พบช่องโหว่ในแอพฯ ดาวเหนือของ กกต. เปิดเผยที่อยู่เจ้าของบัตรประชาชน-เว็บไม่เข้ารหัส - ล่าสุด ระงับให้บริการแล้ว
แอพฯ ดาวเหนือ ล่าสุดเข้าไม่ได้แล้ว
22 ม.ค. 2559 หลังจากสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) แถลงเปิดตัวแอปพลิเคชัน "ดาวเหนือ" วานนี้ ซึ่งมีวิธีใช้คือเมื่อกรอกหมายเลขบัตรประจำตัวประชาชน แอพฯ จะโชว์สถานที่เลือกตั้งและแผนที่เดินทางไปใช้สิทธิฯ ล่าสุด มีผู้พบปัญหาสำคัญในแอปพลิเคชันดังกล่าว โดยพบว่าข้อมูลที่แอพฯ ดึงออกมาผ่านเว็บเซอร์วิส (ตัวกลางในการส่งข้อมูล) ซึ่งไม่มีการเข้ารหัส (http) มีที่อยู่ตามทะเบียนบ้านของเจ้าของบัตรฯ ติดมาด้วย ซึ่งแม้ว่าไม่ได้แสดงผลในแอพฯ ดังกล่าว แต่หากมีผู้ล่วงรู้ถึงช่องโหว่ อาจเข้าไปดึงข้อมูลส่วนตัวเหล่านี้จากเว็บเซอร์วิสได้
ที่อยู่เว็บเซอร์วิสที่แอพฯ ใช้ดึงข้อมูล (ที่มาภาพ @ipats)
รายละเอียดชื่อที่อยู่ของเจ้าของหมายเลขบัตรประชาชน ที่เว็บเซอร์วิสดึงออกมาแสดงผล (ที่มาภาพ @pruet)
ผู้สื่อข่าวประชาไทได้สอบถามไปยังโปรแกรมเมอร์ซึ่งพบช่องโหว่ดังกล่าวแต่ไม่ประสงค์จะออกนาม เขาเล่าว่า เขาตั้งใจที่จะหาว่ามีช่องโหว่ในแอพฯ หรือไม่ อยากรู้ว่าแอพฯ นี้เรียกข้อมูลอย่างไร เพราะเป็นแอพฯ ของหน่วยงานรัฐ อยากรู้ว่ามีความปลอดภัยหรือไม่ จึงใช้โปรแกรมที่ใช้ดูทราฟิกเข้าออกของโทรศัพท์มือถือเช็คดู พบว่า มีการเรียกเว็บเซอร์วิส เพื่อขอดูข้อมูล โดยไม่มีการเข้ารหัส ไม่ต้องล็อกอิน หรือยืนยันตัวตนอะไรมากมาย
เขากล่าวว่า ล่าสุดที่ตรวจสอบยูอาร์แอลเว็บเซอร์วิสที่ใช้ดึงข้อมูล พบว่าเข้าไม่ได้ไปแล้ว ส่วนแอพฯ ก็ใช้งานไม่ได้ เพราะเข้าไปแล้วให้ใส่ชื่อผู้ใช้และรหัสผ่าน ซึ่งไม่รู้ว่าจะได้มายังไง เท่ากับว่าระบบปิดไปชั่วคราว น่าจะเพื่อรอแก้ปัญหาระยะยาวขึ้น
สำหรับข้อแนะนำถึงหน่วยงานรัฐ โปรแกรมเมอร์รายนี้ระบุว่า ข้อมูลส่วนบุคคล ควรจะรักษาไม่ให้ใครก็ได้เข้าถึงข้อมูลง่ายเกินไป อย่างข้อมูลเลือกตั้ง จริงๆ มีฮาร์ดก็อปปี้ที่เป็นกระดาษแปะอยู่ตามหน่วยเลือกตั้งอยู่แล้ว แต่เมื่ออยู่ในอินเทอร์เน็ต ใครก็เข้าถึงจากระยะไกลได้ มันน่าจะเป็นความลับกว่านี้ได้ จริงๆ ข้อมูลที่ออกมาอ่อนไหวพอสมควร มีบ้านเลขที่ ถนน ซอย ถ้าไม่ได้ระวังอาจเกิดความเสียหายได้ นอกจากนี้ ยังมีผู้แสดงความกังวลว่า อาจมีผู้ไม่หวังดี สุ่มเลขบัตรประชาชน แล้วนำข้อมูลส่วนตัวไปสวมรอย หรือหลอกว่ามาจากหน่วยงานรัฐได้
"ถ้าเทียบกับตัวอื่นๆ เช่น สรรพากร เขาจะมีระบบที่ตรวจสอบผู้ใช้มากกว่านี้ เช่น ต้องใส่ชื่อนามสกุล ที่ตรงกับเลขบัตร และวันเกิด ถึงจะเข้าถึงข้อมูลได้ ถึงจะยังไม่ปลอดภัยที่สุด ก็ดีกว่าใส่เลขอย่างเดียว" โปรแกรมเมอร์รายนี้กล่าว
