นักวิจัยโพสต์โต้ปัดแฮกข้อมูลทรูมูฟ

ในประเทศ
workpointTODAY | Writer
19 เม.ย. 2561
Advertisement

SHARE

คัดลอกแล้ว

ประเด็นคือ – โปรแกรมเมอร์โต้ ทรูรู้แก่ใจว่าเป็นความผิดพลาด  ขณะที่ไนออล แมร์ริแกน นักวิจัยด้านความปลอดภัย ผู้ค้นพบไฟล์ข้อมูลบัตรประชาชนของลูกค้าทรู ยืนยัน ไม่ได้แฮกข้อมูลแต่ใครก็สามารถเข้าไปดูได้

นายไนออล แมร์ริแกน ผู้ค้นพบข้อมูลบัตรประชาชนลูกค้าทรู ได้ออกมาเปิดเผยผ่านทางบล๊อกส่วนตัว ชี้แจงกรณีที่บริษัททรูมูฟเอช อ้างว่าถูกแฮกข้อมูลนั้น ไม่เป็นความจริงและไม่มีการแฮกข้อมูล เนื่องจากข้อมูลที่ค้นพบ ไม่ได้มีการป้องกันไว้แต่แรก จึงถือว่าเป็นข้อมูลที่รั่วไหล และคนทั่วไปที่ใช้เซิจเอนจิ้นอย่างกูเกิ้ล ก็สามารถเข้าถึงข้อมูลเหล่านี้และดาวน์โหลดเก็บไว้ได้

นายไนออล บอกว่า เขาใช้เครื่องมือที่เรียกว่า s3-ncdu ในการตรวจสอบและคำนวณรายการไฟล์และขนาดไฟล์ในถังข้อมูล ทำให้เห็นโครงสร้างโฟลเดอร์ทั้งหมด พร้อมพบไฟล์เจเปคและพีดีเอฟจำนวน 45,736 ไฟล์ ซึ่งข้อมูลเหล่านี้สามารถเข้าถึงได้ตั้งแต่เมื่อไรไม่ทราบ แต่เข้าถึงได้จนวันที่ 12 เมษายนที่ผ่านมา และทันทีที่ค้นพบว่าข้อมูลไม่ถูกป้องกัน ก็ได้แจ้งกับบริษัททรูไปแล้วก่อนหน้านี้ อย่างไรก็ตาม ตั้งแต่เขาแจ้งว่าได้พบข้อมูลรั่วไหล ทางฝั่งบริษัททรูไม่ได้ติดต่อมาเพื่อซักถามเพื่อหาความชัดเจน

นายไนออล กล่าวว่า สาเหตุที่ข้อมูลไม่ถูกป้องกัน อาจมาจากความสะเพร่าของบริษัทที่ไม่ได้มีการตรวจสอบระบบอย่างเข้มงวด และขาดความรู้ความเข้าใจเกี่ยวกับผลกระทบด้านความปลอดภัย หรือแย่ไปกว่านั้น ผู้ดูแลระบบบางคนอาจปิดระบบป้องกันโดยบังเอิญ หรืออาจจะตั้งใจประสงค์ร้าย
ขณะที่ทรูมูฟ ยืนยันว่า ได้แก้ไขและปิดกั้นข้อมูลบัตรประชาชนลูกค้าจำนวน 11,400 ราย เพื่อไม่ใช้ผู้ใดสามารถจารกรรมข้อมูลสำคัญเหล่านี้ไปได้ โดยข้อมูลที่รั่วไหลออกมานั้น เป็นข้อมูลจากที่ลูกค้าใช้บริการซื้อเครื่องมือถือพร้อมเปิดซิมใหม่ผ่านระบบออนไลน์ของไอทรูมาร์ทเท่านั้น ส่วนข้อมูลลูกค้ารายอื่นๆ ไม่ได้รับผลกระทบใดๆ

ขณะที่นายธนานนท์ ปฏิญญาศักดิกุล โปรแกรมเมอร์ โพสต์วิดีโอผ่านเพจนายอาร์ม ถึงกรณีทรูทำข้อมูลบัตรประชาชนลูกค้าหลุด หลังจากทรูชี้แจงกับ กสทช.ว่าถูกเจาะข้อมูลด้วยเครื่องมือพิเศษ 3 ชั้น

“ผมนึกออกแค่ 2 ขั้นตอน คือ 1.สแกนหาลิงก์ 2.ดาวน์โหลด ซึ่งทรูบอกอีกว่าถ้าไม่ใช่ผู้เชี่ยวชาญนั้นไม่มีทางได้ไปแน่นอน ทั้งที่การทำบักเก็ตสแกนหรือหาลิงค์ที่หลุดออกมานั้นไม่ยากเลย แล้วถ้าหาลิงค์เจอครั้งเดียวแล้วคนก็แชร์กันต่อได้เรื่อยๆ ทำไมจึงบอกว่าเป็นเครื่องมือพิเศษ 3 ชั้น ผมไม่คิดว่าเป็นเครื่องมือพิเศษ แต่ง่ายเหมือนเดินไปซื้อค้อนมาตอกฝาบ้าน ทำไมจึงไม่ยอมรับว่า Amazon Storage S3 ที่ตั้งขึ้นมานั้น ค่าที่ตั้งไว้เริ่มแรกคือ Private ต้องมีคนไปกดเปลี่ยนเป็น Public ซึ่งการตั้งค่านี้มีการเก็บบันทึกไว้หมด”

นายธนานนท์ บอกว่า ข้อมูลทั้งหมดสามารถกลับไปดูว่าใครเป็นคนตั้งค่าให้เป็นสาธารณะ รวมถึงมีบันทึกว่าไฟล์ถูกดาวน์โหลดไปแล้วกี่ครั้ง ทรูต้องแจ้งกับ กสทช. เชื่อว่า วิศกรในทรูรู้แก่ใจว่าเป็นความผิดพลาด แต่ผู้บริหารกลับบอกว่าโดนแฮ็ก รวมถึงที่มีคนมาเสนอให้ดำเนินคดีกับนักวิจัยที่พบลิงก์นี้แล้วมาเตือน กลายเป็นว่าคนทำดีกลับจะถูกลงโทษ …

แท็กที่เกี่ยวข้อง
s3-ncdu
ข้อมูลบัตรประชาชน
ทรู
บริษัททรูมูฟเอช
รับผิดชอบ
ลูกค้าทรูถูกแฮก
ไนออล แมร์ริแกน

podcast

listen on

Spotify

listen on

Podbean

listen on

Youtube

listen on

Apple Podcasts
บทความที่เกี่ยวข้อง
บอร์ดไตรภาคี โยนอนุฯ จังหวัด ตัดสินใจเคาะขึ้นค่าแรงขั้นต่ำเอง ครม.รับทราบไทม์ไลน์ เริ่ม ก.ย.-ต.ค.
19 เม.ย. 2561
การเมือง
'แพทองธาร' แจงวิจารณ์ 'แบงก์ชาติ' หวังให้ร่วมมือรัฐบาล
19 เม.ย. 2561
การเมือง
ประมวลภาพ อาลัย 'บุ้ง ทะลุวัง'
19 เม.ย. 2561
การเมือง
กกต. แก้ระเบียบให้ผู้สมัคร สว. แนะนำตัวผ่านโซเชียล-เลขาฯ แจง สื่อทำหน้าที่ได้ปกติ
19 เม.ย. 2561
การเมือง
รมว.ยุติธรรม ยืนยัน 'บุ้ง ทะลุวัง' หัวใจหยุดเต้น เสียชีวิต หลังอดอาหารประท้วง 110 วัน
19 เม.ย. 2561
การเมือง
'พิชัย' ปัดแจงปมหนังสือลาออกจาก รมช.คลัง ของ 'กฤษฎา' ยันมีเหตุมีผลในการทำงาน
19 เม.ย. 2561
การเมือง
ศูนย์ทนายสิทธิฯ เผย 'บุ้ง ทะลุวัง' คดี ม.112 หัวใจหยุดเต้น กรมราชทัณฑ์ อยู่ระหว่างตรวจสอบ
19 เม.ย. 2561
การเมือง
กกต. ประกาศแล้ว รับสมัคร สว. 2567 วันที่ 20-24 พ.ค.นี้ ใช้เวลา 5 วัน ต้องไปด้วยตัวเอง
19 เม.ย. 2561
การเมือง
"ค่าแรง 400 บาท" กลุ่มลูกจ้าง-นายจ้าง รุดยื่นหนังสือถึง รมว.แรงงาน วันนี้
19 เม.ย. 2561
การเมือง
ดูทั้งหมด
LATEST
OUR PICKS
HOT
กำลังโหลดบทความถัดไป...

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ อ่านรายละเอียดเพิ่มเติมได้ที่ นโยบายความเป็นส่วนตัว และ นโยบายคุกกี้ และสามารถจัดการความเป็นส่วนตัวของคุณได้เองโดยคลิกที่ ตั้งค่า

ยอมรับ
ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • คุกกี้ที่จำเป็น
    เปิดใช้งานตลอด

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้
    รายละเอียดคุกกี้

  • คุกกี้เพื่อการวิเคราะห์

    คุกกี้ประเภทนี้จะทำการเก็บข้อมูลการใช้งานเว็บไซต์ของคุณ เพื่อเป็นประโยชน์ในการวัดผล ปรับปรุง และพัฒนาประสบการณ์ที่ดีในการใช้งานเว็บไซต์ ถ้าหากท่านไม่ยินยอมให้เราใช้คุกกี้นี้ เราจะไม่สามารถวัดผล ปรับปรุงและพัฒนาเว็บไซต์ได้
    รายละเอียดคุกกี้

  • คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย

    คุกกี้ประเภทนี้จะเก็บข้อมูลต่าง ๆ รวมทั้งข้อมูลส่วนบุคคลเกี่ยวกับตัวคุณเพื่อเราสามารถนำมาวิเคราะห์ และนำเสนอเนื้อหา ให้ตรงกับความเหมาะสมกับความสนใจของคุณ ถ้าหากคุณไม่ยินยอมเราจะไม่สามารถนำเสนอเนื้อหาและโฆษณาได้ไม่ตรงกับความสนใจของคุณ
    รายละเอียดคุกกี้

บันทึกการตั้งค่า
ตั้งค่าความเป็นส่วนตัว
Name
_hjFirstSeen
ประเภท
คุกกี้ที่จำเป็น
โดเมน
.workpointtoday.com
ระยะเวลา
30 minutes
รายละเอียด
The cookie is set so Hotjar can track the beginning of the user's journey for a total session count. It does not contain any identifiable information.
Name
__utma
ประเภท
คุกกี้เพื่อการวิเคราะห์
โดเมน
.workpointtoday.com
ระยะเวลา
2 years
รายละเอียด
This is one of the four main cookies set by the Google Analytics service which enables website owners to track visitor behaviour and measure site performance. This cookie lasts for 2 years by default and distinguishes between users and sessions. It it used to calculate new and returning visitor statistics. The cookie is updated every time data is sent to Google Analytics. The lifespan of the cookie can be customised by website owners.
Name
__utmz
ประเภท
คุกกี้เพื่อการวิเคราะห์
โดเมน
.workpointtoday.com
ระยะเวลา
6 months 2 days
รายละเอียด
This is one of the four main cookies set by the Google Analytics service which enables website owners to track visitor behaviour measure of site performance. This cookie identifies the source of traffic to the site - so Google Analytics can tell site owners where visitors came from when arriving on the site. The cookie has a life span of 6 months and is updated every time data is sent to Google Analytics.
Name
__utmb
ประเภท
คุกกี้เพื่อการวิเคราะห์
โดเมน
.workpointtoday.com
ระยะเวลา
30 minutes
รายละเอียด
This is one of the four main cookies set by the Google Analytics service which enables website owners to track visitor behaviour and measure site performance. This cookie determines new sessions and visits and expires after 30 minutes. The cookie is updated every time data is sent to Google Analytics. Any activity by a user within the 30 minute life span will count as a single visit, even if the user leaves and then returns to the site. A return after 30 minutes will count as a new visit, but a returning visitor.
Name
__utmc
ประเภท
คุกกี้เพื่อการวิเคราะห์
โดเมน
.workpointtoday.com
ระยะเวลา
Session
รายละเอียด
This is one of the four main cookies set by the Google Analytics service which enables website owners to track visitor behaviour and measure site performance. It is not used in most sites but is set to enable interoperability with the older version of Google Analytics code known as Urchin. In this older versions this was used in combination with the __utmb cookie to identify new sessions/visits for returning visitors. When used by Google Analytics this is always a Session cookie which is destroyed when the user closes their browser. Where it is seen as a Persistent cookie it is therefore likely to be a different technology setting the cookie.
Name
__utmt
ประเภท
คุกกี้เพื่อการวิเคราะห์
โดเมน
.workpointtoday.com
ระยะเวลา
10 minutes
รายละเอียด
This cookie is set by Google Analytics. According to their documentation it is used to throttle the request rate for the service - limiting the collection of data on high traffic sites. It expires after 10 minutes
Name
_gcl_au
ประเภท
คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย
โดเมน
.workpointtoday.com
ระยะเวลา
3 months
รายละเอียด
Used by Google AdSense for experimenting with advertisement efficiency across websites using their services
Name
khaos
ประเภท
คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย
โดเมน
.rubiconproject.com
ระยะเวลา
1 year
รายละเอียด
This cookie carries out information about how the end user uses the website and any advertising that the end user may have seen before visiting the said website.
Name
_fbp
ประเภท
คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย
โดเมน
.workpointtoday.com
ระยะเวลา
3 months
รายละเอียด
Used by Meta to deliver a series of advertisement products such as real time bidding from third party advertisers
Name
IMRID
ประเภท
คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย
โดเมน
.imrworldwide.com
ระยะเวลา
1 year
รายละเอียด
Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked.
Name
IDE
ประเภท
คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย
โดเมน
.doubleclick.net
ระยะเวลา
1 year
รายละเอียด
This cookie is set by Doubleclick and carries out information about how the end user uses the website and any advertising that the end user may have seen before visiting the said website.