ่ายค่าไถ่ภายในวันที่ 21 เมษายน อย่างไรก็ตาม รายการ Medtronic ถูกลบออกจากลิสต์ของ ShinyHunters ในเวลาต่อมาภายในเดือนเดียวกัน ซึ่งมักบ่งชี้ว่ามีการเจรจาเกิดขึ้น แม้ Medtronic จะยืนยันว่าข้อมูลไม่ได้ถูกเผยแพร่ออนไลน์ก็ตาม ทั้งนี้ ShinyHunters มักเผยแพร่ข้อมูลที่ขโมยมาหากการเจรจาค่าไถ่กับองค์กรเหยื่อไม่สำเร็จ

วิธีการโจมตี

ShinyHunters เป็นกลุ่มรีดไถข้อมูลที่มุ่งเน้นการขโมยข้อมูลออกจากระบบองค์กรแล้วนำมาข่มขู่เรียกค่าไถ่ (data extortion) มากกว่าการเข้ารหัสไฟล์แบบแรนซัมแวร์ทั่วไป รูปแบบการทำงานคือ เจาะเข้าระบบไอทีองค์กร ดูดข้อมูลจำนวนมากออกมา แล้วนำเหยื่อขึ้นพอร์ทัลรีดไถบนดาร์กเว็บพร้อมกำหนดเส้นตายให้จ่ายค่าไถ่ หากองค์กรไม่ยอมจ่าย กลุ่มนี้มักปล่อยข้อมูลออกสู่สาธารณะเพื่อเพิ่มแรงกดดัน ในกรณี Medtronic กลุ่มเข้าถึงระบบได้หลายวันก่อนถูกตรวจพบ และดำเนินการขึ้นพอร์ทัลข่มขู่อย่างรวดเร็วภายในไม่กี่วัน สะท้อนว่าปฏิบัติการมีการวางแผนและใช้เวลาแฝงตัวในระบบเพื่อรวบรวมข้อมูลก่อนลงมือข่มขู่

ผลกระทบต่อไทย

แม้ Medtronic จะเป็นบริษัทข้ามชาติ แต่ด้วยการดำเนินธุรกิจใน 150 ประเทศรวมถึงไทย ลูกค้า โรงพยาบาล และบุคลากรทางการแพทย์ในไทยที่ใช้อุปกรณ์หรือมีข้อมูลอยู่ในระบบของบริษัทอาจได้รับผลกระทบทางอ้อมได้ ข้อมูลสุขภาพและเลขระบุตัวตนที่รั่วเป็นข้อมูลอ่อนไหวที่แฮ็กเกอร์นำไปใช้หลอกลวง ทำ social engineering และฟิชชิงแบบเจาะจงได้ กรณีนี้ยังเป็นบทเรียนสำคัญสำหรับองค์กรด้านสาธารณสุขและโรงพยาบาลในไทย ซึ่งถือครองข้อมูลผู้ป่วยจำนวนมากและตกเป็นเป้าหมายของกลุ่มรีดไถข้อมูลมากขึ้นเรื่อย ๆ การที่กลุ่มอย่าง ShinyHunters เจาะระบบและดูดข้อมูลออกได้ก่อนถูกตรวจพบ ตอกย้ำความจำเป็นในการเฝ้าระวังพฤติกรรมผิดปกติในระบบไอทีอย่างต่อเนื่อง

คำแนะนำ

ผู้ที่ได้รับหนังสือแจ้งจาก Medtronic ควรสมัครใช้บริการเฝ้าระวังเครดิตและป้องกันการขโมยตัวตน 24 เดือนที่บริษัทเสนอให้ เพื่อลดความเสี่ยงจากข้อมูลที่รั่ว และควรเฝ้าระวังการติดต่อที่น่าสงสัยซึ่งอาจใช้ข้อมูลที่รั่วมาก่อเหตุหลอกลวง social engineering หรือฟิชชิง พร้อมติดตามความเคลื่อนไหวของบัญชีอย่างใกล้ชิด สำหรับองค์กรด้านสาธารณสุขและองค์กรทั่วไป ควรเข้ารหัสข้อมูลอ่อนไหว จำกัดสิทธิ์การเข้าถึงตามหลัก least privilege ติดตั้งระบบตรวจจับการขโมยข้อมูล (DLP) และเฝ้าระวังการเข้าถึงหรือการส่งออกข้อมูลปริมาณมากที่ผิดปกติ รวมถึงซักซ้อมแผนรับมือเหตุข้อมูลรั่วอย่างสม่ำเสมอ

แหล่งอ้างอิง