ข้อมูลลูกค้ารั่วทรูมูฟ เอช พูดทรูหรือพูดเท็จ?

สื่อนอก The Register สื่อนอกชื่อดังด้านไอทีแฉ ทรูมูฟ เอช ปล่อยข้อมูลบัตรประชาชนของลูกค้ากว่า 46,000 คนรั่วไหล แถมเมินเฉยเป็นเดือนกว่าจะแก้ไขเสร็จเมื่อ 12 เมษายนที่ผ่านมา

The Register สื่อชื่อดังด้านไอทีของสหราชอาณาจักรรายงานว่า การรั่วไหลของข้อมูลบัตรประชาชนของลูกค้า ทรูมูฟ เอชถูกเจอโดยนายไนอัล เมอร์ริแกน (Mr.Niall Merrigan) นักวิจัยด้านความปลอดภัย ประเทศนอร์เวย์ ซึ่งนายเมอร์ริแกนได้เปิดเผยกับสื่อดังกล่าวว่า ทรูมูฟ เอช ตอบสนองต่อการแจ้งข่าวดังกล่าวของเขาช้ามาก ซึ่งจากบล็อกส่วนตัวของนายเมอร์ริแกน เขาระบุว่าได้แจ้งทาง ทรูมูฟ เอชผ่านทาง ทวิตเตอร์เมื่อวันที่ 8 มีนาคม 2561 ว่า “สำเนาบัตรประชาชนลูกค้าของคุณที่เก็บไว้ใน Amazon S3 Bucket นั้นเปิดทิ้งไว้ ใครๆก็สามารถเข้าถึง ข้อมูลดังกล่าวได้ซึ่งเป็นอันตรายอย่างยิ่งกับความปลอดภัยของข้อมูลลูกค้า” ทางทรูมูฟก็ได้ทวีตตอบกลับว่า “กรุณาส่งข้อมูลทั้งหมดไปที่อีเมลล์นี้ truemovecare@truecorp.co.th ขอบคุณ”

นายเมอร์ริแกนจึงได้ส่งรายละเอียดทั้งหมดรวมทั้งตัวอย่างสำเนาบัตรประชาชนไปยังอีเมลล์ดังกล่าว พร้อมขอ ติดต่อกับทีมที่ดูแลความปลอดภัยของข้อมูล แต่คำตอบกลับทำให้เขาถึงกับ “ช็อค” เพราะทางทรูมูฟ เอช ตอบว่า “บริษัทไม่มีแผนกนี้ขอให้เขาติดต่อสำนักงานใหญ่ที่เบอร์ +66-2-859-1111 วันจันทร์ถึงวันศุกร์ช่วง 08.00 น.ถึง 17.00 น.”

นายเมอร์ริแกนจึงได้ติดต่อนาย Scott Helme ผู้เชี่ยวชาญเทคนิคการค้นหา Buckets ใน Amazon Storage Service (Amazon S3) ว่ามีเหตุการณ์เช่นนี้เกิดขึ้นและบริษัทไม่สนใจจะแก้ไข เขาควรจะทำอย่างไร?  นาย Helme จึงติดต่อนายจอห์น เลย์ดอน ซึ่งทำงานที่ The Register ให้ นายจอห์นจึงได้ช่วยกดดันให้ทรูมูฟ เอช รีบแก้ไข จุดบกพร่องดังกล่าว

นายเมอร์ริแกนเขียนต่อในบล็อกส่วนตัวเขาอีกว่า แต่เขาและจอห์นต่างก็ไม่ได้ยินอะไรจากทางทรูมูฟ เอช อีกเลยเป็นเวลา 2 ถึง 3 สัปดาห์ นายเมอร์ริแกนจึงตัดสินใจจะกดดันทรูมูฟ เอช อีกเป็นครั้งสุดท้ายด้วยการส่ง อีเมลล์ไปยังทรูมูฟ เอชเมื่อวันที่ 2 เมษายน บอกว่าถ้าบริษัทยังไม่ทำอะไรเขาจะเผยแพร่ข้อมูลดังกล่าว ซึ่งทาง ทรูมูฟ เอชได้ตอบอีเมลล์ไปยังเขาและนายจอห์นในวันที่ 4 เมษายน เป็นข้อความเดียวกันว่า “ขอบคุณสำหรับ ข้อมูล และขอแจ้งให้ทราบว่าบริษัทรับรู้เรื่องดังกล่าวแล้ว หากบริษัทมีคำถามหรือต้องการข้อมูลเพิ่มเติม บริษัทจะติดต่อมาภายหลัง”

นายเมอร์ริแกน จึงได้ตรวจสอบความปลอดภัยของข้อมูลทรูมูฟ เอชอีกครั้งเมื่อวันที่ 12 เมษายน เวลา 10.00 น. (ยุโรป) และพบว่าข้อมูลยังเปิดท้องเอาไว้เช่นเดิม จนกระทั่งเวลา 19.00 น. (ยุโรป) ข้อมูลจึงถูกตั้งค่าให้เป็น Private ที่คนนอกไม่สามารถเข้าถึงได้

สำนักข่าวสับปะรด เห็นว่าเรื่องนี้นับเป็นเรื่องสำคัญอย่างยิ่งเพราะเกี่ยวข้องกับความปลอดภัยของข้อมูล ในบัตรประชาชนกว่า 46,000 คน สมควรที่ กสทช. ควรจะเร่งตรวจสอบข้อเท็จจริงที่เกิดขึ้นทั้งหมดว่า เหตุการณ์ที่นายเมอร์ริแกนเขียนไว้ในบล็อกส่วนตัวของเขาและรายงานของ The Register เมื่อวันที่ 13 เมษายนที่ผ่านมาเป็นความจริงหรือการแถลงข่าวของผู้บริหารไอทรู มาร์ท บริษัทลูกของทรูมูฟ เอช เป็นความจริงกันแน่?

เพราะถ้านายเมอร์ริแกนและ The Register รายงานเท็จก็สมควรที่ กสทช.ควรจะช่วยทรูมูฟ เอช ฟ้องเรียกร้อง ค่าเสียหายที่ทำให้บริษัทเสื่อมเสียชื่อเสียง ในทางตรงกันข้ามหากนายเมอร์ริแกนและ The Register รายงาน ความจริง กสทช.ก็สมควรที่จะลงโทษทรูมูฟ เอช สถานหนักเพราะผิดพลาดที่ปล่อยให้ข้อมูลบัตรประชาชน ลูกค้ารั่วไหลและแถลงข่าวอันเป็นเท็จ

ที่มา https://www.theregister.co.uk/2018/04/13/thai_mobile_operator_data_breach/

ที่มา https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html?m=1#axzz5CXkf6GxS

True แถลงกรณีข้อมูลหลุด เป็นข้อมูลการลงทะเบียนซิมผ่าน iTruemart โดนแฮ็ก

ที่มา https://www.blognone.com/node/101502


COMMENTS

{{ errors.name }}

{{ errors.value }}

{{c.name}} {{moment(c.created_at,"YYYY-MM-DD HH:mm:ss").toNow()}}
{{c.value}}

RELATED TOPICS

Please wait a moment