ข้อมูลอ้างอิง
https://www.theregister.co.uk/2018/04/13/thai_mobile_operator_data_breach/
https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html#axzz5CXkf6GxS
https://www.blognone.com/node/101492
***ิ
อัพเดทครั้งที่ 1 14/04/2018 ได้รับการติดต่อจากฝู้ที่เป็นเจ้าของภาพสำเนาบัตรประชาชนในข่าวแล้ว ซึ่งยินยันได้แล้วว่าภาพข่าวนี้เป็นจริง
และหลังจากคั้งกระทู้นี้และคุณฉลาดมาโพสว่ารับเรื่องไปตรวจสอบ
อย่างเร่งด่วนแล้ว 12 ชั่วโมง
ยังไม่มีการตอบกลับ หรือแสดงออกใด ๆ ในทุกช่องทางติดต่อ หรือในสื่ออื่นใด***
***
อัพเดทครั้งที่ 3 ความคืบหน้า ตอนนี้แน่ชัดแล้วว่าผมและคนในครอบครัวเป็นผู้ที่ได้รับผลกระทบจากเหตุการณ์นี้ชัดแจ้งแล้ว
จากการได้รับ SMS จากทาง iTrueMart ซึ่งตอนนี้ทุกคนตกลงพร้อมใจกันย้ายออกกันทั้งบ้านในทันทีที่ผมเดินทางกลับ
ส่วนความคืบหน้าเรื่องที่ไป แถ ลง กับ กับ กสทช. ขอเวลาเรียบเรียงอีกนิด จะแฉให้หมดเปลือก
คือถ้ารับแบบแมน ๆ ว่าคนดูแลโง่และทำพลาดเอง ยังพอให้อภัยได้ แต่ที่แถ อุปโลกว่ามี Hacker นี่มันยอมรับไม่ได้จริง ๆ
ไหนจะแถ ลง ว่าได้แต่ข้อมูลบัตรไม่ได้เบอร์ แต่ในเอกสารที่ผมเซนต์มันระบุเบอร์โทรอยู่ด้วย แล้วจะไม่ได้เบอร์โทรไปได้ยังไง
ยิ่งแถ ลง ยิ่งอ้าง Hacker ยิ่งแสดงให้เห็นว่าไม่สำนึก ไร้ความรับผิดชอบ และหน้าด้านสุด ๆ จริง ๆ
***อัพเดทครั้งที่ 4 ตั้งกระทู้ใหม่เจาะทีละประเด็น เห็นกันจะ ๆ เชิญไปที่กระทู้นี้เลยครับ
https://pantip.com/topic/37576709/
สรุปความเบื้องต้น
คือ Amazon S3 เป็นบริการให้เช่าพื้นที่สำหรับเก็บบันทึกข้อมูลต่าง ๆ เช่นภาพ หรือ VDO ซึ่งให้บริการโดย Amazon
(คล้าย ๆ Google Drive หรือ OneDrive แต่เน้นไปที่กลุ่มองค์กร หรือทางธุรกิจมากกว่า)
โดยผู้ที่เช่าใช้ สามารถเปิดแชร์ให้องค์กรตนเอง หรือสาธารณะ เข้าถึงข้อมูลนี้ได้
ทีนี้มีคุณ Niall Merrigan เป็นนักวิจัยด้านความปลอดภัย เขาได้ตรวจสอบช่องโหว่ในระบบต่าง ๆ
ซึ่งคุณ Niall Merrigan บังเอิญไปตรวจพบว่า True ได้เผลอเปิดให้เข้าถึงข้อมูลที่เป็นภาพถ่าย สำเนาบัตรประชาชนของผู้ใช้งานเครือข่าย True ที่เก็บไว้บน S3 ได้โดยไม่มีการเข้ารหัส หรือ การป้องกันใด ๆ ทำให้ใครก็ได้สามารถเข้าถึงข้อมูลเหล่านี้
ซึ่งมีถึง 4 หมื่น 6 พัน กว่าภาพ คิดเป็นพื้นที่ความจุกว่า 32 GB
ทีนี้เมื่อคุณ Niall Merrigan เจอ เขาจึงได้พยายามแจ้งเตือนไปยังทรู โดยครั้งแรกแจ้งผ่าน Twitter และ Facebook
ตั้งแต่วันที่ 8 มีนาคม แต่ทางทรูก็ตอบมาโดยโยนให้ไปแจ้งทาง email truemovecare@truecorp.co.th แทน
และหลังจากแจ้งไปทางเมลล์ที่จนทใน FB แจ้งมา ในวันที่ 10 มีนาคม
คุณ Niall Merrigan ถึงกับต้องตกใจ เพราะทาง truemovecare@truecorp.co.th ตอบมาว่า ไม่มีแผนกด้ารความปลอดภัย
ให้เขาโทรแจ้งไปที่สำนักงานใหญ่แทน ในวันและเวลาทำการด้วยนะ ซึ่งคุณ Niall Merrigan ไม่ได้โทรไป
(ใครจะบ้าโทรทางไกลข้ามประเทศในสิ่งที่ไม่ใช่ธุระของตนขนาดนั้น
แค่ที่เขาพยายามแจ้งในช่องทางอื่น ๆ ก็ถือว่ากรุณามากแล้ว)
จากนั้นเขาก็ได้ลองแจ้งให้ John Leyden เพื่อนที่เป็นนักข่าว The Register ได้ลองติดต่อดูอีกทางหนึ่ง
เพราะเป็นเรื่องใหญที่ต้องรีบแก้ไขโดยเร่งด่วน
แต่ก็ไม่ได้รับการตอบรับใด ๆ ตลอด 2 สัปดาห์ เขาจึงได้ ตัดสินใจว่าจะประกาศออกสื่อ
โดยได้แจ้งทางทรูไปในวันที่ 2 เมษายน
และทางทรูได้ตอบกลับทั้ง 2 คน ทางเมลล์ ในวันที่ 4 เมษายน ว่า กำลังแก้ไข
****************************************
ล่าสุด วันที่ 14 เมษายน เขาได้ลองตรวจสอบแล้ว พบว่าทรูได้แก้ไขช่องโหว่(ที่ใหญ่ยักษ์มาก ๆ) นี่ไปแล้ว
****************************************
ดังนั้น อยากจะถามทางทรูว่า
1. Truemove H จะรับผิดชอบต่อความผิดพลาดครั้งนี้อย่างไร
2. หากมีมิจฉาชีพได้ข้อมูลนี้ไป เพราะไม่รู้ว่าเปิดไว้นานแค่ไหน แต่ที่แน่ ๆ คือนับจากที่แจ้งปัญหาไป กว่าจะปิดได้ ใช้เวลาเกือบ 1 เดือน
ทางทรูจะรับผิดชอบต่อผู้ใช้ที่ไว้วางใจมอบหลักฐานสำคัญกับทางคุณไป อย่างไรบ้าง
3. ทางทรูมีหน่วยงาน หรือแผนกที่ดูแลรับผิดชอบเรื่องเหล่านี้โดยตรงหรือไม่
4. จากข้อ 3 ถ้ามี จะสามารถติดต่ออย่างมีประสิทธิภาพได้อย่างไร โดยไม่ต้องรอโทรเข้าสำนักงานใหญ่ในวันและเวลาทำการ
5. จะมีการลงโทษผู้ที่เกี่ยวข้องหรือไม่ ทั้งฝ่ายดูแลระบบ และฝ่ายติดต่อรับเรื่องร้องเรียนที่ทำงานล่าช้า และโยนกันไปมา
ที่สำคัญ สิ้นคิดขนาดให้คนที่เขาอุตส่าห์ช่วยแจ้งปัญหาต้องเสียเงินเสียเวลาโทรทางไกลข้ามประเทศเอาเองแบบนี้
เรื่องนี้สำคัญมาก ๆ ต่อลูกค้า Trumove H ทุกคน ดังนั้นโปรดโหวต และช่วยกันทวงถามความรับผิดชอบจากทางทรู
เพราะนี่ไม่ใช่ปัญหาแค่ตัวบุคคล แต่เป็นปัญหาที่ส่งผลกระทบในวงกว้างมากยิ่งกว่า กรณี ถุงกล้วยแขก ที่เคยหลุดออกไป
ปล. ตอบให้สำหรับ Bot จะได้ไม่ต้องไปคิดคำใหม่ ก๊อปแล้ววางได้เลยไม่ต้องเสียเวลา
สวัสดีครับท่านสมาชิก เหนื่อยนักก็พักก่อน ผมขอรับเรื่องตรวจสอบข้อมูลให้ก่อนนะครับ
*** อัพเดท 2 หลังจากผ่านไป 15 ชั่วโมงหลังจากที่มีการเผยแพร่ปัญหานี้
ทาง iTrueMart (ปัจจุบันเปลี่ยนชื่อเป็น WeMall) ออกมาบอกว่าเป็นการ Hack ระบบของ iTrueMart
โดยผู้ที่ได้รับผลกระทบเฉพาะกลุ่มลูกค้าที่ซื้อเครื่องพร้อมเปิดเบอร์ใหม่กับทาง iTrueMart เท่านั้น ผู้ใช้ส่วนอื่นไม่ได้รับผลกระทบ
ที่มา
https://www.blognone.com/node/101502
*** ข้อสังเกต ***
หากเป็นการ Hack ข้อมูลโดยบุคคลอื่น แล้วเหตุใดเมื่อมีการแจ้งเข้ามา จึงสามารถเปลี่ยนการตั้งค่าเป็น Private ได้
หาก iTrueMart ไม่มีส่วนรู้เห็น แล้วสามารถเปลี่ยนการตั้งค่าของบัญชี Amazon S3 ของผู้อื่น ได้อย่างไร
ด่วน! เรื่องใหญ่ และอันตรายมาก True จะรับผิดชอบอย่างไร เมื่อข้อมูลบัตรประชาชน หลุดไปสู่สาธารณะจำนวน 4 หมื่น กว่ารูป
https://www.theregister.co.uk/2018/04/13/thai_mobile_operator_data_breach/
https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html#axzz5CXkf6GxS
https://www.blognone.com/node/101492
***ิอัพเดทครั้งที่ 1 14/04/2018 ได้รับการติดต่อจากฝู้ที่เป็นเจ้าของภาพสำเนาบัตรประชาชนในข่าวแล้ว ซึ่งยินยันได้แล้วว่าภาพข่าวนี้เป็นจริง
และหลังจากคั้งกระทู้นี้และคุณฉลาดมาโพสว่ารับเรื่องไปตรวจสอบอย่างเร่งด่วนแล้ว 12 ชั่วโมง
ยังไม่มีการตอบกลับ หรือแสดงออกใด ๆ ในทุกช่องทางติดต่อ หรือในสื่ออื่นใด***
***อัพเดทครั้งที่ 3 ความคืบหน้า ตอนนี้แน่ชัดแล้วว่าผมและคนในครอบครัวเป็นผู้ที่ได้รับผลกระทบจากเหตุการณ์นี้ชัดแจ้งแล้ว
จากการได้รับ SMS จากทาง iTrueMart ซึ่งตอนนี้ทุกคนตกลงพร้อมใจกันย้ายออกกันทั้งบ้านในทันทีที่ผมเดินทางกลับ
ส่วนความคืบหน้าเรื่องที่ไป แถ ลง กับ กับ กสทช. ขอเวลาเรียบเรียงอีกนิด จะแฉให้หมดเปลือก
คือถ้ารับแบบแมน ๆ ว่าคนดูแลโง่และทำพลาดเอง ยังพอให้อภัยได้ แต่ที่แถ อุปโลกว่ามี Hacker นี่มันยอมรับไม่ได้จริง ๆ
ไหนจะแถ ลง ว่าได้แต่ข้อมูลบัตรไม่ได้เบอร์ แต่ในเอกสารที่ผมเซนต์มันระบุเบอร์โทรอยู่ด้วย แล้วจะไม่ได้เบอร์โทรไปได้ยังไง
ยิ่งแถ ลง ยิ่งอ้าง Hacker ยิ่งแสดงให้เห็นว่าไม่สำนึก ไร้ความรับผิดชอบ และหน้าด้านสุด ๆ จริง ๆ
***อัพเดทครั้งที่ 4 ตั้งกระทู้ใหม่เจาะทีละประเด็น เห็นกันจะ ๆ เชิญไปที่กระทู้นี้เลยครับ
https://pantip.com/topic/37576709/
สรุปความเบื้องต้น
คือ Amazon S3 เป็นบริการให้เช่าพื้นที่สำหรับเก็บบันทึกข้อมูลต่าง ๆ เช่นภาพ หรือ VDO ซึ่งให้บริการโดย Amazon
(คล้าย ๆ Google Drive หรือ OneDrive แต่เน้นไปที่กลุ่มองค์กร หรือทางธุรกิจมากกว่า)
โดยผู้ที่เช่าใช้ สามารถเปิดแชร์ให้องค์กรตนเอง หรือสาธารณะ เข้าถึงข้อมูลนี้ได้
ทีนี้มีคุณ Niall Merrigan เป็นนักวิจัยด้านความปลอดภัย เขาได้ตรวจสอบช่องโหว่ในระบบต่าง ๆ
ซึ่งคุณ Niall Merrigan บังเอิญไปตรวจพบว่า True ได้เผลอเปิดให้เข้าถึงข้อมูลที่เป็นภาพถ่าย สำเนาบัตรประชาชนของผู้ใช้งานเครือข่าย True ที่เก็บไว้บน S3 ได้โดยไม่มีการเข้ารหัส หรือ การป้องกันใด ๆ ทำให้ใครก็ได้สามารถเข้าถึงข้อมูลเหล่านี้
ซึ่งมีถึง 4 หมื่น 6 พัน กว่าภาพ คิดเป็นพื้นที่ความจุกว่า 32 GB
ทีนี้เมื่อคุณ Niall Merrigan เจอ เขาจึงได้พยายามแจ้งเตือนไปยังทรู โดยครั้งแรกแจ้งผ่าน Twitter และ Facebook
ตั้งแต่วันที่ 8 มีนาคม แต่ทางทรูก็ตอบมาโดยโยนให้ไปแจ้งทาง email truemovecare@truecorp.co.th แทน
และหลังจากแจ้งไปทางเมลล์ที่จนทใน FB แจ้งมา ในวันที่ 10 มีนาคม
คุณ Niall Merrigan ถึงกับต้องตกใจ เพราะทาง truemovecare@truecorp.co.th ตอบมาว่า ไม่มีแผนกด้ารความปลอดภัย
ให้เขาโทรแจ้งไปที่สำนักงานใหญ่แทน ในวันและเวลาทำการด้วยนะ ซึ่งคุณ Niall Merrigan ไม่ได้โทรไป
(ใครจะบ้าโทรทางไกลข้ามประเทศในสิ่งที่ไม่ใช่ธุระของตนขนาดนั้น
แค่ที่เขาพยายามแจ้งในช่องทางอื่น ๆ ก็ถือว่ากรุณามากแล้ว)
จากนั้นเขาก็ได้ลองแจ้งให้ John Leyden เพื่อนที่เป็นนักข่าว The Register ได้ลองติดต่อดูอีกทางหนึ่ง
เพราะเป็นเรื่องใหญที่ต้องรีบแก้ไขโดยเร่งด่วน
แต่ก็ไม่ได้รับการตอบรับใด ๆ ตลอด 2 สัปดาห์ เขาจึงได้ ตัดสินใจว่าจะประกาศออกสื่อ
โดยได้แจ้งทางทรูไปในวันที่ 2 เมษายน
และทางทรูได้ตอบกลับทั้ง 2 คน ทางเมลล์ ในวันที่ 4 เมษายน ว่า กำลังแก้ไข
ล่าสุด วันที่ 14 เมษายน เขาได้ลองตรวจสอบแล้ว พบว่าทรูได้แก้ไขช่องโหว่(ที่ใหญ่ยักษ์มาก ๆ) นี่ไปแล้ว
ดังนั้น อยากจะถามทางทรูว่า
1. Truemove H จะรับผิดชอบต่อความผิดพลาดครั้งนี้อย่างไร
2. หากมีมิจฉาชีพได้ข้อมูลนี้ไป เพราะไม่รู้ว่าเปิดไว้นานแค่ไหน แต่ที่แน่ ๆ คือนับจากที่แจ้งปัญหาไป กว่าจะปิดได้ ใช้เวลาเกือบ 1 เดือน
ทางทรูจะรับผิดชอบต่อผู้ใช้ที่ไว้วางใจมอบหลักฐานสำคัญกับทางคุณไป อย่างไรบ้าง
3. ทางทรูมีหน่วยงาน หรือแผนกที่ดูแลรับผิดชอบเรื่องเหล่านี้โดยตรงหรือไม่
4. จากข้อ 3 ถ้ามี จะสามารถติดต่ออย่างมีประสิทธิภาพได้อย่างไร โดยไม่ต้องรอโทรเข้าสำนักงานใหญ่ในวันและเวลาทำการ
5. จะมีการลงโทษผู้ที่เกี่ยวข้องหรือไม่ ทั้งฝ่ายดูแลระบบ และฝ่ายติดต่อรับเรื่องร้องเรียนที่ทำงานล่าช้า และโยนกันไปมา
ที่สำคัญ สิ้นคิดขนาดให้คนที่เขาอุตส่าห์ช่วยแจ้งปัญหาต้องเสียเงินเสียเวลาโทรทางไกลข้ามประเทศเอาเองแบบนี้
เรื่องนี้สำคัญมาก ๆ ต่อลูกค้า Trumove H ทุกคน ดังนั้นโปรดโหวต และช่วยกันทวงถามความรับผิดชอบจากทางทรู
เพราะนี่ไม่ใช่ปัญหาแค่ตัวบุคคล แต่เป็นปัญหาที่ส่งผลกระทบในวงกว้างมากยิ่งกว่า กรณี ถุงกล้วยแขก ที่เคยหลุดออกไป
ปล. ตอบให้สำหรับ Bot จะได้ไม่ต้องไปคิดคำใหม่ ก๊อปแล้ววางได้เลยไม่ต้องเสียเวลา
สวัสดีครับท่านสมาชิก เหนื่อยนักก็พักก่อน ผมขอรับเรื่องตรวจสอบข้อมูลให้ก่อนนะครับ
*** อัพเดท 2 หลังจากผ่านไป 15 ชั่วโมงหลังจากที่มีการเผยแพร่ปัญหานี้
ทาง iTrueMart (ปัจจุบันเปลี่ยนชื่อเป็น WeMall) ออกมาบอกว่าเป็นการ Hack ระบบของ iTrueMart
โดยผู้ที่ได้รับผลกระทบเฉพาะกลุ่มลูกค้าที่ซื้อเครื่องพร้อมเปิดเบอร์ใหม่กับทาง iTrueMart เท่านั้น ผู้ใช้ส่วนอื่นไม่ได้รับผลกระทบ
ที่มา https://www.blognone.com/node/101502
*** ข้อสังเกต ***
หากเป็นการ Hack ข้อมูลโดยบุคคลอื่น แล้วเหตุใดเมื่อมีการแจ้งเข้ามา จึงสามารถเปลี่ยนการตั้งค่าเป็น Private ได้
หาก iTrueMart ไม่มีส่วนรู้เห็น แล้วสามารถเปลี่ยนการตั้งค่าของบัญชี Amazon S3 ของผู้อื่น ได้อย่างไร