อะไรของ True Move H พบข้อมูลบัตรประชาชนเกือบ 5 หมื่นใบหลุดบนอินเทอร์เน็ต
อัปเดท ทรูออกแถลงการณ์แล้วว่าเป็นข้อมูลที่หลุดออกมาจาก iTrueMart ไม่ใช่ข้อมูลของลูกค้า True Move H ทุกคน
iTruemart ชี้แจงกรณีข้อมูลลูกค้า TrueMove H หลุด เป็นเฉพาะลูกค้าที่ลงทะเบียนผ่าน iTruemart เท่านั้น!
เรื่องความปลอดภัยนั้นดูเหมือนจะมีปัญหากับองค์กรไทยตลอดเวลา ล่าสุด True Move H โชว์ผลงานทำข้อมูลลูกค้าที่ลงทะเบียนซิมในช่วงปี 2015 – 2018 หลุดบน Amazon S3 กว่า 32 GB รวมรายชื่อราว 46,000 คน ซึ่งล่าสุดทรูได้ปิดช่องโหว่นี้แล้ว
หน้าตาบัตรประชาชนที่หลุดออกมาจากเซิร์ฟเวอร์ของ True Move H
Niall Merrigan นักวิจัยด้านความปลอดภัยใช้เทคนิคตรวจสอบ certificate transparency logs เพื่อตามหา Amazon S3 buckets (พื้นที่เก็บข้อมูลบนคลาวน์ของ Amazon S3) ที่เปิดให้บุคคลภายนอกสามารถเข้าถึงข้อมูลได้โดยไม่มีการป้องกัน จนค้นเจอพื้นที่เก็บข้อมูลของ True Move H ซึ่งบันทึกภาพสแกนบัตรประชาชนของลูกค้าไว้กว่า 46,000 ไฟล์ โดยแยกเก็บเป็นรายปีตั้งแต่ปี 2015 ถึง 2018 ในปัจจุบัน
โครงสร้างข้อมูลที่พบใน Amazon S3 ของ True Move H
ข้อมูลหลุดว่าแย่แล้ว แต่กระบวนการจัดการนั้นยิ่งเลวร้ายกว่า หลังจากที่ Merrigan ค้นพบช่องโหว่นี้ตั้งแต่ช่วงต้นเดือนมีนาคม เขาได้พยายามติดต่อกับทรู โดยเริ่มตั้งแต่ Twitter จนได้เมลฝ่ายซัพพอร์ตมา และส่งข้อมูลทั้งหมดที่เขาค้นพบไปเมื่อวันที่ 10 มีนาคม แต่คำตอบที่ได้มากลับบอกว่าตอนนี้ฝ่ายซัพพอร์ตยังทำอะไรไม่ได้ ต้องรอโทรคุยกับสำนักงานใหญ่ในวันทำงาน
เริ่มต้นแจ้งปัญหาจาก Twitter จนได้เมลมา
จากนั้นทรูก็เงียบหายไป Merrigan จึงติดต่อกับสำนักข่าว The Register และส่งเมลขู่ในวันที่ 2 เมษายนว่าถ้าทรูยังไม่ทำอะไร จะเผยแพร่เรื่องนี้กับสำนักข่าวแล้วนะ จนวันที่ 4 เมษายนจึงมีเมลตอบกลับว่ากำลังจัดการอยู่
ได้คำตอบว่ายังจัดการให้ไม่ได้ ต้องรอติดต่อสำนักงานใหญ่ แล้วก็เงียบหายไป
สุดท้ายในวันที่ 12 เมษายนข้อมูลชุดนี้จึงถูกทำให้เป็น Private และข่าวใน The Register ก็เปิดเผยเรื่องนี้ในวันที่ 13 เมษายน คิดเป็นเวลาร่วมเดือนกว่าที่ทรูจะหาคนที่เกี่ยวข้องมาแก้ปัญหาเรื่องนี้ได้
ผ่านไปหลายสัปดาห์จนส่งเมลไปขู่ ถึงมีเมลตอบกลับมาว่ากำลังแก้
เราคงไม่ต้องบอกว่าหน้ามูลหน้าบัตรประชาชนนั้นสำคัญขนาดไหน แต่ข้อมูลที่หลุดคราวนี้หลุดไปทั้งหน้าบัตรเลย ซึ่งก็ไม่มีใครรู้ว่านอกจาก Niall Merrigan ที่เป็น White Hacker เจาะข้อมูลได้แล้วส่งให้ทรูแก้ไขก่อนจะเปิดเผยแล้วยังมี Hacker คนอื่นได้ข้อมูลนี้ไปอีกหรือไม่
สิ่งที่ทรูต้องทำต่อไปให้แจ้งผู้ใช้ทั้ง 46,000 คนให้ทราบถึงความเสี่ยงว่ามีเหตุการณ์ข้อมูลหลุดออกไป และแนะนำผู้ใช้ว่าควรทำอย่างไรต่อไป ซึ่งกสทช. ก็ควรเรียก True Move H มาเพื่อหาทางแก้ไขและป้องกันปัญหาด้วย
อ้างอิง: Niall Merrigan, The Register