บทความพิเศษ: จาก 'เฟซบุ๊ก' ถึง 'ทรูมูฟเอช' กรณีข้อมูลลูกค้ารั่ว เรื่องใกล้ตัวที่กระทบความเชื่อมั่น
Source - มติชนสุดสัปดาห์ (Th)

Friday, April 20, 2018  08:22
1812 XTHAI XGEN DAS V%PAPERL P%MTCW

          ศัลยา ประชาชาติ
          กลายเป็นข่าวลือลั่นไปทั่วโลก หลังจากโซเชียลมีเดียยักษ์ "เฟซบุ๊ก" ปล่อยให้ข้อมูลผู้ใช้งานกว่า 87 ล้านบัญชี ถูกนำข้อมูลไปใช้ประโยชน์ในทางการเมืองโดยไม่ได้รับอนุญาต นับเป็นเรื่องที่สร้างแรงกระเพื่อม และมีผลต่อความเชื่อมั่นของผู้ใช้งานที่มีต่อ "เฟซบุ๊ก" อย่างยิ่ง
          ร้อนถึง "มาร์ก ซักเคอร์เบิร์ก" ต้องออกมายอมรับในความผิดพลาดครั้งใหญ่ แม้ว่าข้อมูลผู้ใช้ 87 ล้านบัญชี อาจเทียบไม่ได้กับจำนวนผู้ใช้งานเฟซบุ๊กทั่วโลกกว่า 2 พันล้านบัญชี
          แต่เรื่องความเชื่อมั่นแบบนี้ ไม่เกี่ยวกับจำนวนว่าจะมากหรือน้อย
          ยังไม่ทันสิ้นเสียงครหาที่เกิดขึ้นกับเฟซบุ๊ก ในบ้านเราก็เพิ่งมีกรณีข้อมูลบัตรประชาชนของลูกค้า "ทรูมูฟเอช" รั่วเช่นกัน
          กรณีของทรูมูฟมีจุดเริ่มต้นจาก Niall Merrigan หัวหน้าฝ่ายพัฒนาซอฟต์แวร์และความปลอดภัยทางไซเบอร์ บริษัทแคปเจมิไน เผยแพร่บทความเกี่ยวกับข้อบกพร่องในการจัดเก็บข้อมูลส่วนบุคคลของ "ทรูมูฟเอช" ในบล๊อกส่วนตัว
          ระบุว่าพบสำเนาเอกสารสำคัญของผู้ใช้บริการทรูมูฟเอช ประมาณ 46,000 ไฟล์ อยู่ในพื้นที่จัดเก็บข้อมูลออนไลน์ (Amazon S3 bucket) ถูกตั้งค่าเป็น "สาธารณะ" ใครจะเข้าไปเปิดดูเอกสารนี้ก็ได้
          หลังจากเจ้าตัวตรวจพบรูรั่วข้อมูลดังกล่าวตั้งแต่ต้นเดือนมีนาคมที่ผ่านมา และพยายามติดต่อไปยังแผนกบริการลูกค้าของทรูมูฟเอช เมื่อวันที่ 8 มีนาคม เพื่อให้บริษัทดำเนินการเรื่องความปลอดภัยของข้อมูลส่วนตัวลูกค้า แต่คำตอบของ "ทรูมูฟเอช" คือ จะส่งต่อเรื่องดังกล่าวให้แผนกที่รับผิดชอบ
          จากนั้นเรื่องก็เงียบ!!! สุดท้าย Niall ตัดสินใจเผยแพร่เหตุการณ์ที่เกิดขึ้นในวันที่ 2 เมษายน ถึงได้รับอีเมลตอบกลับจากทรูในวันที่ 4 เมษายน ว่า กำลังเร่งดำเนินการในส่วนที่เกี่ยวข้อง แต่ก็ต้องรอถึงเวลา 19.00 น. ของวันที่ 12 เมษายน "ทรูมูฟเอช" ถึงได้ตั้งค่าเพื่อ "ปิดกั้น" การเข้าถึง
          หมายความว่าตั้งแต่วันที่ 8 มีนาคม จนถึงวันที่ 12 เมษายน ใครก็ตามที่รู้ว่าการจัดเก็บข้อมูลส่วนนี้มีช่องโหว่ สามารถเข้าถึงพื้นที่ดังกล่าว ซึ่งเต็มไปด้วยสำเนาเอกสารที่สำคัญของลูกค้าจำนวนมาก และอาจมีผู้ดาวน์โหลดข้อมูลไปใช้ในทางมิชอบ
          ข่าวนี้เรียกความสนใจในแวดวงคนไอทีอย่างกว้างขวาง ไม่แพ้สิ่งที่กำลังเกิดขึ้นกับเฟซบุ๊ก เพราะรู้ดีถึงผลกระทบที่ตามมา
          ร้อนถึงคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ต้องรีบออกมารับหน้าเสื่ออย่างรวดเร็ว
          "ฐากร ตัณฑสิทธิ์" เลขาธิการ กสทช. แถลงกับผู้สื่อข่าวว่า กรณีข้อมูลบัตรประชาชน 11,400 รายที่ลงทะเบียนใช้บริการโทรศัพท์เคลื่อนที่ "ทรูมูฟเอช" หลุดออกมาสู่สาธารณะนั้น กสทช. จะรวบรวมข้อเท็จจริงของเหตุการณ์ทั้งหมดเพื่อหามาตรการเยียวยาลูกค้าที่ได้รับผลกระทบ และพิจารณาบทลงโทษบริษัท โดยนำเข้าที่ประชุมบอร์ด กสทช. ในวันที่ 25 เมษายน 2561 นี้
          สำนักงาน กสทช. ยังมีหนังสือแจ้งเตือนไปยังผู้ให้บริการทุกรายเพื่อให้กำหนดมาตรการป้องกันไม่ให้เกิดเหตุซ้ำรอย
          "มาตรการที่ กสทช. ระบุให้ค่ายมือถือต้องดำเนินการกับข้อมูลที่ลงทะเบียนซิม อยู่ในระดับเข้มงวดมากอยู่แล้ว แต่ได้กำชับไปอีกครั้ง ส่วนลูกค้าที่ได้รับผลกระทบอยากให้แจ้งกลับมาที่ กสทช. ด้วยเพื่อหามาตรการเยียวยาต่อไป"
          ในอนาคต กสทช. มีแผนจะตั้งศูนย์ดาต้าเซ็นเตอร์เพื่อเก็บข้อมูลเอง เพื่อสร้างความเชื่อถือให้กับประชาชนยิ่งขึ้น แทนที่จะให้โอเปอเรเตอร์เป็นผู้จัดเก็บเหมือนในปัจจุบัน
          ด้าน "ภัคพงศ์ พัฒนมาศ" รองผู้อำนวยการธุรกิจโมบายล์ บมจ.ทรู คอร์ปอเรชั่น ชี้แจงว่า ข้อมูลที่หลุดมาสู่สาธารณะเป็นข้อมูลที่มาจากเว็บไซต์ "วีมอลล์" (ชื่อเดิมคือไอทรูมาร์ท) บริษัทในเครือทรู ซึ่งเก็บไว้ในระบบคลาวด์ของ "อเมซอน เว็บ เซอร์วิส" (Amazon web service) ซึ่งมีระบบรักษาความปลอดภัยป้องกัน แต่ปรากฏว่ามีนักวิจัยด้านความมั่นคงปลอดภัยได้ทำการเจาะเข้าระบบด้วยเทคโนโลยีใหม่ที่เพิ่งพัฒนาขึ้น
          อย่างไรก็ตาม ข้อมูลที่หลุดออกไปเป็นสำเนาบัตรประจำตัวประชาชนของลูกค้าจำนวน 11,400 ราย จากจำนวนลูกค้าที่มีทั้งหมด 1 ล้านราย ที่มีการลงทะเบียนผ่านทางออนไลน์ เพื่อซื้อเครื่องโทรศัพท์เคลื่อนที่และซิมการ์ดผ่านเว็บไซต์ "ไอทรูมาร์ท" ตั้งแต่เมื่อ 3 ปีก่อน
          ส่วน "สืบสกล สกลสัตยาทร" กรรมการผู้จัดการ บริษัท แอสเซนต์ คอมเมิร์ซ จำกัด ผู้ให้บริการอีคอมเมิร์ซวีมอลล์ ยืนยันว่าได้แก้ไขปัญหาทันทีหลังทราบเรื่องเมื่อวันที่ 11 เมษายน โดยได้ปิดช่องโหว่ทั้งหมดในวันรุ่งขึ้น
          "บริษัทได้ปิดช่องโหว่แล้ว แต่จะดำเนินคดีกับนาย Niall Merrigan หรือไม่ ต้องดูว่ามีผลกระทบอย่างไรกับบริษัทหรือลูกค้าบ้าง เพราะมีเจตนาเจาะเข้าระบบรักษาความปลอดภัยของทรู โดยใช้เครื่องมือพิเศษที่เรียกว่า Bucket stream ซึ่งไม่ใช่ข้อมูลปกติที่คนทั่วไปจะเข้าถึง"
          ทรูมูฟเอชยังได้ร่วมกับไอทรูมาร์ทส่ง sms และอีเมลแจ้งเตือนไปยังลูกค้ากลุ่มดังกล่าว และช่องทางการสื่อสารอื่นๆ เพื่อให้เกิดความเชื่อมั่น
          "ที่เราแจ้ง sms ให้ลูกค้าช้า เป็นเพราะกำลังประเมินว่าข้อมูลที่ถูกเจาะมีมากน้อย และมีผลกระทบแค่ไหน ซึ่งจากการตรวจสอบพบว่า ข้อมูลทั้ง 11,400 ราย ยังไม่มีการนำไปใช้ผิดประเภทแต่อย่างใด และยังไม่มีการร้องเรียนเข้ามา"
          แต่ที่เรียกเสียงฮือฮาอย่างนึกไม่ถึงกลายเป็น พล.อ.อนุพงษ์ เผ่าจินดา รมว.มหาดไทย ที่ออกมายืนยันว่า "สำเนา" บัตรประชาชนที่หลุดออกมาเป็นเพียงข้อมูลหน้าบัตร ไม่ใช่ข้อมูลเชิงลึก
          แน่นอนว่าท่วงท่าและคำชี้แจงของ กสทช. และทรู รวมถึง พล.อ.อนุพงษ์ ที่ออกมาอย่างเร่งด่วน ถูกตีความว่ามีขึ้นเพื่อลดความตื่นตระหนกของผู้ใช้บริการ
          เพราะรู้ดีว่าสารพัดธุรกรรมทางการเงินในปัจจุบัน ล้วนใช้ข้อมูลจากหน้าบัตรประชาชนทั้งสิ้น
          ที่สำคัญ ปัญหาข้อมูลส่วนตัวรั่วไหลหรือถูกนำไปใช้ประโยชน์กำลังเป็นเรื่องที่คนส่วนใหญ่จับจ้องว่า ผู้ที่เกี่ยวข้อง-มีส่วนรับผิดชอบไม่ว่าจะเป็นภาครัฐหรือเอกชนผู้ให้บริการ จะดำเนินการแก้ไข เยียวยา ป้องกันอย่างไรในช่วงนับจากนี้
          หากไม่สร้างความเชื่อถือ หรือสร้างความไว้วางใจในการใช้ข้อมูลผ่านระบบออนไลน์ สารพัดปัญหาจะตามมาอีกมากมายแน่นอน--จบ--

          --มติชนสุดสัปดาห์ ฉบับวันที่ 20 - 26 เม.ย. 2561--