- Home
- Isranews
- ไม่ต้องแฮ็กก็เข้าถึงได้! 'ไนอัลล์' ชี้ปัญหาข้อมูลบัตรปชช.ลูกค้าทรู1.1หมื่นราย ไร้การป้องกัน
ไม่ต้องแฮ็กก็เข้าถึงได้! 'ไนอัลล์' ชี้ปัญหาข้อมูลบัตรปชช.ลูกค้าทรู1.1หมื่นราย ไร้การป้องกัน
'ไนอัลล์ เมอร์ริเกน' ผู้ดูแลด้านความปลอดภัยบนโลกไซเบอร์ ชี้ข้อมูลบัตร ปชช. ลูกค้า ทรู 1.1 หมื่นราย บน Amazon S3 ไร้การป้องกัน ไม่จำเป็นต้องแฮ็กก็เข้าถึงข้อมูลได้ แจงสื่อเคยขยี้ปมนี้แล้วตอนปี 56 ย้ำออกมาเตือนด้วยเจตนาดี
สืบเนื่องจากสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เรียกบริษัท ทรูมูฟ เอช จำกัด เข้าชี้แจงกรณีมีการปล่อยข้อมูลสำเนาบัตรประจำตัวประชาชนของลูกค้า จำนวน 11,400 รายชื่อ ให้เข้าถึงได้ง่าย โดยไม่มีการปิดกั้น โดย นายสืบสกุล สกลสัตยาทร กรรมการผู้จัดการบริษัท แอสเซนต์ คอมเมิร์ช จำกัด (ไอทรู มาร์ท) แถลงยืนยันว่ากรณีข้อมูลบัตรประชาชนชนของลูกค้าบริษัท ไอทรู มาร์ทจำนวน 1.14 หมื่นราย หากไม่ใช่ผู้เชี่ยวชาญจริงจะเข้าถึงไม่ง่าย ซึ่งในกรณีนี้พบว่า ผู้เชี่ยวชาญได้ใช้เครื่องมือพิเศษเข้าถึงข้อมูลจนทำให้มีการเปิดเผยออกมา แต่ยืนยันข้อมูลเหล่านั้นเป็นของลูกค้าที่สมัครซื้อซิมการ์ดเบอร์โทรศัพท์พร้อมเครื่องโทรศัพท์มือถือผ่านช่องทางของไอทรู สมาร์ท เท่านั้น (อ่านประกอบ:ทรูแจงปมข้อมูลลูกค้า 1.14 หมื่นชื่อหลุด ถูกแฮกจากมืออาชีพ -แจ้งความบันทึกประจำวันแล้ว)
ล่าสุดสำนักข่าวอิศรา www.isranews.org ได้ส่งอีเมลไปสอบถามข้อเท็จจริงจาก นายไนอัลล์ เมอร์ริเกน (Niall Merrigan) ผู้ดูแลด้านความปลอดภัยบนโลกไซเบอร์ ที่เป็นผู้พบข้อมูลบัตรประชาชนของลูกค้าทรู จำนวน 11,400 รายชื่อ เป็นคนแรก ได้ส่งคำเตือนมายังไอทรูว่าข้อมูลบัตรประชาชนที่ถูกเก็บรักษาบนเว็บไซต์ Amazon S3 นั้นไม่ปลอดภัยและให้รีบหาทางแก้ไขปัญหา เพื่อสอบถามข้อเท็จจริงเพิ่มเติม
โดยนายไนอัลล์ ตอบคำถามสำนักข่าวอิศราว่าเป็นไปได้หรือไม่ที่จะมีเฉพาะแฮกเกอร์สามารถเข้าถึงข้อมูลตามที่นายสืบสกุลกล่าวอ้าง ว่า ผู้ที่จะเข้าถึงที่เก็บข้อมูล(Bucket) สามารถเข้าถึงได้เลย ไม่จำเป็นต้องแฮ็กเข้าไปแต่อย่างใด ที่เก็บข้อมูลนั้นเปิดกว้างสำหรับคนที่ต้องการจะหาข้อมูลบนอินเตอร์เน็ต การหาที่เก็บข้อมูลนี้ อาจจะหาได้โดยบังเอิญ จากการพิมพ์ชื่อเว็บไซต์ผิดพลาดโดยไม่ได้ตั้งใจ อาทิ พิมพ์คำว่า goofle แทนที่จะเป็นคำว่า google เป็นต้น
"ดังนั้นตามที่เรียนไว้แล้ว ไม่จำเป็นต้องแฮ็ก ก็สามารถเข้าถึงข้อมูลนี้ได้ ถ้าหากมีการวางระบบป้องกันที่เหมาะสมจริงๆ ก็จะไม่มีการเข้าถึงส่วนเก็บข้อมูลนี้ได้ อย่างไรก็ตามสิ่ง ที่ทรูทำดูเหมือนจะมีแค่การยืนยันว่า ที่เก็บข้อมูลถูกปิดไปแล้ว แต่ไม่ได้ให้ข้อมูลว่าทำอะไรไปมากกว่านั้นหรือไม่"
นายไนอัลล์ ยังระบุด้วยว่า "ปัญหาที่สำคัญก็คือว่า ทำไมถึงไม่มีการวางมาตรการป้องกันอะไรเอาไว้เลย ทั้งๆที่ปัญหาเรื่องความปลอดภัยของการเก็บข้อมูลบนเว็บ AMAZON S3 เป็นเรื่องสำคัญ ซึ่งเหตุผลอาจจะเป็นไปได้ทั้งความละเลยในด้านความปลอดภัย หรืออาจจะคิดแค่ว่าไม่จำเป็นต้องวางมาตรการอะไรเอาไว้
"ประเด็นเรื่องความปลอดภัยของที่เก็บข้อมูลบน Amazon S3 เคยถูกสื่อนำไปพูดถึงแล้วบนสื่อหลายครั้งเมื่อปี 2556 หลังจากที่ผู้ให้บริการซอฟแวร์ Rapid7 ซึ่งเป็น ซอฟต์แวร์ด้านความมั่นคงปลอดภัยและวิเคราะห์ข้อมูล ได้ออกมาเปิดเผยข้อมูลเรื่องปัญหาการรักษาความปลอดภัยบน Amazon S3 ตั้งแต่ตอนนั้นก็ได้มีการออกแบบโปรแกรมเพื่อช่วยเหลือบริษัทค้นหาว่าที่เก็บข้อมูลที่บริษัทใช้บริการนั้นมีข้อผิดพลาดหรือไม่ เพราะว่าปัญหาด้านความปลอดภัยของที่เก็บข้อมูลนั้นถือว่าเป็นปัญหาที่ซับซ้อนมาก"
"ผมออกมาเตือนทรูด้วยเจตนาที่ดี เพื่อที่ทางทรูจะได้แก้ไขปัญหา และหามาตรการปกป้องข้อมูลของลูกค้า เพราะว่าข้อมูลบัตรประชาชนไม่ว่าของใครก็ตามก็ไม่ควรถูกละเมิด”
อ่านประกอบ:
ทรูแจงปมข้อมูลลูกค้า 1.14 หมื่นชื่อหลุด ถูกแฮกจากมืออาชีพ -แจ้งความบันทึกประจำวันแล้ว
ทรูเสียใจ อ้างถูกแฮกข้อมูลบัตรปชช.-กสทช.เรียกชี้แจงด่วน