หลุดสำเนาบัตร ปชช.ลูกค้า TrueMove H 4.6 หมื่นคน

หลุดสำเนาบัตร ปชช.ลูกค้า TrueMove H 4.6 หมื่นคน

หลุดสำเนาบัตร ปชช.ลูกค้า TrueMove H 4.6 หมื่นคน

รูปข่าว : หลุดสำเนาบัตร ปชช.ลูกค้า TrueMove H 4.6 หมื่นคน

นักวิจัยด้านความมั่นคงปลอดภัย ตรวจสอบการสร้างโฟลเดอร์ Amazon S3 บนระบบ Cloud พบ AWS S3 Bucket ของทรูมูฟ เอช มีโฟลเดอร์ชื่อ truemoveh/idcard ซึ่งประกอบด้วยไฟล์สแกนบัตรประชาชนของลูกค้า ที่ระบุข้อความว่า ใช้เพื่อการลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น

วันนี้ (14 เม.ย.2561) ผู้สื่อข่าวรายงานว่า เจ้าของบล็อกออนไลน์ที่ใช้ชื่อว่า Niall Merrigan นักวิจัยด้านความมั่นคงปลอดภัย ที่ทดสอบสำรวจและตรวจสอบการสร้างโฟลด์เดอร์ Amazon S3 บนระบบ Cloud โดยหลังจากทำการสแกนและตรวจสอบ AWS S3 Bucket ของทรูมูฟ เอช พบว่ามีโฟลเดอร์ชื่อ truemoveh/idcard ซึ่งภายในประกอบด้วยโฟลเดอร์ย่อยที่แยกตามเดือนและปี ซึ่งแต่ละโฟลเดอร์บรรจุไฟล์สแกนบัตรประชาชนของลูกค้าทั้งสกุลไฟล์ JPG และ PDF พร้อมระบุข้อความว่า “ใช้เพื่อการลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น”


ขณะที่โฟลเดอร์ดังกล่าวมีสำเนาบัตรประจำตัวประชาชนของลูกค้าที่ลงทะเบียนเปิดหมายเลขโทรศัพท์ใหม่ ตั้งแต่ปี 2015 มีข้อมูลจำนวน 8.3GB, ปี 2016 14.5GB ปี 2017 6.6GB และปี 2018 ที่เพิ่งเริ่มเก็บมี 2.2GB รวมทั้งสิ้น 46,000 ไฟล์


หลังจากพบข้อมูลดังกล่าว Niall Merrigan ได้ติดต่อไปยังทรูมูฟ เอชผ่านหลายช่องทาง เพื่อแจ้งปัญหาที่เกิดขึ้น ว่าข้อมูลดังกล่าวไม่ได้มีการป้องกันอย่างเพียงพอ เมื่อวันที่ 8 มี.ค. ผ่านทางทวิตเตอร์ TrueMove H แล้วได้รับคำตอบให้ส่งรายละเอียดทั้งหมดไปยังอีเมล truemovecare@truecorp.co.th เมื่อส่งข้อมูลไปยังอีเมลดังกล่าว เจ้าหน้าที่ทรูมูฟแคร์ ตอบกลับว่า ไม่มีช่องทางติดต่อแผนกความมั่นคงปลอดภัย และให้ Niall Merrigan โทรศัพท์แจ้งสำนักงานใหญ่แทน


ขณะที่เวลาผ่านไป 2 – 3 สัปดาห์แต่เรื่องกลับไม่มีความคืบหน้า ส่งผลให้ Merrigan แจ้งทางทรูมูฟแคร์ ว่าจะเผยแพร่เรื่องนี้สู่สาธารณะ จนเมื่อวันที่ 4 เม.ย. ทาง ทรูมูฟแคร์ ได้ติดต่อกลับว่าอยู่ระหว่างการตรวจสอบ เพื่อดำเนินการแก้ไข จนถึงวันที่ 12 เม.ย. ข้อมูลโฟลเดอร์ truemoveh/idcard จึงถูกจัดการปิดสิทธิ์การเข้าถึงจากสาธารณะซึ่งมีระยะเวลานานกว่า 1 เดือน หลังจากได้รับแจ้งข้อมูล ทั้งนี้ยังไม่ทราบแน่ชัดว่า มีบุคคลอื่นเข้าถึงหรือดาวน์โหลดข้อมูลใน AWS S3 ออกไปแล้วหรือไม่

ล่าสุด สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. ได้เรียกให้ทรูมูฟ เอช เข้าชี้แจงข้อเท็จจริงเกี่ยวกับกรณีนี้ในวันที่ 17 เม.ย.2561 เวลา 09.30 น. ณ อาคารอำนวยการ สำนักงาน กสทช. 

 

กลับขึ้นด้านบน