ด่วน!!! มาก เมื่อไม่ไกี่ชั่วโมงที่ผ่านมามีการเปิดเผยว่า ค่ายโทรศัพท์ชื่อดังอย่าง True Move H พลาดอย่างไม่น่าให้อภัย โดยทำให้ข้อมูลบัตรประชาชน บัตรใบขับขี่ หลุดสูสาธารณะกว่า 46,000 ไฟล์ ด้วยกัน ด้านนักวิจัยด้านความมั่นคงปลอดภัยพยามติดต่อ แต่โดนโยนให้ไปแจ้งทาง email แทน
True Move H ทำข้อมูลค้าหลุด!!
งานนี้เรียกว่า งานเข้าของจริง เมื่อ นักวิจัยด้านความมั่นคง Niall Merrigan ได้ออกมาเผยว่า หลังจากที่ได้ตรวจสอบหาช่องโหว่ ด้วยการสร้าง bucket สำหรับสตอเรจใน Amazon S3 และทดลองสแกน แล้วพบ bucket ที่มีโฟลเดอร์ชื่อว่า truemoveh/idcard อยู่ภายใน
* Amazon S3 เป็นบริการให้เช่าพื้นที่สำหรับเก็บบันทึกข้อมูลต่าง ๆ เช่นภาพ หรือ VDO ซึ่งให้บริการโดย Amazon คล้าย ๆ Google Drive หรือ OneDrive แต่เน้นไปที่กลุ่มองค์กร หรือทางธุรกิจมากกว่า โดยผู้ที่เช่าใช้ สามารถเปิดแชร์ให้องค์กรตนเอง หรือสาธารณะ เข้าถึงข้อมูลนี้ได้
ซึ่งเมื่อทดสอบเปิดไฟล์ขึ้นมา จึงเห็นว่าเป็นไฟล์ภาพบัตรประชาชน และพาสปอร์ต ผู้ใช้บริการ โดยไฟล์ตัวอย่างขีดคร่อมไว้ว่า “ใช้เพื่อลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น” ซึ่งข้อมูลที่หลุดออกมามีทั้งไฟล์ภาพแบบ Jpg และ PDF
ปริมาณข้อมูลที่อยู่บนเซิร์ฟเวอร์ดังกล่าวมีประมาณ 46,000 ไฟล์ (ประมาณ 32GB) อย่างไรก็ตาม ยังไม่ยืนยันจำนวนผู้ได้รับผลกระทบ) นักวิจัยเผยว่าได้ติดต่อประสานไปยัง True Move H เมื่อต้นเดือนมีนาคม 2561 และปัญหานี้ได้รับการแก้ไขแล้วเมื่อวันที่ 12 เมษายน 2561
ปัญหาข้อมูลรั่วไหลในลักษณะนี้เคยเกิดขึ้นมาแล้วหลายครั้ง หน่วยงานหรือนักพัฒนาที่นำข้อมูลสำคัญ (โดยเฉพาะข้อมูลส่วนบุคคล) ฝากไว้บน Amazon S3 bucket ควรรักษาความมั่นคงปลอดภัยของข้อมูลโดยอาจเข้ารหัสลับข้อมูล จำกัดการเข้าถึงจากบุคคลภายนอก
รวมถึงตรวจสอบการใช้งานที่ผิดปกติ โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ Amazon (https://aws.amazon.com/premiumsupport/knowledge-center/secure-s3-resources/)
โดยความเคลื่นไหวล่าสุด นักวิจัย Merrigan ได้พยาามติดต่อทาง TrueMove H ผ่านทางเฟซบุ๊ก ตั้งแต่วันที่ 8 มีนาคม 2561 ที่ผ่านมา แต่ได้รับคำตอบว่าให้อีเมลไปทาง truemovecare@truecorp.co.th แทน จนกระทั่งวันที่ 4 เมษายนทาง truemovecare จึงได้ตอบกลับอีกครั้งว่ากำลังแก้ไข
นับว่าเป็นกรณีที่เกิดขึ้นอย่างไม่น่าเชื่อ ซึ่งแน่นอนว่างานนี้ ทรง ทรู น่าจะโดนตรวจสอบ ไม่มากก็น้อย แม้ว่าจำนวนจะไม่รุนแรงเหมือนที่ทาง เฟชบุ๊ก ทำข้อมูลหลุด แต่ก็ไม่ใช่จำนวนน้อยๆ และหากคิดถึงความเสียหายที่ตามมา อย่างเช่นกรณีของการนำไปเปิดบัญชี การนำไปใช้ซื้อสินค้าผ่อน ย่อมไม่ใช้เรื่องสนุก อย่างแน่นอน
คงต้องจับต่อมองว่าทาง สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. ในฐานะหน่วยงานที่มีบทบาทกำกับดูแล น่าจะต้องมีความเคลื่อนไหวในเร็ววันนี้ ซึ่งหากได้ความคืบหน้าเป็นเช่นไร ทางทีมงาน ELeader จะรีบนำเสนอให้แก่ผู้อ่านเพื่อให้ทราบต่อไป
ล่าสุดจากการสอบถามในเบื่องต้นได้ความว่าทาง กสทช. ได้แจ้งทาง ทรู มูฟ เร่งรวบรวมข้อมูล และชี้แจ้งกับทาง กสทช เป็นการด่วน!! ภายในวันที่ 17 เม.ย. 61 เวลา 9.30 น. ที่จะถึงนี้
ฐากร ตัณฑสิทธิ์ เลขาธิการ กสทช. เปิดเผยว่า สำนักงาน กสทช. กล่าวว่า นกรณีนี้ หากเป็นการกระทำโดยเจตนา ทรูมูฟ เอช มีความผิดแน่นอน แต่ทั้งนี้ สำนักงาน ต้องเรียกทรูมูฟ เอช มาให้ข้อมูลก่อนว่าข้อเท็จจริงเป็นอย่างไร สำนักงาน กสทช. ขอตรวจสอบข้อเท็จจริงในแน่นอนก่อน จึงจะดำเนินการต่อไป
“สำนักงาน กสทช. ให้ความสำคัญต่อกรณีดังกล่าว เนื่องจากกระทบต่อข้อมูลส่วนบุคคลของประชาชนผู้ใช้บริการ สำนักงานฯ จะรีบดำเนินการในเรื่องนี้ให้เร็วที่สุด เพื่อคุ้มครองประชาชนผู้ใช้บริการ“
โดยเรื่องนี้ ตามพ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2553 กำหนดไว้ว่า ในเรื่องนี้ ผู้กระทำผิดมีโทษตามกฎหมาย หากผู้ประกอบการมีส่วนในความผิด จะถูกดำเนินคดีตามกฎหมาย และพักใช้ เพิกถอนใบอนุญาต โดย กสทช. เป็นผู้เสียหายตามกฎหมายด้วย
ส่วนขยาย
* บทความนี้เรียบเรียงขึ้นเพื่อวิเคราะห์ในแง่มุมที่น่าสนใจ ไม่มีวัตถุมุ่งเพื่อโจมตี หน่วยงานใดหน่วยงานหนึ่ง
** Compose : ชลัมพ์ ศุภวาที (Editors and Reporters)
*** ขอขอบคุณภาพ และข้อมูลบางส่วนจาก https://pantip.com/topic/37561690
และwww.thaicert.or.th/
สามารถกดติดตาม ข่าวสาร และบทความทางด้านเทคโนโลยี ของเราได้ที่
