วิเคราะห์กรณีสำเนาบัตรประชาชนลูกค้า Truemove H หลุด ใครเป็นคนผิด? และมีเจตนาเปิดเผยข้อมูลจริงหรือเปล่า?

จากกรณีที่ข้อมูลสำเนาบัตรประชาชนของลูกค้าซึ่งลงทะเทียนกับ TrueMove H ถูกตั้งค่าเปิดเป็น Public ให้ใครก็ได้สามารถเข้าไปหยิบเอาข้อมูลมาใช้ ซึ่งตอนนี้มีทาง iTruemart ที่ออกมาขอโทษว่าเป็นความผิดของตนเองและทาง กสทช. เตรียมเรียกสอบสวนโดยระบุว่าหากมีเจตนาในการเปิดช่องให้เข้าถึงข้อมูลได้จริง ก็จะมีโทษตาม พรบ. โทรทัศน์และโทรคมนาคมแน่นอน งั้นเรามาลองไล่เรียงเหตุการณ์ และวิเคราะห์ไปทีละประเด็นว่าจริงๆ แล้วมันเกิดอะไรขึ้นกันแน่

สำเนาบัตรประชาชนหลุดได้อย่างไร

เรื่องนี้หลายคนอาจจะอ่านข่าวเมื่อวานกันไปแล้ว ก็ขอสรุปสั้นๆ ว่านักวิจัยด้านความปลอดภัยเป็นคนไปสแกนเจอว่ามี S3 Bucket หรือเรียกให้เข้าใจง่ายๆ ว่าเป็นโฟลเดอร์จัดเก็บไฟล์ ซึ่งในนั้นมีไฟล์บัตรประชาชนของลูกค้า TrueMove H สแกนเก็บเอาไว้กว่า 46,000 ไฟล์ ขนาดใหญ่ 32GB ตั้งแต่ปี 2015 เป็นต้นมา

และมีการติดต่อสื่อสารกับผู้ให้บริการในประเทศไทยเป็นเวลาร่วมเดือน ถึงจะมีการปิดการเข้าถึงข้อมูลในส่วนนี้

ใครเป็นเจ้าของข้อมูลสำเนาบัตรประชาชนชุดนี้

ทาง iTruemart ได้ออกมายอมรับว่าเป็นข้อมูลที่เก็บรายชื่อลูกค้าที่มาเปิดเบอร์พร้อมสมัครแพ็คเกจกับ TrueMove H เอาไว้ทั้งหมด ซึ่งตอนนี้มีการถกเถียงกันมากมายว่า iTruemart กับ TrueMove H นั้นเป็นคนละหน่วยงานกัน หรือเป็นเครือเดียวกันหรือไม่สุดท้ายแล้วใครผิดกันแน่

แต่ถ้าย้อนกลับไปอ่านข่าวการติดต่อของ Niall Merrigan จะเห็นได้ว่าเค้าพยายามติดต่อกับ TrueMove H และ TrueCorp มาโดยตลอด จนข้อมูลถูกปิดในช่วงค่ำของวันที่ 12 เมษายน ไม่มีชื่อของ iTruemart ออกมาในส่วนไหนเลย

แล้วแบบนี้ข้อมูลชุดนั้นเป็นของใคร? ใครเก็บ? ก็ลองไปคิดกันต่อได้

ข้อมูลโดน Hack หรือเป็นความประมาทในการเก็บรักษาข้อมูลลูกค้า

จากจดหมายของ iTruemart เมื่อวานนี้ มีการระบุข้อความว่าเป็นข้อมูลที่โดน hack ซึ่งใครที่ตามอ่านข่าวมาตลอดก็จะเห็นว่ามันไม่น่าจะใช่

เพราะทาง Niall เองก็บอกว่าเค้าไปตรวจหรือสแกนหา Bucket S3 ที่มีการเปิด Public ให้เข้าถึงโดยสาธารณะเอาไว้ (ล่าสุด Niall เชียนเพิ่มเติมแล้วว่าเค้าไม่ได้ hack > FAQ iTruemart data leak )

มีเจตนาเปิดข้อมูลเป็น Public หรือแค่ประมาท

เมื่อวานนี้ กสทช. โดยนายฐากร ตัณฑสิทธิ์ ได้ออกมาเรียกสอบทาง TrueMove H ในวันที่ 17 เมษายนนี้ (บ้านเราเรื่องจะร้ายแรงแค่ไหน ก็ต้องรอวันเปิดทำงานหรือเวลาราชการนะครับ) ระบุว่าหากเป็นการกระทำโดยเจตนา ก็จะมีความผิดแน่นอน! และมีโทษพักใช้ใบอนญาต หรือถึงขั้นเพิกถอนใบอนุญาตไปเลยด้วย

งั้นเรามาลองดูกันว่า การจะเปิด S3 Bucket ให้เป็นแบบ Public ให้คนทั่วไปเข้ามาใช้งานได้นี่ มันต้องมีเจตนาไหม หรือแค่กดไปมั่วๆ มันก็ Public แล้ว

ปกติแล้วการสร้าง S3 Bucket นั้นจะมีหน้าตาแบบนี้ (อ้างอิงตามเอกสารของ Amazon)

คือเมื่อกดสร้าง Bucket S3 ขึ้นมาแล้ว โดยปกติ Bucket จะถูกกำหนดสิทธิ์เป็นแบบ private หรือเปิดกั้นข้อมูลเอาไว้ อนุญาตให้เฉพาะคนที่มีสิทธิ์ใช้งานสามารถกดเข้ามาดูได้ เรียกว่าถ้ากด next > next ไปเรื่อยๆ ยังไง Bucket ตัวนี้ก็จะปลอดภัย

แต่การจะเปิด Bucket ให้เป็น public นั้น แน่นอนว่าจะต้องไปกดเปลี่ยนการตั้งค่า เพื่อกำหนดสิทธิ์ใหม่ และยิ่งการเปิดเป็น public หรือสาธาณะนั้น จะมีคำเตือนเด้งขึ้นมาตัวเบ้อเริ่ม แถมในคู่มือของ Amazon ยังบอกว่า Public Access คือ Everyone in The World เพราะฉะนั้นหากคุณเปิดเป็น public แบบนี้ ก็ต้องรู้อยู่แล้วว่าจะเกิดอะไรขึ้น และก็ต้องรับผลที่ตามมาด้วย

ถ้าการเปิดแฟ้มข้อมูล Bucket S3 ที่มีสำเนาบัตรประชาชนมากๆ ให้เป็น Public ได้เนี่ย มันมีขั้นตอนมากมาย แถมยังมีคำเตือนให้ระวังขึ้นมาแล้ว จะเรียกว่ามีเจตนาไหมครับ กสทช.