News

วิเคราะห์กรณีสำเนาบัตรประชาชนลูกค้า Truemove H หลุด ใครเป็นคนผิด? และมีเจตนาเปิดเผยข้อมูลจริงหรือเปล่า?

จากกรณีที่ข้อมูลสำเนาบัตรประชาชนของลูกค้าซึ่งลงทะเทียนกับ TrueMove H ถูกตั้งค่าเปิดเป็น Public ให้ใครก็ได้สามารถเข้าไปหยิบเอาข้อมูลมาใช้ ซึ่งตอนนี้มีทาง iTruemart ที่ออกมาขอโทษว่าเป็นความผิดของตนเองและทาง กสทช. เตรียมเรียกสอบสวนโดยระบุว่าหากมีเจตนาในการเปิดช่องให้เข้าถึงข้อมูลได้จริง ก็จะมีโทษตาม พรบ. โทรทัศน์และโทรคมนาคมแน่นอน งั้นเรามาลองไล่เรียงเหตุการณ์ และวิเคราะห์ไปทีละประเด็นว่าจริงๆ แล้วมันเกิดอะไรขึ้นกันแน่

สำเนาบัตรประชาชนหลุดได้อย่างไร

เรื่องนี้หลายคนอาจจะอ่านข่าวเมื่อวานกันไปแล้ว ก็ขอสรุปสั้นๆ ว่านักวิจัยด้านความปลอดภัยเป็นคนไปสแกนเจอว่ามี S3 Bucket หรือเรียกให้เข้าใจง่ายๆ ว่าเป็นโฟลเดอร์จัดเก็บไฟล์ ซึ่งในนั้นมีไฟล์บัตรประชาชนของลูกค้า TrueMove H สแกนเก็บเอาไว้กว่า 46,000 ไฟล์ ขนาดใหญ่ 32GB ตั้งแต่ปี 2015 เป็นต้นมา

และมีการติดต่อสื่อสารกับผู้ให้บริการในประเทศไทยเป็นเวลาร่วมเดือน ถึงจะมีการปิดการเข้าถึงข้อมูลในส่วนนี้

 

ใครเป็นเจ้าของข้อมูลสำเนาบัตรประชาชนชุดนี้

ทาง iTruemart ได้ออกมายอมรับว่าเป็นข้อมูลที่เก็บรายชื่อลูกค้าที่มาเปิดเบอร์พร้อมสมัครแพ็คเกจกับ TrueMove H เอาไว้ทั้งหมด ซึ่งตอนนี้มีการถกเถียงกันมากมายว่า iTruemart กับ TrueMove H นั้นเป็นคนละหน่วยงานกัน หรือเป็นเครือเดียวกันหรือไม่สุดท้ายแล้วใครผิดกันแน่

แต่ถ้าย้อนกลับไปอ่านข่าวการติดต่อของ Niall Merrigan จะเห็นได้ว่าเค้าพยายามติดต่อกับ TrueMove H และ TrueCorp มาโดยตลอด จนข้อมูลถูกปิดในช่วงค่ำของวันที่ 12 เมษายน ไม่มีชื่อของ iTruemart ออกมาในส่วนไหนเลย

แล้วแบบนี้ข้อมูลชุดนั้นเป็นของใคร? ใครเก็บ? ก็ลองไปคิดกันต่อได้

 

ข้อมูลโดน Hack หรือเป็นความประมาทในการเก็บรักษาข้อมูลลูกค้า

จากจดหมายของ iTruemart เมื่อวานนี้ มีการระบุข้อความว่าเป็นข้อมูลที่โดน hack ซึ่งใครที่ตามอ่านข่าวมาตลอดก็จะเห็นว่ามันไม่น่าจะใช่

เพราะทาง Niall เองก็บอกว่าเค้าไปตรวจหรือสแกนหา Bucket S3 ที่มีการเปิด Public ให้เข้าถึงโดยสาธารณะเอาไว้ (ล่าสุด Niall เชียนเพิ่มเติมแล้วว่าเค้าไม่ได้ hack > FAQ iTruemart data leak )

 

มีเจตนาเปิดข้อมูลเป็น Public หรือแค่ประมาท

เมื่อวานนี้ กสทช. โดยนายฐากร ตัณฑสิทธิ์ ได้ออกมาเรียกสอบทาง TrueMove H ในวันที่ 17 เมษายนนี้ (บ้านเราเรื่องจะร้ายแรงแค่ไหน ก็ต้องรอวันเปิดทำงานหรือเวลาราชการนะครับ) ระบุว่าหากเป็นการกระทำโดยเจตนา ก็จะมีความผิดแน่นอน! และมีโทษพักใช้ใบอนญาต หรือถึงขั้นเพิกถอนใบอนุญาตไปเลยด้วย

งั้นเรามาลองดูกันว่า การจะเปิด S3 Bucket ให้เป็นแบบ Public ให้คนทั่วไปเข้ามาใช้งานได้นี่ มันต้องมีเจตนาไหม หรือแค่กดไปมั่วๆ มันก็ Public แล้ว

ปกติแล้วการสร้าง S3 Bucket นั้นจะมีหน้าตาแบบนี้ (อ้างอิงตามเอกสารของ Amazon)

 

คือเมื่อกดสร้าง Bucket S3 ขึ้นมาแล้ว โดยปกติ Bucket จะถูกกำหนดสิทธิ์เป็นแบบ private หรือเปิดกั้นข้อมูลเอาไว้ อนุญาตให้เฉพาะคนที่มีสิทธิ์ใช้งานสามารถกดเข้ามาดูได้ เรียกว่าถ้ากด next > next ไปเรื่อยๆ ยังไง Bucket ตัวนี้ก็จะปลอดภัย

แต่การจะเปิด Bucket ให้เป็น public นั้น แน่นอนว่าจะต้องไปกดเปลี่ยนการตั้งค่า เพื่อกำหนดสิทธิ์ใหม่ และยิ่งการเปิดเป็น public หรือสาธาณะนั้น จะมีคำเตือนเด้งขึ้นมาตัวเบ้อเริ่ม แถมในคู่มือของ Amazon ยังบอกว่า Public Access คือ Everyone in The World เพราะฉะนั้นหากคุณเปิดเป็น public แบบนี้ ก็ต้องรู้อยู่แล้วว่าจะเกิดอะไรขึ้น และก็ต้องรับผลที่ตามมาด้วย

ถ้าการเปิดแฟ้มข้อมูล Bucket S3 ที่มีสำเนาบัตรประชาชนมากๆ ให้เป็น Public ได้เนี่ย มันมีขั้นตอนมากมาย แถมยังมีคำเตือนให้ระวังขึ้นมาแล้ว จะเรียกว่ามีเจตนาไหมครับ กสทช. 

19 Comments

  1. tanathep13

    tanathep13 Post on April 15, 2018 at 12:10 pm

    #990314

    บางทีก็คิดเล่นๆนะ ว่าพวกที่โทรมาขายของ
    ขายประกันฯ มันเอาข้อมูลมาจากไหน?
    ไม่ต้องตอบมา ว่าเขาสุ่มเอา เพราะบางรายนี่รู้
    แม้กระทั่งเลขบัตรประชาชนเรา โทรมาทางมือถือ
    ไม่ใช่เบอร์บ้าน ถึงจะเช็คชื่อ-นามสกุล ที่อยู่ได้

  2. mozzard Post on April 15, 2018 at 12:29 pm

    #990315

    ก็แค่หมาเห่าใบตองแห้ง รู้อยู่แล้วว่าเรื่องนี้จะจบลงแบบไหน

    • e20rsn Post on April 15, 2018 at 1:06 pm

      #990316

      นั่นสิ

    • ytti10

      ytti10 Post on April 15, 2018 at 3:11 pm

      #990319

      ค่ายนี้เขาระดับเจ้าสัวด้วยสิ

    • ksompongx

      ksompongx Post on April 21, 2018 at 7:29 pm

      #990659

      เค้าเป็นพนักงานของทุยด้วยหรือเปล่า? เห็นปกป้องกันจัง…

  3. leosungz Post on April 15, 2018 at 3:21 pm

    #990320

    ทุบเลยๆ รอช้อน

  4. K.D.ANGELO

    K.D.ANGELO Post on April 15, 2018 at 3:50 pm

    #990322

    เรื่องนี้ให้ปล่อยไปเงียบ ๆ ไม่ได้นะครับ มอง ๆ แล้วข่าวใหญ่ไม่แพ้เฟซบุ๊กเลยนะ ต้องสอบสวนให้ได้ความและชดเชยผู้เสียหายด้วยครับ

  5. newgen Post on April 15, 2018 at 5:36 pm

    #990331

    ตอนนี้สงสัยคนทำออกไปนานแล้วล่ะ ไม่งั้นน่าจะรีบปิดไปตั้งแต่แรกๆแล้ว สงสัยมัวแต่งง

  6. ps000000

    ps000000 Post on April 15, 2018 at 5:59 pm

    #990333

    อ่านแล้วต้องติดตามครับเคสนี้

  7. WhiteCat

    WhiteCat Post on April 15, 2018 at 8:04 pm

    #990336

    จะจบแบบว่า คนทำโปรแกรมกาก เลยเปิด pubile เพราะทำแบบ authen ไม่เป็นปะ
    ก็จับแพะกันไป เสียเงินนิดหน่อยดีกว่าโดนถอนใบอนุญาติ

  8. theproject

    theproject Post on April 15, 2018 at 9:57 pm

    #990339

    มันมีการนำข้อมูลลูกค้าออกมาขายจริงๆครับ คิดเหมากันเลย ลองหาข้อมูลดู

  9. maxkyoya

    maxkyoya Post on April 15, 2018 at 10:48 pm

    #990340

    ็Hack พ่อยู หรออออ (ขออภัย)
    ยังมีคนใช้ค่ายนี้อยู่อีกหรือครับนิ
    ปล.ถึงขึ้น login เข้ามาเม้นเลยนะ -_-

  10. iammote Post on April 15, 2018 at 11:26 pm

    #990342

    ไม่มีใครแฮคหรอก โยนขรี้

  11. themeee Post on April 16, 2018 at 12:04 am

    #990344

    ต่อให้ไม่เจตนา ก็ควรจะต้องโดนเอาผิดอยู่ดี

  12. พชร ขาวผิว Post on April 16, 2018 at 7:36 pm

    #990365

    ถ้าเป็นแบบนั้นจริงก็จะเป็นรายชื่อเเละเบอร์ที่ผูกกับบัตรเครดิต  ชื่อพวกนี้จะถูกขายให้กับเซลล์ขายบัตรเครดิตและสินเชื่อ.  ใช้บัตรรูดตามห่างถูกขายข้อมูลเหมือนกันไม่ได้มีเฉพาะเครือข่ายโทนศัพ

  13. iristoh

    iristoh Post on April 16, 2018 at 7:53 pm

    #990369

    ถ้าผมเผลอหลับในขับรถชนคนอื่น
    ผมบอกว่าไม่เจตนาแล้วก็ไม่ต้องรับผิดมั้ยครับ

  14. sonkub

    sonkub Post on April 17, 2018 at 9:28 am

    #990391

    ให้คิดเพิ่มครับ
    cloud infra ที่ทาง droidsans เอาหน้า config มาให้ดู จะต้องเป็นทีม system infra เข้าถึงได้เท่านั้น
    ปกติไม่มีทางให้ทีม dev ดูแลกันหรอก ยิ่งพอมาเป็น cloud อีกมีการเสียเงินแบบจริงจัง ก็ต้องแบ่งสิทธิ์กันอีก
    system admin ทั่วไป ไม่น่าจะมีโอกาสได้ถือ account ระดับ admin ที่มีสิทธิ์ create/edit permission ได้ง่ายๆหรอก ในบริษัทใหญ่ระดับนี้

    ต่อมา AWS ก็น่าจะเป็น account ของ TRUE ใหญ่โดยตรงด้วย เพื่อเปิดให้ บ. ย่อยใช้อีกที

    และสุดท้าย TRUE ตั้งตัวเป็นเชี่ยวชาญ AWS และเป็นผู้ให้บริการรายใหญ่ในไทย
    แต่กลับ config แบบนี้เนี่ยนะ

  15. azazel08

    azazel08 Post on April 17, 2018 at 10:30 am

    #990395

    เข้าใจว่าเรื่องนี้เงียบไม่ได้ แต่เอาจริงๆ ระดับนั้นยังไงก็ต้องปกปิด อย่างมากก็ทำตาม กสทช. เสียค่าปรับกันไป แล้วถามว่าถึงขั้นเลิกให้บริการเลยมั้ย ยังไงก็ไม่มีทางแน่นอน เพราะมันเสียผลประโยชน์กันเป็นทอดๆ ผู้บริโภคอย่างเราๆก็แก้ไขกันไปเอง

    เซ็งเหมือนกันนะแบบนี้

Leave a Reply

To Top