อัพเดทล่าสุดเมื่อ 1 ชั่วโมง 41 นาที ที่ผ่านมา

พบค่ายมือถือไทยทำข้อมูล 'สำเนาบัตรประชาชน' หลุดสู่สาธารณะกว่า 4.6 หมื่นราย

นักออกแบบระบบไอทีชาวต่างชาติพบค่ายมือถือแห่งหนึ่งของไทยใช้บริการรับฝากไฟล์ในระบบคลาวด์ Amazon S3 แล้วปล่อยให้ค่าเริ่มต้นเป็นสาธารณะ ทำให้สำเนาบัตรประชาชน 4.6 หมื่นใบ สามารถเข้าถึงและดาวน์โหลดได้ ค่ายมือถือยอมรับไม่มีแผนกด้านความปลอดภัยก่อนจะแก้ไขเป็นส่วนตัวภายหลัง 
 
14 เม.ย. 2561 MGR Online รายงานว่า นิอัลล์ เมอร์ริแกน (Niall Merrigan) นักออกแบบระบบไอทีชาวไอร์แลนด์ ได้โพสต์ข้อความในบล็อกเมื่อวันที่ 13 เม.ย. ที่ผ่านมา ระบุถึงการวิจัยเทคนิคด้านความปลอดภัย ในการค้นหาแฟ้มข้อมูลจากบริการคลาวด์ Amazon S3 ที่เป็นบริการรับฝากไฟล์สำหรับเก็บข้อมูลต่างๆ ให้บริการโดยอะเมซอน เว็บ เซอร์วิส (AWS) ของสหรัฐฯ สำหรับลูกค้าองค์กร ซึ่งใช้ลำดับใบรับรองด้านการเชื่อมต่อ (Certificate transparency logs) โดยสร้างขึ้นจากผู้ใช้รายหนึ่ง ที่นำโดเมนเนมมาลำดับคำ (Wordlist) เพื่อค้นหาแฟ้มต่างๆ กว่า 500 ที่อยู่ภายในลิงก์ดังกล่าว
 
ปรากฏว่า มีลูกค้าบางรายใช้บริการ Amazon S3 เก็บข้อมูลส่วนบุคคลของลูกค้า ซึ่งกลายเป็นการเป็นการจัดเก็บข้อมูลแบบเปิด หรือกึ่งๆ สาธารณะ ที่เปิดช่องให้บุคคลภายนอกสามารถเข้าถึงข้อมูลเหล่านั้นได้ หนึ่งในนั้นคือเครือข่ายมือถือรายหนึ่งของไทย ที่ใช้บริการ Amazon S3 จัดเก็บไฟล์ PDF (ไฟล์เอกสาร) และไฟล์ JPG (ไฟล์ภาพ) เป็นสำเนาบัตรประชาชน สำเนาใบขับขี่ และพาสปอร์ตจำนวนมากกว่า 4.6 หมื่นไฟล์ รวม 32 กิกะไบต์ ซึ่งบุคคลภายนอกเพียงแค่รู้ที่อยู่เว็บลิงก์ (URL) ก็สามารถดาวน์โหลดรายละเอียดต่างๆ ได้ทั้งหมด
 
นายนิอัลล์ พยายามติดต่อไปยังค่ายมือถือตั้งแต่วันที่ 10 มี.ค. โดยทางค่ายมือถือดังกล่าวยอมรับว่า ทางบริษัทไม่มีหน่วยงานด้านความปลอดภัยที่ดูแลโดยเฉพาะ และแนะนำให้ติดต่อกลับมาใหม่ที่สำนักงานใหญ่ในวันและเวลาทำการ เมื่อสอบถามนักวิจัยอีกรายหนึ่ง แนะนำว่า ให้ติดต่อผู้สื่อข่าวบางรายเพื่อสร้างแรงกดดันและให้ค่ายมือถือดังกล่าวแก้ปัญหาที่เห็นได้ชัด อย่างไรก็ตาม ค่ายมือถือดังกล่าวได้แก้ไขการเข้าถึงเป็นส่วนตัว (Private) ไปเมื่อค่ำวันที่ 12 เม.ย. ที่ผ่านมา
 
นายนิอัลล์ กล่าวว่า ไม่ใช่ครั้งแรกที่ค่ายมือถือดังกล่าวมีปัญหาเกี่ยวกับบัตรประจำตัวประชาชน ก่อนหน้านี้ในปี 2559 ค่ายมือถือดังกล่าวเคยออกซิมการ์ดให้มิจฉาชีพ โดยปราศจากการตรวจสอบ และมิจฉาชีพนำไปเชื่อมต่อกับบริการธนาคาร ทำให้ลูกค้าสูญเสียเงินจำนวนมาก
 
นอกจากนี้ ยังมีค่ายมือถือในต่างประเทศอีกราย และค่ายโทรคมนาคมจำนวนมาก ล้มเหลวอย่างมากในการรักษาความปลอดภัยและปกป้องข้อมูลส่วนบุคคลของลูกค้า โดยแนะว่าให้เชื่อมต่อกับผู้ให้บริการของตนเอง และถามสิ่งที่พวกเขาทำเพื่อให้แน่ใจว่าเหตุการณ์ดังกล่าวจะไม่มีทางเกิดขึ้นได้อีก
เท่าไรก็ได้ การสนับสนุนจากคุณ คือการร่วมสร้างและรักษาสื่อเสรี ‘ประชาไท’ ... ร่วมสนับสนุนเรา
โอนเงิน พร้อมเพย์ PromptPay "มูลนิธิสื่อเพื่อการศึกษาของชุมชน" 0993000060423
โอนเงิน PayPal คลิกที่นี่ https://paypal.me/prachatai
ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai