ยับเยินจริงๆงวดนี้!!โปรแกรมเมอร์ออกโรงเฉ่ง"ทรู"สารพัดแก้ตัวทำข้อมูลบัตรปชช.ลูกค้ารั่วไหล บล็อกดังจัดหนักคิดได้งัยอ้างถูกHack ข้อมูล!?(คลิป)

กลายเป็นประเด็นใหญ่ที่เกิดขึ้นแล้ว และผู้รับผิดชอบก็ยอมรับว่าเป็นจริง  แต่ประเด็นปัญหาก็คือหน่วยงานหรือองค์กรที่อยู่ในฐานะควบคุมดูแล  ยังไม่ชัดเจนว่าจะดำเนินการต่อไปอย่างไร    สำหรับกรณีสืบเนื่องจากกรณีศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) โดยนักวิจัยด้านความมั่นคงปลอดภัย  Niall Merrigan  รายงานข้อมูลผู้ใช้บริการ True Move H รั่วไหล ส่งผลให้บุคคลภายนอกสามารถเข้าถึงและดาวน์โหลดข้อมูลดังกล่าวออกมาได้  ตามรายละเอียดที่นำเสนอไปก่อนหน้า 

 

(คลิกอ่านข่าวประกอบ :  โซเชียลวิจารณ์หนัก!! "ทรู" แถลงเสียใจข้อมูลบัตรปชช.ลูกค้ารั่วไหลเป็นผลจากการถูก Hack ชาวเน็ตโวยยับ"คำแก้ตัว" บล็อกดังฟันธงกสทช.คือต้นเหตุ!?? )

 

เบื้องต้นคำชี้แจงของผู้รับผิดชอบฝ่ายทรู โดย    นายภัคพงศ์ พัฒนมาศ รองผู้อำนวยการธุรกิจโมบายล์ บมจ.ทรู คอร์ปอเรชั่น (TRUE) และ นายสืบสกุล สกลสัตยาทร กรรมการผู้จัดการ บริษัท แอสเซนต์ คอมเมิร์ซ จำกัด (ไอทรูมาร์ท)  ระบุว่าความผิดพลาดที่เกิดขึ้น เป็นหนึ่งในรูปแบบที่ให้บริการโดยบริษัทไอทรู บนแพลทฟอร์มออนไลน์  แต่ยืนยันว่า ข้อมูลอยู่ในระบบปิด มีเพียงเจ้าหน้าที่ที่ได้รับมอบหมายเท่านั้นที่สามารถเข้าถึงระบบได้  ดังนั้นประเด็นปัญหาดังกล่าวเป็นผลที่เกิดขึ้นจาก  นักวิจัยด้านความปลอดภัยต่างชาติ มีเจตนาเข้าแฮกข้อมูลในระบบ ทำให้มีผู้ได้รับผลกระทบ 11,400 ราย และทางไอทรูมาร์ทไม่ได้นิ่งนอนใจและได้ดำเนินการป้องกันข้อมูลให้กับลูกค้าทั้ง 11,400 รายแล้ว รวมถึงจะส่ง sms และอีเมล์แจ้งเตือนและให้ข้อมูลกับลูกค้าทราบ ตลอดจนจะดำเนินการแจ้งความให้ลูกค้าทั้ง 11,400 รายด้วย

ขณะที่  นายฐากร ตัณฑสิทธิ เลขาธิการกสทช.  ระบุว่า  จากนี้กสทช.จะมีหนังสือแจ้งเตือนผู้ให้บริการโทรศัพท์มือถือ เพื่อป้องกันไม่ให้เกิดความเสียหายกับข้อมูลลูกค้าอีก โดยให้โอเปอเรเตอร์ทำการตรวจสอบลูกค้าจำนวน 11,400 ราย ที่ข้อมูลถูกเปิดเผย เพื่อกำหนดมาตรการเยียวยาผู้บริโภค   แต่ขณะนี้ กสทช. ยังไม่มีบทลงโทษ เพราะจะรวบรวมข้อมูลทั้งหมดเพื่อนำเข้าที่ประชุมคณะกรรมการ กสทช. พิจารณาอีกครั้งหนึ่ง เพราะโดยข้อเท็จจริงการลงทะเบียนซิม ทรูต้องเป็นผู้ดำเนินการเองไม่ใช่ให้ iTruemart ทำ

 

จากคำอธิบายของนายฐากร  และผู้บริหารทรู  ก็คือข้อมูลของ บมจ.ทรู คอร์ปอเรชั่น  เพียงพอต่อการรับฟังได้หรือไม่  เนื่องจากก่อนหน้านั้นมีคำยืนยันจาก นายฐากร  ว่าในกรณีพบความผิดจะมีโทษถึงขั้นถอนใบอนุญาตได้  และนี่คือมุมมองผู้เชี่ยวชาญด้านโทรคมนาคม  ที่ปรากฎในบล็อกข่าว  Blognone?@blognone   "ผมไม่ทราบว่าการชี้แจงของคุณสืบสกล เป็นการจงใจเบี่ยงประเด็นเพื่อลดความเสียหาย หรือถูกวิศวกรในบริษัทชี้แจงมาเช่นนี้จริงๆ และคุณสืบสกลก็เชื่อตามนั้น อย่างไรก็ตาม คำชี้แจงดูจะชี้นำให้ประชาชนเข้าใจผิดได้

 

 

ประเด็นแรกเครื่องมือทั้งสามตัวที่กล่าวถึงนั้นไม่ใช่เครื่องมือที่ทำให้ข้อมูลปิดลับสามารถอ่านได้แต่อย่างใด เครื่องมือเหล่านั้นเป็นเครื่องมือค้นหา AWS S3  bucket และลองตรวจสอบดูว่าคนทั่วไปสามารถอ่านข้อมูลภายในได้หรือไม่ แม้ว่าเครื่องมือที่สแกนแบบใช้งานง่ายเช่นนี้จะเพิ่งมีขึ้นมาในช่วงต้นปีที่ผ่านมา แต่การที่วิศวกรทำงานผิดพลาด เผลอเปิดข้อมูลออกสู่สาธารณะนั้นมีรายงานมาตั้งแต่ปี 2013 โดย Rapid7 วิศวกรจำนวนหนึ่งอาจจะเข้าใจผิดว่าการตั้งชื่อ bucket ให้แปลกเข้าไว้ คงไม่มีใครมาเห็น อย่างไรก็ตามความปลอดภัยก็น่าจะใกล้เคียงกับผู้ใช้ที่อยากคุยเรื่องส่วนตัวแล้วไปตอบกันในเว็บบอร์ดร้างๆ ที่ไม่ค่อยมีใครใช้ ที่สุดท้ายก็ข้อมูลหลุดได้อยู่ดี

 

ประเด็นที่สอง กระบวนการเข้าถึงข้อมูลทั้งหมดที่มีรายงานออกมาไม่ใช่การแฮก คุณ Merrigan แจ้ง bucket ที่เปิดสู่สาธารณะเท่านั้น คลาวด์สตอเรจทุกเจ้าล้วนเปิดให้ตั้งค่าปิดข้อมูลสำหรับผู้ใช้ที่ได้รับอนุญาตเท่านั้น (อ่าน FAQ เพิ่มเติมโดยคุณ Merrigan)

 

ประเด็นที่สาม ปัญหาไม่ใช่เครื่องมือที่พัฒนาไปรวดเร็ว แต่เป็นแนวทางทำงานภายในที่ต้องแก้ไข เครื่องมืออาจจะทำให้ปัญหามองเห็นในวงกว้างได้มากขึ้น หลังจากนี้คนไทยก็อาจจะใช้เครื่องมือเหล่านี้ตรวจสอบว่ามีการเปิดเผยข้อมูลของบริษัทในไทยบ้างหรือไม่ ชื่อบริษัทไทยอาจจะถูกกรองคำสำคัญเพื่อตรวจหา bucket กันมากขึ้น จากเดิมที่คุณ Merrigan มาพบ bucket ของ iTrueMart เพียงเพราะจำนวนไฟล์มากผิดสังเกต

 

สิ่งที่ Ascend ควรตอบคำถามคือเหตุใด bucket นี้จึงถูกตั้งค่าเป็นสาธารณะ มันถูกตั้งมาตั้งแต่เมื่อใด ด้วยเหตุผลอะไร นอกจากนี้ที่บริษัทอ้างว่ามีข้อมูลหลุดออกมาเพียง 11,400 รายการโดยไม่มีข้อมูลอื่น ก็ควรชี้แจงว่าไฟล์ใน bucket ทั้งหมด 45,736 นั้นเป็นไฟล์ประเภทใดบ้าง??

 

และด้วยเหตุรายละเอียดดังกล่าวข้างต้น  จึงเป็นเหตุสำคัญทำให้ล่าสุด นายธนานนท์  ปฏิญญาศักดิกุล โปรแกรมเมอร์  ตัดสินใจโพสต์แสดงความเห็นในประเด็นร้อน ๆ นี้ ผ่านเพจเฟสบุ๊ค  “นายอาร์ม”  เน้นย้ำให้เห็นว่ากรณีที่เกิดขึ้นส่วนตัวเชื่อเป็นความผิดพลาดของทางทรู  จึงเรียกร้องขอให้ยอมรับในสิ่งนี้ ไม่ใช่การกล่าวโทษหรือใช้คำแก้ตัว ในลักษณะโยนความผิดให้กับอีกฝ่ายในลักษณะของการอ้างถึงเหตุถูกแฮคข้อมูล รวมถึงยังเรียกร้องให้ กสทช.ดำเนินการเรื่องนี้อย่างตรงไปตรงมา โดยเฉพาะการคำนึกถึงผลประโยชน์สูงสุดกับประชาชนในฐานะผู้บริโภค (ตามรายละเอียดคลิปข้างต้น)