ข้อมูลส่วนบุคคลของคนที่เดินทางเข้าไทยย้อนหลัง 10 ปีรั่วไหลบนเนตกว่า 106 ล้านคน

นักวิจัยของคอมแพร์ริเทครายงานว่า ข้อมูลส่วนบุคคลของผู้เดินทางเข้าประเทศไทยจากต่างประเทศ 106 ล้านคนรั่วไหลและถูกนำมาเปิดเผยทางอินเทอร์เน็ตทั้งชื่อและนามสกุล, หมายเลขหนังสือเดินทาง วันที่เดินทางเข้าประเทศ และข้อมูลอื่นๆ ข้อมูลจากฐานข้อมูลที่ไม่ปลอดภัยเหล่านี้กินเวลาย้อนหลังไปได้ถึงเมื่อ 10 ปีที่แล้ว

เมื่อวันที่ 20 ก.ย.2564 คอมแพริเทครายงานว่า มีข้อมูลส่วนบุคคลของคนที่เดินทางเข้าประเทศไทยตั้งแต่ 10 ปีที่แล้วจนถึงตอนนี้ประมาณ 106 ล้านคน และมีการเผยแพร่ข้อมูลเหล่านี้บนเว็บไซต์โดยไม่จำเป็นต้องใช้รหัสในการเข้าถึง

บ็อบ ดิอาเชงโก ผู้นำฝ่ายวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบฐานข้อมูลที่รั่วไหลนี้เมื่อวันที่ 22 ส.ค. 2564 และแจ้งต่อทางการไทยโดยทันที ซึ่งทางการไทยได้แสดงการรับรู้ถึงเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นและมีการเพิ่มระบบความปลอดภัยให้กับฐานข้อมูลดังกล่าวในวันถัดจากนั้น

ดิอาเชงโกประเมินว่าข้อมูลของชาวต่างชาติทุกคนที่เดินทางเข้าประเทศไทยในช่วง 10 ปีที่ผ่านมาจนถึงปัจจุบันได้ถูกเผยแพร่อยู่อินเทอร์เน็ตแล้ว ซึ่งมีแม้กระทั่งข้อมูลของตัวดิอาเชงโกเองตอนที่เขาเคยเดินทางเข้าประเทศไทยด้วย

ตัวอย่างข้อมูลการเดินทางเข้าประเทศไทยที่รั่วไหลที่ทางคอมแพร์ริเทคนำมาแสดงไว้ในบทความ จาก Comparitech

คอมแพริเทคระบุว่า เรื่องนี้ถูกค้นพบหลังจากที่มีผู้ใช้โปรแกรมค้นหา Censys ค้นพบฐานข้อมูลผู้เดินทางเข้าประเทศไทยตั้งแต่ปี 2554-ปัจจุบัน เมื่อวันที่ 20 ส.ค. ที่ผ่านมา และต่อมาในวันที่ 22 ส.ค. ดิอาเชงโกก็ค้นพบว่าฐานข้อมูลของทางการไทยไม่ได้วางระบบความปลอดภัยทางข้อมูลเอาไว้ ทำให้เขาแจ้งเตือนเรื่องนี้ต่อทางการไทยตามหลักการนโยบายความผิดชอบในการเปิดเผยข้อมูลขององค์กรคอมแพร์ริเทค และในวันที่ 23 ส.ค. ทางการไทยก็รับทราบในเรื่องนี้และแก้ไขให้ระบบฐานข้อมูลมีระบบการรักษาความปลอดภัย

คอมแพร์ริเทคตั้งข้อสังเกตว่า หมายเลขไอพีแอดเดรสที่สามารถใช้เข้าถึงฐานข้อมูลได้ยังถูกเปิดให้เป็นสาธารณะอยู่ในช่วงนั้น แต่ก็เพิ่งมีการเพิ่มความปลอดภัยเพื่อป้องกันไม่ให้เข้าถึงผ่านไอพีแอเดรสได้ในช่วงที่คอมแพร์ริเทคเขียนรายงานชิ้นนี้

ถึงแม้ว่าทางการไทยจะโต้ตอบปัญหานี้ได้รวดเร็วแต่ก็ไม่มีใครรู้ว่าข้อมูลเหล่านี้ถูกเปิดเผยมายาวนานเท่าไหร่แล้ว จากการทดลองของคอมแพริเทคทำให้ทราบว่าผู้โจมตีทางไซเบอร์จะสามารถเข้าถึงข้อมูลที่ไม่ได้ใส่ระบบความปลอดภัยนี้ได้ภายในช่วงระยะเวลาประมาณ 8 ชั่วโมงกว่าๆ เท่านั้น ขณะที่ทางการไทยยืนยันว่าข้อมูลเหล่านี้ไม่ได้มีกลุ่มอื่นใดเข้าถึงนอกจากกลุ่มที่ได้รับอนุญาตให้เข้าถึงเท่านั้น

ข้อมูลที่รั่วไหลนี้มีขนาดรวมแล้ว 200 กิกะไบต์ (ราว 200,000 ล้านไบต์) ประกอบด้วยข้อมูลของบุคคลที่เดินทางเข้าไทยรวมมากกว่า 106 ล้านกรณี ข้อมูลส่วนบุคคลที่ปรากฏอยู่ได้แก่ข้อมูลเรื่องวันที่เดินทางเข้าไทย, ชื่อ-นามสกุลเต็ม, เพศ, หมายเลขหนังสือเดินทาง, สถานะการพำนัก, ประเภทของวีซา และหมายเลขใบ ตม.ขาเข้าไทย

คอมแพริเทคระบุว่าการรั่วไหลของข้อมูลครั้งนี้เป็นอันตรายต่อผู้ที่ไม่อยากให้บันทึกการเดินทางเข้าไทยหรือการพำนักในไทยของพวกเขาออกสู่สาธารณะ ซึ่งเป็นประเด็นเรื่องสิทธิความเป็นส่วนตัว และเท่าที่คอมแพริเทคประเมินความเสียหายในตอนนี้ข้อมูลเหล่านี้ยังไม่ส่งผลทางด้านภัยคุกคามทางการเงินเพราะข้อมูลส่วนใหญ่ไม่เกี่ยวข้องกับการเงินหรือข้อมูลการติดต่อ ขณะที่ตัวเลขของหนังสือเดินทางก็ไม่สามารถนำไปทำธุรกรรมทางการเงินได้

คอมแพร์ริเทคเป็นทีมวิจัยด้านความปลอดภัยทางไซเบอร์ที่มักจะตรวจสอบหาว่ามีฐานของมูลส่วนบุคคลใดๆ หรือไม่ที่ยังไม่ได้รับการป้องกันด้านความปลอดภัย ถ้าหากพวกเขาฐานข้อมูลเหล่านี้พบแล้วก็จะค้นหาเจ้าของและบอกกับเจ้าของเหล่านั้นเพื่อให้มีการสร้างความปลอดภัยให้ข้อมูลพร้อมกับประเมินว่ามีข้อมูลเกี่ยวกับอะไรและใครที่อาจจะได้รับผลกระทบและจะส่งผลกระทบอย่างไรบ้าง หลังจากนั้นก็จะรายงานเช่นเดียวกับกรณีข้อมูลคนเข้าเมืองไทยนี้เพื่อสร้างความตระหนักรู้ในเรื่องความปลอดภัยทางไซเบอร์

นอกจากการรั่วไหลข้อมูลนักเดินทางกว่า 106 ล้านรายครั้งนี้แล้ว เมื่อช่วงต้นเดือนกันยายนที่ผ่านมาเพิ่งมีกรณีแฮ็กเกอร์อ้างว่า สามารถเข้าถึงข้อมูลคนไข้ของกระทรวงสาธารณสุขกว่า 16 ล้านรายการ ในฐานข้อมูลจำนวน 146 ไฟล์ ขนาด 3.75 GB อัปเดตล่าสุดเมื่อวันที่ 5 ก.ย. 2564 วางจำหน่ายในราคา 500 เหรียญสหรัฐ โดยภายในมีทั้งข้อมูลเลขทะเบียนผู้ป่วย ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด หมายเลขโทรศัพท์ ชื่อแพทย์เจ้าของไข้ โรงพยาบาล และรายละเอียดผู้ป่วยต่างๆ

กรณีนี้ทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมชี้แจงว่ากระทรวงมีหน้าที่ในการใช้ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ตามจับคนร้ายที่เข้ามาแฮ็กข้อมูล ซึ่งต้องทำตามกระบวนการของกฎหมาย ส่วนประเด็นเรื่องข้อมูลคนไข้ เนื่องจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังไม่มีผลบังคับใช้จากการขยายเวลาไปในช่วง พ.ค. 2565 ทำให้ดำเนินการได้ตามประกาศมาตรฐานในการทำระบบคุ้มครองข้อมูลส่วนบุคคลเบื้องต้นเท่านั้น

หลังจากเกิดกรณีข้อมูลคนไข้รั่วกว่า 16 ล้านรายการ ประชาไทตรวจสอบเว็บไซต์ RaidForums พบว่าเมื่อวันที่ 3 ก.ย. 2564 ยังมีประกาศขายข้อมูลจากประเทศไทยอีก 30 ล้านรายการ โดยผู้ขายอ้างว่า มีข้อมูลทั้งชื่อ หมายเลขโทรศัพท์ ที่อยู่ หมายเลขบัตรประชาชน วันเกิด และเพศ เป็นต้น และในวันที่ 6 ก.ย. 2564 มีผู้ประกาศขายข้อมูลจาก cpfreshmartshop.com โดยระบุว่ามีข้อมูลจำนวน 594,585 แถว ที่ปรากฏชื่อบัญชีผู้ใช้ รหัสผ่าน อีเมล หมายเลขโทรศัพท์ วันที่สมัคร วันเกิด เลขบัตรประชาชน และที่อยู่ เป็นต้น

เรียบเรียงจาก

Database containing personal info of 106 million international visitors to Thailand was exposed online, Comparitech, 20-09-2021

ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
Facebook : https://www.facebook.com/prachatai
Twitter : https://twitter.com/prachatai
YouTube : https://www.youtube.com/prachatai
Prachatai Store Shop : https://prachataistore.net
สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท