สรุปสั้น
บริษัท Ernst & Young (EY) กำลังแจ้งลูกค้าถึงเหตุข้อมูลรั่วไหลที่เกิดจากการถูกเจาะระบบ support ticket ของบุคคลที่สามที่บุคลากรฝ่ายไอทีของบริษัทใช้งาน โดยตามที่บริษัทระบุ ticket ที่ส่งผ่านแพลตฟอร์มดังกล่าวอาจมีเอกสารที่บรรจุข้อมูลภาษีของลูกค้า Ernst & Young เป็นหนึ่งในสี่บริษัทตรวจสอบบัญชีและบริการวิชาชีพรายใหญ่ที่สุดของโลก ให้บริการตรวจสอบบัญชี ภาษี ที่ปรึกษา และคำแนะนำด้านธุรกรรมแก่องค์กรขนาดใหญ่ในกว่า 150 ประเทศ มีพนักงาน 406,000 คน และรายงานรายได้ทั่วโลก 53.2 พันล้านดอลลาร์เมื่อปีที่แล้ว
หนังสือแจ้งเหตุข้อมูลรั่วไหลถึงลูกค้าที่ได้รับผลกระทบระบุว่า Ernst & Young ตรวจพบกิจกรรมผิดปกติบนเครือข่ายเมื่อวันที่ 23 เมษายน และเริ่มการสอบสวน ด้วยความช่วยเหลือจากผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ภายนอก บริษัทพบว่าบุคคลที่สามที่ไม่ได้รับอนุญาตได้เข้าถึงแพลตฟอร์มดังกล่าวในช่วงระหว่างวันที่ 28 มีนาคมถึง 12 เมษายน และดาวน์โหลดเอกสารหลายรายการ ข้อมูลที่ได้รับผลกระทบรวมถึงข้อมูลส่วนบุคคลและข้อมูลทางการเงินบางส่วนที่บรรจุอยู่ในหรือใช้เตรียมการยื่นภาษี ขณะที่ยังไม่มีกลุ่มแรนซัมแวร์หรือกลุ่มรีดไถข้อมูลใดออกมาอ้างความรับผิดชอบต่อการโจมตีครั้งนี้
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 17 กรกฎาคม พ.ศ. 2569 ว่าเนื่องจากตัวอย่างหนังสือแจ้งเหตุมีช่องว่าง (Placeholder) สำหรับประเภทข้อมูลเฉพาะ ทำให้ประเภทของข้อมูลที่ถูกเปิดเผยยังไม่ชัดเจน นอกจากนี้บริษัทยังไม่ได้เปิดเผยว่ามีลูกค้าได้รับผลกระทบกี่ราย หรือเหตุการณ์นี้กระทบเฉพาะฐานลูกค้าในสหรัฐฯ หรือรวมถึงประเทศอื่นด้วย Ernst & Young ระบุว่าได้รักษาความปลอดภัยระบบและแจ้งหน่วยงานบังคับใช้กฎหมายระดับสหพันธ์แล้ว พร้อมยืนยันว่าได้กำจัดการเข้าถึงที่ไม่ได้รับอนุญาตออกไปเรียบร้อย
บริษัทยังระบุว่าไม่พบการนำไฟล์ที่ถูกขโมยไปใช้ในทางที่ผิดหรือการเปิดเผยเพิ่มเติม และไม่มีข้อบ่งชี้ว่าบุคคลใดโดยเฉพาะถูกกลุ่มผู้โจมตีพุ่งเป้า เพื่อบรรเทาความเสี่ยงที่เกิดจากการเปิดเผยครั้งนี้ EY เสนอบริการเฝ้าระวังและกู้คืนตัวตน (Identity Monitoring and Restoration) เป็นเวลา 24 เดือนแก่ลูกค้าที่ได้รับผลกระทบผ่านบริษัท Experian และเรียกร้องให้ผู้รับจดหมายลงทะเบียนภายในวันที่ 31 ตุลาคม 2569 ทั้งนี้ ณ เวลาที่รายงาน ยังไม่มีกลุ่มรีดไถข้อมูลหรือกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบ และ BleepingComputer ได้ติดต่อ EY เพื่อสอบถามข้อมูลเพิ่มเติมแต่ยังไม่ได้รับการตอบกลับ
รายละเอียดเหตุการณ์
เหตุการณ์ครั้งนี้เป็นตัวอย่างชัดเจนของความเสี่ยงจากบุคคลที่สาม (Third-Party Risk) เพราะจุดที่ถูกเจาะไม่ใช่ระบบหลักของ Ernst & Young เอง แต่เป็นระบบ support ticket ของผู้ให้บริการภายนอกที่ทีมไอทีของบริษัทใช้งาน ซึ่งเป็นระบบที่พนักงานมักแนบเอกสารประกอบการแก้ปัญหา รวมถึงเอกสารที่มีข้อมูลภาษีและข้อมูลการเงินอ่อนไหวของลูกค้า ช่วงเวลาที่ผู้บุกรุกเข้าถึงระบบระหว่างวันที่ 28 มีนาคมถึง 12 เมษายน กินเวลาราวสองสัปดาห์ก่อนที่บริษัทจะตรวจพบกิจกรรมผิดปกติในวันที่ 23 เมษายน สะท้อนถึงช่องว่างในการตรวจจับการเข้าถึงที่ไม่ได้รับอนุญาตบนแพลตฟอร์มของบุคคลที่สาม ซึ่งองค์กรมักมองเห็นและควบคุมได้น้อยกว่าระบบภายในของตนเอง
ผลกระทบต่อไทย
Ernst & Young ให้บริการในกว่า 150 ประเทศรวมถึงประเทศไทย ที่มีสำนักงาน EY ให้บริการตรวจสอบบัญชี ภาษี และที่ปรึกษาแก่องค์กรและบริษัทจดทะเบียนจำนวนมาก แม้ยังไม่มีการยืนยันว่าลูกค้าในไทยได้รับผลกระทบหรือไม่ แต่เหตุการณ์นี้เป็นเครื่องเตือนใจว่าข้อมูลภาษีและข้อมูลการเงินอ่อนไหวที่องค์กรไทยมอบให้ที่ปรึกษาภายนอกอาจตกอยู่ในความเสี่ยงหากระบบของผู้ให้บริการหรือระบบของบุคคลที่สามที่เชื่อมโยงกันถูกเจาะ องค์กรไทยจึงควรตระหนักถึงความเสี่ยงในห่วงโซ่อุปทาน (Supply Chain) ของบริการวิชาชีพ และควรสอบถามมาตรการปกป้องข้อมูลของผู้ให้บริการที่ตนใช้งาน
คำแนะนำ
ลูกค้าที่ได้รับหนังสือแจ้งจาก EY ควรลงทะเบียนใช้บริการเฝ้าระวังตัวตนที่บริษัทจัดให้ภายในกำหนด และเฝ้าระวังกิจกรรมผิดปกติในบัญชีการเงินและข้อมูลภาษีของตน สำหรับองค์กรทั่วไป เหตุการณ์นี้เน้นย้ำความสำคัญของการบริหารความเสี่ยงจากบุคคลที่สาม ควรประเมินมาตรการความปลอดภัยของผู้ให้บริการภายนอกก่อนมอบข้อมูลอ่อนไหว จำกัดปริมาณข้อมูลที่แนบในระบบ support ticket หรือเครื่องมือของบุคคลที่สามให้น้อยที่สุดเท่าที่จำเป็น เปิดใช้งานการเข้ารหัสและการควบคุมการเข้าถึงบนแพลตฟอร์มเหล่านั้น รวมถึงตั้งระบบตรวจจับและแจ้งเตือนการเข้าถึงที่ผิดปกติเพื่อลดเวลาในการค้นพบเหตุการณ์ให้สั้นที่สุด
