News

Niall Merrigan ปัด ไม่ได้แฮก itruemart เพื่อเอาบัตรปชช.ลูกค้า TrueMove H แต่ไฟล์ไร้การป้องกัน

วันนี้ทาง TrueMove H ได้เข้าไปคุยกับทาง กสทช. เพื่อให้ข้อมูลเกี่ยวกับ ข้อมูลบัตรประชาชนลูกค้าหลุด สามารถดาวน์โหลดได้โดยไม่มีการป้องกันใดๆ ซึ่งมีข้อสรุปว่าผู้ได้รับผลกระทบจากปัญหานี้มีอยู่ร่วม 11,400 ราย จากข้อมูลกว่า 4.5 หมื่นไฟล์ ขนาด 32GB ซึ่งทาง TrueMove H ได้อ้างว่าทาง Nail Merrigan ผู้ค้นพบไฟล์นี้ทำการแฮกระบบเข้าไปเพื่อให้ได้มาถึงข้อมูลนี้ ซึ่งทาง Niall Merrigan ได้ชี้แจงว่าเค้าไม่ได้ทำการแฮกแต่อย่างใด

ปัดไม่ได้แฮก แต่ข้อมูลเปิดให้ใครเข้าไปดูก็ได้

โดยข้อมูลนี้ทาง Niall Merrigan นักวิจัยด้านความปลอดภัย ได้เขียนชี้แจงเอาไว้ใน www.certsandprogs.com บอกถึงรายละเอียดการค้นพบทั้งหมดเอาไว้ ซึ่งปกติเค้าจะคอยสำรวจและตรวจสอบการสร้างโฟลด์เดอร์ใน Amazon S3 ที่ทาง itruemart ไปใช้บริการอยู่ เป็นปกติอยู่แล้ว และพบว่าโฟลเดอร์ที่เก็บข้อมูลบัตรประชาชนดังกล่าวเปิดให้ใครๆสามารถเข้าไปดูได้

ข้อมูลลูกค้าที่รั่วไหลออกมาเป็นลูกค้าที่ซื้อซิมพร้อมเครื่องของทรูมูฟ เอช และเป็นสำเนาบัตรประชาชน จำนวน 11,400 ราย จากลูกค้าทั้งหมด 1 ล้านรายในระหว่างปี 58-60 โดยถูกจารกรรมข้อมูล (Hack) ที่ต้องใช้เครื่องมือพิเศษถึง 3 ชนิด ซึ่งบริษัทได้ทราบเรื่องเมื่อ 11 เม.ย. ที่ผ่านมา และได้ระงับช่องโหว่ดังกล่าวไปเมื่อวันที่ 12 เม.ย.ที่ผ่านมา” นายสืบสกุล สกลสัตยาทร กรรมการผู้จัดการ บริษัท แอสเซนต์ คอมเมิร์ซ จำกัด (ไอทรูมาร์ท)

ตามรายละเอียดที่ทางคุณสืบสกุลให้มานั้น จริงอยู่ว่าคนทั่วไปคงไม่ได้อยู่ดีๆจะไปหาเจอ แต่เครื่องมือพิเศษที่ว่าก็ไม่ใช่เครื่องมือสำหรับการเจาะระบบแต่อย่างใด เพื่อเปรียบเทียบให้เห็นภาพ Amazon S3 เป็นเหมือนเมืองใหญ่ๆเมืองนึง ที่มีคนมาปลูกบ้าน (ฝากข้อมูล) กันเต็มไปหมด แล้วทางคุณ Niall ก็เป็นเหมือน รปภ. ที่มีหุ่นยนต์คอยวิ่งไปตรวจสอบลองเช็คประตูบ้านว่าใครลืมล็อคหรือเปล่า ซึ่งเค้าก็เจอว่าประตูบ้านของ itruemart ลืมล็อคเอาไว้ และพบว่าในบ้านหลังนี้มีเก็บเอกสารสำคัญเอาไว้เต็มไปหมด เลยให้หุ่นอีกตัวช่วยทำสารบัญให้หน่อยว่ามีข้อมูลอะไรมากน้อยแค่ไหน และรีบแจ้งไปให้ทาง TrueMove H ทราบโดยด่วน ซึ่งเค้าก็บอกว่าไม่ได้เซฟข้อมูลใดๆที่เจอในบ้านหลังนี้เก็บเอาไว้แต่อย่างใด แถมแจ้งเตือนให้ทางบริษัทเป็นเดือนก่อนที่จะเผยแพร่ข้อมูลสู่สาธารณะ ตามที่นักวิจัยด้านความปลอดภัยพึงกระทำกัน ดังนั้นการที่บอกว่าคุณ Niall Merrigan แฮกข้อมูลนั้น ก็ดูจะเป็นคำพูดที่เกินเลยไปพอสมควร แถมเป็นการกล่าวหาว่า Amazon ไม่ปลอดภัยอีกด้วย

บางส่วนที่คุณ Niall ได้ตอบไว้ในเว็บ https://www.certsandprogs.com/ นะครับ

กรณีแบบไหนถึงจะเรียกว่าแฮกได้

ในทางเทคนิคที่เรียกกันว่าแฮกนั้น ข้อมูลต้องมีการป้องกันการเข้าถึงข้อมูล จำกัดสิทธิเอาไว้ (private) ไม่ได้เปิดสิทธิให้ใครๆ สามารถเข้าถึงข้อมูลได้อย่างอิสระ (Public) ต้องใช้เครื่องมือหรือวิธีอย่างใดอย่างหนึ่งในการแก้ไข หรือพยายามเพื่อให้ได้มาซึ่งข้อมูลนี้จะเรียกได้ว่าแฮก แบบเดียวกับว่าบ้านมีการล็อคเอาไว้อย่างแน่นหนาทั้งประตูและหน้าต่าง ต้องมีความพยายามที่จะเปิดถ่าง ใช้กุญแจผี หรือชะแลงงัดอะไรก็ว่าไป อันนี้เราว่าจารกรรม แต่ในกรณีของ itruemart คุณ Niall Merrigan ไม่ได้เครื่องมือถือพิเศษอะไร แค่มีหุ่นยนต์ช่วยวิ่งไปเปิดประตูแล้วไปเจอว่าบ้านไม่ได้ล็อค ใครๆก็สามารถเดินเข้าออกได้ตามสะดวกเลย แบบนี้เรียกว่าเป็นความสะเพร่าในการดูแลรักษาความปลอดภัยนะครับ

ประตูบ้านไม่ได้ล็อค กระจกใสปิ๊ง คนมองเข้าไปได้

ไม่ได้เรียกจารกรรม แต่ความปลอดภัยหละหลวม

itruemart และ TrueMove H แก้ไขปัญหา พร้อมหามาตรการดูแล

หลังจากที่ทาง TrueMove H ร่วมกับ Ascend Corp (เจ้าของ itruemart) ได้เข้าพบกสทช. เพื่อชี้แจงปัญหาแล้ว ก็มีมาตรการต่างๆที่จะช่วยทำให้ผู้ที่อาจได้รับผลกระทบจากเหตุการณ์นี้ออกมา โดยเบื้องต้นได้ทำการจำกัดการเข้าถึงข้อมูลไปเรียบร้อย และจะมีการแจ้งเตือนผ่าน SMS ไปยังผู้ที่มีข้อมูลในชุดนี้ พร้อมรับปากว่าจะดูแลลูกค้าทุกคนหากเกิดปัญหาใดๆจากข้อมูลที่หลุดไป ซึ่งก็ยังไม่มีมาตรการที่แน่นอนออกมาว่าจะดูแลอย่างไร ส่วนบทลงโทษต่อบริษัทในกรณีนี้นั้นทาง กสทช.  กำลังพิจารณาอยู่ครับ

19 Comments

  1. hearnfar Post on April 17, 2018 at 7:51 pm

    #990442

    คนดีชอบแก้ไข คน……

    • gamespeed

      gamespeed Post on April 17, 2018 at 9:54 pm

      #990456

      คนจัญไร ชอบแก้ตัว

  2. Ruscal Post on April 17, 2018 at 8:54 pm

    #990448

    น่าให้เค้าฟ้องหมื่นประมาทนะ หาว่าเค้าแฮค แหม่

  3. mitoona

    mitoona Post on April 17, 2018 at 9:02 pm

    #990450

    – ถ้าพิสูจน์ว่าเป็นการแฮค ก็ฟ้องไปเลย จะได้รู้กันทั่วโลกว่า ใครทำงานไม่เป็น ใครโจร ใครโง่……
    ไม่งั้นก็แค่ คำพูดอ้าง แก้ตัว ปิดปังความผิดพลาด ……. คำถามคือ จะไว้ใจได้ หรือไม่ เพราะถ้า ทำงานไม่เป็นเรื่องนี้ แล้วเรื่องความปลอดภัยอื่นๆ ละจะมีปัญหาอีกไหม

  4. lazydroid Post on April 17, 2018 at 9:06 pm

    #990451

    เป็นผู้บริหาร AIS, DTAC จะเชิญมาทำงานหรือมาหาข้อบกพร่องของระบบตัวเองออกข่าวให้เลย
    #ท่าแซะ

  5. WhiteCat

    WhiteCat Post on April 17, 2018 at 10:00 pm

    #990457

    ชักอยากดูตอนจบละสิ

    หรือจะมี EP 2 hack ที่แท้ true

  6. keetanat

    keetanat Post on April 17, 2018 at 10:05 pm

    #990458

    คืองงปัดความผิดเพื่อเอาตัวรอดเหรอ

  7. Kohaku

    Kohaku Post on April 17, 2018 at 10:07 pm

    #990459

    กสทช ลงโทษให้หนักเลยครับ จะได้ระมัดระวังกันมากกว่านี้

  8. momoaii Post on April 17, 2018 at 10:11 pm

    #990460

    โคตรน่าโมโห แต่ผมเชื่อว่ามันไม่โดนอะไรหรอก trueของใคร

  9. sannook Post on April 17, 2018 at 10:28 pm

    #990461

    ย้ายค่าย โนสนโนเเคร์

  10. GolfOly

    GolfOly Post on April 17, 2018 at 11:59 pm

    #990464

    ผมเจอกับตัว ไม่เคยใช้เบอร์มือถือของ True เลย เคยใช้แต่เนทบ้าน วันนึงอยากดูบอลชัดๆ เลยไปสมัคร BeIn Sport Package ที่ True ก็ไม่ได้มีปัญหาอะไร จนกระทั่ง มีกระทู้จาก Droidsans นี่แหละ สอนเรื่องการติดตั้ง แอพตัวนึงของทรู แล้วสามารถใช้ดู ว่าเรามีกี่เบอร์เปิดใช้งาน เจอว่ามีเบอร์นึงเปิดไม่รู้จักไม่เคยเปิด ไม่เคยจ่ายตังค์ ผมไปแจ้งทรู บอกว่ามีเบอร์นี้ได้ไง พนักงานบอกว่าเป็นเบอร์เติมเงิน เช็คเวลาดูก็ใกล้เคียงกับเวลาที่ผมไปเปิดเบอร์พร้อมแพ๊คเกจดูบอลเนี่ยแหละ ผมบอกผมขอปิด พนักงานบอกปิดไม่ได้ … อ้าว ก็อั๊วนั่งอยู่นี่ บอกว่าให้ปิด ทำไมปิดไม่ได้ ตกลงใครเปิดว๊ะ… สุดท้ายผมไปแจ้งความว่ามีคนเอาข้อมูลของผมไปเปิดเบอร์มือถือ กลับไปเอาใบแจ้งความไปให้ดู ก็ยังจะบอกว่าปิดไม่ได้ ต้องส่งเรื่อง ถุย… lj'me8;pvtwi(อันนี้คำหยาบคายครับ) สุดท้าย ตามไป follow อีก 1-2 ครั้งเบอร์นั้นก็หายไปแล้ว ไม่เคยมีการแจ้งมาอธิบายหรือสอบถามกับผมเลย ประมาณว่าเบอร์นี้มันมา แล้วก็ไป…ไม่เคยเกิดอะไรขึ้น นี่แหละมั้งที่พวกแก๊งค์ Call center มันถึงมีเบอร์โทรไปหลอกคน ไม่จบไม่สิ้น นี่ถ้าไม่ติดว่าอยากดูหงส์สยายปีกละก็ ผมคงไม่ยุ่งอะไรกับเจ้านี้อีกแล้วครับ

    • riidii Post on April 18, 2018 at 7:41 pm

      #990516

      มีนาย…. โทรไปจากเบอร์ 02xxx ไปทรู เปลี่ยนแพคเกจผม โดยบอกพาสถูก (ผมไม่เคยให้พาสใคร) พนง.ก็เปลี่ยน ทั้งที่รู้ชื่อผู้โทร ซึ่งไม่ใช่เจ้าของเบอร์
      ช่วงนี้ผมได้รับเมล์จากทรูมันนี่ ส่งมาว่า เติมเงินสำเร็จ ผมไม่เคยใช้ทรูมันนี่ แจ้งทางโทร+ email ตั้งแต่ ตค.60 แล้วก็เงียบ ตามนิสัย เดือนเมษา61 โทรทวงถาม ฟังแล้วไม่มีอะไรคืบหน้า ต้องเล่ากันใหม่ ผมบอกให้แจ้งผลด้วย (คงไม่มีใครแจ้ง) และผมจะตามมันทุกเดือน

  11. sornzilla Post on April 18, 2018 at 1:16 am

    #990466

    ถ้าบอกว่าโดนแฮกค์แบบนี้ฟ้อง Amazon เรียกค่าเสียหายเลยครับ ทำระบบรักษาความปลอดภัยหละหลวม ปล่อยให้ข้อมูลของลูกค้าบริษัทหลุดออกไปได้
    โชคดีนะนั้นเป็นคนที่ทำงานด้านนี้ไปเจอ ถ้าเจอคนเกรียนแตกแจก link พร้อมดูดไปอัพแจกต่อนี่เละแน่นอน

  12. tkb_phymed Post on April 18, 2018 at 6:13 am

    #990467

    ไม่มีใครมาแฮกค์มันหรอก มันขายข้อมูลให้คนอื่น แล้วเปิดโอกาศให้คนซื้อมาโหลตข้อมูลได้ง่ายๆโดยไม่มีการป้องกันอะไร
    นี่ได้โอกาศเลยโบ้ยความผิดให้คนอื่นเพื่อเอาตัวรอด
    ไอ้บ.ระยำนี่แม่งทำเห้ได้ทุกอย่าง
    ความจริงยังมีเรื่องที่บ.นี้เอาเปรียบสังคมอีกเยอะ เพียงแต่มันไม่เกี่ยวกับเรื่องมือถือ กำลังจะเก็บข้อมูลอยู่ แต่ยังไม่รู้ว่าจะลงที่ไหนดี

  13. azazel08

    azazel08 Post on April 18, 2018 at 7:02 am

    #990468

    ผู้ให้บริการบอกแบบนี้ก็จบสิครับ กสทช. จะทำไรได้ อย่างมากโดนค่าปรับ ต่างก็เอื้อกันและกัน แต่ประเด็นคือไปบอกว่าเขาแฮค เพื่อให้ตัวเองรอดในประเทศ แล้วเขาฟ้องมา เราจะทำยังไง

    • tkb_phymed Post on April 18, 2018 at 7:55 am

      #990471

      เรื่องฟ้องคงไม่ต้องห่วงหรอก เพราะเค้าก็จะฟ้องไอ้คนพูด รัฐบาลไม่เกี่ยว ประเทศไม่เกี่ยว
      ให้ไอ้บริษัทเลวนี่ไปสู้คดีเอาเอง

  14. itruemart ไม่ได้เป็นผู้ให้บริการโทรศัพท์มือถือ เค้ามีสิทธิ์อะไรเอาข้อมูลลูกค้าไปเก็บไว้เองล่ะครับ?

  15. alonewolf Post on April 18, 2018 at 11:21 am

    #990490

    Amazon S3
    1. Private by default
    2. สามารถ encrypt ข้อมูลได้ โดยได้ถึง AES256 (ตั้งแต่ปี 2011)

    ดูเพิ่มเติมได้ตามนี้นะครับ

    1. Access
    By default, all Amazon S3 resources—buckets, objects, and related subresources (for example, lifecycle configuration and website configuration)—are private: only the resource owner, an AWS account that created it, can access the resource. The resource owner can optionally grant access permissions to others by writing an access policy.
    https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html

    2. Encryption

    https://aws.amazon.com/about-aws/whats-new/2011/10/04/amazon-s3-announces-server-side-encryption-support/
    https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html

  16. jerryth Post on April 22, 2018 at 8:21 am

    #990675

    ต้องไปฟ้องร้อง กสทช ที่ได้รับเงินเดือนมากกว่าลุงตู่แล้วมั้งครับ อยากรู้ว่า ได้รับเงินเดือนขนาดนั้น วัน ๆ ทำอะไรนอกจากเดินไป เดินมาให้คนยกมือไหว้

Leave a Reply

To Top