Posted: 17 Apr 2018 07:34 AM PDT (อ้างอิงจากอีเมล์ข่าว เว็บไซต์ประชาไท www.prachatai.com)
ตัวแทนทรูมูฟเอช ไอทรูมาร์ท ชี้แจงกรณีภาพสำเนาบัตรประชาชนรั่วเพราะถูกแฮ็ก ข้อมูลหลุดจำนวน 11,400 ราย ด้านนักวิจัยด้านความปลอดภัยที่พบโฟลเดอร์สำเนาบัตร ระบุ พบสำเนาบัตรราว 46,000 ไฟล์ ไม่ถูกล็อคด้วยการรักษาความปลอดภัยใดๆ แจ้งทรูเป็นเดือนกว่าจะปิดโฟลเดอร์เป็นส่วนตัว
กสทช. ให้บริษัท ทรูมูฟ เอช ชี้แจงกรณีข้อมูลบัตรประชาชนของผู้ใช้บริการถูกเปิดเผยในที่สาธารณะ
17 เม.ย. 2561 สืบเนื่องจากกรณีข่าวการค้นพบข้อมูลบัตรประชาชนลูกค้าทรูในบริการเก็บข้อมูลคลาวด์ของอเมซอน ไทยโพสท์ รายงานว่า ภัคพงศ์ พัฒนมาศ รองผู้อำนวยการธุรกิจโมบายล์ บมจ. ทรู คอร์ปอเรชั่น และสืบสกุล สกลสัตยาทร กรรมการผู้จัดการบริษัทแอสเซนต์ คอมเมิร์ซ จำกัด หรือไอทรูมาร์ท ได้ชี้แจงข้อเท็จจริงกับฐากร ตัณฑสิทธิ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ(กสทช.) และ นพ.ประวิทย์ ลี่สถาพร กรรมการ กสทช.
สืบสกุลกล่าวว่า ข้อมูลที่รั่วไหลเป็นสำเนาบัตรประชาชนของลูกค้าที่ซื้อซิมพร้อมเครื่องของทรูมูฟ เอช จำนวน 11,400 รายจากลูกค้าทั้งหมด 1 ล้านราย ในระหว่างปี 2558-2560 โดยถูกจารกรรมข้อมูล หรือแฮ็คออกมา ทางบริษัทได้ทราบเรื่องเมื่อ 11 เม.ย. ที่ผ่านมา และจัดการระงับช่องโหว่ไปแล้วเมื่อวันที่ 12 เม.ย. และยังไม่ได้รับรายงานความเสียหายจากลูกค้ากลุ่มนี้
ไอทรูมาร์ทได้ติดตั้งระบบบนคลาวด์ โดยใช้ Amazon S3 ข้อมูลที่เก็บไว้นั้นบุคคลทั่วไปไม่สามารถเข้าถึงได้ มีเพียงผู้เชี่ยวชาญที่จะเจาะข้อมูลเข้าไปได้โดยใช้เครื่องมือแบบพิเศษ
ทั้งนี้ บริษัทจะเข้าแจ้งความกับเจ้าหน้าที่ตำรวจในวันนี้เพื่อสงวนสิทธิของลูกค้ากลุ่มนี้ และจะส่งข้อความ SMS เตือนไปยังลูกค้าเพื่อแจ้งว่ามีการเจาะข้อมูลโดยไม่ได้รับอนุญาต
ก่อนจะมีข่าวนี้ นีล เมอร์ริแกน นักวิจัยด้านความปลอดภัยที่เฝ้าดูการสร้างพื้นที่เก็บข้อมูลหรือ bucket ใน S3 ได้เขียนในบล็อกส่วนตัวว่า เขาลองสแกน bucket แล้วพบโฟลเดอร์ชื่อ truemoveh/idcard อยู่ พร้อมกับโฟลเดอร์ย่อยตามปีและเดือน และมีไฟล์ภาพบัตรประชาชน โดยไฟล์ตัวอย่างขีดคร่อมไว้ว่า “ใช้เพื่อลงทะเบียนหมายเลขใหม่กับทรูมูฟเอชเท่านั้น” โฟลเดอร์ไม่ได้ถูกกำกับด้วยระบบรักษาความปลอดภัยใดๆ สามารถดาวน์โหลดได้ โดยมีจำนวนไฟล์ถึง 46,000 ไฟล์
นีลได้ติดต่อไปยังทวิตเตอร์ของทรูมูฟเอช และส่งรายงานเรื่องหลักฐานไปยังอีเมล์ของทรูเมื่อ 10 มี.ค. ที่ผ่านมา รายงานยังระบุถึงวิธีการค้นพบสำเนาบัตรประชาชน ตัวอย่างไฟล์ นีลยังขอพูดคุยกับทีมรักษาความปลอดภัยของทรูมูฟ แต่ทางทรูมูฟตอบกลับมาว่าบริษัทไม่มีแผนกรักษาความปลอดภัย และแนะนำให้ติดต่อสำนักงานใหญ่ในเวลาทำการ
หลังจากนั้นนีลได้ติดต่อนักข่าวจากสื่อ เดอะ รีจิสเตอร์ ให้ผลักดันประเด็นนี้ ในวันที่ 4 เม.ย. ทรูมูฟเอชได้ติดต่อกลับมาหานีลว่าจะดำเนินการต่อ อย่างไรก็ตาม นีลระบุว่าเขายังสามารถเข้าไปดูไฟล์ได้จนกระทั่งเวลา 19.00 น. ของวันที่ 12 เม.ย. ที่โฟลเดอร์ถูกตั้งค่าให้เป็นส่วนตัว
ต่อมาในวันที่ 13 เม.ย. สื่อเดอะรีจิสเตอร์ ของอังกฤษ ได้ตีแผ่เรื่องราวนี้ และระบุว่า นีล พยายามแจ้งปัญหาให้ทางทรูมูฟเอชทราบ แต่ทางบริษัทโทรคมนาคมยักษ์ใหญ่ของไทยนั้นให้การตอบรับช้า
สื่อสกายไฮเน็ตเวิร์ก รายงานว่า ในปี 2560 Amazon ครองส่วนแบ่งการตลาดของธุรกิจที่เก็บข้อมูลออนไลน์หรือที่เรียกว่า คลาวด์ มากที่สุด โดยมีสัดส่วนครองตลาดถึงร้อยละ 47.1 จากนั้นเป็นไมโครซอฟท์ อาเซอร์ ร้อยละ 10 กูเกิล ร้อยละ 3.95 ไอบีเอ็ม ซอฟท์เลเยอร์ ร้อยละ 2.77 และอื่นๆ อีกร้อยละ 36.18
Amazon S3 ที่ทรูมูฟเอชใช้ เป็นแพลตฟอร์มคลาวด์เดียวกันกับที่หลายธุรกิจยักษ์ใหญ่ระดับโลกใช้ เช่น เน็ตฟลิกซ์ แอร์บีเอ็นบี ธอมสันรอยเตอร์ เว็บไซต์ของแพลตฟอร์มระบุว่ามาตรฐานด้านความปลอดภัยของ Amazon S3 ได้รับการรับรองจากหลายสถาบัน
หน้าบัตรสำคัญไฉน ชวนดูความหมายเลข 13 หลัก เมื่อ รมว.มหาดไทยบอกว่าภาพหลุด ‘เพียง’ หน้าบัตร
วันนี้ (17 เม.ย. 61) มติชน รายงานว่า พล.อ.อนุพงษ์ เผ่าจินดา รัฐมนตรีว่าการกระทรวงมหาดไทยกล่าวถึงกรณีการรั่วไหลของข้อมูล โดยยืนยันว่าข้อมูลที่หลุดไปเป็นเพียงข้อมูลหน้าบัตรประชาชนเท่านั้น ข้อมูลเชิงลึกยังไม่ได้หลุดออกไปอย่างแน่นอน เพราะมีระบบป้องกันข้อมูลส่วนตัวของประชาชน เข้าถึงได้เฉพาะเจ้าหน้าที่ที่รับผิดชอบ
ผู้สื่อข่าวตั้งข้อสังเกตว่า บนบัตรประชาชนมีข้อมูลที่อยู่ วัน เดือน ปี เกิด และเลขบัตรประชาชนที่อาจนำไปเชื่อมโยงไปยังฐานข้อมูลอื่นๆ โดยเว็บไซต์กรมการปกครองส่วนท้องถิ่นระบุว่า เลขประจำตัวประชาชน 13 หลัก คือเลขที่ทางราชการกำหนดให้แก่ประชาชนทุกคนทั่วทั้งประเทศมีจำนวน 13 ตัว เรียกสั้นๆ ว่าเลข 13 หลัก แต่ละหลักต่างก็มีความหมายในตัวของมันเอง ดังนี้
หลักที่ 1 หมายถึงประเภทบุคคล ส่วนใหญ่จะได้หมายเลข 3 คือ บุคคลที่มีชื่ออยู่ในทะเบียนบ้านตอนเริ่มโครงการให้เลขฯ ถ้าเกิดตั้งแต่วันที่ 17 ธ.ค.2526 จะได้เลข 1 ซึ่งหมายถึงได้แจ้งเกิดตามกำหนด ถ้าแจ้งเกิดเกินกำหนดจะได้เลข 2 เป็นต้น ซึ่งมี 8 ประเภท คือ
ประเภทที่ 1 ได้แก่ คนที่เกิดและมีสัญชาติไทย ได้แจ้งเกิดภายในกำหนดเวลา (ตั้งแต่1 ม.ค. 2527)
ประเภทที่ 2 ได้แก่ คนที่เกิดและมีสัญชาติไทย ได้แจ้งเกิดเกินกำหนดเวลา (ตั้งแต่ 1 ม.ค. 2527)
ประเภทที่ 3 ได้แก่คนไทยและคนต่างด้าวที่ มีใบสำคัญประจำตัวคนต่างด้าว และมีที่อยู่ในทะเบียนบ้านในสมัยเริ่มแรก (1 ม.ค. - 31 พ.ค.2527)
ประเภทที่ 4 ได้แก่ คนไทยและคนต่างด้าวที่มีใบสำคัญคนต่างด้าวแต่แจ้งย้ายเข้า โดยยังไม่มีเลขประจำตัวประชาชนในสมัยเริ่มแรก (1 ม.ค. - 31 พ.ค. 2527)
ประเภทที่ 5 ได้แก่ คนไทยที่ได้รับอนุมัติให้เพิ่มชื่อเข้าในทะเบียนบ้านในกรณีตกสำรวจหรือกรณีอื่น ๆ
ประเภทที่ 6 ได้แก่ ผู้ที่เข้าเมืองโดยไม่ชอบด้วยกฏหมาย และผู้ที่เข้าเมืองโดยชอบด้วยกฏหมายแต่จะอยู่ในลักษณะชั่วคราว
ประเภทที่ 7 ได้แก่ บุตรของบุคคลประเภทที่ 6 ซึ่งเกิดในประเทศไทย
ประเภทที่ 8 ได้แก่ คนต่างด้าวที่เข้าเมืองโดยถูกต้องตามกฏหมาย คือ ได้รับใบสำคัญประจำตัวคนต่างด้าว คนที่ได้รับการแปลงสัญชาติเป็นสัญชาติไทย และคนที่ได้รับการให้สัญชาติไทย
หลักที่ 2 ถึงหลักที่ 5 หมายถึงรหัสของสำนักทะเบียนที่บุคคลมีชื่อในทะเบียนบ้านในขณะให้เลข สำหรับเด็กเกิดใหม่จะหมายถึงถิ่นที่เกิด โดยหลักที่ 2 และ 3 หมายถึงจังหวัดหลักที่ 4 และ 5 หมายถึงอำเภอหรือเทศบาล
หลักที่ 6 ถึงหลักที่ 10 หมายถึงกลุ่มที่ของบุคคลแต่ละประเภทตามหลักแรก หรือหมายถึงเล่มที่ของสูติบัตรแล้วแต่กรณี
หลักที่ 11 และ 12 หมายถึงลำดับที่ของบุคคลในแต่ละกลุ่มประเภท หรือหมายถึงใบที่ของสูติบัตรแต่ละเล่มแล้วแต่กรณี
หลักที่ 13 คือ ตัวเลขตรวจสอบความถูกต้องของเลข 12 หลักแรก
แสดงความคิดเห็น