คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 155
อัพเดท 2 หลังจากผ่านไป 15 ชั่วโมงหลังจากที่มีการเผยแพร่ปัญหานี้
ทาง iTrueMart (ปัจจุบันเปลี่ยนชื่อเป็น WeMall) ออกมาบอกว่าเป็นการ Hack ระบบของ iTrueMart
โดยผู้ที่ได้รับผลกระทบเฉพาะกลุ่มลูกค้าที่ซื้อเครื่องพร้อมเปิดเบอร์ใหม่กับทาง iTrueMart เท่านั้น ผู้ใช้ส่วนอื่นไม่ได้รับผลกระทบ
ที่มา https://www.blognone.com/node/101502
*** ข้อสังเกต ***
หากเป็นการ Hack ข้อมูลโดยบุคคลอื่น แล้วเหตุใดเมื่อมีการแจ้งเข้ามา จึงสามารถเปลี่ยนการตั้งค่าเป็น Private ได้
หาก iTrueMart ไม่มีส่วนรู้เห็น แล้วสามารถเปลี่ยนการตั้งค่าของบัญชี Amazon S3 ของผู้อื่น ได้อย่างไร
ทาง iTrueMart (ปัจจุบันเปลี่ยนชื่อเป็น WeMall) ออกมาบอกว่าเป็นการ Hack ระบบของ iTrueMart
โดยผู้ที่ได้รับผลกระทบเฉพาะกลุ่มลูกค้าที่ซื้อเครื่องพร้อมเปิดเบอร์ใหม่กับทาง iTrueMart เท่านั้น ผู้ใช้ส่วนอื่นไม่ได้รับผลกระทบ
ที่มา https://www.blognone.com/node/101502*** ข้อสังเกต ***
หากเป็นการ Hack ข้อมูลโดยบุคคลอื่น แล้วเหตุใดเมื่อมีการแจ้งเข้ามา จึงสามารถเปลี่ยนการตั้งค่าเป็น Private ได้
หาก iTrueMart ไม่มีส่วนรู้เห็น แล้วสามารถเปลี่ยนการตั้งค่าของบัญชี Amazon S3 ของผู้อื่น ได้อย่างไร
หวาก ทึ่ง, ยังไงก็ไม่ผ่าน ทึ่ง, ROMA II ถูกใจ, ลูกสาวเจ้าแม่ค่ะ ถูกใจ, Nonthanat ถูกใจ, สมาชิกหมายเลข 3511780 ถูกใจ, สมาชิกหมายเลข 2851153 ถูกใจ, โทรศัพท์ไม่มีสัญญาณ ถูกใจ, หัวหมอ ถูกใจ, สมาชิกหมายเลข 3213356 ถูกใจ
สุดยอดความคิดเห็น
ความคิดเห็นที่ 9
ปัญหานี้เป็นปัญหาที่ใหญ่มากนะครับ
พวก apple หรือ google ยอมจ่ายเป็นร้อยล้านเป็นรางวัลสำหรับคนหาบัคเจอ เพื่อทีมงานจะได้อุดช่องโหว่ของระบบ
ในขณะที่ True มีคนเจอช่องโหว่ แจ้งข้อผิดพลาดมาให้ฟรีๆ แล้ว แต่กลับไม่ยอมแก้ (ทั้งๆ ที่ มันควรจะได้รับการแก้ไขเสร็จตั้งแต่วันแรกที่ได้รับแจ้งทางเฟสบุ้คแล้ว)
น่าผิดหวังมากจริงๆ
พวก apple หรือ google ยอมจ่ายเป็นร้อยล้านเป็นรางวัลสำหรับคนหาบัคเจอ เพื่อทีมงานจะได้อุดช่องโหว่ของระบบ
ในขณะที่ True มีคนเจอช่องโหว่ แจ้งข้อผิดพลาดมาให้ฟรีๆ แล้ว แต่กลับไม่ยอมแก้ (ทั้งๆ ที่ มันควรจะได้รับการแก้ไขเสร็จตั้งแต่วันแรกที่ได้รับแจ้งทางเฟสบุ้คแล้ว)
น่าผิดหวังมากจริงๆ
สมาชิกหมายเลข 3152598 ถูกใจ, สมาชิกหมายเลข 3716109 ถูกใจ, puylogin ถูกใจ, ดาวส่องฟ้า ถูกใจ, redmagic ถูกใจ, หวาก ถูกใจ, มังกรจอมใจ ถูกใจ, อันตรายที่สุดคือการคาดหวัง ถูกใจ, E-Boat ถูกใจ, liberlo48 ถูกใจรวมถึงอีก 109 คน ร่วมแสดงความรู้สึก
ความคิดเห็นที่ 17
น่าจะโดน พรบ กิจการโทรคมนาคม กับ พรบ ธุรกรรมทางอิเล็กทรอนิกส์
ดาวส่องฟ้า ถูกใจ, หวาก ถูกใจ, สมาชิกหมายเลข 1853871 ถูกใจ, อันตรายที่สุดคือการคาดหวัง ถูกใจ, onsecondthoughts ถูกใจ, thebeegees ถูกใจ, Pannaton สยอง, Je Viens De La Lune ถูกใจ, แมวอ้วนตัวแน่น ถูกใจ, สมาชิกหมายเลข 2593544 ถูกใจรวมถึงอีก 49 คน ร่วมแสดงความรู้สึก
ความคิดเห็นที่ 117
S3 น่ะใครอัพก็ได้ถ้ามี access ถึง แต่จะอัพไปทำไม เพราะเครือ CP มีนโยบายเรื่องห้ามการอัพข้อมูลเข้า Third party นะ (เรื่องบังคับใช้จริงไม่ทราบนะเออ) ที่สงสัยคืออัพเพราะส่งข้อมูลออกไปขายหรือเปล่า
onsecondthoughts ถูกใจ, Pannaton สยอง, ลูกสาวเจ้าแม่ค่ะ ถูกใจ, Nonthanat ถูกใจ, Prometius ถูกใจ, สมาชิกหมายเลข 3730540 ถูกใจ, เข้ามากดปุ่ม ถูกใจ, สมาชิกหมายเลข 1030346 ทึ่ง, Kuruko ถูกใจ, chabby ถูกใจรวมถึงอีก 17 คน ร่วมแสดงความรู้สึก
ความคิดเห็นที่ 10
มาดูว่ากระทู้จะหายไหม 555
ผู้ชายคนนี้ไม่ใช่ผู้วิเศษ ถูกใจ, สมาชิกหมายเลข 3762381 ถูกใจ, ลูกสาวเจ้าแม่ค่ะ ถูกใจ, ตอนนี้คุณคิดอะไรอยู่? ถูกใจ, สมาชิกหมายเลข 2299222 ถูกใจ, Nonthanat ถูกใจ, เข้ามากดปุ่ม ถูกใจ, กลั่นอารมณ์ผสมอักษรา ขำกลิ้ง, Be an Astronaut ถูกใจ, YOLEEza ขำกลิ้งรวมถึงอีก 30 คน ร่วมแสดงความรู้สึก
ความคิดเห็นที่ 4
หวาก สยอง, ลูกสาวเจ้าแม่ค่ะ ถูกใจ, หัวหมอ ขำกลิ้ง, Nonthanat ถูกใจ, กะเพราไม่ใส่ผัก สยอง, varada ทึ่ง, Rirakkuma สยอง, เข้ามากดปุ่ม ถูกใจ, เหี่ยวไปพร้อมจองซู ทึ่ง, ชาชูราเมน ขำกลิ้งรวมถึงอีก 27 คน ร่วมแสดงความรู้สึก
แสดงความคิดเห็น
ด่วน! เรื่องใหญ่ และอันตรายมาก True จะรับผิดชอบอย่างไร เมื่อข้อมูลบัตรประชาชน หลุดไปสู่สาธารณะจำนวน 4 หมื่น กว่ารูป
https://www.theregister.co.uk/2018/04/13/thai_mobile_operator_data_breach/
https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html#axzz5CXkf6GxS
https://www.blognone.com/node/101492
***ิอัพเดทครั้งที่ 1 14/04/2018 ได้รับการติดต่อจากฝู้ที่เป็นเจ้าของภาพสำเนาบัตรประชาชนในข่าวแล้ว ซึ่งยินยันได้แล้วว่าภาพข่าวนี้เป็นจริง
และหลังจากคั้งกระทู้นี้และคุณฉลาดมาโพสว่ารับเรื่องไปตรวจสอบอย่างเร่งด่วนแล้ว 12 ชั่วโมง
ยังไม่มีการตอบกลับ หรือแสดงออกใด ๆ ในทุกช่องทางติดต่อ หรือในสื่ออื่นใด***
***อัพเดทครั้งที่ 3 ความคืบหน้า ตอนนี้แน่ชัดแล้วว่าผมและคนในครอบครัวเป็นผู้ที่ได้รับผลกระทบจากเหตุการณ์นี้ชัดแจ้งแล้ว
จากการได้รับ SMS จากทาง iTrueMart ซึ่งตอนนี้ทุกคนตกลงพร้อมใจกันย้ายออกกันทั้งบ้านในทันทีที่ผมเดินทางกลับ
ส่วนความคืบหน้าเรื่องที่ไป แถ ลง กับ กับ กสทช. ขอเวลาเรียบเรียงอีกนิด จะแฉให้หมดเปลือก
คือถ้ารับแบบแมน ๆ ว่าคนดูแลโง่และทำพลาดเอง ยังพอให้อภัยได้ แต่ที่แถ อุปโลกว่ามี Hacker นี่มันยอมรับไม่ได้จริง ๆ
ไหนจะแถ ลง ว่าได้แต่ข้อมูลบัตรไม่ได้เบอร์ แต่ในเอกสารที่ผมเซนต์มันระบุเบอร์โทรอยู่ด้วย แล้วจะไม่ได้เบอร์โทรไปได้ยังไง
ยิ่งแถ ลง ยิ่งอ้าง Hacker ยิ่งแสดงให้เห็นว่าไม่สำนึก ไร้ความรับผิดชอบ และหน้าด้านสุด ๆ จริง ๆ
***อัพเดทครั้งที่ 4 ตั้งกระทู้ใหม่เจาะทีละประเด็น เห็นกันจะ ๆ เชิญไปที่กระทู้นี้เลยครับ
https://pantip.com/topic/37576709/
สรุปความเบื้องต้น
คือ Amazon S3 เป็นบริการให้เช่าพื้นที่สำหรับเก็บบันทึกข้อมูลต่าง ๆ เช่นภาพ หรือ VDO ซึ่งให้บริการโดย Amazon
(คล้าย ๆ Google Drive หรือ OneDrive แต่เน้นไปที่กลุ่มองค์กร หรือทางธุรกิจมากกว่า)
โดยผู้ที่เช่าใช้ สามารถเปิดแชร์ให้องค์กรตนเอง หรือสาธารณะ เข้าถึงข้อมูลนี้ได้
ทีนี้มีคุณ Niall Merrigan เป็นนักวิจัยด้านความปลอดภัย เขาได้ตรวจสอบช่องโหว่ในระบบต่าง ๆ
ซึ่งคุณ Niall Merrigan บังเอิญไปตรวจพบว่า True ได้เผลอเปิดให้เข้าถึงข้อมูลที่เป็นภาพถ่าย สำเนาบัตรประชาชนของผู้ใช้งานเครือข่าย True ที่เก็บไว้บน S3 ได้โดยไม่มีการเข้ารหัส หรือ การป้องกันใด ๆ ทำให้ใครก็ได้สามารถเข้าถึงข้อมูลเหล่านี้
ซึ่งมีถึง 4 หมื่น 6 พัน กว่าภาพ คิดเป็นพื้นที่ความจุกว่า 32 GB
ทีนี้เมื่อคุณ Niall Merrigan เจอ เขาจึงได้พยายามแจ้งเตือนไปยังทรู โดยครั้งแรกแจ้งผ่าน Twitter และ Facebook
ตั้งแต่วันที่ 8 มีนาคม แต่ทางทรูก็ตอบมาโดยโยนให้ไปแจ้งทาง email truemovecare@truecorp.co.th แทน
และหลังจากแจ้งไปทางเมลล์ที่จนทใน FB แจ้งมา ในวันที่ 10 มีนาคม
คุณ Niall Merrigan ถึงกับต้องตกใจ เพราะทาง truemovecare@truecorp.co.th ตอบมาว่า ไม่มีแผนกด้ารความปลอดภัย
ให้เขาโทรแจ้งไปที่สำนักงานใหญ่แทน ในวันและเวลาทำการด้วยนะ ซึ่งคุณ Niall Merrigan ไม่ได้โทรไป
(ใครจะบ้าโทรทางไกลข้ามประเทศในสิ่งที่ไม่ใช่ธุระของตนขนาดนั้น
แค่ที่เขาพยายามแจ้งในช่องทางอื่น ๆ ก็ถือว่ากรุณามากแล้ว)
จากนั้นเขาก็ได้ลองแจ้งให้ John Leyden เพื่อนที่เป็นนักข่าว The Register ได้ลองติดต่อดูอีกทางหนึ่ง
เพราะเป็นเรื่องใหญที่ต้องรีบแก้ไขโดยเร่งด่วน
แต่ก็ไม่ได้รับการตอบรับใด ๆ ตลอด 2 สัปดาห์ เขาจึงได้ ตัดสินใจว่าจะประกาศออกสื่อ
โดยได้แจ้งทางทรูไปในวันที่ 2 เมษายน
และทางทรูได้ตอบกลับทั้ง 2 คน ทางเมลล์ ในวันที่ 4 เมษายน ว่า กำลังแก้ไข
ล่าสุด วันที่ 14 เมษายน เขาได้ลองตรวจสอบแล้ว พบว่าทรูได้แก้ไขช่องโหว่(ที่ใหญ่ยักษ์มาก ๆ) นี่ไปแล้ว
ดังนั้น อยากจะถามทางทรูว่า
1. Truemove H จะรับผิดชอบต่อความผิดพลาดครั้งนี้อย่างไร
2. หากมีมิจฉาชีพได้ข้อมูลนี้ไป เพราะไม่รู้ว่าเปิดไว้นานแค่ไหน แต่ที่แน่ ๆ คือนับจากที่แจ้งปัญหาไป กว่าจะปิดได้ ใช้เวลาเกือบ 1 เดือน
ทางทรูจะรับผิดชอบต่อผู้ใช้ที่ไว้วางใจมอบหลักฐานสำคัญกับทางคุณไป อย่างไรบ้าง
3. ทางทรูมีหน่วยงาน หรือแผนกที่ดูแลรับผิดชอบเรื่องเหล่านี้โดยตรงหรือไม่
4. จากข้อ 3 ถ้ามี จะสามารถติดต่ออย่างมีประสิทธิภาพได้อย่างไร โดยไม่ต้องรอโทรเข้าสำนักงานใหญ่ในวันและเวลาทำการ
5. จะมีการลงโทษผู้ที่เกี่ยวข้องหรือไม่ ทั้งฝ่ายดูแลระบบ และฝ่ายติดต่อรับเรื่องร้องเรียนที่ทำงานล่าช้า และโยนกันไปมา
ที่สำคัญ สิ้นคิดขนาดให้คนที่เขาอุตส่าห์ช่วยแจ้งปัญหาต้องเสียเงินเสียเวลาโทรทางไกลข้ามประเทศเอาเองแบบนี้
เรื่องนี้สำคัญมาก ๆ ต่อลูกค้า Trumove H ทุกคน ดังนั้นโปรดโหวต และช่วยกันทวงถามความรับผิดชอบจากทางทรู
เพราะนี่ไม่ใช่ปัญหาแค่ตัวบุคคล แต่เป็นปัญหาที่ส่งผลกระทบในวงกว้างมากยิ่งกว่า กรณี ถุงกล้วยแขก ที่เคยหลุดออกไป
ปล. ตอบให้สำหรับ Bot จะได้ไม่ต้องไปคิดคำใหม่ ก๊อปแล้ววางได้เลยไม่ต้องเสียเวลา
สวัสดีครับท่านสมาชิก เหนื่อยนักก็พักก่อน ผมขอรับเรื่องตรวจสอบข้อมูลให้ก่อนนะครับ
*** อัพเดท 2 หลังจากผ่านไป 15 ชั่วโมงหลังจากที่มีการเผยแพร่ปัญหานี้
ทาง iTrueMart (ปัจจุบันเปลี่ยนชื่อเป็น WeMall) ออกมาบอกว่าเป็นการ Hack ระบบของ iTrueMart
โดยผู้ที่ได้รับผลกระทบเฉพาะกลุ่มลูกค้าที่ซื้อเครื่องพร้อมเปิดเบอร์ใหม่กับทาง iTrueMart เท่านั้น ผู้ใช้ส่วนอื่นไม่ได้รับผลกระทบ
*** ข้อสังเกต ***
หากเป็นการ Hack ข้อมูลโดยบุคคลอื่น แล้วเหตุใดเมื่อมีการแจ้งเข้ามา จึงสามารถเปลี่ยนการตั้งค่าเป็น Private ได้
หาก iTrueMart ไม่มีส่วนรู้เห็น แล้วสามารถเปลี่ยนการตั้งค่าของบัญชี Amazon S3 ของผู้อื่น ได้อย่างไร