‘ทรู’ เผย ข้อมูลรั่วเพราะถูกแฮ็ก คนพบชี้ โฟลเดอร์ไม่ล็อค แจ้งเป็นเดือนถึงปิด

ตัวแทนทรูมูฟเอช ไอทรูมาร์ท ชี้แจงกรณีภาพสำเนาบัตรประชาชนรั่วเพราะถูกแฮ็ก ข้อมูลหลุดจำนวน 11,400 ราย ด้านนักวิจัยด้านความปลอดภัยที่พบโฟลเดอร์สำเนาบัตร ระบุ พบสำเนาบัตรราว 46,000 ไฟล์ ไม่ถูกล็อคด้วยการรักษาความปลอดภัยใดๆ แจ้งทรูเป็นเดือนกว่าจะปิดโฟลเดอร์เป็นส่วนตัว

กสทช. ให้บริษัท ทรูมูฟ เอช  ชี้แจงกรณีข้อมูลบัตรประชาชนของผู้ใช้บริการถูกเปิดเผยในที่สาธารณะ

17 เม.ย. 2561 สืบเนื่องจากกรณีข่าวการค้นพบข้อมูลบัตรประชาชนลูกค้าทรูในบริการเก็บข้อมูลคลาวด์ของอเมซอน ไทยโพสท์ รายงานว่า ภัคพงศ์ พัฒนมาศ รองผู้อำนวยการธุรกิจโมบายล์ บมจ. ทรู คอร์ปอเรชั่น และสืบสกุล สกลสัตยาทร กรรมการผู้จัดการบริษัทแอสเซนต์ คอมเมิร์ซ จำกัด หรือไอทรูมาร์ท ได้ชี้แจงข้อเท็จจริงกับฐากร ตัณฑสิทธิ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ(กสทช.) และ นพ.ประวิทย์ ลี่สถาพร กรรมการ กสทช.

สืบสกุลกล่าวว่า ข้อมูลที่รั่วไหลเป็นสำเนาบัตรประชาชนของลูกค้าที่ซื้อซิมพร้อมเครื่องของทรูมูฟ เอช จำนวน 11,400 รายจากลูกค้าทั้งหมด 1 ล้านราย ในระหว่างปี 2558-2560 โดยถูกจารกรรมข้อมูล หรือแฮ็คออกมา ทางบริษัทได้ทราบเรื่องเมื่อ 11 เม.ย. ที่ผ่านมา และจัดการระงับช่องโหว่ไปแล้วเมื่อวันที่ 12 เม.ย. และยังไม่ได้รับรายงานความเสียหายจากลูกค้ากลุ่มนี้

ไอทรูมาร์ทได้ติดตั้งระบบบนคลาวด์ โดยใช้ Amazon S3 ข้อมูลที่เก็บไว้นั้นบุคคลทั่วไปไม่สามารถเข้าถึงได้ มีเพียงผู้เชี่ยวชาญที่จะเจาะข้อมูลเข้าไปได้โดยใช้เครื่องมือแบบพิเศษ

ทั้งนี้ บริษัทจะเข้าแจ้งความกับเจ้าหน้าที่ตำรวจในวันนี้เพื่อสงวนสิทธิของลูกค้ากลุ่มนี้ และจะส่งข้อความ SMS เตือนไปยังลูกค้าเพื่อแจ้งว่ามีการเจาะข้อมูลโดยไม่ได้รับอนุญาต

ก่อนจะมีข่าวนี้ นีล เมอร์ริแกน นักวิจัยด้านความปลอดภัยที่เฝ้าดูการสร้างพื้นที่เก็บข้อมูลหรือ bucket ใน S3 ได้เขียนในบล็อกส่วนตัวว่า เขาลองสแกน bucket แล้วพบโฟลเดอร์ชื่อ truemoveh/idcard อยู่ พร้อมกับโฟลเดอร์ย่อยตามปีและเดือน และมีไฟล์ภาพบัตรประชาชน โดยไฟล์ตัวอย่างขีดคร่อมไว้ว่า “ใช้เพื่อลงทะเบียนหมายเลขใหม่กับทรูมูฟเอชเท่านั้น” โฟลเดอร์ไม่ได้ถูกกำกับด้วยระบบรักษาความปลอดภัยใดๆ สามารถดาวน์โหลดได้ โดยมีจำนวนไฟล์ถึง 46,000 ไฟล์

นีลได้ติดต่อไปยังทวิตเตอร์ของทรูมูฟเอช และส่งรายงานเรื่องหลักฐานไปยังอีเมล์ของทรูเมื่อ 10 มี.ค. ที่ผ่านมา รายงานยังระบุถึงวิธีการค้นพบสำเนาบัตรประชาชน ตัวอย่างไฟล์ นีลยังขอพูดคุยกับทีมรักษาความปลอดภัยของทรูมูฟ แต่ทางทรูมูฟตอบกลับมาว่าบริษัทไม่มีแผนกรักษาความปลอดภัย และแนะนำให้ติดต่อสำนักงานใหญ่ในเวลาทำการ

หลังจากนั้นนีลได้ติดต่อนักข่าวจากสื่อ เดอะ รีจิสเตอร์ ให้ผลักดันประเด็นนี้ ในวันที่ 4 เม.ย. ทรูมูฟเอชได้ติดต่อกลับมาหานีลว่าจะดำเนินการต่อ อย่างไรก็ตาม นีลระบุว่าเขายังสามารถเข้าไปดูไฟล์ได้จนกระทั่งเวลา 19.00 น. ของวันที่ 12 เม.ย. ที่โฟลเดอร์ถูกตั้งค่าให้เป็นส่วนตัว

ต่อมาในวันที่ 13 เม.ย. สื่อเดอะรีจิสเตอร์ ของอังกฤษ ได้ตีแผ่เรื่องราวนี้ และระบุว่า นีล พยายามแจ้งปัญหาให้ทางทรูมูฟเอชทราบ แต่ทางบริษัทโทรคมนาคมยักษ์ใหญ่ของไทยนั้นให้การตอบรับช้า

สื่อสกายไฮเน็ตเวิร์ก รายงานว่า ในปี 2560 Amazon ครองส่วนแบ่งการตลาดของธุรกิจที่เก็บข้อมูลออนไลน์หรือที่เรียกว่า คลาวด์ มากที่สุด โดยมีสัดส่วนครองตลาดถึงร้อยละ 47.1 จากนั้นเป็นไมโครซอฟท์ อาเซอร์ ร้อยละ 10 กูเกิล ร้อยละ 3.95 ไอบีเอ็ม ซอฟท์เลเยอร์ ร้อยละ 2.77 และอื่นๆ อีกร้อยละ 36.18

Amazon S3 ที่ทรูมูฟเอชใช้ เป็นแพลตฟอร์มคลาวด์เดียวกันกับที่หลายธุรกิจยักษ์ใหญ่ระดับโลกใช้ เช่น เน็ตฟลิกซ์ แอร์บีเอ็นบี ธอมสันรอยเตอร์ เว็บไซต์ของแพลตฟอร์มระบุว่ามาตรฐานด้านความปลอดภัยของ Amazon S3 ได้รับการรับรองจากหลายสถาบัน

หน้าบัตรสำคัญไฉน ชวนดูความหมายเลข 13 หลัก เมื่อ รมว.มหาดไทยบอกว่าภาพหลุด ‘เพียง’ หน้าบัตร

วันนี้ (17 เม.ย. 61) มติชน รายงานว่า พล.อ.อนุพงษ์ เผ่าจินดา รัฐมนตรีว่าการกระทรวงมหาดไทยกล่าวถึงกรณีการรั่วไหลของข้อมูล โดยยืนยันว่าข้อมูลที่หลุดไปเป็นเพียงข้อมูลหน้าบัตรประชาชนเท่านั้น ข้อมูลเชิงลึกยังไม่ได้หลุดออกไปอย่างแน่นอน เพราะมีระบบป้องกันข้อมูลส่วนตัวของประชาชน เข้าถึงได้เฉพาะเจ้าหน้าที่ที่รับผิดชอบ

ผู้สื่อข่าวตั้งข้อสังเกตว่า บนบัตรประชาชนมีข้อมูลที่อยู่ วัน เดือน ปี เกิด และเลขบัตรประชาชนที่อาจนำไปเชื่อมโยงไปยังฐานข้อมูลอื่นๆ โดยเว็บไซต์กรมการปกครองส่วนท้องถิ่นระบุว่า เลขประจำตัวประชาชน 13 หลัก  คือเลขที่ทางราชการกำหนดให้แก่ประชาชนทุกคนทั่วทั้งประเทศมีจำนวน 13 ตัว เรียกสั้นๆ ว่าเลข 13 หลัก แต่ละหลักต่างก็มีความหมายในตัวของมันเอง ดังนี้

หลักที่ 1 หมายถึงประเภทบุคคล   ส่วนใหญ่จะได้หมายเลข 3 คือ บุคคลที่มีชื่ออยู่ในทะเบียนบ้านตอนเริ่มโครงการให้เลขฯ ถ้าเกิดตั้งแต่วันที่ 17 ธ.ค.2526 จะได้เลข 1  ซึ่งหมายถึงได้แจ้งเกิดตามกำหนด ถ้าแจ้งเกิดเกินกำหนดจะได้เลข 2 เป็นต้น ซึ่งมี 8 ประเภท คือ

ประเภทที่ 1 ได้แก่ คนที่เกิดและมีสัญชาติไทย ได้แจ้งเกิดภายในกำหนดเวลา (ตั้งแต่1 ม.ค. 2527)

ประเภทที่ 2 ได้แก่ คนที่เกิดและมีสัญชาติไทย ได้แจ้งเกิดเกินกำหนดเวลา (ตั้งแต่ 1 ม.ค. 2527)

ประเภทที่ 3 ได้แก่คนไทยและคนต่างด้าวที่ มีใบสำคัญประจำตัวคนต่างด้าว และมีที่อยู่ในทะเบียนบ้านในสมัยเริ่มแรก (1 ม.ค. - 31 พ.ค.2527)

ประเภทที่ 4 ได้แก่ คนไทยและคนต่างด้าวที่มีใบสำคัญคนต่างด้าวแต่แจ้งย้ายเข้า โดยยังไม่มีเลขประจำตัวประชาชนในสมัยเริ่มแรก (1 ม.ค. - 31 พ.ค. 2527)

ประเภทที่ 5 ได้แก่ คนไทยที่ได้รับอนุมัติให้เพิ่มชื่อเข้าในทะเบียนบ้านในกรณีตกสำรวจหรือกรณีอื่น ๆ

ประเภทที่ 6 ได้แก่ ผู้ที่เข้าเมืองโดยไม่ชอบด้วยกฏหมาย และผู้ที่เข้าเมืองโดยชอบด้วยกฏหมายแต่จะอยู่ในลักษณะชั่วคราว

ประเภทที่ 7 ได้แก่ บุตรของบุคคลประเภทที่ 6 ซึ่งเกิดในประเทศไทย

ประเภทที่ 8 ได้แก่ คนต่างด้าวที่เข้าเมืองโดยถูกต้องตามกฏหมาย คือ ได้รับใบสำคัญประจำตัวคนต่างด้าว คนที่ได้รับการแปลงสัญชาติเป็นสัญชาติไทย และคนที่ได้รับการให้สัญชาติไทย

หลักที่ 2 ถึงหลักที่ 5 หมายถึงรหัสของสำนักทะเบียนที่บุคคลมีชื่อในทะเบียนบ้านในขณะให้เลข สำหรับเด็กเกิดใหม่จะหมายถึงถิ่นที่เกิด โดยหลักที่ 2 และ 3 หมายถึงจังหวัดหลักที่ 4 และ 5 หมายถึงอำเภอหรือเทศบาล

หลักที่ 6 ถึงหลักที่ 10 หมายถึงกลุ่มที่ของบุคคลแต่ละประเภทตามหลักแรก หรือหมายถึงเล่มที่ของสูติบัตรแล้วแต่กรณี

หลักที่ 11 และ 12 หมายถึงลำดับที่ของบุคคลในแต่ละกลุ่มประเภท หรือหมายถึงใบที่ของสูติบัตรแต่ละเล่มแล้วแต่กรณี

หลักที่ 13 คือ ตัวเลขตรวจสอบความถูกต้องของเลข 12 หลักแรก

เท่าไรก็ได้ การสนับสนุนจากคุณ คือการร่วมสร้างและรักษาสื่อเสรี ‘ประชาไท’ ... ร่วมสนับสนุนเรา
โอนเงิน พร้อมเพย์ PromptPay "มูลนิธิสื่อเพื่อการศึกษาของชุมชน" 0993000060423
โอนเงิน PayPal คลิกที่นี่ https://paypal.me/prachatai (รายงานยอดบริจาคสนับสนุน)
ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai

แสดงความคิดเห็น

พื้นที่ประชาสัมพันธ์