ခရိုနီ ဇော်ဇော်ပိုင် ဧရာဝတီဘဏ် (AYA Bank) ဆိုက်ဘာတိုက်ခိုက်ခံရပြီး ဘဏ်သုံးစွဲသူများ၏ အချက်အလက်များ ပြင်ပသို့ ပေါက်ကြားသွားမှု ဘဏ်က တရားဝင် ဝန်ခံ ၊ LAPSUS$ ဟက်ကာအဖွဲ့က ၎င်းတို့လက်ချက်ဖြစ်ကြောင်း ကြေညာ

ရန်ကုန်၊ ဇွန် ၂၅

မြန်မာနိုင်ငံ၏ အဓိက ပုဂ္ဂလိကဘဏ်ကြီးတစ်ခုဖြစ်သော ခရိုနီ ဇော်ဇော်ပိုင် ဧရာဝတီဘဏ် (AYA Bank) သည် ဆိုက်ဘာတိုက်ခိုက် ခံရပြီး ဘဏ်သုံးစွဲသူများ၏ ကိုယ်ရေးအချက်အလက်အချို့ ပြင်ပသို့ အမှန်တကယ် ပေါက်ကြားသွားခဲ့ကြောင်း ဧရာ၀တီဘဏ်ဘက်က တရားဝင် ထုတ်ပြန်ဝန်ခံလိုက်သည်။

ယင်းတိုက်ခိုက်မှုနှင့်ပတ်သက်၍ နာမည်ကျော် ရန်ဆမ်းဝဲ (Ransomware) နှင့် ဒေတာခိုးယူငွေညှစ်မှုများ လုပ်ဆောင်လေ့ရှိသည့် LAPSUS$ ဟက်ကာအဖွဲ့က ၎င်းတို့၏ လက်ချက်ဖြစ်ကြောင်း ဇွန်လ ၂၃ ရက်နေ့တွင် ဒေတာပေါက်ကြားမှုများကို ဖော်ပြလေ့ရှိသည့် Leak Site များတွင် ကြေညာခဲ့သည်။

ဇွန်လ ၂၃ ရက်နေ့က ဆိုက်ဘာတိုက်ခိုက်မှုများနှင့် ဒေတာပေါက်ကြားမှုများကို စောင့်ကြည့်ဖော်ပြပေးသည့် လျှို့ဝှက်ဝက်ဘ်ဆိုက် (Leak site) များတွင် ဧရာဝတီဘဏ် (AYA BANK) အား သားကောင် (Victim) အဖြစ် စာရင်းသွင်းထားသည့် အထောက်အထားများ ထုတ်ပြန်ခဲ့သည်။

LAPSUS$ အဖွဲ့၏ ဖော်ပြချက်အရ ၎င်းတို့သည် AYA Bank ၏ “Main Platform” မှ ဒေတာအပြည့် အစုံ (Full Dump) နှင့် သုံးစွဲသူများ၏ ကိုယ်ရေးကိုယ်တာ ခွဲခြားသတ်မှတ်နိုင်သော အချက်အလက်များ (Personally Identifiable Information – PII) ကို ရယူထားကြောင်းဆိုပြီး ဧရာ၀တီဘဏ်က ဆက်သွယ်ညှိနှိုင်းခြင်း သို့မဟုတ် ငွေပေးချေခြင်း မပြုလုပ်ပါက အဆိုပါ ဒေတာများကို ပြင်ပသို့ ရောင်းချသွားမည်ဟု ခြိမ်းခြောက်ထားသည်။

သို့သော် AYA Bank ကမူ ဟက်ကာအဖွဲ့၏ ပြောဆိုချက်အတိုင်း ပင်မဘဏ်စနစ်တစ်ခုလုံး ပေါက်ကြားသွားခြင်း မဟုတ်ကြောင်း ငြင်းဆိုထားပြီး Application Portal အဟောင်းတစ်ခုမှ ငွေကြေးဆိုင်ရာမဟုတ်သော လျှောက်လွှာအချက်အလက်အချို့သာ ပြင်ပသို့ ပေါက်ကြားသွားခဲ့ခြင်းဖြစ်ကြောင်း ထုတ်ပြန်ထားသည်။

AYA Bank ၏ ထုတ်ပြန်ချက်တွင် “AYA Bank တွင် အသုံးပြုခဲ့သည့် Application Portal အဟောင်းတစ်ခုမှ ငွေကြေးဆိုင်ရာမပါဝင်သော လျှောက်လွှာအချက်အလက်အချို့ ပြင်ပသို့ ပေါက်ကြားခဲ့သော ဖြစ်စဉ်တစ်ခု ဖြစ်ပွားခဲ့ပါသည်” ဟု ဖော်ပြထားသည်။

ထို့ပြင် အဆိုပါ Portal အဟောင်းသည် ဘဏ်၏ ပင်မငွေကြေးစနစ်များဖြစ်သည့် Core Banking System၊ AYA Pay System နှင့် ကတ်စနစ်များနှင့် တိုက်ရိုက်ချိတ်ဆက်ထားခြင်းမရှိကြောင်း၊ ထို့ကြောင့် AYA Pay၊ Internet Banking နှင့် Mobile Banking စနစ်များအပေါ် ထိခိုက်မှုမရှိဘဲ ပုံမှန်အတိုင်း ဆက်လက်အသုံးပြုနိုင်ကြောင်း ဘဏ်ဘက်က အာမခံထားသည်။

ဘဏ်အနေဖြင့် ယခုဖြစ်စဉ်ကြောင့် သုံးစွဲသူများ စိတ်အနှောင့်အယှက်ဖြစ်ခဲ့ရခြင်းအတွက် တောင်းပန်ကြောင်းနှင့် ဆိုက်ဘာလုံခြုံရေးစနစ်များကို ပိုမိုတိုးမြှင့်ဆောင်ရွက်လျက်ရှိကြောင်းလည်း ထုတ်ပြန်ထားသည်။

သို့သော် ဆိုက်ဘာလုံခြုံရေး ကျွမ်းကျင်သူများကမူ ပေါက်ကြားသွားသော အချက်အလက်များသည် ငွေကြေးဆိုင်ရာဒေတာ မဟုတ်သည့်တိုင် ကိုယ်ရေးအချက်အလက် (PII) များဖြစ်ပါက နောက် ဆက်တွဲ ဆိုက်ဘာရာဇဝတ်မှုများ ဖြစ်ပေါ်လာနိုင်ကြောင်း သတိပေးထားသည်။

ပေါက်ကြားသွားသော အမည်၊ ဖုန်းနံပါတ်၊ အီးမေးလ်လိပ်စာနှင့် အခြားကိုယ်ရေးအချက်အလက်များကို အသုံးပြု၍ ဘဏ်ဝန်ထမ်းအယောင်ဆောင် ဖုန်းခေါ်ဆိုခြင်း၊ SMS ပေးပို့ခြင်း၊ Phishing Link များပေးပို့ခြင်းနှင့် OTP ကုဒ်တောင်းခံ၍ အကောင့်လိမ်လည်ရယူခြင်း စသည့် ဆိုက်ဘာလိမ်လည်မှုများ ပိုမိုမြင့်တက်လာနိုင်ကြောင်းလည်း ထောက်ပြထားသည်။

ထို့ကြောင့် AYA Bank သုံးစွဲသူများအနေဖြင့် Mobile Banking နှင့် Internet Banking အကောင့်များ၏ Password များကို ချက်ချင်းပြောင်းလဲထားသင့်ကြောင်း၊ ဘဏ်ဝန်ထမ်းဟု ဆိုကာ ဖုန်းခေါ်ဆိုပြီး OTP ကုဒ်၊ Password သို့မဟုတ် ကိုယ်ရေးအချက်အလက်များ တောင်းခံလာပါက မည်သူ့ကိုမျှ မပေးရန်နှင့် AYA Bank အမည်ဖြင့် ပေးပို့လာသည့် မသင်္ကာဖွယ် လင့်ခ်များကို မနှိပ်ရန် ဆိုက်ဘာလုံခြုံရေးကျွမ်းကျင်သူများက အထူးသတိပေးထားသည်။

လက်ရှိအချိန်အထိ LAPSUS$ အဖွဲ့က AYA Bank နှင့်သက်ဆိုင်သည်ဟုဆိုသော ဒေတာများကို အများ ပြည်သူထံ ထုတ်ပြန်ခြင်း သို့မဟုတ် ရောင်းချခြင်း ပြုလုပ်ခဲ့ခြင်း ရှိ၊ မရှိကို သီးခြားအတည်ပြုနိုင်ခြင်း မရှိသေးဘဲ၊ ဘဏ်ဘက်ကလည်း ပေါက်ကြားသွားသည့် အချက်အလက်အမျိုးအစားနှင့် ထိခိုက်မှုအတိုင်းအတာကို အသေးစိတ် ထုတ်ဖော်ပြောဆိုထားခြင်း မရှိသေးကြောင်း သိရသည်။