ไม่ต้องแฮ็กก็เข้าถึงได้! 'ไนอัลล์' ชี้ปัญหาข้อมูลบัตรปชช.ลูกค้าทรู1.1หมื่นราย ไร้การป้องกัน

เขียนวันที่

วันอาทิตย์ ที่ 22 เมษายน 2561 เวลา 09:30 น.

เขียนโดย

isranews

หมวดหมู่

Isranews | ข่าว | การทำผิดของเอกชน | เรื่องเด่น - สำนักข่าวอิศรา

Tags

'ไนอัลล์ เมอร์ริเกน' ผู้ดูแลด้านความปลอดภัยบนโลกไซเบอร์ ชี้ข้อมูลบัตร ปชช. ลูกค้า ทรู 1.1 หมื่นราย บน Amazon S3 ไร้การป้องกัน ไม่จำเป็นต้องแฮ็กก็เข้าถึงข้อมูลได้ แจงสื่อเคยขยี้ปมนี้แล้วตอนปี 56 ย้ำออกมาเตือนด้วยเจตนาดี

Niall

สืบเนื่องจากสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เรียกบริษัท ทรูมูฟ เอช จำกัด เข้าชี้แจงกรณีมีการปล่อยข้อมูลสำเนาบัตรประจำตัวประชาชนของลูกค้า จำนวน 11,400 รายชื่อ ให้เข้าถึงได้ง่าย โดยไม่มีการปิดกั้น โดย นายสืบสกุล สกลสัตยาทร กรรมการผู้จัดการบริษัท แอสเซนต์ คอมเมิร์ช จำกัด (ไอทรู มาร์ท) แถลงยืนยันว่ากรณีข้อมูลบัตรประชาชนชนของลูกค้าบริษัท ไอทรู มาร์ทจำนวน 1.14 หมื่นราย หากไม่ใช่ผู้เชี่ยวชาญจริงจะเข้าถึงไม่ง่าย ซึ่งในกรณีนี้พบว่า ผู้เชี่ยวชาญได้ใช้เครื่องมือพิเศษเข้าถึงข้อมูลจนทำให้มีการเปิดเผยออกมา แต่ยืนยันข้อมูลเหล่านั้นเป็นของลูกค้าที่สมัครซื้อซิมการ์ดเบอร์โทรศัพท์พร้อมเครื่องโทรศัพท์มือถือผ่านช่องทางของไอทรู สมาร์ท เท่านั้น (อ่านประกอบ:ทรูแจงปมข้อมูลลูกค้า 1.14 หมื่นชื่อหลุด ถูกแฮกจากมืออาชีพ -แจ้งความบันทึกประจำวันแล้ว)

ล่าสุดสำนักข่าวอิศรา www.isranews.org ได้ส่งอีเมลไปสอบถามข้อเท็จจริงจาก นายไนอัลล์ เมอร์ริเกน (Niall Merrigan) ผู้ดูแลด้านความปลอดภัยบนโลกไซเบอร์ ที่เป็นผู้พบข้อมูลบัตรประชาชนของลูกค้าทรู จำนวน 11,400 รายชื่อ เป็นคนแรก ได้ส่งคำเตือนมายังไอทรูว่าข้อมูลบัตรประชาชนที่ถูกเก็บรักษาบนเว็บไซต์ Amazon S3 นั้นไม่ปลอดภัยและให้รีบหาทางแก้ไขปัญหา เพื่อสอบถามข้อเท็จจริงเพิ่มเติม

โดยนายไนอัลล์ ตอบคำถามสำนักข่าวอิศราว่าเป็นไปได้หรือไม่ที่จะมีเฉพาะแฮกเกอร์สามารถเข้าถึงข้อมูลตามที่นายสืบสกุลกล่าวอ้าง ว่า ผู้ที่จะเข้าถึงที่เก็บข้อมูล(Bucket) สามารถเข้าถึงได้เลย ไม่จำเป็นต้องแฮ็กเข้าไปแต่อย่างใด ที่เก็บข้อมูลนั้นเปิดกว้างสำหรับคนที่ต้องการจะหาข้อมูลบนอินเตอร์เน็ต การหาที่เก็บข้อมูลนี้ อาจจะหาได้โดยบังเอิญ จากการพิมพ์ชื่อเว็บไซต์ผิดพลาดโดยไม่ได้ตั้งใจ อาทิ พิมพ์คำว่า goofle แทนที่จะเป็นคำว่า google เป็นต้น

"ดังนั้นตามที่เรียนไว้แล้ว ไม่จำเป็นต้องแฮ็ก ก็สามารถเข้าถึงข้อมูลนี้ได้ ถ้าหากมีการวางระบบป้องกันที่เหมาะสมจริงๆ ก็จะไม่มีการเข้าถึงส่วนเก็บข้อมูลนี้ได้ อย่างไรก็ตามสิ่ง ที่ทรูทำดูเหมือนจะมีแค่การยืนยันว่า ที่เก็บข้อมูลถูกปิดไปแล้ว แต่ไม่ได้ให้ข้อมูลว่าทำอะไรไปมากกว่านั้นหรือไม่"

นายไนอัลล์ ยังระบุด้วยว่า "ปัญหาที่สำคัญก็คือว่า ทำไมถึงไม่มีการวางมาตรการป้องกันอะไรเอาไว้เลย ทั้งๆที่ปัญหาเรื่องความปลอดภัยของการเก็บข้อมูลบนเว็บ AMAZON S3 เป็นเรื่องสำคัญ ซึ่งเหตุผลอาจจะเป็นไปได้ทั้งความละเลยในด้านความปลอดภัย หรืออาจจะคิดแค่ว่าไม่จำเป็นต้องวางมาตรการอะไรเอาไว้

"ประเด็นเรื่องความปลอดภัยของที่เก็บข้อมูลบน Amazon S3 เคยถูกสื่อนำไปพูดถึงแล้วบนสื่อหลายครั้งเมื่อปี 2556 หลังจากที่ผู้ให้บริการซอฟแวร์ Rapid7 ซึ่งเป็น ซอฟต์แวร์ด้านความมั่นคงปลอดภัยและวิเคราะห์ข้อมูล ได้ออกมาเปิดเผยข้อมูลเรื่องปัญหาการรักษาความปลอดภัยบน Amazon S3 ตั้งแต่ตอนนั้นก็ได้มีการออกแบบโปรแกรมเพื่อช่วยเหลือบริษัทค้นหาว่าที่เก็บข้อมูลที่บริษัทใช้บริการนั้นมีข้อผิดพลาดหรือไม่ เพราะว่าปัญหาด้านความปลอดภัยของที่เก็บข้อมูลนั้นถือว่าเป็นปัญหาที่ซับซ้อนมาก"

"ผมออกมาเตือนทรูด้วยเจตนาที่ดี เพื่อที่ทางทรูจะได้แก้ไขปัญหา และหามาตรการปกป้องข้อมูลของลูกค้า เพราะว่าข้อมูลบัตรประชาชนไม่ว่าของใครก็ตามก็ไม่ควรถูกละเมิด”

อ่านประกอบ:

ทรูแจงปมข้อมูลลูกค้า 1.14 หมื่นชื่อหลุด ถูกแฮกจากมืออาชีพ -แจ้งความบันทึกประจำวันแล้ว

ทรูเสียใจ อ้างถูกแฮกข้อมูลบัตรปชช.-กสทช.เรียกชี้แจงด่วน