‘ทรู’ เผย ข้อมูลรั่วเพราะถูกแฮ็ก คนพบชี้ โฟลเดอร์ไม่ล็อค แจ้งเป็นเดือนถึงปิด

ตัวแทนทรูมูฟเอช ไอทรูมาร์ท ชี้แจงกรณีภาพสำเนาบัตรประชาชนรั่วเพราะถูกแฮ็ก ข้อมูลหลุดจำนวน 11,400 ราย ด้านนักวิจัยด้านความปลอดภัยที่พบโฟลเดอร์สำเนาบัตร ระบุ พบสำเนาบัตรราว 46,000 ไฟล์ ไม่ถูกล็อคด้วยการรักษาความปลอดภัยใดๆ แจ้งทรูเป็นเดือนกว่าจะปิดโฟลเดอร์เป็นส่วนตัว

กสทช. ให้บริษัท ทรูมูฟ เอช  ชี้แจงกรณีข้อมูลบัตรประชาชนของผู้ใช้บริการถูกเปิดเผยในที่สาธารณะ

17 เม.ย. 2561 สืบเนื่องจากกรณีข่าวการค้นพบข้อมูลบัตรประชาชนลูกค้าทรูในบริการเก็บข้อมูลคลาวด์ของอเมซอน ไทยโพสท์ รายงานว่า ภัคพงศ์ พัฒนมาศ รองผู้อำนวยการธุรกิจโมบายล์ บมจ. ทรู คอร์ปอเรชั่น และสืบสกุล สกลสัตยาทร กรรมการผู้จัดการบริษัทแอสเซนต์ คอมเมิร์ซ จำกัด หรือไอทรูมาร์ท ได้ชี้แจงข้อเท็จจริงกับฐากร ตัณฑสิทธิ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ(กสทช.) และ นพ.ประวิทย์ ลี่สถาพร กรรมการ กสทช.

สืบสกุลกล่าวว่า ข้อมูลที่รั่วไหลเป็นสำเนาบัตรประชาชนของลูกค้าที่ซื้อซิมพร้อมเครื่องของทรูมูฟ เอช จำนวน 11,400 รายจากลูกค้าทั้งหมด 1 ล้านราย ในระหว่างปี 2558-2560 โดยถูกจารกรรมข้อมูล หรือแฮ็คออกมา ทางบริษัทได้ทราบเรื่องเมื่อ 11 เม.ย. ที่ผ่านมา และจัดการระงับช่องโหว่ไปแล้วเมื่อวันที่ 12 เม.ย. และยังไม่ได้รับรายงานความเสียหายจากลูกค้ากลุ่มนี้

ไอทรูมาร์ทได้ติดตั้งระบบบนคลาวด์ โดยใช้ Amazon S3 ข้อมูลที่เก็บไว้นั้นบุคคลทั่วไปไม่สามารถเข้าถึงได้ มีเพียงผู้เชี่ยวชาญที่จะเจาะข้อมูลเข้าไปได้โดยใช้เครื่องมือแบบพิเศษ

ทั้งนี้ บริษัทจะเข้าแจ้งความกับเจ้าหน้าที่ตำรวจในวันนี้เพื่อสงวนสิทธิของลูกค้ากลุ่มนี้ และจะส่งข้อความ SMS เตือนไปยังลูกค้าเพื่อแจ้งว่ามีการเจาะข้อมูลโดยไม่ได้รับอนุญาต

ก่อนจะมีข่าวนี้ นีล เมอร์ริแกน นักวิจัยด้านความปลอดภัยที่เฝ้าดูการสร้างพื้นที่เก็บข้อมูลหรือ bucket ใน S3 ได้เขียนในบล็อกส่วนตัวว่า เขาลองสแกน bucket แล้วพบโฟลเดอร์ชื่อ truemoveh/idcard อยู่ พร้อมกับโฟลเดอร์ย่อยตามปีและเดือน และมีไฟล์ภาพบัตรประชาชน โดยไฟล์ตัวอย่างขีดคร่อมไว้ว่า “ใช้เพื่อลงทะเบียนหมายเลขใหม่กับทรูมูฟเอชเท่านั้น” โฟลเดอร์ไม่ได้ถูกกำกับด้วยระบบรักษาความปลอดภัยใดๆ สามารถดาวน์โหลดได้ โดยมีจำนวนไฟล์ถึง 46,000 ไฟล์

นีลได้ติดต่อไปยังทวิตเตอร์ของทรูมูฟเอช และส่งรายงานเรื่องหลักฐานไปยังอีเมล์ของทรูเมื่อ 10 มี.ค. ที่ผ่านมา รายงานยังระบุถึงวิธีการค้นพบสำเนาบัตรประชาชน ตัวอย่างไฟล์ นีลยังขอพูดคุยกับทีมรักษาความปลอดภัยของทรูมูฟ แต่ทางทรูมูฟตอบกลับมาว่าบริษัทไม่มีแผนกรักษาความปลอดภัย และแนะนำให้ติดต่อสำนักงานใหญ่ในเวลาทำการ

หลังจากนั้นนีลได้ติดต่อนักข่าวจากสื่อ เดอะ รีจิสเตอร์ ให้ผลักดันประเด็นนี้ ในวันที่ 4 เม.ย. ทรูมูฟเอชได้ติดต่อกลับมาหานีลว่าจะดำเนินการต่อ อย่างไรก็ตาม นีลระบุว่าเขายังสามารถเข้าไปดูไฟล์ได้จนกระทั่งเวลา 19.00 น. ของวันที่ 12 เม.ย. ที่โฟลเดอร์ถูกตั้งค่าให้เป็นส่วนตัว

ต่อมาในวันที่ 13 เม.ย. สื่อเดอะรีจิสเตอร์ ของอังกฤษ ได้ตีแผ่เรื่องราวนี้ และระบุว่า นีล พยายามแจ้งปัญหาให้ทางทรูมูฟเอชทราบ แต่ทางบริษัทโทรคมนาคมยักษ์ใหญ่ของไทยนั้นให้การตอบรับช้า

สื่อสกายไฮเน็ตเวิร์ก รายงานว่า ในปี 2560 Amazon ครองส่วนแบ่งการตลาดของธุรกิจที่เก็บข้อมูลออนไลน์หรือที่เรียกว่า คลาวด์ มากที่สุด โดยมีสัดส่วนครองตลาดถึงร้อยละ 47.1 จากนั้นเป็นไมโครซอฟท์ อาเซอร์ ร้อยละ 10 กูเกิล ร้อยละ 3.95 ไอบีเอ็ม ซอฟท์เลเยอร์ ร้อยละ 2.77 และอื่นๆ อีกร้อยละ 36.18

Amazon S3 ที่ทรูมูฟเอชใช้ เป็นแพลตฟอร์มคลาวด์เดียวกันกับที่หลายธุรกิจยักษ์ใหญ่ระดับโลกใช้ เช่น เน็ตฟลิกซ์ แอร์บีเอ็นบี ธอมสันรอยเตอร์ เว็บไซต์ของแพลตฟอร์มระบุว่ามาตรฐานด้านความปลอดภัยของ Amazon S3 ได้รับการรับรองจากหลายสถาบัน

หน้าบัตรสำคัญไฉน ชวนดูความหมายเลข 13 หลัก เมื่อ รมว.มหาดไทยบอกว่าภาพหลุด ‘เพียง’ หน้าบัตร

วันนี้ (17 เม.ย. 61) มติชน รายงานว่า พล.อ.อนุพงษ์ เผ่าจินดา รัฐมนตรีว่าการกระทรวงมหาดไทยกล่าวถึงกรณีการรั่วไหลของข้อมูล โดยยืนยันว่าข้อมูลที่หลุดไปเป็นเพียงข้อมูลหน้าบัตรประชาชนเท่านั้น ข้อมูลเชิงลึกยังไม่ได้หลุดออกไปอย่างแน่นอน เพราะมีระบบป้องกันข้อมูลส่วนตัวของประชาชน เข้าถึงได้เฉพาะเจ้าหน้าที่ที่รับผิดชอบ

ผู้สื่อข่าวตั้งข้อสังเกตว่า บนบัตรประชาชนมีข้อมูลที่อยู่ วัน เดือน ปี เกิด และเลขบัตรประชาชนที่อาจนำไปเชื่อมโยงไปยังฐานข้อมูลอื่นๆ โดยเว็บไซต์กรมการปกครองส่วนท้องถิ่นระบุว่า เลขประจำตัวประชาชน 13 หลัก  คือเลขที่ทางราชการกำหนดให้แก่ประชาชนทุกคนทั่วทั้งประเทศมีจำนวน 13 ตัว เรียกสั้นๆ ว่าเลข 13 หลัก แต่ละหลักต่างก็มีความหมายในตัวของมันเอง ดังนี้

หลักที่ 1 หมายถึงประเภทบุคคล   ส่วนใหญ่จะได้หมายเลข 3 คือ บุคคลที่มีชื่ออยู่ในทะเบียนบ้านตอนเริ่มโครงการให้เลขฯ ถ้าเกิดตั้งแต่วันที่ 17 ธ.ค.2526 จะได้เลข 1  ซึ่งหมายถึงได้แจ้งเกิดตามกำหนด ถ้าแจ้งเกิดเกินกำหนดจะได้เลข 2 เป็นต้น ซึ่งมี 8 ประเภท คือ

ประเภทที่ 1 ได้แก่ คนที่เกิดและมีสัญชาติไทย ได้แจ้งเกิดภายในกำหนดเวลา (ตั้งแต่1 ม.ค. 2527)

ประเภทที่ 2 ได้แก่ คนที่เกิดและมีสัญชาติไทย ได้แจ้งเกิดเกินกำหนดเวลา (ตั้งแต่ 1 ม.ค. 2527)

ประเภทที่ 3 ได้แก่คนไทยและคนต่างด้าวที่ มีใบสำคัญประจำตัวคนต่างด้าว และมีที่อยู่ในทะเบียนบ้านในสมัยเริ่มแรก (1 ม.ค. - 31 พ.ค.2527)

ประเภทที่ 4 ได้แก่ คนไทยและคนต่างด้าวที่มีใบสำคัญคนต่างด้าวแต่แจ้งย้ายเข้า โดยยังไม่มีเลขประจำตัวประชาชนในสมัยเริ่มแรก (1 ม.ค. - 31 พ.ค. 2527)

ประเภทที่ 5 ได้แก่ คนไทยที่ได้รับอนุมัติให้เพิ่มชื่อเข้าในทะเบียนบ้านในกรณีตกสำรวจหรือกรณีอื่น ๆ

ประเภทที่ 6 ได้แก่ ผู้ที่เข้าเมืองโดยไม่ชอบด้วยกฏหมาย และผู้ที่เข้าเมืองโดยชอบด้วยกฏหมายแต่จะอยู่ในลักษณะชั่วคราว

ประเภทที่ 7 ได้แก่ บุตรของบุคคลประเภทที่ 6 ซึ่งเกิดในประเทศไทย

ประเภทที่ 8 ได้แก่ คนต่างด้าวที่เข้าเมืองโดยถูกต้องตามกฏหมาย คือ ได้รับใบสำคัญประจำตัวคนต่างด้าว คนที่ได้รับการแปลงสัญชาติเป็นสัญชาติไทย และคนที่ได้รับการให้สัญชาติไทย

หลักที่ 2 ถึงหลักที่ 5 หมายถึงรหัสของสำนักทะเบียนที่บุคคลมีชื่อในทะเบียนบ้านในขณะให้เลข สำหรับเด็กเกิดใหม่จะหมายถึงถิ่นที่เกิด โดยหลักที่ 2 และ 3 หมายถึงจังหวัดหลักที่ 4 และ 5 หมายถึงอำเภอหรือเทศบาล

หลักที่ 6 ถึงหลักที่ 10 หมายถึงกลุ่มที่ของบุคคลแต่ละประเภทตามหลักแรก หรือหมายถึงเล่มที่ของสูติบัตรแล้วแต่กรณี

หลักที่ 11 และ 12 หมายถึงลำดับที่ของบุคคลในแต่ละกลุ่มประเภท หรือหมายถึงใบที่ของสูติบัตรแต่ละเล่มแล้วแต่กรณี

หลักที่ 13 คือ ตัวเลขตรวจสอบความถูกต้องของเลข 12 หลักแรก

ข่าวรอบวัน

สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท

ร่วมบริจาค สนับสนุนการทำงานของ 'ประชาไท' ร่วมสร้างและรักษาสื่อเสรี Prachatai.com (ไม่มีขั้นต่ำ)

โอนเงิน บัญชีกรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM"

โอนเงิน PayPal / บัตรเครดิต https://PayPal.me/Prachatai (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai

พื้นที่ประชาสัมพันธ์