หากยังจำกันได้เมื่อปีที่แล้วที่มีแฮกเกอร์ชื่อว่า 9near ประกาศขายข้อมูลส่วนตัวคนไทยกว่า 55 ล้านคน ก็สร้างความตื่นตระหนกให้กับเราเป็นอย่างมาก เพราะมีโอกาสสูงมากที่เราจะเป็นหนึ่งใน 55 ล้านรายชื่อ แม้ว่าเรื่องนี้ในตอนสุดท้าย 9near จะถูกจับกุมแล้วก็ตาม แต่ดูเหมือนว่าจากเหตุการณ์ในวันนั้นจนถึงวันนี้ ยังไม่ค่อยมีความเปลี่ยนแปลงด้านความปลอดภัยในการจับเก็บข้อมูลในหน่วยงานภาครัฐเท่าไหร่ เพราะวันนี้ได้เกิดเหตุลักษณะเดิมซ้ำอีกแล้ว
Resecurity หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ สหรัฐฯ รายงานว่าเฉพาะเดือนมกราคม ปี 2567 ได้มีข้อมูลของคนไทยที่สามารถใช้ระบุตัวตนได้ หรือ Personal Identifiable Information (PII) รั่วไหล และถูกประกาศขายบน Dark Web รวมกว่า 20 ล้านบัญชี
โดยข้อมูลที่รั่วไหลนั้นประกอบไปด้วย ชื่อ-นามสกุล เลขบัตรประชาชน เบอร์โทรศัพท์ อีเมล รวมถึงรูปถ่ายหน้าตรง ภาพบุคคลถือสำเนาบัตรประชาชน รวมถึงข้อมูลที่ละเอียดอ่อนและมีความเป็นส่วนตัวสูง ลักษณะทางกายภาพ เช่น น้ำหนัก ส่วนสูง สถานะการจ้างงานปัจจุบัน เป็นต้น
ที่มาของข้อมูลหลุด มาจาก 5 แหล่งหลัก
- ชุดข้อมูลที่อ้างว่าเป็นข้อมูลพื้นฐานส่วนบุคคลและประวัติคำสั่งซื้อจากศูนย์หนังสือจุฬาฯ จากผู้ใช้งานจำนวน 160,000 ราย
- ข้อมูลที่อ้างว่าเป็นข้อมูลส่วนตัวของเจ้าหน้าที่ในกองทัพเรือจำนวนกว่า 45,000 นาย
- ข้อมูลจากเว็บไซต์ของเอกชน อาทิข้อมูลส่วนตัวของผู้ใช้จาก Phyathai.com กว่า 25,500 ชุดข้อมูล
- ข้อมูลส่วนตัวของผู้ลงทะเบียนหางานทางออนไลน์กว่า 61,000 ชุดข้อมูล
- ข้อมูลจากกรมกิจการผู้สูงอายุ ซึ่งมีการรั่วไหลมากถึง 19.7 ล้านแถวข้อมูล
ด้านบีบีซีไทยได้ติดต่อไปยังหน่วยงานต้นสังกัดที่มีข้อมูลหลุดมาตามข่าว ก็พบว่าข้อมูลที่หลุดมาเป็นของจริง และบางส่วนเป็นข้อมูลที่หลุดมาเมื่อปีที่แล้ว และได้เพิ่มมาตรการป้องกันความปลอดภัยของข้อมูล โดยได้ดำเนินการเข้ารหัสข้อมูล และติดตั้งระบบป้องกันเพิ่มเติมแล้ว
ล่าสุด เลขาธิการ คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ชี้แจงเพิ่มเติมว่า ข้อมูลที่รั่วไหลจากฝั่งกรมกิจการผู้สูงอายุ 19.7 ล้านชุดข้อมูลนั้น เป็นข้อมูลบุคคลทั้งสิ้น 230,451 คน โดยแบ่งเป็นข้อมูลผู้สูงอายุ 108,000 คน ที่เหลือเป็นข้อมูลผู้ค้ำประกัน โดยข้อมูลที่รั่วไหลนั้นมีที่มาจากระบบกองทุนผู้สูงอายุ
นอกจากนี้ สกมช.ยังได้เผยสถิติอีกว่าในปี 2566 มีเหตุโจมตีทางไซเบอร์ไปยังหน่วยงานประเภทต่าง ๆ รวม 1,789 หน่วยงาน โดยหน่วยงานด้านการศึกษาถูกโจมตีเป็นอันดับที่หนึ่ง 632 หน่วยงาน หรือคิดเป็นสัดส่วนมากกว่า 1 ใน 3 ของหน่วยงานที่ถูกโจมตีทางไซเบอร์ทั้งหมด เนื่องจากในหลาย ๆ โรงเรียนไม่ได้มีทรัพยากรเพียงพอในการบริหารจัดการข้อมูลให้มีความรัดกุมไม่มีช่องโหว่ได้
อย่างไรก็ตาม คุณจีน ยู ประธานกรรมการบริหารของ Resecurity ได้กล่าวว่า ข้อมูลที่หลุดมานี้โดยส่วนมากแฮกเกอร์ไม่ได้ใช้วิธีการที่ซับซ้อนหรือล้ำลึกในการได้มาซึ่งข้อมูลใช้เพียงวิธีธรรมดา ๆ เช่น การฟิชชิง (phishing) เพื่อหลอกเอาข้อมูล Username Password และนำไปเข้าระบบขององค์กรต่าง ๆ มากกว่า
ที่มา : bbc, pptv, resecurity
ไม่แปลกหรอก ดูจากหน้าตาเว็บไซต์แต่ละหน่วยงานก็คือโบราณ + คนไทยไม่เคยซีเรียสเรื่องความปลอดภัย รู้ตัวอีกทีก็นู่นละ เสียหายไปเยอะละ