တိုက်ခိုက်သော ဟက်ကာ lapsus$ အဖွဲ့က ဧရာ၀တီဘဏ်က ငွေမပေးလျှင် ရရှိထားသော အချက် အလက်များကို ဇူလိုင်လ ၈ ရက်နေ့ ပြင်ပသို့ ရောင်းချမည်ဟုကြေညာ
ရန်ကုန်၊ဇွန် ၂၆
ဧရာ၀တီဘဏ်(AYA Bank) မှ ဘဏ်အကောင့်ဖွင့်ထားသူများ၏ အချက်အလက်များ ပေါက် ကြားသွား၍ အရေးပေါ် ဒီဂျစ်တယ်လုံခြုံရေး ဆောင်ရွက်ကြရန် မြန်မာအင်တာနက်ပရောဂျက် (Myanmar Internet Project – MIP) မှ သစ်ဉာဏ်က သတိပေးလိုက်သည်။
မြန်မာနိုင်ငံရှိ ငွေကြေးဝန်ဆောင်မှုလုပ်ငန်းတစ်ခုဖြစ်သော “ဧရာဝတီဘဏ် (AYA Bank)” ၏ ဒစ်ဂျစ်တယ်ဘဏ်စနစ်အတွင်း ကိုယ်ရေးကိုယ်တာအချက်အလက် (PII) ကာကွယ်ပေးနိုင်ရေးဆိုင်ရာ ဥပဒေကြောင်းနှင့် နည်းပညာပိုင်းဆိုင်ရာ လစ်ဟင်းမှုများသည် ကြီး မားသော စိန်ခေါ်မှုတစ်ရပ် ဖြစ်နေကြောင်း၊ အဆိုပါဘဏ်၏ ဒေတာပေါက်ကြားမှုကြောင့် အရေးပေါ် ကာကွယ်ရေးအစီအမံများ ဆောင် ရွက်ရန် MIP က တိုက်တွန်းလိုက်သည်။
၂၀၂၆ ခုနှစ် ဇွန်လ ၂၄ ရက်နေ့ မြန်မာစံတော်ချိန် နံနက် ၀၁ နာရီ ၂၂ မိနစ်အချိန် နာမည်ကျော် ဟက်ကာအဖွဲ့ဖြစ်သည့် “lapsus$” က ဧရာဝတီဘဏ်၏ စနစ်အတွင်း ဝင်ရောက်ကာ အချက် အလက်အမြောက်အမြားကို ခိုးယူခဲ့ကြောင်း ကြေညာခဲ့သည်။
ဧရာ၀တီဘဏ်ဘက်ကမူ Portal အဟောင်းတစ်ခုမှ အချက်အလက်အချို့ ပေါက်ကြားသွားကြောင်း ဝန်ခံထားသော်လည်း MIP အပါအဝင် ဆိုက်ဘာကျွမ်း ကျင်သူများကမူ ယခုဖြစ်စဉ်သည် မြန်မာ့ဒစ်ဂျစ်တယ်လုံခြုံရေးကဏ္ဍ၏ အကာအကွယ်မဲ့နေမှုကို ဖော်ပြနေခြင်းဖြစ်ကြောင်း ထောက်ပြထားကြသည်။
“ပေါက်ကြားသွားတဲ့ အချက်အလက်တွေမှာ ပြောင်းလဲလို့ မရနိုင်တဲ့ အမည်၊ မှတ်ပုံတင်အမှတ် စတဲ့အချက်တွေ ပါသွားနိုင်တယ်။ ဒီအတွက် လုံလောက်တဲ့ အကာအကွယ်က မဲ့နေ၊ နည်းနေတယ်။ ဒါကြောင့် ဒီအချက်အလက်တွေကို မသမာတဲ့နည်းနဲ့အသုံးချမယ့်သူတွေ ရှိလာနိုင်တယ်။ ဒီအခြေအနေမှာ ပုံမှန်မဟုတ်တဲ့ ဆက်သွယ်ပြောဆိုမှုတွေကို သတိထားသင့်တယ်။ ဒစ်ဂျစ်တယ် လုံခြုံရေးသတိရှိသင့်ပါတယ်” ဟု မြန်မာအင်တာနက်ပရောဂျက် (Myanmar Internet Project – MIP) မှ သစ်ဉာဏ်က သတိပေးရှင်းပြသည်။
ဧရာ၀တီဘဏ်ကို lapsus$ Hacker Group (သို့မဟုတ်) Microsoft က “Strawberry Tempest” ဟု အမည်ပေးထားသည့် ဟက်ကာအဖွဲ့က ထိုးဖောက်ဝင်ရောက်ခဲ့ခြင်းဖြစ်သည်။ ယင်းအဖွဲ့သည် ၂၀၂၁ ခုနှစ် နှစ်လယ်ခန့်တွင် စတင်ပေါ်ပေါက်လာပြီး ဘရာဇီးကျန်းမာရေးဝန်ကြီးဌာန၊ NVIDIA, Samsung, Microsoft, Okta နှင့် Rockstar Games ကဲ့သို့သော ကမ္ဘာ့နည်းပညာနှင့် ဂိမ်းကုမ္ပဏီကြီးများကိုပါ ဆက် တိုက်တိုက်ခိုက်ခဲ့သည့် လက်စောင်းထက်သော ဆိုက်ဘာရာဇဝတ်ဂိုဏ်းဖြစ်သည်။
ယင်းအဖွဲ့က နည်းပညာမြင့် Malware သို့မဟုတ် Zero-day Exploit များထက် လူကိုလှည့်စားသည့် “Social Engineering” နည်းလမ်းဖြင့် ကုမ္ပဏီဝန်ထမ်းများထံမှတစ်ဆင့် Database များထဲ ဝင်ရောက်ကာ သူတို့၏ အောင်မြင်မှုများကို Telegram Group များမှတစ်ဆင့် ထုတ်ဖော်ကြွားဝါလေ့ရှိသည်။
ယခုတိုက်ခိုက်မှုတွင် lapsus$ အဖွဲ့က ဧရာဝတီဘဏ်ထံမှ 120 Gb ပမာဏရှိ ဒေတာအချက်အလက်များကို ရယူထားပြီး ဘဏ်က ငွေကြေးပေးဆောင်ခြင်းမရှိပါက လာမည့် ဇူလိုင်လ ၈ ရက်နေ့တွင် ပြင်ပသို့ ရောင်းချသွားမည် ဟု ကြေညာထားသည်။
ဟက်ကာအဖွဲ့က ခိုးယူခံရရှိထားသည့်အချက်အလက်များထဲတွင် အမည်၊ မှတ်ပုံတင်နံပါတ်၊ မွေးသက္ကရာဇ်၊ ဖုန်းနံပါတ်နှင့် နေရပ်လိပ်စာ စသည့် ကိုယ်ရေးကိုယ်တာအချက်အလက်များ (PII)၊ ဘဏ်အကောင့်ဖွင့်စဉ်က သုံးခဲ့သည့် သုံးစွဲသူ၏ အထောက်အထား (KYC) များ ပါဝင်သွားနိုင်သည်။
ထို့ပြင် ထုတ်ပြလာသော မျက်မြင်တွေ့ရှိချက်များအရ လုပ်ခလစာစာရင်း (Payroll) များ၊ Credit Card၊ Visa Card နှင့် အရစ်ကျငွေပေးချေမှု စာရင်းဇယားများ ပါဝင်နေနိုင်ကြောင်း တွေ့ရသည်။
မြန်မာအင်တာနက်ပရောဂျက် (MIP) ၏ လေ့လာမှုအရ မြန်မာနိုင်ငံတွင် ထိရောက်ပြည့်စုံသော ကိုယ် ရေးကိုယ်တာအချက်အလက် ကာကွယ်ရေးဥပဒေနှင့် အချက်အလက်ပေါက်ကြားမှုကို အသိပေးရမည့် မူဘောင် (Breach Notification Framework) ရှိမနေကြောင်း တွေ့ရသည်။
ဥရောပသမဂ္ဂနိုင်ငံများတွင် ဥပဒေအရ ဒေတာပေါက်ကြားပါက ၇၂ နာရီအတွင်း အစိုးရထိန်းသိမ်းရေးအဖွဲ့ (Regulator) ထံ အကြောင်းကြားရမည့်အပြင်၊ ကုမ္ပဏီနှစ်ချုပ်ဝင်ငွေ၏ ၄ ရာခိုင်နှုန်း သို့မဟုတ် ယူရိုသန်း ၂၀ အထိ ပြင်းထန်စွာ ဒဏ်ရိုက်နိုင်ပြီး၊ အမေရိကန် (FTC) နှင့် ပြည်နယ်အလိုက် ဥပဒေများ (CCPA) တွင်လည်း ဒေါ်လာသန်းပေါင်းများစွာ ဒဏ်ရိုက်သည့် ပြစ်ဒဏ်များ ချမှတ်ထားသည်။
မြန်မာနိုင်ငံတွင်မူ ဆိုက်ဘာလုံခြုံရေးဥပဒေ (ပုဒ်မ ၂၉)အရ ဆိုက်ဘာဖြစ်စဉ်များကို ချက်ချင်းအကြောင်းကြားရန် ဆိုထားသော်လည်း ယင်းပြဋ္ဌာန်းချက်သည် “ဆိုက်ဘာလုံခြုံရေး ဝန်ဆောင်မှုလုပ်ငန်း” များအတွက်သာ နိဒါန်းတွင် ဖော်ပြထားသဖြင့် ဘဏ်ကဲ့သို့ ငွေကြေးဝန်ဆောင်မှုလုပ်ငန်းများနှင့် အကျုံးဝင်မှု ရှိ၊ မရှိမှာ ဝိရောဓိဖြစ်ပြီး အငြင်းပွားဖွယ်ဖြစ်နေသည်။
သက်ဆိုင်သည်ဟု သတ်မှတ်လျှင်ပင် ပြစ်ဒဏ်စီမံခန့်ခွဲရေးအရ “သတိပေးခြင်း” မျှဖြင့် ပြီးဆုံးသွားနိုင်သည်။ ထို့ပြင် စနစ်များတွင် ဒေတာများကို Encryption စနစ်ဖြင့် လုံခြုံစွာသိမ်းဆည်းရမည့် သတ်မှတ်ချက်မျိုး တိတိပပ မရှိပေ။
ဥပဒေများသည် လူတစ်ဦးချင်းစီ၏ အချက်အလက်ကို ကာကွယ်ရန်ထက် အုပ်ချုပ်သူများက အသုံးချရန်သာ ပိုမိုရည်ရွယ်ထားပြီး၊ စစ်အုပ်စုက လုပ်ဆောင်နေသည့် National Database (နေရှင်နယ်ဒေတာဘေ့စ်) စနစ်တွင် နိုင်ငံသားတို့၏ ဇီဝအချက်အလက် (Biometric Data) များပါ တစ်နေရာတည်း စုစည်း သိမ်းဆည်းလာပါက ဟက်ကာများ၏ ပစ်မှတ်ဖြစ်လာပြီး ပေါက်ကြားခဲ့လျှင် နောက်ဆက်တွဲ ဆုံးရှုံးမှုနှင့် သက်ရောက်မှုမှာ အလွန်ကြီးမားနိုင်ကြောင်း MIP က သတိပေးထားသည်။
ဧရာဝတီဘဏ် (AYA Bank)အနေဖြင့် အရေးပေါ် ဆောင်ရွက်မှုများ လုပ်ဆောင်ရန် လိုအပ်နေပြီး “လုံခြုံရေးတိုးမြှင့်ထားပါသည်” ဟု ထုတ်ပြန်ရုံဖြင့် မလုံလောက်ဘဲ သုံးစွဲသူများ ကာလရှည်ဘေးကင်းစေရန် ဆောင်ရွက်ရန် MIP က တိုက်တွန်းသည်။
ဧရာ၀တီဘဏ်အနေဖြင့် လက်ရှိအခြေအနေအပေါ် ပွင့်လင်းမြင်သာစွာ ထုတ်ပြန်ရန် လိုအပ်ပြီး Portal အဟောင်းမှ Core Banking နှင့် မချိတ်ဆက်ထားဟု ဆိုသော်လည်း မည်သည့် ကိုယ်ရေးအချက်အလက် (PII) များ အတိအကျ ပါသွားသည်ကို ချပြရမည်ဖြစ်ကာ ဆိုက်ဘာလုံခြုံရေးနှင့် ဒစ်ဂျစ်တယ်မှုခင်းရှာဖွေရေး (Digital Forensic) လွတ်လပ်သော ကျွမ်းကျင်သူအဖွဲ့ဖြင့် စစ်ဆေးကာ အများပြည်သူသို့ အစီရင်ခံစာ ထုတ်ပြန်ပေးရန် လိုအပ်သည်။
အရေးပေါ် ကာကွယ်ရေးအစီအမံများ ဆောင်ရွက်ရမည်ဖြစ်ပြီး ကိုယ်ရေးအချက်အလက်များ ပါသွားသဖြင့် Social Engineering ပြုလုပ်၍ တိုက်ခိုက်ခံရနိုင်မှုမှာ မြင့်မားနေဆဲဖြစ်၍၊ ထိခိုက်နိုင်ခြေရှိသည့် လက်ရှိသုံးစွဲသူများထံ ဘဏ်၏ တရားဝင်လမ်းကြောင်းများ (SMS၊ App Notification၊ Email) မှတစ်ဆင့် ကာကွယ်ရေး လမ်းညွှန်ချက်များနှင့် သုံးစွဲသူလုပ်ဆောင်ရမည့် အစီအစဥ်များကို ချက်ချင်း ဆက်သွယ်အသိပေးရမည်ဟု ထောက်ပြထားသည်။
ထို့ပြင် နောက်ဆက်တွဲ ဖြစ်လာမည့် အန္တရာယ်များကို တာဝန်ယူရန်ဖြစ်ပြီး ဘဏ်ဝန်ထမ်းယောင်ဆောင် ဖုန်းခေါ်ဆိုမှု၊ SMS Scam နှင့် Phishing Link ပေးပို့မှုများ မြင့်မားလာနိုင်ခြေရှိရာ ယင်းတို့ကို ကိုင်တွယ်ရန် သုံးစွဲသူများ ဆက်သွယ်နိုင်မည့် Hot Line အင်အားကို တိုးမြှင့်ရမည်ဖြစ်ကြောင်း၊ ဘဏ်၏ လုံခြုံရေးအားနည်းချက်ကြောင့် သုံးစွဲသူများ မသိဘဲ ငွေလွှဲပြောင်းခံရမှုများ ရှိလာပါက သုံးစွဲသူအပေါ် ဝန်ထုပ်ဝန်ပိုးမဖြစ်စေဘဲ ဘဏ်က တာဝန်ယူ ဖြေရှင်းပေးရမည်ဖြစ်ကြောင်း MIP က တိုက်တွန်းသည်။
နောက်ဆုံးအနေဖြင့် ရေရှည် ကာကွယ်ရေးအစီအမံများ ချမှတ်ရန်လိုအပ်ပြီး ပေါက်ကြားသွားသည့် အမည်၊ မှတ်ပုံတင်နှင့် ဖုန်းနံပါတ် (PII) များသည် Password သို့မဟုတ် ဘဏ်ကတ်များကဲ့သို့ လွယ်လင့်တကူ အစားထိုးလဲလှယ်၍ မရနိုင်ကြောင်း၊ ထို့ကြောင့် ၎င်းသုံးစွဲသူများအတွက် ကာလရှည် စောင့်ကြည့်ဖြေရှင်းပေးခြင်း၊ ဖုန်းနံပါတ်ပြောင်းလဲခြင်း၊ အကောင့် Recovery ပြုလုပ်ခြင်းများတွင် Verification အဆင့်များကို ပိုမိုဖြည့်သွင်းရန်နှင့် Scam Call သို့မဟုတ် Identity Theft ဖြစ်စဉ်များကို တိုင်ကြားနိုင်မည့် ချန်နယ်များ ချက်ချင်းဖွင့်လှစ်ရန် MIP က တိုက်တွန်းထားသည်။
