ข้อมูลหลุดทางออนไลน์สะท้อนอะไร? สรุปเหตุการณ์ของ TrueMove H

Posted by

เรื่องข้อมูลผู้ใช้เฟซบุ๊กรั่วไหล ยังไม่ทันหาย ที่ประเทศไทยก็มีข่าว data privacy เกิดขึ้นอีกเรื่อง เมื่อภาพของหน้าบัตรประชาชนจากผู้ใช้ TrueMove H จำนวนเกือบ 50,000 ราย ที่ควรเป็นข้อมูลลับ ไม่เปิดเผยต่อสาธารณะ กลับถูกตั้งค่าเป็น public ใน cloud storage ของ Amazon ที่เรียกว่า AWS S3 Bucket — เหตุการณ์ทั้งหมดสรุปได้ดังนี้

(1) วันที่ 8 มีนาคมที่ผ่านมา Niall Merrigan นักวิจัยด้านความปลอดภัยลองแสกน Bucket ดังกล่าวพบว่า มีไฟล์ภาพหน้าบัตรประชาชนของลูกค้า TrueMove H เปิดเป็น public ให้ใครต่อใครสามารถเข้าถึงได้ ซึ่งจนถึงตอนนี้ ยังไม่มีใครทราบว่าข้อมูลดังกล่าวได้หลุดออกไปขนาดไหน

(2) การที่ข้อมูลหน้าบัตรประชาชนเป็น public นั้น คริส โปตระนันทน์ นักกฎหมาย เจ้าของเว็บไซต์ christogo.blogspot.com มองว่า มิจฉาชีพสามารถแอบอ้างข้อมูลหน้าบัตรไปก่อความเสียหายได้ดังนี้

  • เปิดบัญชีธนาคาร
  • เปิดเบอร์โทรศัพท์มือถือ
  • ติดต่อราชการ
  • ยืนยันตัวบุคคลรับเงินได้
  • สืบหาทรัพย์สินที่เป็นอสังหาริมทรัพย์ว่า มีอะไร ตรงไหนบ้าง
  • สืบหาหนี้สินทั้งหมด โดยเชื่อมกับเครดิตบูโร

นอกจากนี้คนที่ได้ข้อมูลหน้าบัตรไปสามารถล่วงรู้ได้ถึงค่าน้ำ ค่าไฟที่ค้างชำระของเจ้าของบัตร และเคยมีคดีเจ้าของบัตรประชาชนข้อมูลหลุด จนมิจฉาเข้าไปดูดเงินในบัญชีเป็นหลักล้านมาแล้ว (ดูข่าวได้ที่ลิงค์นี้ https://goo.gl/rz2JJa)

Niall Merrigan ติดต่อไปทาง TrueMove H ผ่านทวิตเตอร์

(3) เมื่อ Niall Merrigan ติดต่อไปทาง TrueMove H ทั้งทางทวิตเตอร์และโทรหาสำนักงานใหญ่ก็พบว่าการประสานงานมีปัญหา และใช้เวลาถึง 32 วัน กว่าที่ True จะแก้ไขด้วยการตั้งค่าเป็น private

(4) เรื่องนี้สะท้อนให้เห็นว่ามาตรการความมั่นคงไซเบอร์ของบ้านเรายังไม่รัดกุมพอ ทั้งการทำงานของเอกชน และข้อบังคับ/กฎหมายจากทางรัฐ

(5) ทางเว็บไซต์ “แบไต๋” เสนอว่า TrueMove H ควรแจ้งผู้ใช้บริการเจ้าของบัตรประชาชนว่ามีความเสี่ยงที่ข้อมูลหลุดออกไป และแนะนำผู้ใช้ว่าควรทำอย่างไรต่อไป นอกจากนี้ยังเสนอว่า กสทช. ควรเรียก TrueMove H เข้าไปคุยเพื่อหามาตรการแก้ไขและป้องกันปัญหาในอนาคต

พล.อ.อนุพงษ์ เผ่าจินดา รมว.มหาดไทย / ภาพจาก https://today.line.me

(6) รมว.มหาดไทยออกมากล่าวว่า “ข้อมูลที่หลุดออกไปเป็นเพียงข้อมูลหน้าบัตรประชาชนเท่านั้น ส่วนข้อมูลเชิงลึกในบัตรประชาชนนั้นไม่ได้หลุดออกไปอย่างแน่นอน เพราะเรามีระบบป้องกันข้อมูลส่วนตัวของประชาชน” เช่นเดียวกับที่ทาง True ก็ออกมาชี้แจงว่า “ถูกจารกรรมข้อมูล (Hack) ที่ต้องใช้เครื่องมือพิเศษถึง 3 ชนิด”

(7) การชี้แจงของทั้งภาครัฐและเอกชน ทำให้สังคมไม่พอใจ ทั้งการไม่ศึกษาข้อมูลเรื่องความร้ายแรงของข้อมูลหน้าบัตรประชาชนหลุด (ที่พูดไปในข้อ 2) และการที่ True ไม่ยอมรับความผิดพลาดของตัวเอง

(8) ผู้เชี่ยวชาญด้าน IT ของไทยหลายต่อหลายรายยืนยันว่านี่ไม่ใช่การแฮ็ค เช่นเดียวกับ Niall Merrigan ก็ออกมาชี้แจงผ่านเว็บไซต์ www.certsandprogs.com ว่าเขาไม่ได้แฮค แต่เป็นปัญหาข้อมูลรั่วไหลของ True เอง

ในยุคเศรษฐกิจดิจิทัล ความปลอดภัยของข้อมูลทางออนไลน์เป็นสิ่งสำคัญอย่างยิ่ง อาทิ การออกพรบ. เพื่อคุ้มครองข้อมูลส่วนบุคคล รวมถึงความจริงใจและโปร่งใสของในการแก้ปัญหาของภาครัฐและเอกชน (อย่างเช่นในสหรัฐอเมริกา Mark Zuckerberg ซีอีโอของเฟซบุ๊ก ถูกไต่สวนจากสมาชิกวุฒิสภาเป็นเวลา 2 วัน โดยเหตุการณ์ทั้งหมดถูกถ่ายทอดสด) และเราหวังว่าเรื่องเหล่านี้จะเกิดขึ้นในบ้านเราในอนาคตอันใกล้


ที่มา

https://www.techtalkthai.com/truemove-h-aws-s3-data-leakage/
 
 https://www.blognone.com/node/101492
 
 https://www.beartai.com/news/it-thai-news/233155
 
 https://christogo.blogspot.com/2018/04/truemove-h-facebook-46000.html
 
 http://www.manager.co.th/QOL/ViewNews.aspx?NewsID=9590000083749

http://www.naewna.com/business/333402




Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s