SHARE

คัดลอกแล้ว

ประเด็นคือ – โปรแกรมเมอร์โต้ ทรูรู้แก่ใจว่าเป็นความผิดพลาด  ขณะที่ไนออล แมร์ริแกน นักวิจัยด้านความปลอดภัย ผู้ค้นพบไฟล์ข้อมูลบัตรประชาชนของลูกค้าทรู ยืนยัน ไม่ได้แฮกข้อมูลแต่ใครก็สามารถเข้าไปดูได้

นายไนออล แมร์ริแกน ผู้ค้นพบข้อมูลบัตรประชาชนลูกค้าทรู ได้ออกมาเปิดเผยผ่านทางบล๊อกส่วนตัว ชี้แจงกรณีที่บริษัททรูมูฟเอช อ้างว่าถูกแฮกข้อมูลนั้น ไม่เป็นความจริงและไม่มีการแฮกข้อมูล เนื่องจากข้อมูลที่ค้นพบ ไม่ได้มีการป้องกันไว้แต่แรก จึงถือว่าเป็นข้อมูลที่รั่วไหล และคนทั่วไปที่ใช้เซิจเอนจิ้นอย่างกูเกิ้ล ก็สามารถเข้าถึงข้อมูลเหล่านี้และดาวน์โหลดเก็บไว้ได้

นายไนออล บอกว่า เขาใช้เครื่องมือที่เรียกว่า s3-ncdu ในการตรวจสอบและคำนวณรายการไฟล์และขนาดไฟล์ในถังข้อมูล ทำให้เห็นโครงสร้างโฟลเดอร์ทั้งหมด พร้อมพบไฟล์เจเปคและพีดีเอฟจำนวน 45,736 ไฟล์ ซึ่งข้อมูลเหล่านี้สามารถเข้าถึงได้ตั้งแต่เมื่อไรไม่ทราบ แต่เข้าถึงได้จนวันที่ 12 เมษายนที่ผ่านมา และทันทีที่ค้นพบว่าข้อมูลไม่ถูกป้องกัน ก็ได้แจ้งกับบริษัททรูไปแล้วก่อนหน้านี้ อย่างไรก็ตาม ตั้งแต่เขาแจ้งว่าได้พบข้อมูลรั่วไหล ทางฝั่งบริษัททรูไม่ได้ติดต่อมาเพื่อซักถามเพื่อหาความชัดเจน

นายไนออล กล่าวว่า สาเหตุที่ข้อมูลไม่ถูกป้องกัน อาจมาจากความสะเพร่าของบริษัทที่ไม่ได้มีการตรวจสอบระบบอย่างเข้มงวด และขาดความรู้ความเข้าใจเกี่ยวกับผลกระทบด้านความปลอดภัย หรือแย่ไปกว่านั้น ผู้ดูแลระบบบางคนอาจปิดระบบป้องกันโดยบังเอิญ หรืออาจจะตั้งใจประสงค์ร้าย
ขณะที่ทรูมูฟ ยืนยันว่า ได้แก้ไขและปิดกั้นข้อมูลบัตรประชาชนลูกค้าจำนวน 11,400 ราย เพื่อไม่ใช้ผู้ใดสามารถจารกรรมข้อมูลสำคัญเหล่านี้ไปได้ โดยข้อมูลที่รั่วไหลออกมานั้น เป็นข้อมูลจากที่ลูกค้าใช้บริการซื้อเครื่องมือถือพร้อมเปิดซิมใหม่ผ่านระบบออนไลน์ของไอทรูมาร์ทเท่านั้น ส่วนข้อมูลลูกค้ารายอื่นๆ ไม่ได้รับผลกระทบใดๆ

ขณะที่นายธนานนท์ ปฏิญญาศักดิกุล โปรแกรมเมอร์ โพสต์วิดีโอผ่านเพจนายอาร์ม ถึงกรณีทรูทำข้อมูลบัตรประชาชนลูกค้าหลุด หลังจากทรูชี้แจงกับ กสทช.ว่าถูกเจาะข้อมูลด้วยเครื่องมือพิเศษ 3 ชั้น

“ผมนึกออกแค่ 2 ขั้นตอน คือ 1.สแกนหาลิงก์ 2.ดาวน์โหลด ซึ่งทรูบอกอีกว่าถ้าไม่ใช่ผู้เชี่ยวชาญนั้นไม่มีทางได้ไปแน่นอน ทั้งที่การทำบักเก็ตสแกนหรือหาลิงค์ที่หลุดออกมานั้นไม่ยากเลย แล้วถ้าหาลิงค์เจอครั้งเดียวแล้วคนก็แชร์กันต่อได้เรื่อยๆ ทำไมจึงบอกว่าเป็นเครื่องมือพิเศษ 3 ชั้น ผมไม่คิดว่าเป็นเครื่องมือพิเศษ แต่ง่ายเหมือนเดินไปซื้อค้อนมาตอกฝาบ้าน ทำไมจึงไม่ยอมรับว่า Amazon Storage S3 ที่ตั้งขึ้นมานั้น ค่าที่ตั้งไว้เริ่มแรกคือ Private ต้องมีคนไปกดเปลี่ยนเป็น Public ซึ่งการตั้งค่านี้มีการเก็บบันทึกไว้หมด”

นายธนานนท์ บอกว่า ข้อมูลทั้งหมดสามารถกลับไปดูว่าใครเป็นคนตั้งค่าให้เป็นสาธารณะ รวมถึงมีบันทึกว่าไฟล์ถูกดาวน์โหลดไปแล้วกี่ครั้ง ทรูต้องแจ้งกับ กสทช. เชื่อว่า วิศกรในทรูรู้แก่ใจว่าเป็นความผิดพลาด แต่ผู้บริหารกลับบอกว่าโดนแฮ็ก รวมถึงที่มีคนมาเสนอให้ดำเนินคดีกับนักวิจัยที่พบลิงก์นี้แล้วมาเตือน กลายเป็นว่าคนทำดีกลับจะถูกลงโทษ …

https://www.facebook.com/castby9arm/videos/1904584162945748/

podcast

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ อ่านรายละเอียดเพิ่มเติมได้ที่ นโยบายความเป็นส่วนตัว และ นโยบายคุกกี้ และสามารถจัดการความเป็นส่วนตัวของคุณได้เองโดยคลิกที่ ตั้งค่า

ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • คุกกี้ที่จำเป็น
    เปิดใช้งานตลอด

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้
    รายละเอียดคุกกี้

  • คุกกี้เพื่อการวิเคราะห์

    คุกกี้ประเภทนี้จะทำการเก็บข้อมูลการใช้งานเว็บไซต์ของคุณ เพื่อเป็นประโยชน์ในการวัดผล ปรับปรุง และพัฒนาประสบการณ์ที่ดีในการใช้งานเว็บไซต์ ถ้าหากท่านไม่ยินยอมให้เราใช้คุกกี้นี้ เราจะไม่สามารถวัดผล ปรับปรุงและพัฒนาเว็บไซต์ได้
    รายละเอียดคุกกี้

  • คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย

    คุกกี้ประเภทนี้จะเก็บข้อมูลต่าง ๆ รวมทั้งข้อมูลส่วนบุคคลเกี่ยวกับตัวคุณเพื่อเราสามารถนำมาวิเคราะห์ และนำเสนอเนื้อหา ให้ตรงกับความเหมาะสมกับความสนใจของคุณ ถ้าหากคุณไม่ยินยอมเราจะไม่สามารถนำเสนอเนื้อหาและโฆษณาได้ไม่ตรงกับความสนใจของคุณ
    รายละเอียดคุกกี้

บันทึกการตั้งค่า