สรุปเหตุการณ์ข้อมูลรั่วไหลของ TRUE

สรุปเหตุการณ์ข้อมูลรั่วไหลของ TRUE

สรุปเหตุการณ์ข้อมูลรั่วไหลของ TRUE / โดย ลงทุนแมน
สัปดาห์ที่แล้ว นายมาร์ค ซัคเคอร์เบิร์กเพิ่งแถลงการณ์เรื่องข้อมูลรั่วไหลที่เกิดขึ้นกับ Cambridge Analytica ต่อหน้าวุฒิสมาชิก

จากมุมมองคนไทย เรื่องนี้อาจเป็นเรื่องไกลตัว เนื่องจาก Cambridge Analytica เป็นเรื่องเกี่ยวกับต่างประเทศ

แต่ล่าสุด เรื่องคล้ายๆ กันนี้ เกิดขึ้นกับบริษัทคนไทยที่มีฐานข้อมูลลูกค้าในกลุ่มธรุกิจ เครือข่ายสัญญาณมือถือกว่า 27 ล้านราย บริษัทนี้คือ ทรู คอร์ปอเรชั่น

เรื่องราวเป็นอย่างไร ลงทุนแมนจะเล่าให้ฟัง

เรื่องมีอยู่ว่า

นาย Niall Merrigan หัวหน้าหน่วยการป้องกันอันตรายในโลกออนไลน์จากบริษัท Capgemini ในประเทศนอร์เวย์ วิจัยเกี่ยวกับความปลอดภัยในระบบต่างๆ ที่เปิดให้บริการในโลกอินเตอร์เน็ต

เมื่อประมาณต้นเดือนมีนาคมที่ผ่านมาเขาได้ทำการตรวจสอบระบบ Cloud Storage ของบริษัท Amazon และเขาบังเอิญพบว่า

ข้อมูลรูปสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ตของลูกค้าจากบริษัท True Corporation (Truemove H) ที่ถูกจัดเก็บบน Amazon Web Service S3 ซึ่งเป็น Cloud Storage ได้ถูกตั้งค่าข้อมูลทั้งหมดเป็น “สาธารณะ”

แปลว่า ทุกคนสามารถเข้าถึงข้อมูลดังกล่าว และสามารถดาวน์โหลดออกไปใช้ได้ทันทีผ่าน URL

ข้อมูลทั้งหมดที่หลุดออกไปมีขนาดประมาณ 32 GB ตรวจสอบได้ว่าถูกเก็บมาตั้งแต่ปี 2015 จนถึงปัจจุบัน มีทั้งหมด 45,736 ไฟล์ และทุกไฟล์มีการระบุข้อความว่า “ใช้เพื่อการลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น”

เมื่อ Niall Merrigan รู้แล้วว่าข้อมูลชุดดังกล่าวเป็นข้อมูลส่วนตัวของลูกค้าบริษัท True Corporation

เขาจึงรีบทำการประสานงานไปยัง Truemove H ผ่าน Twitter เพื่อแจ้งเตือนเหตุการณ์ดังกล่าว และขอช่องทางการติดต่อกับผู้รับผิดชอบของเรื่องนี้ ตั้งแต่วันที่ 8 มีนาคม 2561

บัญชี Twitter ของ Truemove H จึงตอบกลับไปภายในวันเดียวกันว่า “กรุณาส่งข้อมูลรายละเอียดที่เกี่ยวข้องทั้งหมดมาที่อีเมลล์ของเรา คือ truemovecare@truecorp.co.th”

นาย Niall Merrigan ได้ส่งหลักฐานต่างๆ มากมาย เช่น รายงานของรายละเอียดการค้นพบ ตัวอย่างของเอกสารที่รั่วไหล ไปที่อีเมลดังกล่าวแต่ได้รับคำตอบกลับมาว่า “ทางบริษัท ไม่มี contact point ถึงหน่วยงานรักษาความปลอดภัย ทางเราแนะนำให้ติดต่อผ่านเลขหมายโดยตรง”

ถึงตรงนี้หลายคนอาจจะหยุดเพียงเท่านี้

แต่ไม่ใช่สำหรับนาย Niall Merrigan..

เมื่อไม่เกิดความคืบหน้า นาย Niall Merrigan จึงได้ประสานงานกับเพื่อนที่อยู่ในสำนักข่าว
The Register หรือ El Reg เพื่อให้ช่วยติดต่อบริษัท True Corporation เพราะเค้าเห็นว่า ข้อมูลทั้งหมดนี้เป็นเรื่องสำคัญและการใช้คนที่ทำงานในสำนักข่าวมีความน่าเชื่อถือมากกว่า

ผ่านไป 2-3 สัปดาห์หลังจากนั้น ก็ยังไม่มีความคืบหน้าใดๆ

เขาจึงตัดสินใจที่จะทำการเผยแพร่เหตุการณ์ดังกล่าวออกสื่อ พร้อมทั้งแจ้งบริษัท True Corporation ในวันที่ 2 เมษายนที่ผ่านมา

การกระทำดังกล่าวน่าจะได้ผล เพราะสองวันต่อมา ทั้งเขาและเพื่อนของเขาที่ The Register ได้รับอีเมลเหมือนกันมีใจความว่า “เรื่องทั้งหมดอยู่ในระหว่างการตรวจสอบ”

ในที่สุด วันที่ 12 เมษายน ข้อมูลสำเนาเอกสารยืนยันการเปิดหมายเลขใหม่ทั้งหมดของ Truemove H ก็ได้ถูกจัดเก็บให้อยู่ในสถานะ “Private” เป็นที่เรียบร้อยบน Amazon Web Service S3

นาย Merrigan ก็ได้เผยแพร่ข้อมูลการค้นพบดังกล่าวลงบน The Register เพื่อเป็นอุทาหรณ์ให้กับหลายๆ บริษัทที่ใช้ Cloud Storage

ล่าสุดมีการยืนยันข้อมูลดังกล่าวจากหลายฝ่าย ดังนี้

เว็บไซต์ Blognone ได้เปิดเผยจดหมายของ iTruemart (ปัจจุบันได้เปลี่ยนเป็น Wemall) มีส่วนหนึ่งระบุว่า

“จากกรณีที่มีข่าวเรื่องข้อมูลลูกค้าที่ลงทะเบียนใหม่ถูกเปิดเผยในที่ สาธารณะนั้น ไอทรูมาร์ทรู้สึกเสียใจ และขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น ซึ่งทันทีที่ทราบเรื่องดังกล่าว บริษัทฯ ก็มิได้นิ่งนอนใจได้ดําเนินการตรวจสอบ อย่างละเอียดทันที

ซึ่งกรณีดังกล่าวเกิดขึ้นกับการ hack ข้อมูลลูกค้าที่ได้ซื้อมือถือพร้อมแพคเกจบริการทรู มูฟ เอช โดยมีการลงทะเบียนซิมผ่านช่องทาง itruemart”

อย่างไรก็ตาม
ในช่วงเช้าของวันนี้ข่าวจากหนังสือพิมพ์ มติชน ระบุว่า “ข้อมูลที่หลุดออกไปเป็นเพียงข้อมูลหน้าบัตรประชาชนเท่านั้น ส่วนข้อมูลเชิงลึกในบัตรนั้นไม่ได้หลุดออกไปอย่างแน่นอนเพราะเรามีระบบป้องกันข้อมูลส่วนตัวของประชาชน ไม่มีใครเข้าถึงข้อมูลได้นอกจากเจ้าหน้าที่ที่รับผิดชอบ” กล่าวโดย พล.อ.อนุพงษ์ เผ่าจินดา รัฐมนตรีว่าการกระทรวงมหาดไทย

ล่าสุด กสทช. ยังไม่มีการพิจารณาขั้นสุดท้าย เพราะยังต้องมีการสืบสวนเพื่อค้นหาผู้กระทำผิดของปัญหาที่เกิดขึ้น แต่มีการส่งหนังสือแจ้งเตือนไปยังผู้ให้บริการเครือข่ายในประเทศไทยถึงการตรวจสอบระบบ และการป้องกันปัญหาข้อมูลรั่วไหล..

เรื่องนี้ให้ข้อคิด 2 เรื่องคือ

1) การนำเทคโนโลยี Cloud Storage มาใช้เป็นทางเลือกที่เหมาะสมหรือไม่สำหรับเอกสารสำคัญเช่น สำเนาบัตรประจำตัวประชาชน รวมถึงความพร้อมในการป้องกันการโจรกรรมข้อมูลดังกล่าว

2) บริษัทชั้นนำของโลกไม่ว่าจะเป็น Google Twitter หรือ Amazon มีการลงทุนในหน่วยงาน Cyber Security Department ปีละหลายล้านดอลลาร์สหรัฐ เพื่อป้องกันข้อมูลของลูกค้าทั่วโลก แล้วหน่วยงานในไทยมีการให้ความสำคัญมากน้อยแค่ไหน

เรื่องที่น่าสนใจคงหนีไม่พ้น ความพยายามของนาย Niall Merrigan นักวิจัยที่เป็นห่วงเรื่องนี้ และต้องการป้องกันการรั่วไหลของข้อมูลคนไทยที่เขาไม่รู้จักกว่า 45,736 คน ในตลอดระยะเวลากว่า 1 เดือนที่ผ่านมา

แต่คนไทยบางคนบอกว่าสบาย เรื่องแค่นี้เอง อย่าคิดมาก..

———————-
<ad> ติดตามลงทุนแมนได้ฟรีที่ แอปลงทุนแมน http://longtunman.com/app, instagram, twitter, youtube, line โดยค้นหา ไอดีชื่อ longtunman ในแพลตฟอร์มนั้น
———————-

Reference
-https://www.theregister.co.uk/2018/04/13/thai_mobile_operator_data_breach/
-https://www.capgemini.com/se-en/
-https://www.certsandprogs.com/#axzz5Cq1M8nvq
-https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html#axzz5CXkf6GxS
-https://www.blognone.com/node/101502 (แถลงการณ์จาก True)
-https://www.matichon.co.th/news/919601
[5414].

Comments

comments