แอพฯ ดาวเหนือ กกต. 'รั่ว' นำทางไปไหน?

Submitted on Fri, 2016-01-22 13:03

พบช่องโหว่ในแอพฯ ดาวเหนือของ กกต. เปิดเผยที่อยู่เจ้าของบัตรประชาชน-เว็บไม่เข้ารหัส - ล่าสุด ระงับให้บริการแล้ว

แอพฯ ดาวเหนือ ล่าสุดเข้าไม่ได้แล้ว

22 ม.ค. 2559 หลังจากสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) แถลงเปิดตัวแอปพลิเคชัน "ดาวเหนือ" วานนี้ ซึ่งมีวิธีใช้คือเมื่อกรอกหมายเลขบัตรประจำตัวประชาชน แอพฯ จะโชว์สถานที่เลือกตั้งและแผนที่เดินทางไปใช้สิทธิฯ ล่าสุด มีผู้พบปัญหาสำคัญในแอปพลิเคชันดังกล่าว โดยพบว่าข้อมูลที่แอพฯ ดึงออกมาผ่านเว็บเซอร์วิส (ตัวกลางในการส่งข้อมูล) ซึ่งไม่มีการเข้ารหัส (http) มีที่อยู่ตามทะเบียนบ้านของเจ้าของบัตรฯ ติดมาด้วย ซึ่งแม้ว่าไม่ได้แสดงผลในแอพฯ ดังกล่าว แต่หากมีผู้ล่วงรู้ถึงช่องโหว่ อาจเข้าไปดึงข้อมูลส่วนตัวเหล่านี้จากเว็บเซอร์วิสได้

ที่อยู่เว็บเซอร์วิสที่แอพฯ ใช้ดึงข้อมูล (ที่มาภาพ @ipats)

รายละเอียดชื่อที่อยู่ของเจ้าของหมายเลขบัตรประชาชน ที่เว็บเซอร์วิสดึงออกมาแสดงผล (ที่มาภาพ @pruet)

ผู้สื่อข่าวประชาไทได้สอบถามไปยังโปรแกรมเมอร์ซึ่งพบช่องโหว่ดังกล่าวแต่ไม่ประสงค์จะออกนาม เขาเล่าว่า เขาตั้งใจที่จะหาว่ามีช่องโหว่ในแอพฯ หรือไม่ อยากรู้ว่าแอพฯ นี้เรียกข้อมูลอย่างไร เพราะเป็นแอพฯ ของหน่วยงานรัฐ อยากรู้ว่ามีความปลอดภัยหรือไม่ จึงใช้โปรแกรมที่ใช้ดูทราฟิกเข้าออกของโทรศัพท์มือถือเช็คดู พบว่า มีการเรียกเว็บเซอร์วิส เพื่อขอดูข้อมูล โดยไม่มีการเข้ารหัส ไม่ต้องล็อกอิน หรือยืนยันตัวตนอะไรมากมาย

เขากล่าวว่า ล่าสุดที่ตรวจสอบยูอาร์แอลเว็บเซอร์วิสที่ใช้ดึงข้อมูล พบว่าเข้าไม่ได้ไปแล้ว ส่วนแอพฯ ก็ใช้งานไม่ได้ เพราะเข้าไปแล้วให้ใส่ชื่อผู้ใช้และรหัสผ่าน ซึ่งไม่รู้ว่าจะได้มายังไง เท่ากับว่าระบบปิดไปชั่วคราว น่าจะเพื่อรอแก้ปัญหาระยะยาวขึ้น

สำหรับข้อแนะนำถึงหน่วยงานรัฐ โปรแกรมเมอร์รายนี้ระบุว่า ข้อมูลส่วนบุคคล ควรจะรักษาไม่ให้ใครก็ได้เข้าถึงข้อมูลง่ายเกินไป อย่างข้อมูลเลือกตั้ง จริงๆ มีฮาร์ดก็อปปี้ที่เป็นกระดาษแปะอยู่ตามหน่วยเลือกตั้งอยู่แล้ว แต่เมื่ออยู่ในอินเทอร์เน็ต ใครก็เข้าถึงจากระยะไกลได้ มันน่าจะเป็นความลับกว่านี้ได้ จริงๆ ข้อมูลที่ออกมาอ่อนไหวพอสมควร มีบ้านเลขที่ ถนน ซอย ถ้าไม่ได้ระวังอาจเกิดความเสียหายได้ นอกจากนี้ ยังมีผู้แสดงความกังวลว่า อาจมีผู้ไม่หวังดี สุ่มเลขบัตรประชาชน แล้วนำข้อมูลส่วนตัวไปสวมรอย หรือหลอกว่ามาจากหน่วยงานรัฐได้

"ถ้าเทียบกับตัวอื่นๆ เช่น สรรพากร เขาจะมีระบบที่ตรวจสอบผู้ใช้มากกว่านี้ เช่น ต้องใส่ชื่อนามสกุล ที่ตรงกับเลขบัตร และวันเกิด ถึงจะเข้าถึงข้อมูลได้ ถึงจะยังไม่ปลอดภัยที่สุด ก็ดีกว่าใส่เลขอย่างเดียว" โปรแกรมเมอร์รายนี้กล่าว

ข่าว

ไอซีที

กกต.