คอลัมนิสต์

สำเนาบัตรรั่ว "ทรู" เลินเล่อหรือแอบขาย?

เกาะติดข่าวสาร >> คมชัดลึก ออนไลน์
logoline

สำเนาบัตรรั่ว "ทรู" เลินเล่อหรือแอบขาย? : คอลัมน์... เจาะประเด้นร้อน  โดย... ทีมข่าวรายงานพิเศษ

          สำเนาบัตรประชาชนลูกค้าทรูกระจายทั่วเน็ต หลังถูกฝรั่งเอามาแฉ ว่าไม่มีการป้องกันที่ดี แถมเตือนแล้วไม่แยแส..กลายเป็นคำถามว่า

          “รั่วได้อย่างไร?” และ “เจ้าของบัตรฟ้องร้องได้หรือไม่?”

          เหตุการณ์น่าอายครั้งนี้ เริ่มขึ้นเมื่อวันที่ 8 มีนาคม ที่ผ่านมา หลังจาก “ไนอัลล์ เมอร์ริแกน” นักวิจัยไอทีของไอร์แลนด์ส่งข้อความไปเตือนว่า “ทรูมูฟเอช” กำลังมีปัญหาเรื่องข้อมูลส่วนตัวของลูกค้ารั่วไหลออกมา เนื่องจากภาพถ่ายสำเนาบัตรประชาชน สำเนาพาสปอร์ต สำเนาใบขับขี่ ที่เก็บไว้บน “Amazon S3W” ซึ่งเป็นระบบฝากข้อมูลคลาวด์ (Cloud) ไม่มีการเข้ารหัสป้องกัน ทำให้ใครก็สามารถเข้าไปดาวน์โหลดเอามาใช้ได้ ข้อมูลนี้มีจำนวนประมาณ 4.6 หมื่นชุด

          แต่ “เจ้าหน้าที่ทรู” ที่รับทราบคำเตือนกลับไม่สนใจไยดี จนนายไนอัลล์ต้องพยายามเตือนซ้ำอีกหลายครั้ง ผ่านทางทวิตเตอร์ อีเมล เฟซบุ๊ก ว่า ข้อมูลนี้ไม่ได้เก่านะเพราะเป็นของลูกค้าตั้งแต่ปี 2014-2018 ถ้ายังไม่รีบปิดจะมีคนไม่หวังดีเข้าไปเอาไปใช้ประโยชน์ได้เรื่อยๆ กว่าทรูจะยอมสนใจคำเตือนก็ต่อเมื่อสื่อมวลชนของอังกฤษเริ่มเข้ามาเกี่ยวข้อง เวลาผ่านไปแล้วเป็นเดือน

          ผู้ทำข้อมูลรั่วคือ ไอทรูมาร์ท (iTrueMart) เว็บขายของออนไลน์ เป็นหนึ่งในบริษัทลูกของกลุ่ม “ทรู” อยู่ใต้เครือข่ายซีพี กรุ๊ป หรือบริษัทเครือเจริญโภคภัณฑ์

 

สำเนาบัตรรั่ว "ทรู" เลินเล่อหรือแอบขาย?

 

 



          วันที่ 12 เมษายน ที่ผ่านมา ตัวแทน “ไอทรูมาร์ท” ออกมาแถลงการณ์ว่า “รู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบ” พร้อมอ้างว่าเป็นการโดนโจรกรรมข้อมูล หรือโดนแฮ็กเกอร์เจาะระบบ และสำเนาบัตรลูกค้าเสียหายกว่า 1 หมื่นรายเท่านั้น ไม่ได้มากถึง 4 หมื่นราย

          หมายความว่า ใครก็ตามที่เคยไปซื้อโทรศัพท์มือถือ ได้แพ็กเกจแถมซิมฟรี แล้วไปลงทะเบียนซิมโทรศัพท์ผ่านทางไอทรูมาร์ท “itruemart” ช่วงปี 2014 จนถึงปัจจุบัน ข้อมูลในบัตรประชาชนหรือใบขับขี่ ที่มีบ้านเลขที่ อายุ หมายเลขประจำตัวของพวกคุณไม่ได้เป็นความลับอีกต่อไป เพราะอาจโดนผู้ไม่ประสงค์ดีดูดจากระบบคลาวด์ไปเก็บเอาไว้เรียบร้อยแล้ว

          “ข้อมูลลูกค้าเป็นหมื่นคนรั่วได้อย่างไร?” ผู้เชี่ยวชาญด้านความปลอดภัยทางคอมพิวเตอร์รายหนึ่งวิเคราะห์ให้ “คม ชัด ลึก” ฟังว่า จุดอ่อนของการรั่วไหลข้อมูลจำนวนมากขนาดนี้ เกิดขึ้นได้ 3 ประการ คือ 1.การจัดการระบบเก็บข้อมูลไม่ดีพอ เจ้าหน้าที่ขาดความรู้ความเข้าใจในเทคโนโลยีด้านนี้ ทำให้ไม่รู้ว่าต้องติดตั้งค่าความปลอดภัยอย่างไรบ้าง เพื่อป้องกันไม่ให้คนอื่นเข้ามาเห็นข้อมูลความลับของบริษัท 2.มีการจ้างทีมผู้เชี่ยวชาญด้านนี้ดูแลระบบโดยตรง แต่เกิดความประมาทหรือความบกพร่องบางอย่างทำให้เลินเล่อหรือลืมเปิดระบบป้องกันไว้

          และสุดท้ายข้อ 3.คือ การจงใจเปิดให้คนอื่นเข้าถึงข้อมูลส่วนบุคคลของลูกค้าเพื่อแลกกับผลประโยชน์บางอย่าง

          “เลขที่บัตรประชาชน รายละเอียดบ้านที่อยู่อาศัย ถือเป็นทรัพย์สินมีมูลค่ามากในปัจจุบัน เพราะเทคโนโลยีบิ๊กดาต้าอยากได้ข้อมูลเหล่านี้เอาไปใช้ประโยชน์ด้านการตลาด หรือเอาไปทำอย่างอื่นอะไรได้มากมาย แล้วยิ่งเป็นสำเนาของคนเป็นหมื่น แถมเปิดให้ดาวน์โหลดฟรีๆ ส่วนตัวแล้วไม่เชื่อว่าเกิดจากปัญหาไม่มีเจ้าหน้าที่ผู้เชี่ยวชาญด้านนี้ประจำอยู่ เพราะบริษัทที่เกี่ยวข้องกับเทคโนโลยีด้านการสื่อสารจะให้ความสำคัญในการจ้างงานตำแหน่งพวกนี้อย่างแน่นอน ส่วนประเด็นว่าเป็นความเลินเล่อหรือประมาทของคนบางคนที่ลืมปิดระบบ ก็ไม่น่าจะเป็นไปได้ เพราะระบบถูกเซตหรือติดตั้งให้มีการย้ำเตือนซ้ำหลายครั้ง เช่น ถ้าใครลืมปิดจะมีเสียงเตือนเป็นข้อความออกมาเต็มจอ เพื่อป้องกันไม่ให้คนอื่นเข้ามาเปิดเอาข้อมูลไปได้ เชื่อว่าไม่ได้เตือนครั้งเดียวแต่เตือนหลายครั้ง เพราะฉะนั้นโอกาสเลินเล่อในการกดปุ่มนี้ไม่น่าจะได้ เหมือนเวลาที่เราเผลอปิดคอมพิวเตอร์แล้วไม่ได้จัดเก็บหรือกดเซฟ (save) ข้อมูล เครื่องคอมพิวเตอร์ก็ส่งข้อความมาเตือนที่หน้าจอ มาถามว่าแน่ใจนะจะปิดแบบไม่เซฟข้อมูล"

 

สำเนาบัตรรั่ว "ทรู" เลินเล่อหรือแอบขาย?

 

          ผู้เชี่ยวชาญข้างต้น ตั้งข้อสังเกตว่า มีความเป็นไปได้ที่เจ้าหน้าที่บริษัทหรือคนที่รับผิดชอบเรื่องนี้ตั้งใจเปิดข้อมูลให้รั่วไหลออกไปเอง เหมือนคดีที่เกิดกับบริษัทที่ประกอบธุรกิจคล้ายๆ กัน โดนเจ้าหน้าที่เอาข้อมูลลูกค้าออกไปขายกลายเป็นข่าวใหญ่โตเมื่อหลายปีก่อน และสรุปทิ้งท้ายว่า

          “เจ้าหน้าที่ไม่ต้องทำอะไรมาก แค่ไม่กดคำสั่งว่าห้ามเผยแพร่ แล้วไปบอกคนที่ต้องการข้อมูลว่าเปิดไว้แล้วนะ จะมาเอาก็มาเอาไปเลย กรณีแบบนี้ไม่รู้ว่าเด็กทำกันเองหรือผู้ใหญ่บางคนรู้เห็นเป็นใจ และความผิดแบบนี้ก็พิสูจน์ได้ยากว่าตั้งใจหรือเลินเล่อ สรุปว่าคนที่ซวยคือลูกค้าหมื่นกว่าคนที่โดนเอาข้อมูลส่วนตัวในสำเนาบัตรไป”

          “ประวิทย์ ลี่สถาพรวงศา” กรรมการกสทช.ด้านคุ้มครองผู้บริโภค กล่าวถึงการเอาผิดกับบริษัทด้านโทรคมนาคมที่ได้รับสัมปทานแล้วทำให้ข้อมูลลูกค้ารั่วไหลได้รับความเสียหายว่ากฎหมายองค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม ระบุไว้ว่าการทำผิดแบบนี้มีโทษหนักถึงโดนเพิกถอนใบอนุญาต

          “แต่กฎหมายเขียนไว้ให้เริ่มจากขั้นตอนที่หนึ่งคือ ทาง กสทช.ส่งจดหมายเตือนก่อนว่ามีการทำผิดเกิดขึ้น และสั่งให้แก้ไขให้ถูกต้อง ถ้ามีการฝ่าฝืนไม่รีบแก้ไขถึงจะถือว่ามีความผิดถึงขั้นลงโทษ ตอนนี้กสทช.ส่งจดหมายเตือนไปที่บริษัททรูแล้ว และกำลังคอยดูว่ารีบแก้ไขอย่างไรบ้าง แต่ถ้าประชาชนไม่พอใจวิธีการแบบนี้ ก็ต้องช่วยกันไปแก้กฎหมาย เพื่อให้อำนาจ กสทช.ในการจัดการ หากมีปัญหาแบบนี้เกิดขึ้นมาอีกในอนาคต” ประวิทย์กล่าวอธิบาย

          เมื่อวันที่ 17 เมษายน 2561 สำนักงาน กสทช. เรียกบริษัททรูมูฟ เอช ชี้แจงข้อเท็จจริง โดยตัวแทนบริษัททรูกล่าวแสดงความรู้สึกเสียใจที่ข้อมูลลูกค้าถูกนำไปเปิดเผยในที่สาธารณะ ตอนนี้มิได้เพิกเฉยแต่กำลังร่วมแก้ปัญหากับผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ระดับโลก เพื่อตรวจสอบอย่างละเอียดว่าข้อมูลรั่วเกิดขึ้นได้อย่างไรและจะดำเนินการเพื่อป้องกันไม่ให้เกิดขึ้นอีก

          เมื่อหน่วยงานรัฐที่รับผิดชอบเรื่องนี้ไม่สามารถเอาผิดได้ “เจ้าของบัตรฟ้องร้องเองได้หรือไม่?”

          “สารี อ๋องสมหวัง” เลขาธิการมูลนิธิเพื่อผู้บริโภค ตอบคำถามนี้ว่า หากเหตุการณ์นี้เกิดขึ้นในต่างประเทศ โดยเฉพาะในกลุ่มประเทศยุโรป จะมีกฎหมายให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (General Data Protection Regulation) ใครทำข้อมูลลูกค้ารั่วจะโดนลงโทษปรับเงินหนักมาก บางประเทศกำหนดไว้เลยว่าโดนปรับร้อยละ 4 ของรายได้

          “กรณียุโรปลูกค้าไปฟ้องร้องเรียกค่าเสียหายได้ทันที ถ้ารู้ว่าบริษัทไหนประมาททำข้อมูลของเขารั่วสู่สาธารณะ แต่เมืองไทยยังไม่มีกฎหมายแบบนี้ ฟ้องร้องอะไรคงไม่ได้ อยากให้ผู้เสียหายทั้งหมื่นกว่าคน มาช่วยกันเรียกร้องให้เกิดกฎหมายแบบนี้ขึ้นในอนาคตบริษัทไหนก็ตามทำข้อมูลส่วนตัวของลูกค้ารั่วไหลต้องออกมารับผิดชอบ ไม่ใช่แค่กล่าวขอโทษและจบไป เพราะสำเนาบัตรประชาชนหรือเลขที่บัตรประชาชนและข้อมูลบ้านอาศัยของเรา อาจโดนเอาไปเปิดบัญชีหรือทำธุรกรรมบางอย่างที่ผิดกฎหมายก็ได้” เลขาธิการมูลนิธิเพื่อผู้บริโภคกล่าวแนะนำทิ้งท้าย

          จุดประสงค์หลักของ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค จะเน้นให้บริษัทหรือผู้ทำธุรกิจที่ได้รับข้อมูลจากลูกค้า หรือมีข้อมูลการซื้อขายของลูกค้า ต้องออกมาตรการและแนวปฏิบัติอย่างเข้มงวดคุ้มครองข้อมูลเหล่านี้ เช่น ต้องมีผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์ที่ได้รับการรับรองอยู่ประจำ และไม่สามารถเอาข้อมูลต่างๆ ของลูกค้าไปขายให้ผู้อื่น หรือนำไปเปิดเผยใช้ประโยชน์ใดๆ ทั้งสิ้น และไม่อนุญาตให้ใช้เทคนิคบางอย่างเพื่ออ้างว่าลูกค้ายินยอมให้เปิดเผยข้อมูลด้วย

          ปัญหาบริษัทเอกชนทำข้อมูลส่วนตัวผู้บริโภครั่วไหลกว่าหมื่นคนพร้อมๆ กัน เป็นกรณีตัวอย่างที่น่าสนใจ เพราะจะทดสอบได้ว่า “รัฐบาล คสช.” จะรู้เท่าทันเทคโนโลยีหรือกลไกตลาดสมัยใหม่มากน้อยแค่ไหน ที่สำคัญจะมีแนวทางแก้ไขอย่างไรให้ยั่งยืน เพราะครั้งนี้อาจไม่ใช่ครั้งแรก

          เพียงแต่เป็นข่าวแรกที่พลเมืองดีช่วยแฉออกมาเท่านั้น...

          “ชี้แจงจากไอทรูมาร์ท”
          14 เมษายน 2561 ; จากกรณีที่มีข่าวเรื่องข้อมูลลูกค้าที่ลงทะเบียนใหม่ถูกเปิดเผยในที่สาธารณะนั้น ไอทรูมาร์ทรู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น ซึ่งทันทีที่ทราบเรื่องดังกล่าว บริษัทฯ ก็มิได้นิ่งนอนใจ ได้ดำเนินการตรวจสอบอย่างละเอียดทันที
ซึ่งกรณีดังกล่าวเกิดขึ้นกับระบบของไอทรูมาร์ท ไม่ส่งผลกระทบกับระบบของทรูมูฟ เอช เป็นการ hack ข้อมูลลูกค้าที่ได้ซื้อมือถือพร้อมแพ็กเกจบริการทรูมูฟ เอช โดยมีการลงทะเบียนซิมผ่านช่องทาง iTrueMart

          โดยล่าสุดทีมงานไอทรูมาร์ท ได้ดำเนินการแก้ไขเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูลลูกค้าแล้ว พร้อมทั้งจะมีการส่งแจ้งเตือนไปยังลูกค้ากลุ่มดังกล่าว เพื่อให้ทราบถึงมาตรการของบริษัทที่จะดำเนินการเพื่อป้องกันความปลอดภัยของข้อมูลลูกค้า หากถูกนำไปใช้ในทางที่ไม่ถูกต้อง

          ทีมงานไอทรูมาร์ท ขอยืนยันว่า บริษัทให้ความสำคัญสูงสุด เรื่องการปกป้องและรักษาข้อมูลส่วนบุคคลของลูกค้ามาโดยตลอด และสำหรับกรณีที่เกิดขึ้นนี้ บริษัทฯ มิได้นิ่งนอนใจ โดยกำลังทำงานอย่างใกล้ชิดกับองค์กรผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ระดับโลก รวมถึงการดำเนินการทางกฎหมายเพื่อให้มั่นใจได้ว่า ข้อมูลของลูกค้าจะได้รับการดูแลปกป้อง ด้วยมาตรฐานสูงสุดทั้งในด้านเทคโนโลยีและทางกฎหมาย

 

สำเนาบัตรรั่ว "ทรู" เลินเล่อหรือแอบขาย?
 
 
 

logoline
แท็กที่เกี่ยวข้อง

ข่าวที่น่าสนใจ