สรุปเหตุการณ์ “โรงพยาบาลและบริษัทในไทยถูกแฮก” ข้อมูลคนไข้-ลูกค้า โผล่ขายว่อนดาร์กเว็บ

ข้อมูลผู้ป่วย ร.พ.เพชรบูรณ์โดนแฮกกว่า 16 ล้านรายการ

ข้อมูลของกระทรวงสาธารณสุขประเทศไทย ขนาด 3.75GB กว่า 16 ล้านรายการ ถูกนำไปขายบนเว็บไซต์แห่งหนึ่งในราคา 500 ดอลลาร์ (ประมาณ 16,400 บาท) แฮกเกอร์ระบุว่า ข้อมูลชุดนี้เป็นข้อมูลส่วนตัวของผู้ป่วยที่ประกอบด้วย ชื่อ ที่อยู่ เบอร์โทรศัพท์ วันเกิด หมายเลขประจำตัวประชาชน ข้อมูลการเข้าใช้บริการโรงพยาบาล และอื่น ๆ ประเด็นที่น่าเป็นห่วงเพิ่มเติมคือ จากรายการข้อมูลล่าสุดนั้นลงวันที่ 5 กันยายน 2564 หรือพูดง่าย ๆ นี่เป็นข้อมูลใหม่ ๆ สด ๆ เลยนั่นเองครับ

สาเหตุอาจเกิดจากระบบรักษาความปลอดภัยไม่ได้มาตรฐาน

นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า ข้อมูลข้างต้นเป็นหลุดมาจากโรงพยาบาลเพชรบูรณ์ เพราะโรงพยาบาลนี้ได้พัฒนาเว็บแอปพลิเคชันขึ้นมาใช้เองเป็นการภายในสำหรับติดตามการเข้าใช้บริการของผู้ป่วยและการทำงานของแพทย์เป็นการหลายปีแล้ว ซึ่งอาจไม่ได้มีการอัปเดตระบบด้านความปลอดภัยให้ทันสมัยหรือได้มาตรฐาน เมื่อมีการเชื่อมต่อกับอินเทอร์เน็ตจึงถูกแฮกเกอร์โจมตี ตามที่ปรากฏเป็นข่าว

รัฐมนตรีว่าการกระทรวงดิจิทัลฯ ชี้แจง สาเหตุอาจเกิดจากระบบความปลอดภัยไม่ได้มาตรฐาน

สรุปแล้วเป็นข้อมูลผู้ป่วย 10,000 ราย ไม่มีข้อมูลบัตรประชาชน

อย่างไรก็ตาม นาวาอากาศเอกอมร ชมเชย รองเลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ยืนยันไม่มีข้อมูลหมายเลขประจำตัวประชาชนรั่วไหลออกไป รวมถึงข้อมูลที่มีความละเอียดอ่อน และจากแถลงการณ์ของโรงพยาบาลเพชรบูรณ์ได้ให้ข้อมูลเพิ่มเติมว่า สาเหตุที่ไฟล์ข้อมูลมีขนาดใหญ่ เป็นเพราะข้อมูลมีลักษณะเป็นรูปภาพ เอกสาร และตาราง โดยข้อมูลที่หลุดออกไป ส่วนใหญ่เป็นเพียงข้อมูลเบื้องต้นเกี่ยวกับผู้ป่วยเท่านั้น ดังรายการด้านล่าง

• ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา)
• ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา ประมาณ 7,000 ราย
• ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล
• ข้อมูลรายชื่อผู้ป่วยในการคํานวณค่าใช้จ่ายในการผ่าตัด 692 ราย
• ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย

นายชัยวุฒิ ธนาคมานุสรณ์ ได้แจ้งว่า ข้อมูลผู้ป่วยจำนวน 10,095 ราย จริง ๆ อาจมีน้อยกว่านี้ เพราะผู้ป่วยบางรายอาจเข้าใช้บริการโรงพยาบาลมากกว่า 1 ครั้ง ทำให้เกิดความซ้ำซ้อนของข้อมูล

หากผิดจริง โรงพยาบาลอาจโดนปรับไม่เกิน 5 ล้านบาท

สำหรับเหตุการณ์นี้ หากพบว่า โรงพยาบาลเพชรบูรณ์มีการละเลยด้านความปลอดภัยทางไซเบอร์ ไม่ได้ทำตามข้อกำหนดของมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 ตามที่ประกาศเอาไว้เมื่อวันที่ 17 กรกฎาคม 2563 อาจมีโทษทั้งทางอาญาและทางปกครองปรับสูงสุดไม่เกิน 5 ล้านบาท ขณะนี้กำลังอยู่ระหว่างตรวจสอบข้อเท็จจริง …ส่วนแฮกเกอร์นี่มีความผิดแน่ ๆ แต่จะตามหาตัวเจอหรือเปล่า อันนี้อีกเรื่องหนึ่งนะ

ทั้งนี้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้ประสานงานไปยังโรงพยาบาลเพชรบูรณ์ ให้แสดงออกถึงความรับผิดชอบต่อผู้ที่ได้รับผลกระทบ ทั้งผู้ป่วยและแพทย์ที่มีข้อมูลหลุดออกไป โดยอาจมีการประชุมร่วมกันเพื่อหาข้อสรุปที่ลงตัวในเร็ว ๆ นี้

CP Freshmart และ ร.พ.สถาบันโรคไตภูมิราชนครินทร์ โดนแฮกตามมาติด ๆ

นอกเหนือจากเหตุการณ์โรงพยาบาลเพชรบูรณ์แล้ว บนเว็บไซต์เดียวกับที่แฮกเกอร์นำข้อมูลของโรงพยาบาลเพชรบูรณ์ไปขายนั้น ยังตรวจสอบพบข้อมูลของ CP Freshmart อีกเกือบ ๆ 6 แสนรายการ เป็นข้อมูลของลูกค้าที่ประกอบด้วย ชื่อ ที่อยู่ หมายเลขโทรศัพท์ อีเมล ซึ่งบริษัทฯ ได้ออกมายอมรับว่า ข้อมูลถูกแฮกจริง แต่ไม่มีข้อมูลบัตรเครดิตหรือข้อมูลด้านการเงิน พร้อมทั้งย้ำว่า ไม่มีผลกระทบต่อการนำเนินธุรกิจและระบบความปลอดภัยด้านอื่น ๆ

ข้อมูลลูกค้า CP Freshmart ถูกปล่อยขายบนดาร์กเว็บ

CP Freshmart แจ้งลูกค้า ไม่มีข้อมูลบัตรเครดิตรั่วไหล

แต่ถึงกระนั้น CP Freshmart ได้ออกมาเตือนลูกค้าว่า ให้ระวังการหลอกลวงทางโทรศัพท์และทางอีเมล เพราะผู้ไม่หวังดีอาจอาศัยประโยชน์จากข้อมูลที่หลุดลอดออกไปมาขยายผลในการโจมตีทางไซเบอร์เพิ่มเติม ตอนนี้บริษัทฯ กำลังร่วมมือกับผู้เชี่ยวชาญเพื่อตรวจสอบและควบคุมความเสียหาย พร้อมทั้งรับปากจะปรับปรุงระบบสารสนเทศให้มีความรัดกุมมากยิ่งขึ้น

ข้อมูลลูกค้า CP Freshmart ที่ถูกนำมาขาย ตรวจสอบเบื้องต้นไม่มีข้อมูลบัตรเครดิต

ข้อมูลปริศนา 30 ล้านรายการ กระทรวงดิจิทัลฯ ทราบเรื่องแล้ว

ยังไม่หมดเพียงเท่านั้นนะครับ เพราะมีข้อมูลของคนไทยอีกราว 30 ล้านรายการที่ถูกนำไปขาย แฮกเกอร์ระบุว่า เป็นข้อมูลเกี่ยวกับ ชื่อ เพศ วันเดือนปีเกิด เบอร์โทรศัพท์ ที่อยู่ หมายเลขประจำตัวประชาชน สำหรับกรณีนี้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมให้ความเห็นว่า แม้จะมีไฟล์ตัวอย่างให้ดาวน์โหลดมาดูได้ แต่ข้อมูลจริง ๆ อาจไม่ได้มีมากถึง 30 ล้ายรายการตามที่มิจฉาชีพกล่าวอ้าง และผู้ขายอาจมีของแถมไม่พึ่งประสงค์แนบมาให้แก่ผู้ที่ขอซื้อข้อมูล เช่น มัลแวร์หรือแรนซัมแวร์ ซึ่งยังต้องตรวจสอบเพื่อหาข้อเท็จจริงกันต่อไป

โรงพยาบาลสถาบันโรคไตภูมิราชนครินทร์ โดนแฮกเกอร์โจมตี ข้อมูลคนไข้หลุดอีก 40,000 ราย

ล่าสุด โรงพยาบาลสถาบันโรคไตภูมิราชนครินทร์ได้ตกเป็นเหยื่ออีกรายของแฮกเกอร์ โดยผู้อำนวยการโรงพยาบาลฯ บอกว่า แฮกเกอร์ได้เข้ามาเจาะระบบของโรงพยาบาลในวันที่ 6 กันยายน 2564 ในช่วงเวลา 05.30 น. ส่งผลให้บุคลากรไม่สามารถเข้าสู่ระบบของโรงพยาบาลได้ในช่วงเช้าที่เปิดทำการ

ข้อมูลของโรงพยาบาลสถาบันโรคไตภูมิราชนครินทร์ที่ถูกแฮก มีความคล้ายคลึงกับเคสโรงพยาบาลเพชรบูรณ์ คือ เป็นข้อมูลของผู้ป่วย แต่น่าเป็นห่วงยิ่งกว่า เพราะคราวนี้เป็นข้อมูลเชิงลึกเกี่ยวกับการเอกซเรย์ การฟอกไต และการจ่ายยา แถมยังเป็นจำนวนมากถึง 40,000 ราย จากทั้งหมด 100,000 ราย เรียกได้ว่า คิดเป็น 40% เลยทีเดียว

นอกจากนี้ จากการโจมตีของแฮกเกอร์ยังส่งผลให้โรงพยาบาลสถาบันโรคไตภูมิไม่สามารถเข้าถึงข้อมูลคนไข้บางส่วนได้ ขณะนี้เจ้าหน้าที่ต้องจดบันทึกข้อมูลในเวชระเบียนด้วยมือแทนไปก่อน จนกว่าจะกู้คืนข้อมูลได้สำเร็จ (น่าจะภายในวันนี้)

ยังไม่มีรายงานว่า เหตุการณ์การโจรกรรมข้อมูลที่เกิดขึ้นรัว ๆ ในรอบไม่กี่วันที่ผ่านมามีความเชื่อมโยงหรือเกี่ยวข้องกันแต่อย่างใด ตอนนี้หลายฝ่ายต่างจับตาไปที่ความเคลื่อนไหวและท่าทีของกระทรวงดิจิทัลฯ หากมีความคืบหน้าเพิ่มเติมอย่างไร DroidSans จะมาอัปเดตให้ทราบกันต่อไปครับ

ที่มา : Raid Forums | ไทยรัฐ | กระทรวงดิจิทัลฯ | CP Freshmart | อาร์ท เอกรัฐ