၂၅ ဇွန် ၂၀၂၆ | New Day Myanmar

မြန်မာနိုင်ငံက ပုဂ္ဂလိကဘဏ်တစ်ခုဖြစ်တဲ့ ဧရာဝတီဘဏ် (AYA Bank) ရဲ့ သုံးစွဲသူတွေနဲ့ သက်ဆိုင်တဲ့ အချက်အလက်တွေကို ရယူထားပြီး ဘဏ်ဘက်က သတ်မှတ်ရက်အတွင်း ဆက်သွယ်ညှိနှိုင်းခြင်းမရှိရင် လာမယ့် ဇူလိုင်လ ၈ ရက်နေ့ကစပြီး Dark Web ပေါ်မှာ ရောင်းချသွားမယ်လို့ LAPSUS$ GROUP ဟက်ကာအဖွဲ့က ခြိမ်းခြောက်ထားပါတယ်။

LAPSUS$ ဟာ Microsoft၊ Nvidia၊ Samsung၊ Uber နဲ့ Rockstar Games တို့လို နည်းပညာကုမ္ပဏီကြီးတွေကို တိုက်ခိုက်ခဲ့တယ်လို့ လူသိများပါတယ်။

Dark Web ပေါ်က ဒေတာပေါက်ကြားမှုနဲ့ ဆိုက်ဘာခြိမ်းခြောက်မှုတွေကို စောင့်ကြည့်ဖော်ပြနေတဲ့ Dark Web Informer ရဲ့ X လူမှုကွန်ရက်စာမျက်နှာမှာ ဇွန်လ ၂၄ ရက်နေ့က ဖော်ပြချက်အရ LAPSUS$ အဖွဲ့က AYA Bank ကို သူတို့ရဲ့ ပစ်မှတ်အဖြစ် ကြေညာခဲ့တာ ဖြစ်ပါတယ်။

ဟက်ကာအဖွဲ့က AYA Bank ရဲ့ အဓိက စနစ်တစ်ခုလုံးနဲ့ သက်ဆိုင်တဲ့ အချက်အလက်တွေအပြင် သုံးစွဲသူတစ်ဦးချင်းကို ခွဲခြားသတ်မှတ်နိုင်တဲ့ ကိုယ်ရေးအချက်အလက်တွေကိုပါ ရယူထားတယ်လို့ အခိုင်အမာဆိုထားပါတယ်။

LAPSUS$ အဖွဲ့က အမှန်တကယ်ရယူထားတယ်ဆိုတဲ့ ဒေတာဖိုင်အားလုံးကို အများပြည်သူထံ ထုတ်ပြထားခြင်းမရှိသေးပေမဲ့ ရယူထားတဲ့ ဖိုင်တွေရဲ့ အမည်နဲ့ ဖိုင်တွဲတည်ဆောက်ပုံကို ပြသထားတဲ့ File Tree (အချက်အလက် အဆင့်ဆင့်) ထည့်သွင်းထားမှု တချို့ကို ထုတ်ဖော်ထားပါတယ်။

“ဘယ်လိုပဲ ပြန်ညှိနှိုင်းသည်ဖြစ်စေ ပါသွားပြီးသား အချက်အလက်တွေကတော့ သူတို့လက်ထဲရောက်သွားမှာပဲ။ အဲ့တော့ ဘဏ်အကောင့် ဖွင့်ထားသူတွေ အားလုံး ဘယ်သူက ဘယ်လိုဆိုတာ အားလုံးတော့ သိသွားနိုင်တာပေါ့။ ကိုယ်ဘာတွေလုပ်ခဲ့တယ်ဆိုတာကို ပေါက်ကြားသွားတာပေါ့”လို့ ဆိုက်ဘာနည်းပညာကျွမ်းကျင်သူ တဦးကပြောပါတယ်။

ဟက်ကာအဖွဲ့က ထုတ်ပြထားတဲ့ ဖိုင်စာရင်းပုံတွေကို လေ့လာခဲ့တဲ့ နည်းပညာကျွမ်းကျင်သူတစ်ဦးကတော့ သုံးစွဲသူတွေရဲ့ ကတ်အချက်အလက်၊ ဘဏ်ဝန်ထမ်းတွေရဲ့ လစာပေးချေမှုစာရင်း၊ ဘဏ်ခွဲဆိုင်ရာ အချက်အလက်နဲ့ ငွေပေးချေမှုမှတ်တမ်းတွေ ပါဝင်သွားနိုင်တယ်လို့ New Day Myanmar ကို ပြောပါတယ်။

“သူတို့ထုတ်ပြထားတဲ့ File Tree ထဲမှာ သုံးစွဲသူတွေရဲ့ ကတ်အချက်အလက်တွေနဲ့ သက်ဆိုင်တဲ့ ‘all_cards_v6.csv’၊ ‘credit_cards.csv’ ဆိုတဲ့ ဖိုင်တွေ တွေ့ရပါတယ်။ ဝန်ထမ်းတွေရဲ့ လစာပေးချေမှုစာရင်းလို့ ယူဆရတဲ့ ‘Approved Credit Card Payroll list.xlsx’ ဆိုတဲ့ဖိုင်လည်း ပါပါတယ်။ ဒီ့အပြင် ဘဏ်ခွဲအချက်အလက်တွေနဲ့ Transaction မှတ်တမ်းတွေ ပါဝင်တယ်လို့ ယူဆရတဲ့ ဖိုင်တွေလည်း တွေ့ရပါတယ်” လို့ အဲဒီနည်းပညာကျွမ်းကျင်သူက ပြောပါတယ်။

အဲဒီဖိုင်အမည်တွေဟာ အမှန်တကယ်ဖြစ်ပြီး ဖိုင်တွေအတွင်းမှာ အမည်နဲ့ကိုက်ညီတဲ့ အချက်အလက်တွေ ပါဝင်နေတယ်ဆိုရင် သုံးစွဲသူတွေရဲ့ ကတ်နံပါတ်၊ ဘဏ်အကောင့်ဆိုင်ရာ အချက်အလက်၊ ငွေပေးချေမှုမှတ်တမ်းနဲ့ ဝန်ထမ်းလစာဆိုင်ရာ အချက်အလက်တွေ ပေါက်ကြားနိုင်တဲ့ အခြေအနေဖြစ်ပါတယ်။

ဒါပေမဲ့ လက်ရှိအချိန်အထိ ဟက်ကာအဖွဲ့က ထုတ်ပြထားတာဟာ ဖိုင်အမည်နဲ့ ဖိုင်တွဲစာရင်းပုံတွေ အဓိကဖြစ်ပြီး၊ ဖိုင်တွေထဲက အချက်အလက်တွေရဲ့ မှန်ကန်မှုနဲ့ AYA Bank စနစ်ကနေ အမှန်တကယ်ရယူထားတာ ဟုတ်မဟုတ်ကို လွတ်လပ်တဲ့ ဆိုက်ဘာလုံခြုံရေးအဖွဲ့အစည်းတစ်ခုက စစ်ဆေးအတည်ပြုထားခြင်း မရှိသေးပါဘူး။

အလားတူ ဖိုင်အမည်တစ်ခုမှာ “card” ဒါမှမဟုတ် “credit card” ဆိုတဲ့ စကားလုံးပါဝင်ရုံနဲ့ ကတ်နံပါတ်အပြည့်အစုံ၊ ကတ်သက်တမ်းကုန်ဆုံးရက်နဲ့ CVV လုံခြုံရေးနံပါတ်တွေ အားလုံးပါဝင်တယ်လို့ ကောက်ချက်ချလို့မရသေးပါဘူး။

AYA Bank သုံးစွဲသူတွေရဲ့ ကတ်အချက်အလက်၊ Password နဲ့ ဘဏ်အကောင့်အချက်အလက်အားလုံး ဟက်ကာတွေလက်ထဲ ရောက်ရှိသွားပြီလို့ အတည်ပြုနိုင်ခြင်း မရှိသေးပေမဲ့ ဟက်ကာအဖွဲ့ရဲ့ အဆိုနဲ့ ထုတ်ပြထားတဲ့ ဖိုင်စာရင်းတွေကြောင့် စိုးရိမ်စရာအခြေအနေတစ်ခု ဖြစ်လာခဲ့ပါတယ်။

အခုလို ဒေတာဖောက်ထွင်းရယူထားတယ်ဆိုတဲ့ သတင်းမထွက်ပေါ်မီ ပြီးခဲ့တဲ့ ဧပြီလ ၉ ရက်နေ့ဝန်းကျင်ကလည်း AYA Visa Prepaid Card အသုံးပြုသူအချို့ဟာ မိမိတို့ခွင့်ပြုထားခြင်းမရှိဘဲ ကတ်အတွင်းက ငွေတွေ ဖြတ်တောက်ခံခဲ့ရတယ်လို့ လူမှုကွန်ရက်စာမျက်နှာတွေမှာ ရေးသားတိုင်ကြားခဲ့ကြပါတယ်။

အဲဒီအချိန်က သုံးစွဲသူအချို့မှာ ငွေပမာဏအနည်းငယ်စီ အကြိမ်ကြိမ်ဖြတ်တောက်ခံခဲ့ရပြီး တချို့မှာတော့ ငွေပမာဏများများ ဖြတ်တောက်ခံခဲ့ရတယ်လို့ ပြောဆိုခဲ့ကြပါတယ်။ တချို့သုံးစွဲသူတွေရဲ့ Transaction History ထဲမှာ ငွေဖြတ်တောက်မှုမှတ်တမ်း မပေါ်လာတဲ့ဖြစ်စဉ်တွေလည်း ရှိခဲ့တယ်လို့ သိရပါတယ်။

AYA Pay ဘက်ကတော့ အဲဒီဖြစ်ရပ်နဲ့ပတ်သက်ပြီး သုံးစွဲသူတွေရဲ့ ငွေကြေးလုံခြုံရေးကို ဦးစားပေးဆောင်ရွက်နေကြောင်းနဲ့ ပြဿနာနဲ့ ဆက်စပ်နိုင်တဲ့ Online Shop၊ Application နဲ့ E-commerce Platform တချို့မှာ ငွေပေးချေမှုတွေကို ယာယီကန့်သတ်ထားကြောင်း အသိပေးခဲ့ပါတယ်။

ထိခိုက်ခဲ့တဲ့ ကတ်တွေကို အသစ်လဲလှယ်ပေးမှာဖြစ်ပြီး သုံးစွဲသူကိုယ်တိုင် မပြုလုပ်ခဲ့တဲ့ ငွေပေးချေမှုတွေကိုလည်း ပြန်လည်ထည့်သွင်းပေးမှာဖြစ်ကြောင်း AYA Pay ဘက်က ပြောဆိုခဲ့ပါတယ်။

အဲဒီအချိန်က ထွက်ပေါ်ခဲ့တဲ့ ရှင်းလင်းချက်တစ်ခုမှာတော့ AYA Bank ဘက်က လုံခြုံရေးကျိုးပေါက်မှု မရှိကြောင်းနဲ့ AYA Bank Customer တွေ အသုံးများတဲ့ Website ဒါမှမဟုတ် Application တစ်ခုခုမှာ လုံခြုံရေးကျိုးပေါက်ခဲ့ပြီး အဲဒီနေရာမှာ အသုံးပြုခဲ့တဲ့ ကတ်အချက်အလက်တွေ တိုက်ခိုက်ခံရတာ ဖြစ်နိုင်ကြောင်း ပြောဆိုထားပါတယ်။

မိမိတို့အမှန်တကယ် အသုံးမပြုဘဲ ဖြတ်တောက်ခံရတဲ့ ငွေတွေကို ပြန်လည်ထည့်သွင်းပေးနေပြီး သုံးစွဲသူတချို့မှာ ငွေပြန်ဝင်နေပြီဖြစ်ကြောင်း၊ AYA Pay၊ Internet Banking နဲ့ AYA Mobile Banking တို့မှာ လုံခြုံရေးကျိုးပေါက်မှု မရှိတာကြောင့် ဆက်လက်အသုံးပြုနိုင်ကြောင်းပြောခဲ့ဖူးပါတယ်။

ဒါပေမဲ့ ဧပြီလအတွင်းက AYA Visa Card အသုံးပြုသူတွေ ခွင့်ပြုချက်မရှိဘဲ ငွေဖြတ်တောက်ခံခဲ့ရတဲ့ဖြစ်ရပ်နဲ့ အခု LAPSUS$ အမည်ခံအဖွဲ့က AYA Bank ဒေတာတွေ ရယူထားတယ်လို့ ပြောဆိုတဲ့ဖြစ်ရပ်တို့အကြား ဆက်စပ်မှုရှိမရှိကို လက်ရှိအချိန်အထိ အတည်ပြုနိုင်ခြင်း မရှိသေးပါဘူး။

ဒေတာတွေ အမှန်တကယ်ပေါက်ကြားခဲ့တယ်ဆိုရင် အဓိကစိုးရိမ်ရတာက ဘဏ်အကောင့်ထဲက ငွေတွေ ချက်ချင်းပျောက်ဆုံးသွားနိုင်တာတစ်ခုတည်း မဟုတ်ဘဲ သုံးစွဲသူတွေရဲ့ ကိုယ်ရေးအချက်အလက်တွေကို အသုံးပြုကာ ပစ်မှတ်ထားငွေလိမ်မှုတွေ ပြုလုပ်လာနိုင်တာဖြစ်တယ်လို့ နည်းပညာကျွမ်းကျင်သူတွေက သတိပေးပါတယ်။

“ဒါဟာ တကယ်စိုးရိမ်ရတဲ့ အခြေအနေပါ။ ဒီလို Data တွေကို လိုက်ဝယ်နိုင်တာက အွန်လိုင်းငွေလိမ်ဂိုဏ်းတွေ ဖြစ်ဖို့များပါတယ်။ အရင်ကဆိုရင် Viber ထဲမှာ ဖုန်းနံပါတ်တွေကို ရမ်းသမ်းခေါက်ပြီး နာမည်အမျိုးမျိုးနဲ့ လိမ်လည်တဲ့စာတွေ ပို့ကြတာပါ” လို့ ဆိုက်ဘာလုံခြုံရေးကျွမ်းကျင်သူတစ်ဦးက ပြောပါတယ်။

“အခုက သုံးစွဲသူတွေရဲ့ နာမည်၊ ဖုန်းနံပါတ်နဲ့ ဘဏ်အကောင့်ဆိုင်ရာ အချက်အလက်တွေ တိတိကျကျ ရသွားမယ်ဆိုရင် သူတို့က လူတစ်ဦးချင်းကို ပစ်မှတ်ထားပြီး ပိုစနစ်ကျတဲ့ အွန်လိုင်းငွေလိမ်မှုနဲ့ ဖုန်းဆက်လိမ်လည်မှုတွေ လုပ်လာနိုင်ပါတယ်” လို့ သူက ဆက်ပြောပါတယ်။

ဥပမာအားဖြင့် ငွေလိမ်သူတွေက သုံးစွဲသူရဲ့ အမည်၊ ဖုန်းနံပါတ်၊ အသုံးပြုနေတဲ့ဘဏ်နဲ့ ကတ်အမျိုးအစားတွေကို သိထားရင် ဘဏ်ဝန်ထမ်းအယောင်ဆောင်ကာ “သင့်အကောင့်မှာ ပြဿနာတက်နေတယ်”၊ “ကတ်ကို ပိတ်ထားရတယ်” ဒါမှမဟုတ် “ငွေပြန်အမ်းဖို့ OTP ပေးပါ” ဆိုပြီး ယုံကြည်လာအောင် လှည့်စားနိုင်ပါတယ်။

အခြားဆိုက်ဘာလုံခြုံရေးကျွမ်းကျင်သူတစ်ဦးကလည်း ဘဏ်အကောင့်ဖွင့်ရာမှာ အသုံးပြုထားတဲ့ မှတ်ပုံတင်ဆိုင်ရာအချက်အလက်၊ ဖုန်းနံပါတ်၊ နေရပ်လိပ်စာ၊ ဘဏ်အကောင့်နံပါတ်နဲ့ ငွေလွှဲပြောင်းမှု မှတ်တမ်းတွေ ပါဝင်ခဲ့ရင် ငွေကြေးလုံခြုံရေးအပြင် Identity Theft လို့ခေါ်တဲ့ ကိုယ်ရေးအချက်အလက် အလွဲသုံးစားလုပ်မှုတွေပါ ဖြစ်ပေါ်နိုင်တယ်လို့ ပြောပါတယ်။

“မှတ်ပုံတင်ကစပြီး ကိုယ်ရေးအချက်အလက်တွေ၊ ဘဏ်အကောင့်နံပါတ်တွေ၊ ငွေပေးချေမှုမှတ်တမ်းတွေ တကယ်ပေါက်ကြားခဲ့ရင် အခြေအနေက ပိုဆိုးနိုင်ပါတယ်။ Password တွေ ဒါမှမဟုတ် အကောင့်ဝင်ရောက်နိုင်မယ့် အချက်အလက်တွေပါ ပါဝင်ခဲ့တယ်ဆိုရင်တော့ ငွေကြေးလုံခြုံရေးအရရော ကိုယ်ရေးအချက်အလက်လုံခြုံရေးအရပါ အလွန်အန္တရာယ်များပါတယ်” လို့ အဲဒီကျွမ်းကျင်သူက ပြောပါတယ်။

LAPSUS$ အမည်ကို မူလက ကုမ္ပဏီတွေရဲ့ အရေးကြီးဒေတာနဲ့ Source Code တွေကို ခိုးယူပြီး အများပြည်သူထံ ထုတ်ဖော်မယ်လို့ ခြိမ်းခြောက်ကာ ငွေညှစ်တဲ့ ဆိုက်ဘာရာဇဝတ်အဖွဲ့တစ်ခုက အသုံးပြုခဲ့တာ ဖြစ်ပါတယ်။

လက်ရှိ ၂၀၂၆ ခုနှစ်မှာလည်း LAPSUS$ Group အမည်အသုံးပြုတဲ့ ဒေတာထုတ်ဖော်ရေးဝက်ဘ်ဆိုက်ကနေ အဖွဲ့အစည်းတွေကို ခြိမ်းခြောက်ငွေညှစ်တဲ့ လုပ်ငန်းတွေ ရှိနေကြောင်း နိုင်ငံတကာဆိုက်ဘာလုံခြုံရေးအဖွဲ့တွေက စောင့်ကြည့်တွေ့ရှိထားပါတယ်။

“ဘယ်လိုပဲ ပြန်ညှိနှိုင်းသည်ဖြစ်စေ ပါသွားပြီးသား အချက်အလက်တွေကတော့ သူတို့လက်ထဲရောက်သွားမှာပဲ။ အဲ့တော့ ဘဏ်အကောင့် ဖွင့်ထားသူတွေ အားလုံး ဘယ်သူက ဘယ်လိုဆိုတာ အားလုံးတော့ သိသွားနိုင်တာပေါ့။ “လို့ ဆိုက်ဘာနည်းပညာကျွမ်းကျင်သူ တဦးကပြောပါတယ်။အချက်အလက်တွေ ဟာ ပြန်လည်ပိတ်သိမ်းလို့ မရဘဲ ဘဏ်သုံးစွဲသူ တိုင်းရဲ့ အချက်အလက်တွေဟာ အများကြီးပေါက်ကြားနိုင်တဲ့အခြေအနေရှိတယ်လို့ နည်းပညာကျွမ်းကျင်သူတွေက သုံးသပ်ပါတယ်။

ဇွန်လ ၂၅ ရက်နေ့အထိ LAPSUS$ အဖွဲ့ရဲ့ ပြောဆိုချက်၊ ဒေတာ ၁၂၀ GB ကျော် ရယူထားတယ်ဆိုတဲ့အဆိုနဲ့ ဇူလိုင်လ ၈ ရက်နေ့မှာ ရောင်းချမယ်ဆိုတဲ့ ခြိမ်းခြောက်မှုတို့နဲ့ပတ်သက်ပြီး AYA Bank ဘက်က တရားဝင်ထုတ်ပြန်ရှင်းလင်းထားတာ မတွေ့ရသေးပါဘူး။