นักออกแบบระบบไอทีชาวต่างชาติ
พบค่ายมือถือแห่งหนึ่งของไทย ใช้บริการรับฝากไฟล์ในระบบคลาวด์ Amazon S3 ของทางอะเมซอน แล้วปล่อยให้ค่าเริ่มต้นเป็นสาธารณะ ทำให้สำเนาบัตรประชาชน 4.6 หมื่นใบ สามารถเข้าถึงและดาวน์โหลดได้ ค่ายมือถือยอมรับไม่มีแผนกด้านความปลอดภัย ก่อนจะแก้ไขเป็นส่วนตัวภายหลัง
กลายเป็นเรื่องฉาวโฉ่ในวงการโทรคมนาคมของไทย เมื่อชาวต่างชาติที่ใช้ชื่อว่า นิอัลล์ เมอร์ริแกน (Niall Merrigan) นักออกแบบระบบไอทีชาวไอร์แลนด์ ได้โพสต์ข้อความในบล็อกเมื่อวันที่ 13 เม.ย. ที่ผ่านมา ระบุถึงการวิจัยเทคนิคด้านความปลอดภัย ในการค้นหาแฟ้มข้อมูลจากบริการคลาวด์ Amazon S3 ที่เป็นบริการรับฝากไฟล์สำหรับเก็บข้อมูลต่างๆ ให้บริการโดยอะเมซอน เว็บ เซอร์วิส (AWS) ของสหรัฐฯ สำหรับลูกค้าองค์กร ซึ่งใช้ลำดับใบรับรองด้านการเชื่อมต่อ (Certificate transparency logs) โดยสร้างขึ้นจากผู้ใช้รายหนึ่ง ที่นำโดเมนเนมมาลำดับคำ (Wordlist) เพื่อค้นหาแฟ้มต่างๆ กว่า 500 ที่อยู่ภายในลิงก์ดังกล่าว
ปรากฏว่า มีลูกค้าบางรายใช้บริการ Amazon S3 เก็บข้อมูลส่วนบุคคลของลูกค้า ซึ่งกลายเป็นการเป็นการจัดเก็บข้อมูลแบบเปิด หรือกึ่งๆ สาธารณะ ที่เปิดช่องให้บุคคลภายนอกสามารถเข้าถึงข้อมูลเหล่านั้นได้ หนึ่งในนั้นคือเครือข่ายมือถือรายหนึ่งของไทย ที่ใช้บริการ Amazon S3 จัดเก็บไฟล์ PDF (ไฟล์เอกสาร) และไฟล์ JPG (ไฟล์ภาพ) เป็นสำเนาบัตรประชาชน สำเนาใบขับขี่ และพาสปอร์ตจำนวนมากกว่า 4.6 หมื่นไฟล์ รวม 32 กิกะไบต์ ซึ่งบุคคลภายนอกเพียงแค่รู้ที่อยู่เว็บลิงก์ (URL) ก็สามารถดาวน์โหลดรายละเอียดต่างๆ ได้ทั้งหมด
นายนิอัลล์ พยายามติดต่อไปยังค่ายมือถือตั้งแต่วันที่ 10 มี.ค. โดยทางค่ายมือถือดังกล่าวยอมรับว่า ทางบริษัทไม่มีหน่วยงานด้านความปลอดภัยที่ดูแลโดยเฉพาะ และแนะนำให้ติดต่อกลับมาใหม่ที่สำนักงานใหญ่ในวันและเวลาทำการ เมื่อสอบถามนักวิจัยอีกรายหนึ่ง แนะนำว่า ให้ติดต่อผู้สื่อข่าวบางรายเพื่อสร้างแรงกดดันและให้ค่ายมือถือดังกล่าวแก้ปัญหาที่เห็นได้ชัด อย่างไรก็ตาม ค่ายมือถือดังกล่าวได้แก้ไขการเข้าถึงเป็นส่วนตัว (Private) ไปเมื่อค่ำวันที่ 12 เม.ย. ที่ผ่านมา
นายนิอัลล์ กล่าวว่า ไม่ใช่ครั้งแรกที่ค่ายมือถือดังกล่าวมีปัญหาเกี่ยวกับบัตรประจำตัวประชาชน ก่อนหน้านี้ในปี 2559 ค่ายมือถือดังกล่าวเคยออกซิมการ์ดให้มิจฉาชีพ โดยปราศจากการตรวจสอบ และมิจฉาชีพนำไปเชื่อมต่อกับบริการธนาคาร ทำให้ลูกค้าสูญเสียเงินจำนวนมาก
นอกจากนี้ ยังมีค่ายมือถือในต่างประเทศอีกราย และค่ายโทรคมนาคมจำนวนมาก ล้มเหลวอย่างมากในการรักษาความปลอดภัยและปกป้องข้อมูลส่วนบุคคลของลูกค้า โดยแนะว่าให้เชื่อมต่อกับผู้ให้บริการของตนเอง และถามสิ่งที่พวกเขาทำเพื่อให้แน่ใจว่าเหตุการณ์ดังกล่าวจะไม่มีทางเกิดขึ้นได้อีก
กสทช.เรียก ‘TRUE’ แจงปมข้อมูลลูกค้ารั่ว ขู่ โทษถึงขั้นเพิกถอนใบอนุญาต!!
นายฐากร ตัณฑสิทธิ์ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เปิดเผยว่า กรณีที่ปรากฎข่าวบนเว็บไซต์ว่า ทรูทำข้อมูลบัตรประชาชนลูกค้าหลุดจำนวนมาก สำนักงาน กสทช. เรียกให้ทรูมูฟ เอช เข้าชี้แจงข้อเท็จจริงในวันอังคารที่ 17 เม.ย. 2561 เวลา 9.30 น. ณ ห้องประชุม ชั้น 4 อาคารอำนวยการ สำนักงาน กสทช.
โดยเรื่องนี้ ตามพ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการกระจายเสียงกิจการโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2553 กำหนดไว้ว่า ในเรื่องนี้ผู้กระทำผิดมีโทษตามกฎหมาย หากผู้ประกอบการมีส่วนในความผิดจะถูกดำเนินคดีตามกฎหมาย และพักใช้ เพิกถอนใบอนุญาต โดย กสทช. เป็นผู้เสียหายตามกฎหมายด้วย
นายฐากร กล่าวว่า ในกรณีนี้ หากเป็นการกระทำโดยเจตนา ทรูมูฟ เอช มีความผิดแน่นอน แต่ทั้งนี้ สำนักงาน ต้องเรียกทรูมูฟ เอช มาให้ข้อมูลก่อนว่าข้อเท็จจริงเป็นอย่างไร สำนักงาน กสทช.ขอตรวจสอบข้อเท็จจริงในแน่นอนก่อน จึงจะดำเนินการต่อไป
“สำนักงาน กสทช. ให้ความสำคัญต่อกรณีดังกล่าว เนื่องจากกระทบต่อข้อมูลส่วนบุคคลของประชาชนผู้ใช้บริการ สำนักงานฯจะรีบดำเนินการในเรื่องนี้ให้เร็วที่สุด เพื่อคุ้มครองประชาชนผู้ใช้บริการ” นายฐากร กล่าวทิ้งท้ายในที่สุด