Posted by เรื่องข้อมูลผู้ใช้เฟซบุ๊กรั่วไหล ยังไม่ทันหาย ที่ประเทศไทยก็มีข่าว data privacy เกิดขึ้นอีกเรื่อง เมื่อภาพของหน้าบัตรประชาชนจากผู้ใช้ TrueMove H จำนวนเกือบ 50,000 ราย ที่ควรเป็นข้อมูลลับ ไม่เปิดเผยต่อสาธารณะ กลับถูกตั้งค่าเป็น public ใน cloud storage ของ Amazon ที่เรียกว่า AWS S3 Bucket — เหตุการณ์ทั้งหมดสรุปได้ดังนี้
(1) วันที่ 8 มีนาคมที่ผ่านมา Niall Merrigan นักวิจัยด้านความปลอดภัยลองแสกน Bucket ดังกล่าวพบว่า มีไฟล์ภาพหน้าบัตรประชาชนของลูกค้า TrueMove H เปิดเป็น public ให้ใครต่อใครสามารถเข้าถึงได้ ซึ่งจนถึงตอนนี้ ยังไม่มีใครทราบว่าข้อมูลดังกล่าวได้หลุดออกไปขนาดไหน
(2) การที่ข้อมูลหน้าบัตรประชาชนเป็น public นั้น คริส โปตระนันทน์ นักกฎหมาย เจ้าของเว็บไซต์ christogo.blogspot.com มองว่า มิจฉาชีพสามารถแอบอ้างข้อมูลหน้าบัตรไปก่อความเสียหายได้ดังนี้
- เปิดบัญชีธนาคาร
- เปิดเบอร์โทรศัพท์มือถือ
- ติดต่อราชการ
- ยืนยันตัวบุคคลรับเงินได้
- สืบหาทรัพย์สินที่เป็นอสังหาริมทรัพย์ว่า มีอะไร ตรงไหนบ้าง
- สืบหาหนี้สินทั้งหมด โดยเชื่อมกับเครดิตบูโร
นอกจากนี้คนที่ได้ข้อมูลหน้าบัตรไปสามารถล่วงรู้ได้ถึงค่าน้ำ ค่าไฟที่ค้างชำระของเจ้าของบัตร และเคยมีคดีเจ้าของบัตรประชาชนข้อมูลหลุด จนมิจฉาเข้าไปดูดเงินในบัญชีเป็นหลักล้านมาแล้ว (ดูข่าวได้ที่ลิงค์นี้ https://goo.gl/rz2JJa)
(3) เมื่อ Niall Merrigan ติดต่อไปทาง TrueMove H ทั้งทางทวิตเตอร์และโทรหาสำนักงานใหญ่ก็พบว่าการประสานงานมีปัญหา และใช้เวลาถึง 32 วัน กว่าที่ True จะแก้ไขด้วยการตั้งค่าเป็น private
(4) เรื่องนี้สะท้อนให้เห็นว่ามาตรการความมั่นคงไซเบอร์ของบ้านเรายังไม่รัดกุมพอ ทั้งการทำงานของเอกชน และข้อบังคับ/กฎหมายจากทางรัฐ
(5) ทางเว็บไซต์ “แบไต๋” เสนอว่า TrueMove H ควรแจ้งผู้ใช้บริการเจ้าของบัตรประชาชนว่ามีความเสี่ยงที่ข้อมูลหลุดออกไป และแนะนำผู้ใช้ว่าควรทำอย่างไรต่อไป นอกจากนี้ยังเสนอว่า กสทช. ควรเรียก TrueMove H เข้าไปคุยเพื่อหามาตรการแก้ไขและป้องกันปัญหาในอนาคต
(6) รมว.มหาดไทยออกมากล่าวว่า “ข้อมูลที่หลุดออกไปเป็นเพียงข้อมูลหน้าบัตรประชาชนเท่านั้น ส่วนข้อมูลเชิงลึกในบัตรประชาชนนั้นไม่ได้หลุดออกไปอย่างแน่นอน เพราะเรามีระบบป้องกันข้อมูลส่วนตัวของประชาชน” เช่นเดียวกับที่ทาง True ก็ออกมาชี้แจงว่า “ถูกจารกรรมข้อมูล (Hack) ที่ต้องใช้เครื่องมือพิเศษถึง 3 ชนิด”
(7) การชี้แจงของทั้งภาครัฐและเอกชน ทำให้สังคมไม่พอใจ ทั้งการไม่ศึกษาข้อมูลเรื่องความร้ายแรงของข้อมูลหน้าบัตรประชาชนหลุด (ที่พูดไปในข้อ 2) และการที่ True ไม่ยอมรับความผิดพลาดของตัวเอง
(8) ผู้เชี่ยวชาญด้าน IT ของไทยหลายต่อหลายรายยืนยันว่านี่ไม่ใช่การแฮ็ค เช่นเดียวกับ Niall Merrigan ก็ออกมาชี้แจงผ่านเว็บไซต์ www.certsandprogs.com ว่าเขาไม่ได้แฮค แต่เป็นปัญหาข้อมูลรั่วไหลของ True เอง
ในยุคเศรษฐกิจดิจิทัล ความปลอดภัยของข้อมูลทางออนไลน์เป็นสิ่งสำคัญอย่างยิ่ง อาทิ การออกพรบ. เพื่อคุ้มครองข้อมูลส่วนบุคคล รวมถึงความจริงใจและโปร่งใสของในการแก้ปัญหาของภาครัฐและเอกชน (อย่างเช่นในสหรัฐอเมริกา Mark Zuckerberg ซีอีโอของเฟซบุ๊ก ถูกไต่สวนจากสมาชิกวุฒิสภาเป็นเวลา 2 วัน โดยเหตุการณ์ทั้งหมดถูกถ่ายทอดสด) และเราหวังว่าเรื่องเหล่านี้จะเกิดขึ้นในบ้านเราในอนาคตอันใกล้
ที่มา
https://www.techtalkthai.com/truemove-h-aws-s3-data-leakage/
https://www.blognone.com/node/101492
https://www.beartai.com/news/it-thai-news/233155
https://christogo.blogspot.com/2018/04/truemove-h-facebook-46000.html
http://www.manager.co.th/QOL/ViewNews.aspx?NewsID=9590000083749
http://www.naewna.com/business/333402
THANYANAN 