กำลังเป็นประเด็นร้อนสำหรับบริษัททรู คอร์ปอเรชั่น ที่ประมาทเลินเล่อ ปล่อยข้อมูลลูกค้าหลุดกว่า 46,000 ราย จนเกิดเป็นคำฮิตติดปากว่า “ทรู สะเพร่า” ลองมาดูเหตุผิดพลาดที่เกิดขึ้นว่าทรูสมควรกับคำ ๆ นี้หรือไม่
เรื่อง Data Privacy นั้นเป็นสิ่งที่ต้องให้ความสำคัญอย่างมากในยุคดิิจิทัล ทุกสิ่งทุกอย่างสามารถดำเนินการโดยง่ายเพียงแค่มีข้อมูลบัตรประชาชน แต่คนไทยบางส่วนรวมทั้งองค์กรใหญ่ ๆ อย่าง ทรู คอร์ปอเรชั่น ยังไม่ได้ให้ความสำคัญมากเท่าไหร่ (หรือไม่ให้ความสำคัญเลยกันแน่นะ) ในการดูแลข้อมูลลูกค้า
เหตุการณ์แรก ขอย้อนไปเมื่อปี 59 พาดหัวข่าวที่ได้ยินกันหนักหูคือ “หนุ่มประดับยนต์ถูกลวงข้อมูล และหลอกโอนเงินไปร่วมล้านบาท” (อ้างอิงจาก Manager Online รายละเอียดอ่านได้ในผู้จัดการเลยครับ)
โดยเหตุการณ์คร่าว ๆ คือผู้เสียหายถูกกลุ่มคนร้ายทำทีสั่งซื้ออุปกรณ์ประดับยนต์ และล่อลวงขอเลขที่บัญชี และหน้าบัตรประจำตัวประชาชน ซึ่งต่อมาคนร้ายได้เอาไปทำธุรกรรมกับพนักงานของทรู ในการขอเปลี่ยนซิมการ์ดแต่ใช้เบอร์เดิม (ตามภาพ)
คำถามที่เกิดขึ้นคือ พนักงานของทรูยอมดำเนินเรื่องให้เสร็จสรรพ ทั้งๆ ที่เป็นมิจฉาชีพ ซึ่งภายหลังออกมายอมรับว่า “พนักงานทำผิดพลาดที่ไม่ตรวจสอบเอกสาร” จากเหตุการณ์ในครั้งนี้ทำให้ผู้เสียหายสูญเงินกว่า 1 ล้านโดยมาจากความสะเพร่าของผู้เสียหายและของทรู
เรื่องที่สอง เป็นประเด็นร้อนในเว็บไซต์ Pantip.com ที่มีหนุ่มร้องทุกข์ว่า จู่ๆ โดนเปิดเบอร์ใหม่โดยเลขบัตรประชาชนของตนเอง ทั้งที่ไม่เคยทำบัตรหาย โดยมีการเปิดเป็นเบอร์ของทรู ผ่าน 7-11 ซึ่งการเปิดเบอร์ เจ้าของกระทู้กล่าวว่า เขาได้คุยกับพนักงานทรู ซึ่งทรูให้ข้อมูลว่า ถ้าให้คนอื่นที่ไม่ใช่เจ้าของบัตรประชาชนเปิดเบอร์ให้แทน ผู้ไปเปิดแทนจะต้องมี
1. บัตรประชาชน ตัวจริงของคนที่จะเปิด และ บัตรประชาชนตัวจริงของคนที่ไปเปิดแทน
2. สำเนาบัตรประชาชน ของทั้งเจ้าของเบอร์ที่จะเปิดใหม่ และ ตัวแทนคนเปิดเบอร์ เซ็นสำเนาถูกต้องทั้ง ๒ ใบ
3. ใบมอบอำนาจที่มีลายเซ็นของผู้ที่จะเปิดเบอร์ด้วย
4. ต้องมีบัตรตัวจริงเสียบเครื่องด้วย (จากที่ถามมาเค้ายืนยันว่าต้องเสียบ)
แล้วมิจฉาฉีพไปเปิดเบอร์ได้ยังไง ? แล้วป่านนี้ข้อมูลของเจ้าของกระทู้หลุดไปไหนต่อแล้วบ้างรึเปล่า อันนี้ยอมรับว่าไม่ใช่ความผิดของทรูโดยตรง แต่ทรู ควรจะมีมาตรการอะไรรองรับไหม กรณีที่คู้ค้าของคุณทำให้เกิดความเสียหายต่อลูกค้า หรือลูกค้าต้องยอมรับความเสี่ยงเช่นนี้อยู่ร่ำไป ซึ่งล่าสุด เจ้าของกระทู้เล่าว่า 7-11 ได้มีความพยายามที่จะลบกระทู้นี้ออกไป
เรื่องที่สาม มหากาพย์ในการปัดปัญหา โดยอ้างว่า “โดนแฮค” ช่วงสงกรานต์ที่ผ่านมา คงไม่มีใครไม่ได้ยินข่าว ทรูสะเพร่า ปล่อยข้อมูลลูกค้าหลุดกว่า 46,000 ราย เรื่องราวคร่าว ๆ คือ บริษัทในกลุ่ม Truemove H และ Itruemart ได้ไปเปิดใช้บริการคลาวด์ของ Amazon Cloud ในการเก็บข้อมูลบัตรประชาชนของลูกค้าที่มาเปิดเบอร์ใหม่ แต่ดันตั้งสถานะเป็น Publish
เรื่องแดงขึ้นเมื่อมี ไวท์ แฮคเกอร์คนหนึ่ง ไปเจอลิ้งค์สำหรับดาวโหลดข้อมูลบัตรประชาชนที่ใช้ยืนยันเบอร์ของทรูได้ ซึ่งเขาได้ทำการแจ้งกับทรูผ่านทางโซเชียลมีเดีย แต่ไม่เกิดผลตอบรับใด ๆ จนเขาต้องเขาไปขู่ว่าจะเอาข้อมูลนี้ไปบอกกับสื่่อ
ณ ขณะนั้น ทรูใช้เวลาเป็นเดือน ในการส่งข้อมูลนี้ไปยังวิศวกรที่ดูแลเรื่องนี้ โดยอ้างว่าไม่มีเบอร์ติดต่อฝ่าย Security ซึ่งถ้ามองให้ลึกลงไป จะเห็นว่าทรูดำเนินการช้ามาก จนทำให้เกิดความสงสัยว่า เขาใส่ใจเรื่อง Data Privacy แค่ไหน ซึ่งถ้าเขา”ให้ความสำคัญจริงๆ” เรื่องเบอร์ติดต่อ ผมว่าไม่ยากนะ
จนเมื่อมีข่าวออกมา ทรูก็ได้ไปปิดลิ้งค์ตรงนั้น แต่ก็ไม่ได้มีการแจ้งเตือนต่อผู้ใช้งานใด ๆ ทั้งสิ้น (ความจริงใจอยู่ที่ไหน) ซึ่งตามหลักความเป็นจริงแล้ว ทรูจำเป็นต้องแจ้งให้ลูกค้ารู้ อย่างน้อยก็แจ้งต่อ 46,000 รายที่หลุดไป เพื่อเตรียมรับมือต่อเหตุการ์ไม่คาดคิด ซึ่งถ้าโยงจากเรื่องแรก แค่มีข้อมูลบัตร ก็โกงคนได้แล้ว…
ต่อมา ทรูก็ได้แสดงความไม่จริงใจอีก ด้วยการแถลงว่า “โดนแฮค” ซึ่งความจริงคือการตั้ง Storage เป็น Publish ไม่ได้โดนแฮคแต่อย่างใด เพราะความประมาทเลินเล่อของพนักงานทรูที่ไปตั่งค่า Storage แบบนั้น ซึ่งน่าเสียดายที่ไม่สามารถเอาผิดกับทรูได้ เพราะบ้านเราไม่มีกฏหมายรองรับกรณีข้อมูลส่วนบุคคล แต่ทรูจะอาจจะผิด ในเรื่องกฏหมายที่ห้ามนำเอาข้อมูลคนไทยไปเก็บไว้นอกประเทศ ต้องรอดูกันอีกที
เว็บไซต์ดังระบุว่า กสทช.ก็มีส่วนผิด ที่ทำให้ทรูต้องเก็บข้อมูลลูกค้า แต่นั่นไม่ได้หมายความทรูจะเก็บข้อมูลลูกค้ายังไงก็ได้ใช่ไหม ? ซึ่งไม่ได้แปลว่าคุณจะเก็บอย่างไรก็ได้ โดยความเป็นจริงแล้วมันจะต้องเก็บและเข้ารหัสให้แน่นหนาที่สุด “ซึ่งมันจะเป็นแบบนั้นถ้าหากเขาหันมาใส่ใจความปลอดภัยของลูกค้าสักนิด”
ทั้งนี้ทั้งนั้น เราได้อะไรจากเหตุการณ์นี้ เห็นได้ชัดว่าคนไทยส่วนใหญ่รวมทั้งพนักงานของทรู อาจจะยังไม่ได้ให้ความสำคัญกับข้อมูลส่วนบุคคลเท่าไหร่นัก เราจำเป็นต้องสอนและให้ความรู้แก่ประชากรว่าข้อมูลเหล่านี้สามารถนำไปใช้ทำอะไรได้หลายอย่าง และต้องออกฏหมายในการควบคุมข้อมูลที่ Sensitive พวกนี้ เพื่อให้ประชาชนมั่นใจว่าจะใช้ชีวิตในยุคดิจิทัลได้อย่างปลอดภัย
