AIS แถลงยอมรับข้อมูลการใช้งานอินเทอร์เน็ตรั่วไหลกว่า 8,300 ล้านรายการ​ แต่ยันไร้ข้อมูลส่วนบุคคลหลุดออกไป

เป็นเรื่องที่สร้างความวิตกให้หลายคนไม่น้อยหลังมีรายงานจากนักวิจัยว่า AIS ได้ทำฐานข้อมูลการใช้งานอินเทอร์เน็ตของลูกค้าหลุดออกไปกว่า 8,300 ล้านรายการ ซึ่งข้อมูลชุดนี้จะบ่งบอกได้ถึงพฤติกรรมการใช้เน็ต และอุปกรณ์ต่างๆที่ใช้งานอย่างละเอียด ล่าสุดทางเอไอเอสได้ออกมาแถลงยอมรับว่ามีรั่วไหลจริง แต่ข้อมูลชุดนี้ไม่สามารถระบุตัวตนรายบุคคลได้ หรือเรียกได้ว่าเห็นแต่ข้อมูลภาพรวมแต่ไม่มีข้อมูลส่วนตัวของผู้ใช้หลุดออกไป 

แถลงการณ์จาก AIS

เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลตามที่เป็นข่าว

25 พฤษภาคม 2563 : นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ  โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”

ทั้งนี้ขอเรียนว่า เอไอเอสให้ความสำคัญอย่างยิ่งกับการปกป้องข้อมูลส่วนบุคคลของลูกค้า ที่ผ่านมา เรามีการปฏิบัติตามและทบทวนขั้นตอนการรักษาความปลอดภัยขั้นสูงสุดตามมาตรฐานระดับสากล อย่างต่อเนื่อง อย่างไรก็ตาม บริษัทฯ ต้องขออภัยที่อาจทำให้ลูกค้าเป็นกังวลใจจากสถานการณ์ที่เกิดขึ้น  ซึ่งขณะนี้เอไอเอสได้แก้ไขปรับปรุงขั้นตอนการใช้ข้อมูลเพื่อทดสอบบริการเรียบร้อยแล้ว โดยท้ายที่สุดนี้ ขอให้ลูกค้าและประชาชนโปรดมั่นใจและเชื่อมั่นในมาตรฐานการรักษาความปลอดภัยที่บริษัทฯดำเนินการมาโดยตลอด

การค้นพบความรั่วไหลของข้อมูลครั้งใหญ่ของเอไอเอส

Justin Paine นักวิจัยด้านความปลอดภัย ได้ออกมาเปิดเผย เขาได้เจอกับฐานข้อมูลออนไลน์หลุดออกมาบนโลกอินเตอร์เน็ต ที่ไม่ได้รับการป้องกันใส่รหัสผ่านใดๆ ทั้งสิ้น ซึ่งในฐานข้อมูลดังกล่าว มีข้อมูลสำคัญๆ อย่าง Log DNS และข้อมูล Netflow ของลูกค้า AIS ที่สามารถบอกได้แบบกลายๆ เลยว่า ในแต่ละวัน ลูกค้าของ AIS ที่มีข้อมูลหลุดออกมา ใช้อินเตอร์เน็ตทำอะไรบ้าง

ซึ่งทาง Paine ได้บอกว่า เขาพยายามติดต่อกับ AIS ตั้งแต่วันที่ 13 พ.ค. แต่ก็ไม่ได้เสียงตอบรับกลับมาเลยเป็นอาทิตย์ๆ เขาจึงตัดสินใจรายงานเรื่องนี้ไปยัง ThaiCERT ให้ติดต่อ AIS จนล่าสุดเมื่อวันที่ 22 พ.ค. ที่ผ่านมา ทุกอย่างก็กลับเข้าสู่สถานการณ์ปกติ

โดย Paine เพิ่มเติมว่า ฐานข้อมูลที่หลุดมาตั้งแต่วันที่ 1 พ.ค. ที่ผ่านมา แต่กว่าตัวเขาจะเข้าไปพบ ก็ปาเข้าไปวันที่ 7 พ.ค. แล้ว ซึ่งนับตั้งแต่วันแรกที่มีข้อมูลหลุด จนถึงวันที่ AIS ออกมาแก้ไขสถานการณ์ ก็ได้มีข้อมูลของลูกค้าหลุดออกมาทั้งสิ้นกว่า 8,300 ล้านรายการ ขนาดไฟล์ 4.7TB และดูเหมือนว่าจะมีข้อมูลใหม่ๆ เข้ามาวันละมากถึง 200 ล้านรายการเลยทีเดียว

จนถึงตอนนี้ก็ยังไม่มีข้อมูลและรายละเอียดว่า ฐานข้อมูลดังกล่าวเป็นของใครกันแน่ ซึ่งตรงนี้อาจจะเป็นของลูกค้าอินเตอร์เน็ตไร้สาย AIS เอง, บริษัทลูกของ AIS หรือบริษัทข้างนอกที่ขอยืมเซิร์ฟเวอร์ของ AIS เก็บฐานข้อมูลเท่านั้น

ข้อมูลที่รั่วไหลมีความละเอียดอ่อนแค่ไหน เราต้องเป็นห่วงรึเปล่า

Log DNS ที่หลุดออกมานี้จะไม่ได้เปิดเผยถึง แชทส่วนตัว, อีเมล หรือข้อมูลที่เป็นความลับต่างๆ อย่างพวก รหัสผ่าน ฯลฯ แต่เป็นการเข้าถึงข้อมูลการใช้งานอินเทอร์เน็ตแบบไม่สามารถระบุตัวตนได้ ใครก็ตามที่สามารถเข้าถึง Log ดังกล่าว จะสามารถรับรู้ได้ว่า ผู้ใช้งาน (ที่ Log DNS เก็บข้อมูล) เข้าเว็บไซต์อะไบ้าง หรือใช้งานแอปไหนบ้าง เพียงแต่ยังไม่สามารถระบุตัวตนได้ จะระบุตัวตนได้ลึกสุดได้เพียงแค่ IP address เท่านั้น โดย IP address นี้เป็นเหมือนบ้านเลขที่ ที่ดูผ่านๆเราก็ไม่ได้รู้หรอกว่าบ้านนั้นๆ มีอะไรอยู่บ้าง ต้องมีการหาข้อมูลเพิ่มเติมอีกระดับหนึ่งถึงจะรู้รายละเอียดของผู้ใช้นั้นๆได้ และทางเอไอเอสได้ยืนยันว่าข้อมูลเพียงแค่นี้จะไม่สามารถก่อให้เกิดความเสียหายด้านการเงินและอื่นๆ ได้ กล่าวคือ ไม่ต้องห่วงว่าคนจะเอาข้อมูลนี้ไปแฮกเครื่อง เข้าแอปธนาคารของผู้ใช้ไปถอนเงินออกมาได้นั่นเอง 

อย่างไรก็ดี จากตารางข้อมูลตัวอย่างข้างต้น เป็นตารางที่ทางนักวิจัยได้ลองดึงเอาข้อมูลที่ได้จาก IP address เดียวมาแสดง จะเห็นว่าสามารถระบุข้อมูลเชิงลึกของผู้ใช้ได้ไม่น้อยเหมือนกัน ดูได้เลยว่ามีอุปกรณ์และแอปที่ใช้งานอะไรอยู่บ้าง ถ้าใครอ่านแล้วยังไม่เข้าใจ ทางนักวิจัยก็แปลข้อมูลจากตารางนี้ให้ว่า ผู้ใช้ IP address เดียวกันนี้

• มีอุปกรณ์ของ Apple
• มีอุปกรณ์ที่เป็น Android
• มีอุปกรณ์ที่เป็น Windows
• มีอุปกรณ์ของ Samsung ที่เป็น Android อาจเป็นสมาร์ทโฟนหรือสมาร์ททีวี
• มีการใช้งาน Google Chrome และ Microsoft Office
• มีการใช้งาน ESET Antivirus
• มีการใช้งาน Social Media อย่าง Facebook, Google, YouTube, TikTok และ WeChat

ซึ่งการที่ผู้ใช้มี IP address เดียวกันนี้ อาจจะเป็นบ้านหลังที่ติดตั้งเน็ตไฟเบอร์และต่อ Wi-Fi แชร์ใช้กันทั้งบ้านก็เป็นได้ และนอกจากอุปกรณ์และแอปที่ใช้งานแล้ว หากวิจัยเพิ่มเติมก็จะสามารถระบุพฤติกรรมการใช้งานอินเทอร์เน็ตทั้งหมดของเจ้าของ IP address นั้นๆได้ด้วย ว่าเราเข้าแอปไหน เว็บอะไร เวลาไหนได้เกือบทั้งหมด

งานนี้ถึงแม้ฐานข้อมูลที่หลุดออกมาแทบจะทั้งระบบตามข่าว จะไม่มีข้อมูลประเภทระบุตัวตนของบุคคลเอาไว้อย่างชัดเจน แบบชื่อ – นามสกุล อีเมล์ หรือพาสเวิร์ดอยู่ในระบบ แต่ถ้ามองตามคำนิยามของกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ว่าจะเป็น GDPR ของสากล หรือ PDPA ของไทยเราเองแล้วล่ะก็ ข้อมูลทั้งหมดที่หลุดมานับเป็น ข้อมูลส่วนบุคคล (ที่ระบุตัวตนได้ทางอ้อม ผ่านการระบุอุปกรณ์) ซึ่งอาจส่งความเสียหายอย่างมากต่อสิทธิในพื้นที่ส่วนบุคคลทางข้อมูลของลูกค้า ผู้บริโภค และประชาชนทั่วไปอย่างเรา ๆ แต่ก็นับเป็นจังหวะเวลาที่แอบโชคดีของ AIS ที่ PDPA ของเรานั้นเพิ่งประกาศขยายระยะเวลาการบังคับโทษไปอีก 1 ปีด้วยกันเป็นอย่างน้อย

ซึ่งผู้ที่อาจได้รับผลกระทบหนัก ๆ นอกจากจะเป็นคนธรรมดาทั่วไปอย่างเรา ๆ แล้ว อาจรวมไปถึงเหล่านักข่าว หรือพวกนักกิจกรรม (Activists) ต่างๆ ด้วย เพราะหากข้อมูลการใช้อินเตอร์เน็ตของพวกเขาหลุดออกไปล่ะก็ นั่นแปลว่า แหล่งข่าวที่ส่งข่าวมาให้เขา ก็ได้รับความเสี่ยงตรงนั้นไปด้วย

ที่มา: Rainbowtabl via TechCrunch