เหมือนความปลอดภัยในการปกป้องข้อมูลของลูกค้าหรือผู้ใช้บริการกำลังถูกทดสอบ หลังจาก Facebook กับกรณี Cambridge Analytica ที่บางคนอาจจะคิดว่าไกลตัว มาคราวนี้เป็น Truemove H ผู้ให้บริการมือถือในบ้านเราบ้าง ที่แสดงความเผลอเรอด้วยการเก็บข้อมูลผู้ใช้งานตั้งแต่ปี 2016 เอาไว้บน Cloud พร้อมสำเนาบัตรประชาชนเป็นจำนวนกว่า 32GB แล้วไม่ปิดกั้นการเข้าถึง
ข้อมูลลูกค้าจำนวนมหาศาลชุดนี้ ถูกค้นพบโดย Niall Merrigan นักวิจัยด้านความปลอดภัย ที่คอยสำรวจและตรวจสอบการสร้างโฟลด์เดอร์ Amazon S3 บนระบบ Cloud ซึ่งหลังจากสแกนเจอโฟลเดอร์ที่เปิดเอาไว้หรือไม่ได้ล็อค ก็จะเลือกเข้าไปดูโฟลด์เดอร์ที่มีข้อมูลเยอะๆ ว่าเก็บอะไรเอาไว้บ้าง ซึ่ง 1 ใน 1000 นั้นก็คือโฟลเดอร์เก็บข้อมูลลูกค้าของ Truemove H
จากโฟลเดอร์ขนาด 32GB นั้น ภายในมีการแยกข้อมูลลูกค้าเอาไว้เป็นปีๆ อย่างเรียบร้อย ในปี 2015 มีข้อมูลจำนวน 8.3GB, ในปี 2016 14.5GB, ปี 2017 6.6GB และในปี 2018 ที่เพิ่งเริ่มเก็บมี 2.2GB โดยทั้งหมดนับรวมกันเป็น 45,736 ไฟล์
หลังจากกดเข้าไปดูข้อมูลภายในนั้น ก็พบว่าเป็นภาพสำเนาบัตรประขาชนของผู้ใช้งาน Truemove H เรียกว่าใครไปเปิดเบอร์หรือลงทะเบียนในช่วงนั้นคุณจะมีภาพบัจรประชาชนอยู่บนนี้แน่นอน
หลังจากพบข้อมูลทั้งหมดแล้ว ทาง Niall Merrigan ได้พยายามติดต่อ Truemove H หลายช่องทางเพื่อแจ้งปัญหาที่เกิดขึ้น ว่าไม่ควรเปิดข้อมูลเอาไว้แบบนี้ ทั้งทางทวิตเตอร์และอีเมล์ช่วงต้นเดือนมีนาคมที่ผ่านมา และก็ได้รับเมล์ตอบกลับมาว่าที่บริษัทไม่มีหน่วยงานด้านความปลอดภัย ให้ติดต่อไปทางสำนักงานใหญ่จะดีกว่า
หลังจากผ่านไป 2-3 สัปดาห์ Merrigan ก็ยังไม่เห็นการเปลี่ยนแปลงใดๆ ข้อมูลลูกค้าก็ยังเปิดอ้าซ่ารอคนท่ี่เจอมาโหลดเอาไปเก็บไว้ได้สบายๆ อยู่อย่างนั้น เค้าเลยตัดสินใจติดต่อกับสื่ออย่าง The Register เพื่อกดดันทาง Truemove H พร้อมทั้งส่งเมล์ไปอีกครั้งในวันที่ 4 เมษายนเพื่อขู่ว่าถ้าทางทรูยังไม่ทำอะไรเค้าจะทำการปล่อยข้อมูลชุดนี้สู่สาธารณะทันที
ผ่านไปอีกเกือบหนึ่งสัปดาห์ก็พบว่าในช่วงค่ำของวันที่ 12 เมษายน โฟลเดอร์ดังกล่าวเพิ่งจะถูกจำกัดการเข้าถึงเป็นที่เรียบร้อย
ถ้าหากยังจำกันได้ในช่วงปี 2016 เคยมีข่าวกรณีที่ผู็ใช้บริการของทรูโดนเปิดซิมซ้ำซ้อน และไม่มีการตรวจสอบบัตรประชาชน จนเกิดความเสียหายเป็นจำนวนมากไปแล้ว จากกรณีนี้ก็หวังว่าจะไม่เกิดเหตุการณ์ประมาทเลินเล่อกับข้อมูลลูกค้าอีก
source : theregister , Niall Merrigan
iTruemart ส่งจดหมายขอโทษข้อมูลลูกค้า TrueMove H หลุด ด้าน กสทช. พร้อมสอบเอาผิด
iTruemart ส่งจดหมายขอโทษข้อมูลลูกค้า TrueMove H หลุด ด้าน กสทช. พร้อมสอบเอาผิด
นึกถึงข่าวดังๆที่ผู้หญิงโดนแก๊ง call center เอาไปเปิดบัญชีจนติดคุกฟรีไปหลายวัน ลูกค้าทรูได้รับสิทธิ์นั้นทุกคนเลยสินะ
บปช.เรา สำคัญกว่าที่คิดครับ
ระดับ auth partner อบรมชาวบ้าน
ทำไมชุ่ย ไม่follw best practices ที่ aws มีมาให้เหรอ
กสทช ตัวดันให้ส่งข้อมูล จะว่าไง เรื่องนี้
หรือไม่5อะไรเหมือนเดิม
"True IDC ได้รับแต่งตั้งเป็น AWS Authorized Training Reseller Partner เปิดอบรมสร้างความเข้าใจในการใช้งาน AWS Cloud"
เรียน คุณ kernelbase
จากกรณีข่าวข้อมูลรั่วไหลของการลงทะเบียนซิม Truemove ผ่าน iTruemart นั้น True IDC ขออนุญาตเรียนแจ้งท่านให้ทราบว่าในกรณีนี้ True IDC เป็นผู้ให้บริการที่ปรึกษาและวางแผนค่าใช้จ่าย AWS เท่านั้น โดยไม่ได้มีส่วนเกี่ยวข้องกับการรั่วไหลข้อมูลของเหตุการณ์ในครั้งนี้แต่อย่างใด
https://www.blognone.com/node/101502
มั่วสุดหละทรู
บิลซ้ำบิลซ้อน บิลผี ก็ทรูนี่แหละต้นตำรับ
ไม่นะ
แย่มาก
ของผมอยู่ดีๆมี บิลโผล่ส่งมาที่บ้าน ติดตามโดยสำนักงานทนายความไรไม่รู้ ทีแรกก็คิดว่าเป็น 18มงกุฏ เพราะว่าไม่เคยไปเปิดเบอร์กับทรู ไม่เคยคิด มีก็สมัยวัยรุ่นใช้ ออเร้น
ลองติดต่อกลับไป มีจริงด้วยเค้ารับทรูมาฟ้องอีกที คือมีใครไม่รู้เอาบัตรประชาชนผมไปเปิดเบอร์แล้วไม่จ่าย โดนไป 1500 มั้ง เคลียร์จบๆไป รำคาญวุ่นวาย ประเด็นคือระบบ ยืนยันตัวตนทรูไม่มีเลยเหรอ พนักงานจะดูหน้าผมหน่อยได้ไหมว่าใช่ไหม ไรแบบเนี้ย
เฮ้อเพลียกับค่ายนี้
ไม่มีหรอก ความปลอดภัยน่ะ บริษัทพวกนี้ โตมาจากธุรกิจลูกทุ่งทั้งนั้น ถามว่าระบบพวกนี้มีไหม ไม่มี และไม่คิดจะมีด้วย เพราะระดับบนไม่รู้และน่าจะไม่สนใจด้วยว่ามันสำคัญยังไง
นี่เอง ที่เมื่อต้นปี 2017 เช็คในระบบ มีเปิดเบอร์เติมเงินที่ 7-11 ในชื่อเรา เพิ่มเข้ามาในระบบ เช็คไปว่าเปิดเบอร์ได้ยังไงก็ไม่มี feedback อะไรเงียบไปเฉยๆ เลยย้ายค่ายนับจากนั้น
ค่ายใหญ่ แต่ไม่มีผู้ชำนาญการในการป้องกันข้อมูลลูกค้าหน่วยงานรัฐที่ควบคุมดูแลกำลังทำอะไรอยู่
ความปลอดภัยอยู่ตรงไหนหึ๊ เลิกๆๆ
แล้ว ทรูมันนี่ รึทรูอื่นๆที่ผูกพันกับเงินในธนาคาร จะปลอดภัยไหม ครับ
ถ้าบัตรประชนคุณหลุด คุณมีความเสี่ยงอยู่แล้ว โดยเฉพาะถ้าผูก ธุรกรรมทางการเงินอิเล็กทรอนิกส์
เช่น internet banking หรือ wallet ต่างๆ
กรำ ดันเป็นลูกค้าค่ายนี้เกือบทั้งบ้าน
ไอ้ที่แย่คือรู้แล้วไม่แก้จนเค้าต้องกดดัน
มันจะเล…..อะไรแบบนี้
เขาคิดว่า ไม่มีบาปเคราะห์อะไรเกิดขึ้นไงครับ เขาถึงเพิกเฉย
และหากมีกรณีที่ถูกสวมสิทธิ์บัตรประชาชนไปดำเนินการธุรกรรมใด ๆ ก็จะออกมาปฏิเสธอย่างทันควันว่า ฉันไม่เกี่ยว
ทำใจครับ อยู่ประเทศนี้
ค่ายนี้เป็นไง ใครครบด้วยก็จะรู้