นักวิจัยของคอมแพร์ริเทครายงานว่า ข้อมูลส่วนบุคคลของผู้เดินทางเข้าประเทศไทยจากต่างประเทศ 106 ล้านคนรั่วไหลและถูกนำมาเปิดเผยทางอินเทอร์เน็ตทั้งชื่อและนามสกุล, หมายเลขหนังสือเดินทาง วันที่เดินทางเข้าประเทศ และข้อมูลอื่นๆ ข้อมูลจากฐานข้อมูลที่ไม่ปลอดภัยเหล่านี้กินเวลาย้อนหลังไปได้ถึงเมื่อ 10 ปีที่แล้ว
เมื่อวันที่ 20 ก.ย.2564 คอมแพริเทครายงานว่า มีข้อมูลส่วนบุคคลของคนที่เดินทางเข้าประเทศไทยตั้งแต่ 10 ปีที่แล้วจนถึงตอนนี้ประมาณ 106 ล้านคน และมีการเผยแพร่ข้อมูลเหล่านี้บนเว็บไซต์โดยไม่จำเป็นต้องใช้รหัสในการเข้าถึง
บ็อบ ดิอาเชงโก ผู้นำฝ่ายวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบฐานข้อมูลที่รั่วไหลนี้เมื่อวันที่ 22 ส.ค. 2564 และแจ้งต่อทางการไทยโดยทันที ซึ่งทางการไทยได้แสดงการรับรู้ถึงเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นและมีการเพิ่มระบบความปลอดภัยให้กับฐานข้อมูลดังกล่าวในวันถัดจากนั้น
ดิอาเชงโกประเมินว่าข้อมูลของชาวต่างชาติทุกคนที่เดินทางเข้าประเทศไทยในช่วง 10 ปีที่ผ่านมาจนถึงปัจจุบันได้ถูกเผยแพร่อยู่อินเทอร์เน็ตแล้ว ซึ่งมีแม้กระทั่งข้อมูลของตัวดิอาเชงโกเองตอนที่เขาเคยเดินทางเข้าประเทศไทยด้วย
ตัวอย่างข้อมูลการเดินทางเข้าประเทศไทยที่รั่วไหลที่ทางคอมแพร์ริเทคนำมาแสดงไว้ในบทความ จาก Comparitech
คอมแพริเทคระบุว่า เรื่องนี้ถูกค้นพบหลังจากที่มีผู้ใช้โปรแกรมค้นหา Censys ค้นพบฐานข้อมูลผู้เดินทางเข้าประเทศไทยตั้งแต่ปี 2554-ปัจจุบัน เมื่อวันที่ 20 ส.ค. ที่ผ่านมา และต่อมาในวันที่ 22 ส.ค. ดิอาเชงโกก็ค้นพบว่าฐานข้อมูลของทางการไทยไม่ได้วางระบบความปลอดภัยทางข้อมูลเอาไว้ ทำให้เขาแจ้งเตือนเรื่องนี้ต่อทางการไทยตามหลักการนโยบายความผิดชอบในการเปิดเผยข้อมูลขององค์กรคอมแพร์ริเทค และในวันที่ 23 ส.ค. ทางการไทยก็รับทราบในเรื่องนี้และแก้ไขให้ระบบฐานข้อมูลมีระบบการรักษาความปลอดภัย
คอมแพร์ริเทคตั้งข้อสังเกตว่า หมายเลขไอพีแอดเดรสที่สามารถใช้เข้าถึงฐานข้อมูลได้ยังถูกเปิดให้เป็นสาธารณะอยู่ในช่วงนั้น แต่ก็เพิ่งมีการเพิ่มความปลอดภัยเพื่อป้องกันไม่ให้เข้าถึงผ่านไอพีแอเดรสได้ในช่วงที่คอมแพร์ริเทคเขียนรายงานชิ้นนี้
ถึงแม้ว่าทางการไทยจะโต้ตอบปัญหานี้ได้รวดเร็วแต่ก็ไม่มีใครรู้ว่าข้อมูลเหล่านี้ถูกเปิดเผยมายาวนานเท่าไหร่แล้ว จากการทดลองของคอมแพริเทคทำให้ทราบว่าผู้โจมตีทางไซเบอร์จะสามารถเข้าถึงข้อมูลที่ไม่ได้ใส่ระบบความปลอดภัยนี้ได้ภายในช่วงระยะเวลาประมาณ 8 ชั่วโมงกว่าๆ เท่านั้น ขณะที่ทางการไทยยืนยันว่าข้อมูลเหล่านี้ไม่ได้มีกลุ่มอื่นใดเข้าถึงนอกจากกลุ่มที่ได้รับอนุญาตให้เข้าถึงเท่านั้น
ข้อมูลที่รั่วไหลนี้มีขนาดรวมแล้ว 200 กิกะไบต์ (ราว 200,000 ล้านไบต์) ประกอบด้วยข้อมูลของบุคคลที่เดินทางเข้าไทยรวมมากกว่า 106 ล้านกรณี ข้อมูลส่วนบุคคลที่ปรากฏอยู่ได้แก่ข้อมูลเรื่องวันที่เดินทางเข้าไทย, ชื่อ-นามสกุลเต็ม, เพศ, หมายเลขหนังสือเดินทาง, สถานะการพำนัก, ประเภทของวีซา และหมายเลขใบ ตม.ขาเข้าไทย
คอมแพริเทคระบุว่าการรั่วไหลของข้อมูลครั้งนี้เป็นอันตรายต่อผู้ที่ไม่อยากให้บันทึกการเดินทางเข้าไทยหรือการพำนักในไทยของพวกเขาออกสู่สาธารณะ ซึ่งเป็นประเด็นเรื่องสิทธิความเป็นส่วนตัว และเท่าที่คอมแพริเทคประเมินความเสียหายในตอนนี้ข้อมูลเหล่านี้ยังไม่ส่งผลทางด้านภัยคุกคามทางการเงินเพราะข้อมูลส่วนใหญ่ไม่เกี่ยวข้องกับการเงินหรือข้อมูลการติดต่อ ขณะที่ตัวเลขของหนังสือเดินทางก็ไม่สามารถนำไปทำธุรกรรมทางการเงินได้
คอมแพร์ริเทคเป็นทีมวิจัยด้านความปลอดภัยทางไซเบอร์ที่มักจะตรวจสอบหาว่ามีฐานของมูลส่วนบุคคลใดๆ หรือไม่ที่ยังไม่ได้รับการป้องกันด้านความปลอดภัย ถ้าหากพวกเขาฐานข้อมูลเหล่านี้พบแล้วก็จะค้นหาเจ้าของและบอกกับเจ้าของเหล่านั้นเพื่อให้มีการสร้างความปลอดภัยให้ข้อมูลพร้อมกับประเมินว่ามีข้อมูลเกี่ยวกับอะไรและใครที่อาจจะได้รับผลกระทบและจะส่งผลกระทบอย่างไรบ้าง หลังจากนั้นก็จะรายงานเช่นเดียวกับกรณีข้อมูลคนเข้าเมืองไทยนี้เพื่อสร้างความตระหนักรู้ในเรื่องความปลอดภัยทางไซเบอร์
นอกจากการรั่วไหลข้อมูลนักเดินทางกว่า 106 ล้านรายครั้งนี้แล้ว เมื่อช่วงต้นเดือนกันยายนที่ผ่านมาเพิ่งมีกรณีแฮ็กเกอร์อ้างว่า สามารถเข้าถึงข้อมูลคนไข้ของกระทรวงสาธารณสุขกว่า 16 ล้านรายการ ในฐานข้อมูลจำนวน 146 ไฟล์ ขนาด 3.75 GB อัปเดตล่าสุดเมื่อวันที่ 5 ก.ย. 2564 วางจำหน่ายในราคา 500 เหรียญสหรัฐ โดยภายในมีทั้งข้อมูลเลขทะเบียนผู้ป่วย ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด หมายเลขโทรศัพท์ ชื่อแพทย์เจ้าของไข้ โรงพยาบาล และรายละเอียดผู้ป่วยต่างๆ
กรณีนี้ทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมชี้แจงว่ากระทรวงมีหน้าที่ในการใช้ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ตามจับคนร้ายที่เข้ามาแฮ็กข้อมูล ซึ่งต้องทำตามกระบวนการของกฎหมาย ส่วนประเด็นเรื่องข้อมูลคนไข้ เนื่องจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังไม่มีผลบังคับใช้จากการขยายเวลาไปในช่วง พ.ค. 2565 ทำให้ดำเนินการได้ตามประกาศมาตรฐานในการทำระบบคุ้มครองข้อมูลส่วนบุคคลเบื้องต้นเท่านั้น
หลังจากเกิดกรณีข้อมูลคนไข้รั่วกว่า 16 ล้านรายการ ประชาไทตรวจสอบเว็บไซต์ RaidForums พบว่าเมื่อวันที่ 3 ก.ย. 2564 ยังมีประกาศขายข้อมูลจากประเทศไทยอีก 30 ล้านรายการ โดยผู้ขายอ้างว่า มีข้อมูลทั้งชื่อ หมายเลขโทรศัพท์ ที่อยู่ หมายเลขบัตรประชาชน วันเกิด และเพศ เป็นต้น และในวันที่ 6 ก.ย. 2564 มีผู้ประกาศขายข้อมูลจาก cpfreshmartshop.com โดยระบุว่ามีข้อมูลจำนวน 594,585 แถว ที่ปรากฏชื่อบัญชีผู้ใช้ รหัสผ่าน อีเมล หมายเลขโทรศัพท์ วันที่สมัคร วันเกิด เลขบัตรประชาชน และที่อยู่ เป็นต้น
เรียบเรียงจาก