Niall Merrigan ปัด ไม่ได้แฮก itruemart เพื่อเอาบัตรปชช.ลูกค้า TrueMove H แต่ไฟล์ไร้การป้องกัน

วันนี้ทาง TrueMove H ได้เข้าไปคุยกับทาง กสทช. เพื่อให้ข้อมูลเกี่ยวกับ ข้อมูลบัตรประชาชนลูกค้าหลุด สามารถดาวน์โหลดได้โดยไม่มีการป้องกันใดๆ ซึ่งมีข้อสรุปว่าผู้ได้รับผลกระทบจากปัญหานี้มีอยู่ร่วม 11,400 ราย จากข้อมูลกว่า 4.5 หมื่นไฟล์ ขนาด 32GB ซึ่งทาง TrueMove H ได้อ้างว่าทาง Nail Merrigan ผู้ค้นพบไฟล์นี้ทำการแฮกระบบเข้าไปเพื่อให้ได้มาถึงข้อมูลนี้ ซึ่งทาง Niall Merrigan ได้ชี้แจงว่าเค้าไม่ได้ทำการแฮกแต่อย่างใด

ปัดไม่ได้แฮก แต่ข้อมูลเปิดให้ใครเข้าไปดูก็ได้

โดยข้อมูลนี้ทาง Niall Merrigan นักวิจัยด้านความปลอดภัย ได้เขียนชี้แจงเอาไว้ใน www.certsandprogs.com บอกถึงรายละเอียดการค้นพบทั้งหมดเอาไว้ ซึ่งปกติเค้าจะคอยสำรวจและตรวจสอบการสร้างโฟลด์เดอร์ใน Amazon S3 ที่ทาง itruemart ไปใช้บริการอยู่ เป็นปกติอยู่แล้ว และพบว่าโฟลเดอร์ที่เก็บข้อมูลบัตรประชาชนดังกล่าวเปิดให้ใครๆสามารถเข้าไปดูได้

“ข้อมูลลูกค้าที่รั่วไหลออกมาเป็นลูกค้าที่ซื้อซิมพร้อมเครื่องของทรูมูฟ เอช และเป็นสำเนาบัตรประชาชน จำนวน 11,400 ราย จากลูกค้าทั้งหมด 1 ล้านรายในระหว่างปี 58-60 โดยถูกจารกรรมข้อมูล (Hack) ที่ต้องใช้เครื่องมือพิเศษถึง 3 ชนิด ซึ่งบริษัทได้ทราบเรื่องเมื่อ 11 เม.ย. ที่ผ่านมา และได้ระงับช่องโหว่ดังกล่าวไปเมื่อวันที่ 12 เม.ย.ที่ผ่านมา” นายสืบสกุล สกลสัตยาทร กรรมการผู้จัดการ บริษัท แอสเซนต์ คอมเมิร์ซ จำกัด (ไอทรูมาร์ท)

ตามรายละเอียดที่ทางคุณสืบสกุลให้มานั้น จริงอยู่ว่าคนทั่วไปคงไม่ได้อยู่ดีๆจะไปหาเจอ แต่เครื่องมือพิเศษที่ว่าก็ไม่ใช่เครื่องมือสำหรับการเจาะระบบแต่อย่างใด เพื่อเปรียบเทียบให้เห็นภาพ Amazon S3 เป็นเหมือนเมืองใหญ่ๆเมืองนึง ที่มีคนมาปลูกบ้าน (ฝากข้อมูล) กันเต็มไปหมด แล้วทางคุณ Niall ก็เป็นเหมือน รปภ. ที่มีหุ่นยนต์คอยวิ่งไปตรวจสอบลองเช็คประตูบ้านว่าใครลืมล็อคหรือเปล่า ซึ่งเค้าก็เจอว่าประตูบ้านของ itruemart ลืมล็อคเอาไว้ และพบว่าในบ้านหลังนี้มีเก็บเอกสารสำคัญเอาไว้เต็มไปหมด เลยให้หุ่นอีกตัวช่วยทำสารบัญให้หน่อยว่ามีข้อมูลอะไรมากน้อยแค่ไหน และรีบแจ้งไปให้ทาง TrueMove H ทราบโดยด่วน ซึ่งเค้าก็บอกว่าไม่ได้เซฟข้อมูลใดๆที่เจอในบ้านหลังนี้เก็บเอาไว้แต่อย่างใด แถมแจ้งเตือนให้ทางบริษัทเป็นเดือนก่อนที่จะเผยแพร่ข้อมูลสู่สาธารณะ ตามที่นักวิจัยด้านความปลอดภัยพึงกระทำกัน ดังนั้นการที่บอกว่าคุณ Niall Merrigan แฮกข้อมูลนั้น ก็ดูจะเป็นคำพูดที่เกินเลยไปพอสมควร แถมเป็นการกล่าวหาว่า Amazon ไม่ปลอดภัยอีกด้วย

บางส่วนที่คุณ Niall ได้ตอบไว้ในเว็บ https://www.certsandprogs.com/ นะครับ

กรณีแบบไหนถึงจะเรียกว่าแฮกได้

ในทางเทคนิคที่เรียกกันว่าแฮกนั้น ข้อมูลต้องมีการป้องกันการเข้าถึงข้อมูล จำกัดสิทธิเอาไว้ (private) ไม่ได้เปิดสิทธิให้ใครๆ สามารถเข้าถึงข้อมูลได้อย่างอิสระ (Public) ต้องใช้เครื่องมือหรือวิธีอย่างใดอย่างหนึ่งในการแก้ไข หรือพยายามเพื่อให้ได้มาซึ่งข้อมูลนี้จะเรียกได้ว่าแฮก แบบเดียวกับว่าบ้านมีการล็อคเอาไว้อย่างแน่นหนาทั้งประตูและหน้าต่าง ต้องมีความพยายามที่จะเปิดถ่าง ใช้กุญแจผี หรือชะแลงงัดอะไรก็ว่าไป อันนี้เราว่าจารกรรม แต่ในกรณีของ itruemart คุณ Niall Merrigan ไม่ได้เครื่องมือถือพิเศษอะไร แค่มีหุ่นยนต์ช่วยวิ่งไปเปิดประตูแล้วไปเจอว่าบ้านไม่ได้ล็อค ใครๆก็สามารถเดินเข้าออกได้ตามสะดวกเลย แบบนี้เรียกว่าเป็นความสะเพร่าในการดูแลรักษาความปลอดภัยนะครับ

ประตูบ้านไม่ได้ล็อค กระจกใสปิ๊ง คนมองเข้าไปได้

ไม่ได้เรียกจารกรรม แต่ความปลอดภัยหละหลวม

ความปลอดภัยอยู่ตรงไหน.. Truemove H หลุดข้อมูลลูกค้าพร้อมสำเนาบัตรประชาชนตั้งแต่ปี 2016

itruemart และ TrueMove H แก้ไขปัญหา พร้อมหามาตรการดูแล

หลังจากที่ทาง TrueMove H ร่วมกับ Ascend Corp (เจ้าของ itruemart) ได้เข้าพบกสทช. เพื่อชี้แจงปัญหาแล้ว ก็มีมาตรการต่างๆที่จะช่วยทำให้ผู้ที่อาจได้รับผลกระทบจากเหตุการณ์นี้ออกมา โดยเบื้องต้นได้ทำการจำกัดการเข้าถึงข้อมูลไปเรียบร้อย และจะมีการแจ้งเตือนผ่าน SMS ไปยังผู้ที่มีข้อมูลในชุดนี้ พร้อมรับปากว่าจะดูแลลูกค้าทุกคนหากเกิดปัญหาใดๆจากข้อมูลที่หลุดไป ซึ่งก็ยังไม่มีมาตรการที่แน่นอนออกมาว่าจะดูแลอย่างไร ส่วนบทลงโทษต่อบริษัทในกรณีนี้นั้นทาง กสทช.  กำลังพิจารณาอยู่ครับ