อัยการอัลบาเนียเอาผิดอาญาผู้ดูแลระบบ 5 คนฐานไม่อัพเดตแพตช์ SharePoint จนโดนแฮก – SMS Marketing ราคาถูกที่สุด
เมื่อเดือนพฤศจิกายนที่ผ่านมาอัยการอัลบาเนียยื่นฟ้องผู้ดูแลระบบเว็บไซต์ของรัฐบาล 5 ราย ฐานปฎิบัติหน้าที่โดยมิชอบ (abuse of post) จากการไม่อัพเดตแพตช์ระบบและอัพเดตตัวป้องกันไวรัส จนระบบของรัฐบาลถูกแฮก
ผู้ดูแลระบบทั้ง 5 รับผิดชอบระบบ SharePoint ของรัฐบาล แต่สุดท้ายระบบถูกแฮกด้วยช่องโหว่ CVE-2019-0604 จากนั้นคนร้ายเข้าไปยังระบบอื่นๆ ผ่านทางโปรโตคอลต่างๆ ทั้ง RDP, SMB, และ FTP การแฮกขยายวงไปมากจนกระทบระบบของรัฐบาลเป็นวงกว้าง คนร้ายเข้าถึงระบบอีเมลและ VPN จากนั้นดึงข้อมูลออกไป 3-20GB แล้วเข้ารหัสข้อมูลเรียกค่าไถ่ หรือบางเครื่องก็ถูกลบข้อมูลออก
คดีนี้ทำให้รัฐบาลอัลบาเนียไม่พอใจอิหร่านที่เชื่อว่าอยู่เบื้องหลังอย่างมาก ถึงกับตัดความสัมพันธ์ทางการทูตแม้ว่าทางอิหร่านจะยืนยันว่าไม่ได้อยู่เบื้องหลัง
ข้อหาที่อัยการสั่งฟ้องผู้ดูแลระบบทั้ง 5 รายนั้นมีโทษจำคุกสูงสุด 7 ปี แต่คดีนี้อัยการยื่นฟ้องขอให้ศาลสั่งกักตัวในบ้าน (house arrest) โดยอัยการมองว่าหากทั้ง 5 คนดูแลระบบตามมาตรฐานก็จะไม่ถูกโจมตีเช่นนี้
Bruce Schneier นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ให้ความเห็นว่าหากยังใช้แนวทางเอาผิดกับผู้ดูแล ต่อไปนักพัฒนาก็อาจจะถูกเอาผิดอาญาฐานออกแพตช์ช้าหรือไม่ก็เอาผิดโปรแกรมเมอร์ที่เขียนซอฟต์แวร์มีช่องโหว่
ที่มา – Schneier on Security, Slate.com
ภาพโดย Bru-nO