18 เมษายน 2561

iTrueMart ต้นเหตุเก็บข้อมูลไม่รัดกุมใน Amazon S3 ลามถึงความน่าเชื่อถือของ Ascend

เรื่องมีอยู่ว่า.. วันก่อนมีรายงานข่าวนักวิจัยด้านความปลอดภัย พบว่าข้อมูลลูกค้าของทรู (ภาพสำเนาบัตร ปชช.) กว่า 4 หมื่นไฟล์ สามารถเขาถึงได้แบบสาธารณะ หากใครไปเจอ URL ที่เก็บข้อมูล

ข้อมูลดังกล่าว ถูกเก็บไว้ในเซิร์ฟเวอร์ Amazon S3. ซึ่งโดยปกติค่าเริ่มต้นของบริการ S3 จะถูกกำหนดให้เป็นส่วนตัว (Private), แต่ไฟล์ภาพสำเนาบัตรดังกล่าว กลับเปิดเป็นสาธารณะ (Public)

หลังจากนั้น iTrueMart ออกแถลงข่าวว่าเป็นข้อมูลของลูกค้าที่ซื้อเครื่อง พร้อมเปิดเบอร์ใหม่ ผ่านเว็บไซต์ของตน (ลงทะเบียนซิม ด้วยการส่งรูปภาพผ่านแอพ/เว็บ)

ล่าสุดมีประเด็นน่าสนใจ 2 เรื่อง

(1) รมว. มหาดไทย ให้สัมภาษณ์ว่า ข้อมูลดังกล่าวเป็นแค่ภาพหน้าบัตร ปชช. ไม่มีข้อมูลเชิงลึก

(2) ผู้บริหาร Ascend เจ้าของ iTrueMart ให้แถลงว่า ข้อมูลดังกล่าวถูกเก็บไว้อย่างดี การที่มีคนเข้าไปพบไฟล์ดังกล่าว เป็นเพราะกระบวนการแฮกเข้าไป

ข้อมูลเชิงลึกภายในบัตรประชน มีอะไรบ้าง? อันนี้ไม่ทราบว่า รมว. มหาดไทย หมายถึงอะไร. แต่ข้อมูล ชื่อ-นามสกุล, วันเกิด, ที่อยู่ และ เลข 13 หลัก มันโชว์อยู่ด้านหน้า ไม่ต้องเข้าเชิงลึกอะไรเลย

ด้านผู้บริหาร Ascend พยายามบอกว่า บริษัทเก็บข้อมูลอย่างดี แต่การพบไฟล์ดังกล่าวเป็นการถูกแฮกเข้าไป. ต้องย้อนกลับไปว่า การที่ Ascend กำหนดสิทธิการเข้าถึง จาก Private เป็น Public แล้วมีคนไปพบ อย่างนี้เรียกว่าการแฮก?

การที่นักวิจัยด้านความปลอดภัยเข้าถึงข้อมูลได้ในช่วงแรก และต่อมาภายหลังเข้าไม่ได้แล้ว ทาง Ascend จะอธิบายว่าอย่างไร?

ต่อไปนี้ บริการต่างๆ ของ Ascend จะยังได้รับความน่าเชื่อถืออีกหรือไม่? iTrueMart ต้นเรื่องปัจจุบันเปลี่ยนชื่อเป็น WeMall รวมถึงบริการ อื่นๆ ได้แก่ True Money, WeLoveShopping ซึ่งทั้งหมดล้วนแต่ต้องเก็บข้อมูลลูกค้าไว้เป็นจำนวนมาก จะตอบคำถามสังคมอย่างไร?