ด่วน! เรื่องใหญ่ และอันตรายมาก True จะรับผิดชอบอย่างไร เมื่อข้อมูลบัตรประชาชน หลุดไปสู่สาธารณะจำนวน 4 หมื่น กว่ารูป

ข้อมูลอ้างอิง
https://www.theregister.co.uk/2018/04/13/thai_mobile_operator_data_breach/
https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html#axzz5CXkf6GxS
https://www.blognone.com/node/101492


***ิอัพเดทครั้งที่ 1 14/04/2018 ได้รับการติดต่อจากฝู้ที่เป็นเจ้าของภาพสำเนาบัตรประชาชนในข่าวแล้ว ซึ่งยินยันได้แล้วว่าภาพข่าวนี้เป็นจริง
และหลังจากคั้งกระทู้นี้และคุณฉลาดมาโพสว่ารับเรื่องไปตรวจสอบอย่างเร่งด่วนแล้ว 12 ชั่วโมง
ยังไม่มีการตอบกลับ หรือแสดงออกใด ๆ ในทุกช่องทางติดต่อ หรือในสื่ออื่นใด***


***อัพเดทครั้งที่ 3 ความคืบหน้า ตอนนี้แน่ชัดแล้วว่าผมและคนในครอบครัวเป็นผู้ที่ได้รับผลกระทบจากเหตุการณ์นี้ชัดแจ้งแล้ว
จากการได้รับ SMS จากทาง iTrueMart ซึ่งตอนนี้ทุกคนตกลงพร้อมใจกันย้ายออกกันทั้งบ้านในทันทีที่ผมเดินทางกลับ

ส่วนความคืบหน้าเรื่องที่ไป แถ ลง กับ กับ กสทช. ขอเวลาเรียบเรียงอีกนิด จะแฉให้หมดเปลือก

คือถ้ารับแบบแมน ๆ ว่าคนดูแลโง่และทำพลาดเอง ยังพอให้อภัยได้ แต่ที่แถ อุปโลกว่ามี Hacker นี่มันยอมรับไม่ได้จริง ๆ
ไหนจะแถ ลง ว่าได้แต่ข้อมูลบัตรไม่ได้เบอร์ แต่ในเอกสารที่ผมเซนต์มันระบุเบอร์โทรอยู่ด้วย แล้วจะไม่ได้เบอร์โทรไปได้ยังไง

ยิ่งแถ ลง ยิ่งอ้าง Hacker ยิ่งแสดงให้เห็นว่าไม่สำนึก ไร้ความรับผิดชอบ และหน้าด้านสุด ๆ จริง ๆ


***อัพเดทครั้งที่ 4 ตั้งกระทู้ใหม่เจาะทีละประเด็น เห็นกันจะ ๆ เชิญไปที่กระทู้นี้เลยครับ
https://pantip.com/topic/37576709/





สรุปความเบื้องต้น

คือ Amazon S3 เป็นบริการให้เช่าพื้นที่สำหรับเก็บบันทึกข้อมูลต่าง ๆ เช่นภาพ หรือ VDO ซึ่งให้บริการโดย Amazon
(คล้าย ๆ Google Drive หรือ OneDrive แต่เน้นไปที่กลุ่มองค์กร หรือทางธุรกิจมากกว่า)
โดยผู้ที่เช่าใช้ สามารถเปิดแชร์ให้องค์กรตนเอง หรือสาธารณะ เข้าถึงข้อมูลนี้ได้


ทีนี้มีคุณ Niall Merrigan เป็นนักวิจัยด้านความปลอดภัย เขาได้ตรวจสอบช่องโหว่ในระบบต่าง ๆ
ซึ่งคุณ Niall Merrigan บังเอิญไปตรวจพบว่า True ได้เผลอเปิดให้เข้าถึงข้อมูลที่เป็นภาพถ่าย สำเนาบัตรประชาชนของผู้ใช้งานเครือข่าย True ที่เก็บไว้บน S3 ได้โดยไม่มีการเข้ารหัส หรือ การป้องกันใด ๆ ทำให้ใครก็ได้สามารถเข้าถึงข้อมูลเหล่านี้
ซึ่งมีถึง 4 หมื่น 6 พัน กว่าภาพ คิดเป็นพื้นที่ความจุกว่า 32 GB





ทีนี้เมื่อคุณ Niall Merrigan เจอ เขาจึงได้พยายามแจ้งเตือนไปยังทรู โดยครั้งแรกแจ้งผ่าน Twitter และ Facebook
ตั้งแต่วันที่ 8 มีนาคม แต่ทางทรูก็ตอบมาโดยโยนให้ไปแจ้งทาง email truemovecare@truecorp.co.th แทน



และหลังจากแจ้งไปทางเมลล์ที่จนทใน FB แจ้งมา ในวันที่ 10 มีนาคม
คุณ  Niall Merrigan ถึงกับต้องตกใจ เพราะทาง  truemovecare@truecorp.co.th ตอบมาว่า ไม่มีแผนกด้ารความปลอดภัย
ให้เขาโทรแจ้งไปที่สำนักงานใหญ่แทน ในวันและเวลาทำการด้วยนะ ซึ่งคุณ Niall Merrigan ไม่ได้โทรไป
(ใครจะบ้าโทรทางไกลข้ามประเทศในสิ่งที่ไม่ใช่ธุระของตนขนาดนั้น
แค่ที่เขาพยายามแจ้งในช่องทางอื่น ๆ ก็ถือว่ากรุณามากแล้ว)




จากนั้นเขาก็ได้ลองแจ้งให้ John Leyden เพื่อนที่เป็นนักข่าว The Register ได้ลองติดต่อดูอีกทางหนึ่ง
เพราะเป็นเรื่องใหญที่ต้องรีบแก้ไขโดยเร่งด่วน
แต่ก็ไม่ได้รับการตอบรับใด ๆ ตลอด 2 สัปดาห์ เขาจึงได้ ตัดสินใจว่าจะประกาศออกสื่อ
โดยได้แจ้งทางทรูไปในวันที่ 2 เมษายน


และทางทรูได้ตอบกลับทั้ง 2 คน ทางเมลล์ ในวันที่ 4 เมษายน ว่า กำลังแก้ไข





****************************************

ล่าสุด วันที่ 14 เมษายน เขาได้ลองตรวจสอบแล้ว พบว่าทรูได้แก้ไขช่องโหว่(ที่ใหญ่ยักษ์มาก ๆ) นี่ไปแล้ว

****************************************


ดังนั้น อยากจะถามทางทรูว่า

1. Truemove H จะรับผิดชอบต่อความผิดพลาดครั้งนี้อย่างไร
2. หากมีมิจฉาชีพได้ข้อมูลนี้ไป เพราะไม่รู้ว่าเปิดไว้นานแค่ไหน แต่ที่แน่ ๆ คือนับจากที่แจ้งปัญหาไป กว่าจะปิดได้ ใช้เวลาเกือบ 1 เดือน
ทางทรูจะรับผิดชอบต่อผู้ใช้ที่ไว้วางใจมอบหลักฐานสำคัญกับทางคุณไป อย่างไรบ้าง
3. ทางทรูมีหน่วยงาน หรือแผนกที่ดูแลรับผิดชอบเรื่องเหล่านี้โดยตรงหรือไม่
4. จากข้อ 3 ถ้ามี จะสามารถติดต่ออย่างมีประสิทธิภาพได้อย่างไร โดยไม่ต้องรอโทรเข้าสำนักงานใหญ่ในวันและเวลาทำการ
5. จะมีการลงโทษผู้ที่เกี่ยวข้องหรือไม่ ทั้งฝ่ายดูแลระบบ และฝ่ายติดต่อรับเรื่องร้องเรียนที่ทำงานล่าช้า และโยนกันไปมา
ที่สำคัญ สิ้นคิดขนาดให้คนที่เขาอุตส่าห์ช่วยแจ้งปัญหาต้องเสียเงินเสียเวลาโทรทางไกลข้ามประเทศเอาเองแบบนี้


เรื่องนี้สำคัญมาก ๆ ต่อลูกค้า Trumove H ทุกคน ดังนั้นโปรดโหวต และช่วยกันทวงถามความรับผิดชอบจากทางทรู
เพราะนี่ไม่ใช่ปัญหาแค่ตัวบุคคล แต่เป็นปัญหาที่ส่งผลกระทบในวงกว้างมากยิ่งกว่า กรณี ถุงกล้วยแขก ที่เคยหลุดออกไป



ปล. ตอบให้สำหรับ Bot จะได้ไม่ต้องไปคิดคำใหม่ ก๊อปแล้ววางได้เลยไม่ต้องเสียเวลา

สวัสดีครับท่านสมาชิก เหนื่อยนักก็พักก่อน  ผมขอรับเรื่องตรวจสอบข้อมูลให้ก่อนนะครับ



*** อัพเดท 2 หลังจากผ่านไป 15 ชั่วโมงหลังจากที่มีการเผยแพร่ปัญหานี้

ทาง iTrueMart (ปัจจุบันเปลี่ยนชื่อเป็น WeMall) ออกมาบอกว่าเป็นการ Hack ระบบของ iTrueMart
โดยผู้ที่ได้รับผลกระทบเฉพาะกลุ่มลูกค้าที่ซื้อเครื่องพร้อมเปิดเบอร์ใหม่กับทาง iTrueMart เท่านั้น ผู้ใช้ส่วนอื่นไม่ได้รับผลกระทบ

ที่มา https://www.blognone.com/node/101502

*** ข้อสังเกต ***
หากเป็นการ Hack ข้อมูลโดยบุคคลอื่น แล้วเหตุใดเมื่อมีการแจ้งเข้ามา จึงสามารถเปลี่ยนการตั้งค่าเป็น Private ได้
หาก iTrueMart ไม่มีส่วนรู้เห็น แล้วสามารถเปลี่ยนการตั้งค่าของบัญชี Amazon S3 ของผู้อื่น ได้อย่างไร
แก้ไขข้อความเมื่อ

คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 155
อัพเดท 2 หลังจากผ่านไป 15 ชั่วโมงหลังจากที่มีการเผยแพร่ปัญหานี้

ทาง iTrueMart (ปัจจุบันเปลี่ยนชื่อเป็น WeMall) ออกมาบอกว่าเป็นการ Hack ระบบของ iTrueMart
โดยผู้ที่ได้รับผลกระทบเฉพาะกลุ่มลูกค้าที่ซื้อเครื่องพร้อมเปิดเบอร์ใหม่กับทาง iTrueMart เท่านั้น ผู้ใช้ส่วนอื่นไม่ได้รับผลกระทบ

ที่มา https://www.blognone.com/node/101502

*** ข้อสังเกต ***
หากเป็นการ Hack ข้อมูลโดยบุคคลอื่น แล้วเหตุใดเมื่อมีการแจ้งเข้ามา จึงสามารถเปลี่ยนการตั้งค่าเป็น Private ได้
หาก iTrueMart ไม่มีส่วนรู้เห็น แล้วสามารถเปลี่ยนการตั้งค่าของบัญชี Amazon S3 ของผู้อื่น ได้อย่างไร
สุดยอดความคิดเห็น
ความคิดเห็นที่ 9
ปัญหานี้เป็นปัญหาที่ใหญ่มากนะครับ

พวก apple หรือ google ยอมจ่ายเป็นร้อยล้านเป็นรางวัลสำหรับคนหาบัคเจอ เพื่อทีมงานจะได้อุดช่องโหว่ของระบบ

ในขณะที่ True มีคนเจอช่องโหว่ แจ้งข้อผิดพลาดมาให้ฟรีๆ แล้ว แต่กลับไม่ยอมแก้ (ทั้งๆ ที่ มันควรจะได้รับการแก้ไขเสร็จตั้งแต่วันแรกที่ได้รับแจ้งทางเฟสบุ้คแล้ว)

น่าผิดหวังมากจริงๆ
ความคิดเห็นที่ 17
น่าจะโดน พรบ กิจการโทรคมนาคม กับ พรบ ธุรกรรมทางอิเล็กทรอนิกส์

ความคิดเห็นที่ 117
S3 น่ะใครอัพก็ได้ถ้ามี access ถึง แต่จะอัพไปทำไม เพราะเครือ CP มีนโยบายเรื่องห้ามการอัพข้อมูลเข้า Third party นะ (เรื่องบังคับใช้จริงไม่ทราบนะเออ)​ ที่สงสัยคืออัพเพราะส่งข้อมูลออกไปขายหรือเปล่า
ความคิดเห็นที่ 10
มาดูว่ากระทู้จะหายไหม 555
ความคิดเห็นที่ 4
https://pantip.com/topic/37561337

ผมคงเป็นหนึ่งในผู้โชคดีของเหตุการณ์นี้แล้วละครับ
แสดงความคิดเห็น
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่