News

ความปลอดภัยอยู่ตรงไหน.. Truemove H หลุดข้อมูลลูกค้าพร้อมสำเนาบัตรประชาชนตั้งแต่ปี 2016

เหมือนความปลอดภัยในการปกป้องข้อมูลของลูกค้าหรือผู้ใช้บริการกำลังถูกทดสอบ หลังจาก Facebook กับกรณี Cambridge Analytica ที่บางคนอาจจะคิดว่าไกลตัว มาคราวนี้เป็น Truemove H ผู้ให้บริการมือถือในบ้านเราบ้าง ที่แสดงความเผลอเรอด้วยการเก็บข้อมูลผู้ใช้งานตั้งแต่ปี 2016 เอาไว้บน Cloud พร้อมสำเนาบัตรประชาชนเป็นจำนวนกว่า 32GB แล้วไม่ปิดกั้นการเข้าถึง

ข้อมูลลูกค้าจำนวนมหาศาลชุดนี้ ถูกค้นพบโดย Niall Merrigan นักวิจัยด้านความปลอดภัย ที่คอยสำรวจและตรวจสอบการสร้างโฟลด์เดอร์ Amazon S3 บนระบบ Cloud ซึ่งหลังจากสแกนเจอโฟลเดอร์ที่เปิดเอาไว้หรือไม่ได้ล็อค ก็จะเลือกเข้าไปดูโฟลด์เดอร์ที่มีข้อมูลเยอะๆ ว่าเก็บอะไรเอาไว้บ้าง ซึ่ง 1 ใน 1000 นั้นก็คือโฟลเดอร์เก็บข้อมูลลูกค้าของ Truemove H

จากโฟลเดอร์ขนาด 32GB นั้น ภายในมีการแยกข้อมูลลูกค้าเอาไว้เป็นปีๆ อย่างเรียบร้อย ในปี 2015 มีข้อมูลจำนวน 8.3GB, ในปี 2016 14.5GB, ปี 2017 6.6GB และในปี 2018 ที่เพิ่งเริ่มเก็บมี 2.2GB โดยทั้งหมดนับรวมกันเป็น 45,736 ไฟล์

หลังจากกดเข้าไปดูข้อมูลภายในนั้น ก็พบว่าเป็นภาพสำเนาบัตรประขาชนของผู้ใช้งาน Truemove H เรียกว่าใครไปเปิดเบอร์หรือลงทะเบียนในช่วงนั้นคุณจะมีภาพบัจรประชาชนอยู่บนนี้แน่นอน

หลังจากพบข้อมูลทั้งหมดแล้ว ทาง Niall Merrigan ได้พยายามติดต่อ Truemove H หลายช่องทางเพื่อแจ้งปัญหาที่เกิดขึ้น ว่าไม่ควรเปิดข้อมูลเอาไว้แบบนี้ ทั้งทางทวิตเตอร์และอีเมล์ช่วงต้นเดือนมีนาคมที่ผ่านมา และก็ได้รับเมล์ตอบกลับมาว่าที่บริษัทไม่มีหน่วยงานด้านความปลอดภัย ให้ติดต่อไปทางสำนักงานใหญ่จะดีกว่า

หลังจากผ่านไป 2-3 สัปดาห์ Merrigan ก็ยังไม่เห็นการเปลี่ยนแปลงใดๆ ข้อมูลลูกค้าก็ยังเปิดอ้าซ่ารอคนท่ี่เจอมาโหลดเอาไปเก็บไว้ได้สบายๆ อยู่อย่างนั้น เค้าเลยตัดสินใจติดต่อกับสื่ออย่าง The Register เพื่อกดดันทาง Truemove H พร้อมทั้งส่งเมล์ไปอีกครั้งในวันที่ 4 เมษายนเพื่อขู่ว่าถ้าทางทรูยังไม่ทำอะไรเค้าจะทำการปล่อยข้อมูลชุดนี้สู่สาธารณะทันที

ผ่านไปอีกเกือบหนึ่งสัปดาห์ก็พบว่าในช่วงค่ำของวันที่ 12 เมษายน โฟลเดอร์ดังกล่าวเพิ่งจะถูกจำกัดการเข้าถึงเป็นที่เรียบร้อย

ถ้าหากยังจำกันได้ในช่วงปี 2016 เคยมีข่าวกรณีที่ผู็ใช้บริการของทรูโดนเปิดซิมซ้ำซ้อน และไม่มีการตรวจสอบบัตรประชาชน จนเกิดความเสียหายเป็นจำนวนมากไปแล้ว จากกรณีนี้ก็หวังว่าจะไม่เกิดเหตุการณ์ประมาทเลินเล่อกับข้อมูลลูกค้าอีก

 

source : theregister , Niall Merrigan

 

วิเคราะห์กรณีสำเนาบัตรประชาชนลูกค้า Truemove H หลุด ใครเป็นคนผิด? และมีเจตนาเปิดเผยข้อมูลจริงหรือเปล่า?

 

iTruemart ส่งจดหมายขอโทษข้อมูลลูกค้า TrueMove H หลุด ด้าน กสทช. พร้อมสอบเอาผิด

19 Comments

  1. vanasang

    vanasang Post on April 14, 2018 at 8:34 am

    #990261

    นึกถึงข่าวดังๆที่ผู้หญิงโดนแก๊ง call center เอาไปเปิดบัญชีจนติดคุกฟรีไปหลายวัน   ลูกค้าทรูได้รับสิทธิ์นั้นทุกคนเลยสินะ

    • ksompongx

      ksompongx Post on April 21, 2018 at 7:32 pm

      #990661

      บปช.เรา สำคัญกว่าที่คิดครับ

  2. kernelbase Post on April 14, 2018 at 8:44 am

    #990262

    ระดับ auth partner อบรมชาวบ้าน
    ทำไมชุ่ย ไม่follw best practices ที่ aws มีมาให้เหรอ
    กสทช ตัวดันให้ส่งข้อมูล จะว่าไง เรื่องนี้
    หรือไม่5อะไรเหมือนเดิม

    "True IDC ได้รับแต่งตั้งเป็น AWS Authorized Training Reseller Partner เปิดอบรมสร้างความเข้าใจในการใช้งาน AWS Cloud"

    • True IDC

      True IDC Post on April 14, 2018 at 7:47 pm

      #990294

      เรียน คุณ kernelbase 

      จากกรณีข่าวข้อมูลรั่วไหลของการลงทะเบียนซิม Truemove ผ่าน iTruemart นั้น True IDC ขออนุญาตเรียนแจ้งท่านให้ทราบว่าในกรณีนี้ True IDC เป็นผู้ให้บริการที่ปรึกษาและวางแผนค่าใช้จ่าย AWS เท่านั้น โดยไม่ได้มีส่วนเกี่ยวข้องกับการรั่วไหลข้อมูลของเหตุการณ์ในครั้งนี้แต่อย่างใด

      https://www.blognone.com/node/101502

  3. e20rsn Post on April 14, 2018 at 8:56 am

    #990263

    มั่วสุดหละทรู

  4. HISO HISAW Post on April 14, 2018 at 9:48 am

    #990265

    บิลซ้ำบิลซ้อน บิลผี ก็ทรูนี่แหละต้นตำรับ

  5. Suriya 640 Post on April 14, 2018 at 10:04 am

    #990267

    ไม่นะ

  6. ps000000

    ps000000 Post on April 14, 2018 at 10:07 am

    #990268

    แย่มาก

  7. Isara Thepyuha

    Isara Thepyuha Post on April 14, 2018 at 10:17 am

    #990269

    ของผมอยู่ดีๆมี บิลโผล่ส่งมาที่บ้าน ติดตามโดยสำนักงานทนายความไรไม่รู้ ทีแรกก็คิดว่าเป็น 18มงกุฏ เพราะว่าไม่เคยไปเปิดเบอร์กับทรู ไม่เคยคิด มีก็สมัยวัยรุ่นใช้ ออเร้น 

    ลองติดต่อกลับไป มีจริงด้วยเค้ารับทรูมาฟ้องอีกที คือมีใครไม่รู้เอาบัตรประชาชนผมไปเปิดเบอร์แล้วไม่จ่าย โดนไป 1500 มั้ง เคลียร์จบๆไป รำคาญวุ่นวาย ประเด็นคือระบบ ยืนยันตัวตนทรูไม่มีเลยเหรอ พนักงานจะดูหน้าผมหน่อยได้ไหมว่าใช่ไหม ไรแบบเนี้ย 

    เฮ้อเพลียกับค่ายนี้

  8. pureblackheart

    pureblackheart Post on April 14, 2018 at 10:51 am

    #990273

    ไม่มีหรอก ความปลอดภัยน่ะ บริษัทพวกนี้ โตมาจากธุรกิจลูกทุ่งทั้งนั้น ถามว่าระบบพวกนี้มีไหม ไม่มี และไม่คิดจะมีด้วย เพราะระดับบนไม่รู้และน่าจะไม่สนใจด้วยว่ามันสำคัญยังไง

  9. ultimize

    ultimize Post on April 14, 2018 at 11:00 am

    #990275

    นี่เอง ที่เมื่อต้นปี 2017 เช็คในระบบ มีเปิดเบอร์เติมเงินที่ 7-11 ในชื่อเรา เพิ่มเข้ามาในระบบ เช็คไปว่าเปิดเบอร์ได้ยังไงก็ไม่มี feedback อะไรเงียบไปเฉยๆ เลยย้ายค่ายนับจากนั้น

  10. sungwan Post on April 14, 2018 at 11:25 am

    #990277

    ค่ายใหญ่ แต่ไม่มีผู้ชำนาญการในการป้องกันข้อมูลลูกค้าหน่วยงานรัฐที่ควบคุมดูแลกำลังทำอะไรอยู่

  11. sannook Post on April 14, 2018 at 11:50 am

    #990279

    ความปลอดภัยอยู่ตรงไหนหึ๊ เลิกๆๆ

  12. gottaguy Post on April 14, 2018 at 11:59 am

    #990280

    แล้ว ทรูมันนี่ รึทรูอื่นๆที่ผูกพันกับเงินในธนาคาร  จะปลอดภัยไหม ครับ

    • ksompongx

      ksompongx Post on April 21, 2018 at 7:34 pm

      #990662

      ถ้าบัตรประชนคุณหลุด คุณมีความเสี่ยงอยู่แล้ว โดยเฉพาะถ้าผูก ธุรกรรมทางการเงินอิเล็กทรอนิกส์
      เช่น internet banking หรือ wallet ต่างๆ

  13. so_ang

    so_ang Post on April 14, 2018 at 12:04 pm

    #990282

    กรำ ดันเป็นลูกค้าค่ายนี้เกือบทั้งบ้าน

  14. hearnfar Post on April 14, 2018 at 1:05 pm

    #990286

    ไอ้ที่แย่คือรู้แล้วไม่แก้จนเค้าต้องกดดัน
    มันจะเล…..อะไรแบบนี้

  15. jerryth Post on April 14, 2018 at 11:02 pm

    #990304

    เขาคิดว่า ไม่มีบาปเคราะห์อะไรเกิดขึ้นไงครับ เขาถึงเพิกเฉย
    และหากมีกรณีที่ถูกสวมสิทธิ์บัตรประชาชนไปดำเนินการธุรกรรมใด ๆ ก็จะออกมาปฏิเสธอย่างทันควันว่า ฉันไม่เกี่ยว
    ทำใจครับ อยู่ประเทศนี้

  16. arttie Post on April 17, 2018 at 8:40 am

    #990389

    ค่ายนี้เป็นไง ใครครบด้วยก็จะรู้

Leave a Reply

To Top