- 15 เม.ย. 2561
ติดตามข่าวสารได้ที่ www.tnews.co.th
สืบเนื่องจากกรณีศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต)ได้นำเสนอข้อความแจ้งเตือนว่า เมื่อวันที่ 13 เมษายน 2561 นักวิจัยด้านความมั่นคงปลอดภัย Niall Merrigan ได้รายงานข้อมูลผู้ใช้บริการ True Move H รั่วไหล เนื่องจากมิได้มีมาตรการเพียงพอสำหรับปกป้องข้อมูลที่อยู่ใน Amazon S3 bucket ส่งผลให้บุคคลภายนอกสามารถเข้าถึงและดาวน์โหลดข้อมูลดังกล่าวออกมาได้ และทางสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ได้เรียกให้ ทรู เข้ามาให้ข้อมูลในวันที่ 17 เม.ย. เวลา 09.30 น. ณ ห้องประชุม ชั้น 4 อาคารอำนวยการ สำนักงาน กสทช. เพื่อชี้กรณีที่เกิดขึ้นซึ่งถือเป็นความผิดรุนแรง ตามรายละเอียดที่นำเสนอไปก่อนหน้า (คลิกอ่านข่าวก่อนหน้า : เป็นเรื่องใหญ่แล้ว!?กสทช.เรียก "ทรูมูฟ เอช" แจงทำข้อมูลบัตรปชช.ลูกค้าหลุดกว่า 4 หมื่นไฟล์ สอบผิดโทษหนักถึงขั้นเพิกถอนใบอนุญาต!?? )
ล่าสุด ทรู ออกแถลงการณ์เสียใจข้อมูลส่วนตัวลูกค้า ไอทรูมาร์ท ถุกนำไปเปิดเผย ตามข้อความดังนี้ "จากกรณีที่มีข่าวเรื่องข้อมูลลูกค้าที่ลงทะเบียนใหม่ถูกเปิดเผยในที่สาธารณะนั้น ไอทรูมาร์ทรู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น ซึ่งทันทีที่ทราบเรื่องดังกล่าว บริษัทก็มิได้นิ่งนอนใจ ได้ดำเนินการตรวจสอบอย่างละเอียดทันที ทั้งนี้กรณีดังกล่าวเกิดขึ้นกับการ hack ข้อมูลลูกค้าที่ได้ซื้อมือถือพร้อมแพคเกจบริการทรูมูฟ เอช โดยมีการลงทะเบียนซิมผ่านช่องทาง itruemart
นอกจากนี้ทีมงานไอทรูมาร์ท ได้ดำเนินการแก้ไขเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูลลูกค้าแล้ว พร้อมทั้งจะมีการส่งแจ้งเตือนไปยังลูกค้ากลุ่มดังกล่าว เพื่อให้ทราบถึงมาตรการของบริษัทที่จะดำเนินการเพื่อป้องกันความปลอดภัยของข้อมูลลูกค้า หากถูกนำไปใช้ในทางที่ไม่ถูกต้อง
ทีมงานไอทรูมาร์ท ขอยืนยันว่า บริษัทให้ความสำคัญสูงสุด เรื่องการปกป้องและรักษาข้อมูลส่วนบุคคลของลูกค้ามาโดยตลอด และสำหรับกรณีที่เกิดขึ้นนี้ บริษัทฯมิได้นิ่งนอนใจ โดยกำลังทำงานอย่างใกล้ชิดกับองค์กรผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ระดับโลก รวมถึงการดำเนินการทางกฎหมายเพื่อให้มั่นใจได้ว่า ข้อมูลของลูกค้าจะได้รับการดูแลปกป้อง ด้วยมาตรฐานสูงสุดทั้งในด้านเทคโนโลยีและทางกฎหมาย
อย่างไรก็ตามกับคำชี้แจงดังกล่าว ในโลกโซเชียลกลับมีความเห็นแตกต่าง โดยยังมองประเด็นปัญหาที่เกิดขึ้น เป็นเพราะมาตรฐานและรูปแบบการปฏิบัติและให้บริการของ ทรู
ขณะที่ blognone ที่นำกรณีดังกล่าวมาเปิดเผยต่อสาธารณะในระยะเบื้องต้น ระบุว่า กรณีข้อมูลลูกค้าทรูมูฟเอชหลุดออกสู่อินเทอร์เน็ต ซึ่งคนจำนวนมากจะยังคงตำหนิทรูมูฟเอช ว่าเลินเล่อต่อเหตุการณ์ครั้งนี้ แท้จริงแล้วส่วนหนึ่งของปัญหาทั้งหมด เนื่องมาจากผู้ใช้ทั้งหมดหลายหมื่นราย "จำเป็น" ต้องอัพโหลดภาพบัตรประชาชนไปยัง iTrueMart เพราะคำสั่งของ กสทช. เพราะตั้งแต่ปี 2015 เป็นต้นมา กสทช. บังคับให้ผู้ให้บริการต้องลงทะเบียนซิมด้วยบัตรประชาชน แต่ขณะเดียวกัน กสทช. กลับสร้างมาตรการบังคับลงทะเบียนซิมที่หละหลวมเป็นอย่างยิ่ง ที่มอบอำนาจให้ "ผู้ขายซิม" ทุกคนสามารถรับลงทะเบียนได้
มาตรการลงทะเบียนซิมของ กสทช. เปิดทางให้ “ผู้ขายซิม” สามารถเก็บข้อมูลบัตรประชาชนของลูกค้า และไม่ได้จำกัดอยู่แค่ผู้ขายซิมรายใหญ่อย่าง iTrueMart เท่านั้น แต่กระจายไปถึงผู้ขายรายย่อยทุกรายในไทย มิหนำซ้ำ กสทช. ถึงกับลงทุน สร้างแอป "2 แชะ" เพื่อให้บริการผู้ขายรายย่อยด้วยตัวเอง อีกด้วย
ความหละหลวมของ กสทช. คือตัวแทนจำหน่ายซิมทั้งรายใหญ่และรายย่อย ไม่อยู่ภายใต้การกำกับดูแลใดๆ ของ กสทช. และไม่มีข้อกำหนดว่าตัวแทนเหล่านี้จะต้องรักษาข้อมูลส่วนตัวของลูกค้าที่มาลงทะเบียนซิมอย่างไรบ้าง เราไม่สามารถแน่ใจได้เลยว่า กสทช. จะสามารถบังคับให้ผู้ขายซิมรายย่อย “ลบ” ภาพบัตรประชาชนของลูกค้าหลังลงทะเบียนเสร็จแล้วได้หรือไม่ เราจะรู้ได้อย่างไรว่าผู้ขายรายใดบ้างที่แอบเก็บรูปบัตรประชาชนของเราไปใช้งานอย่างอื่น
ในขณะที่ผู้ให้บริการโทรคมนาคมที่ได้รับใบอนุญาตจาก กสทช. ถูกกำกับดูแลด้วยประกาศ กสทช. เรื่องมาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมอย่างเคร่งครัด ที่กำหนดทั้งวิธีและระยะเวลาการเก็บข้อมูลส่วนบุคคล แต่ตัวแทนขายซิมรายย่อยกลับไม่ต้องอยู่ภายใต้เงื่อนไขเหล่านี้เลย
ปัญหานี้จึงเป็นความรับผิดชอบของกสทช. โดยตรง ที่สร้างมาตรการลงทะเบียนซิมด้วยบัตรประชาชนขึ้นมาอย่างรีบเร่ง โดยไม่คิดถึงผลกระทบรอบข้าง แถมปีที่ผ่านมากสทช. ยังคงเดินหน้าผลักดันให้มีการเก็บข้อมูลทั้งลายนิ้วมือและข้อมูลใบหน้าเพิ่มเติม แม้จะอ้างว่าข้อมูลไม่ได้เก็บไว้ที่ผู้รับลงทะเบียน แต่ก็ไม่เคยมีการอธิบายว่ามาตรการเป็นอย่างไร ถึงได้แน่ใจว่าผู้รับลงทะเบียนจะไม่เก็บข้อมูลไว้เอง