၂၅ ဇွန် ၂၀၂၆ | New Day Myanmar
ဧရာဝတီဘဏ် (AYA Bank) မှာ အသုံးပြုခဲ့တဲ့ Application Portal အဟောင်းတစ်ခုကနေ ငွေကြေးဆိုင်ရာမဟုတ်တဲ့ လျှောက်လွှာအချက်အလက်အချို့ ပြင်ပကို ပေါက်ကြားခဲ့ကြောင်း ဘဏ်ဘက်က ဝန်ခံထုတ်ပြန်လိုက်ပါတယ်။
ဒါပေမဲ့ အချက်အလက်ပေါက်ကြားခဲ့တဲ့ Portal ဟာ ဘဏ်ရဲ့ Core Banking System၊ AYA Pay System နဲ့ Card System အပါအဝင် ပင်မစနစ်တွေနဲ့ တိုက်ရိုက်ချိတ်ဆက်ထားခြင်းမရှိဘူးလို့ AYA Bank က ဆိုပါတယ်။
AYA Pay၊ Internet Banking နဲ့ Mobile Banking စနစ်တွေအပါအဝင် တခြားဘဏ်စနစ်တွေ ထိခိုက်မှုမရှိသလို သုံးစွဲသူတွေရဲ့ ဘဏ္ဍာရေးဆိုင်ရာအချက်အလက်တွေ ဘေးကင်းလုံခြုံနေတယ်လို့ ဘဏ်ဘက်က ပြောထားပါတယ်။
ဒါပေမယ့် ဘဏ်ရဲ့ ငွေကြေးဆိုင်ရာမဟုတ်တဲ့ လျှောက်လွှာအချက်အလက်အချို့သာ ပေါက်ကြားခဲ့တယ် ဆိုတဲ့ ထုတ်ပြန်ချက်နဲ့ ဟက်ကာအဖွဲ့ရဲ့ ဘဏ်ပင်မစနစ်က ဒေတာ ၁၂၀ GB ရယူထားတယ် ဆိုတဲ့ ပြောဆိုချက်တို့အကြား သိသိသာသာ ကွာဟမှုရှိနေပါတယ်။
“သူကတော့ Core Banking System ထဲကို မရောက်ဘူးလို့ ပြောပေမယ့် အချက်အလက်တွေက အပြင်ကို ပေါက်သွားပြီးပြီလေ။ အဲ့ဒီကိစ္စက ဘဏ်သုံးစွဲနဲ့ အားလုံးနဲ့ဆိုင်တဲ့ အချက်အလက်တွေ အပြင်ကိုပေါက်သွားတာ။ ဒီကိစ္စကို ဒီလိုပြောပြီးရှင်း လို့ တော့ ရမှာမဟုတ်ဘူး။ သေသေချာချာကိုရှင်းမှ ရမယ်။ ဘယ်လောက်အတိုင်းအတာအထိ ဖြစ်မယ်ဆိုတာ ဘယ်သူမှ ပြောလို့မရဘူး”လို့ AYA ဘဏ်သုံးစွဲသူ တဦးက New Day Myanmar ကိုပြောပါတယ်။
နောက်ထပ်သုံးစွဲသူတဦးကလည်း “Application Portal ပါတယ်ဆိုမှ application တင်ထားတဲ့ လူတိုင်းရဲ့ unique identification တွေ အကုန်ပါသွားပြီပေါ့။ တချို့ဆို password ကို မွေးနေ့တို့ ဖုန်းနံပါတ်တို့ထားကြတာ၊ application form တင်တာတုန်းက ကိုယ်ရေးအချက်အလက်တွေ အကုန်ဖြည့်ရတာလေ ဘယ်နဲ့လုပ်ကြမတုန်း၊ ဒီလို ပေါ့ပေါ့ပြောနေမယ့်အစား ဘယ်လို preventing & protection လုပ်ထားရမလဲဆိုတာ လူထုကို သေချာသိအောင် ကြော်ငြာရမှာ။”လို့ AYA ဘဏ်ရဲ့ ဖြေရှင်းချက်အောက်မှာ မှတ်ချက်ပေးရေးသားထားပါတယ်။
AYA Bank ရဲ့ ဝန်ခံချက်ဟာ LAPSUS$ GROUP အမည်အသုံးပြုထားတဲ့ ဟက်ကာအဖွဲ့တစ်ခုက ဘဏ်ရဲ့ အချက်အလက်တွေ ရယူထားတယ်လို့ ကြေညာပြီးနောက် ထွက်ပေါ်လာတာ ဖြစ်ပါတယ်။
Dark Web ပေါ်က ဆိုက်ဘာခြိမ်းခြောက်မှုတွေကို စောင့်ကြည့်ဖော်ပြနေတဲ့ Dark Web Informer က ဇွန်လ ၂၄ ရက်မှာ AYA Bank ကို LAPSUS$ GROUP ရဲ့ ပစ်မှတ်အဖြစ် ကြေညာထားကြောင်း ဖော်ပြခဲ့ပါတယ်။
ဟက်ကာအဖွဲ့ဘက်က AYA Bank ရဲ့ ပင်မစနစ်နဲ့ သုံးစွဲသူတစ်ဦးချင်းကို ခွဲခြားသတ်မှတ်နိုင်တဲ့ ကိုယ်ရေးအချက်အလက်တွေ အပါအဝင် ဖိသိပ်ထားပြီးသား ဒေတာ ၁၂၀ GB ခန့် ရယူထားတယ်လို့ အခိုင်အမာဆိုပါတယ်။
ဘဏ်ဘက်က ဆက်သွယ်ညှိနှိုင်းခြင်းမရှိရင် အဲဒီဒေတာတွေကို ဇူလိုင်လ ၈ ရက်ကစပြီး ဝယ်ယူသူတစ်ဦးတည်းထံ ရောင်းချသွားမယ်လို့လည်း ဟက်ကာအဖွဲ့က ခြိမ်းခြောက်ထားပါတယ်။
ဒါပေမဲ့ အဲဒီအဖွဲ့က ရယူထားတယ်ဆိုတဲ့ ဒေတာအပြည့်အစုံကို လူသိရှင်ကြားထုတ်ပြထားခြင်း မရှိသေးဘဲ ဖိုင်အမည်တွေနဲ့ ဖိုင်တွဲတည်ဆောက်ပုံကို ဖော်ပြထားတဲ့ File Tree ပုံတွေကိုသာ အဓိက ထုတ်ပြထားပါတယ်။
ထုတ်ပြထားတဲ့ ဖိုင်စာရင်းတွေထဲမှာ all_cards_v6.csv၊ credit_cards.csv၊ visa_cards.csv နဲ့ customer_payments_success.csv တို့လို ကတ်အချက်အလက်နဲ့ ငွေပေးချေမှုမှတ်တမ်းတွေ ပါဝင်နိုင်တယ်လို့ ယူဆရတဲ့ ဖိုင်အမည်တွေ တွေ့ရှိရပါတယ်။
ဝန်ထမ်းလစာပေးချေမှုနဲ့ ဆက်နွှယ်နိုင်တဲ့ Approved Credit Card Payroll list.xlsx ဆိုတဲ့ ဖိုင်အမည်အပြင် ဘဏ်ခွဲနဲ့ ငွေလွှဲပြောင်းမှုမှတ်တမ်းတွေ ပါဝင်နိုင်တယ်လို့ ယူဆရတဲ့ ဖိုင်တွေလည်း တွေ့ရတယ်လို့ ထုတ်ပြထားတဲ့ File Tree ကို လေ့လာခဲ့သူ ဆိုက်ဘာနည်းပညာကျွမ်းကျင်သူတစ်ဦးက New Day Myanmar ကို ပြောပါတယ်။
“ကိုယ်ရေးအချက်အလက်တွေ ပေါက်ကြားသွားတာကို အဆင်ပြေပြေဆက်သုံးလို့ ရတယ်ပြောတာတော့ နည်းပညာရှုထောင့်က ကြည့်ရင် ပုံမှန်တော့မဟုတ်ဘူး။ ဘယ်လို စနစ်တွေနဲ့ ဘယ်လောက် ခိုင်ခိုင်မာမာ ပြန်လည်ကာကွယ်ထားတယ်။ ပေါက်ကြားတဲ့ အချက်အလက်တွေကို ဘယ်လို ဖြေရှင်းမယ်ဆိုတာ အရေးကြီးပါတယ်။”လို့ သူကပြောပါတယ်။
AYA Bank ကလည်း ပေါက်ကြားခဲ့တဲ့ အချက်အလက်အမျိုးအစား၊ ထိခိုက်သူအရေအတွက်၊ အမည်၊ ဖုန်းနံပါတ်၊ မှတ်ပုံတင်အချက်အလက်နဲ့ နေရပ်လိပ်စာတို့ ပါဝင်ခြင်းရှိ၊ မရှိကို အသေးစိတ်ထုတ်ပြန်ထားခြင်း မရှိသေးပါဘူး။
အချက်အလက်တွေ အမှန်တကယ်ပေါက်ကြားခဲ့ရင် ဘဏ်အကောင့်ထဲက ငွေတွေ ချက်ချင်းပျောက်ဆုံးနိုင်တာတစ်ခုတည်းကိုသာ စိုးရိမ်ရတာမဟုတ်ဘဲ သုံးစွဲသူတစ်ဦးချင်းကို ပစ်မှတ်ထားတဲ့ အွန်လိုင်းငွေလိမ်မှုနဲ့ ဘဏ်ဝန်ထမ်းအယောင်ဆောင် ဖုန်းဆက်လိမ်လည်မှုတွေ ပိုမိုဖြစ်ပေါ်လာနိုင်တယ်လို့ နည်းပညာကျွမ်းကျင်သူတွေက သတိပေးပါတယ်။
AYA Bank သုံးစွဲသူတွေအနေနဲ့ OTP၊ Password၊ PIN နဲ့ CVV နံပါတ်တွေကို မည်သူ့ကိုမှ မပေးဖို့၊ မသိတဲ့ Link တွေ မနှိပ်ဖို့နဲ့ မိမိမပြုလုပ်ခဲ့တဲ့ ငွေလွှဲမှု ဒါမှမဟုတ် ကတ်ငွေပေးချေမှုတွေ တွေ့ရှိရင် ဘဏ်ကို ချက်ချင်းဆက်သွယ်ဖို့ လိုအပ်ပါတယ်။
