ไม่พบผลการค้นหา
เครือข่ายพลเมืองเน็ตตั้งข้อสังเกต เหตุใด 'ไอทรูมาร์ท' ใช้เวลาร่วมเดือนกว่าจะปิดช่องโหว่ข้อมูลรั่ว กระทุ้ง กสทช. มาตรการลงทะเบียนซิม ตอบโจทย์หรือไม่ ด้านผู้บริหาร 'ไอทรูมาร์ท' แจงกสทช. ถูกล้วงข้อมูลบัตรประชาชนลูกค้า 11,400 ราย ยันรีบปิดช่องโหว่เมื่อทราบเรื่องทันที ฟาก 'ทรู' ยืนยันพร้อมดูแลลูกค้าที่ได้รับผลกระทบ เบื้องต้นแจ้งความลงบันทึกประจำวัน ป้องกันความเสียหายแล้ว

นายอาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต กล่าวกับ 'วอยซ์ ออนไลน์' ว่า กรณีข้อมูลส่วนบุคคลของลูกค้า iTruemart หลุดรั่วออกไปนั้น มีข้อสังเกต 3 เรื่อง คือ 1) ผู้เชี่ยวชาญต่างประเทศ ซึ่งเป็นผู้ชี้เบาะแสกรณีนี้ ได้ติดต่อแผนกบริการลูกค้าของ ทรูมูฟ เอช ตั้งแต่วันที่ 8 มี.ค.เพื่อให้บริษัทดำเนินการเรื่องความปลอดภัยของข้อมูลส่วนตัวลูกค้า แต่เหตุใดตัวแทนของไอทรูมาร์ทที่เข้าชี้แจงกับ กสทช.ในวันนี้ (17 เม.ย.) ระบุว่า รับทราบเรื่องเมื่อวันที่ 11 เม.ย. เหตุใดกระบวนการรับเรื่องจากแผนกบริการลูกค้าไปถึงแผนกเทคนิคใช้เวลานานกว่า 1 เดือน และหากระหว่างนี้ มีความเสียหายเกิดขึ้น จากข้อมูลส่วนตัวของลูกค้าที่หลุดรอดไป บริษัทจะรับผิดชอบอย่างไร

2) แม้ขณะนี้ยังไม่พบความเสียหายของข้อมูลส่วนตัวของลูกค้าที่หลุดรอดไป แต่บริษัทผู้ให้บริการควรต้องมีการเยียวยาความเสียหายกับลูกค้าที่ได้รับผลกระทบด้วย เพราะการละเมิดข้อมูลลูกค้าได้เกิดขึ้นแล้ว

และ 3) การที่ กสทช. ออกข้อกำหนดให้ผู้ให้บริการโทรศัพท์เคลื่อนที่รับลงทะเบียนจากลูกค้า ด้วยเหตุผลด้านความมั่นคงป้องกันการก่อการร้าย และฉ้อโกง โดยไม่ได้มีระเบียบหรือมาตรการรองรับ ในอีกด้านหนึ่ง ได้สร้างภาระให้กับผู้ประกอบการให้มีค่าใช้จ่ายในการเก็บรักษาข้อมูล และเพิ่มความเสี่ยงให้เกิดการหลุดรั่วของข้อมูลด้วย

ดังนั้น กสทช. ควรมีการประเมินผลกระทบจากการออกกฎระเบียบหรือกฎหมาย หรือที่เรียกว่า 'RIA' (Regulatory Impact Assessment) ให้รอบด้านก่อนจะมีกฎเกณฑ์หรือข้อกำหนดใดๆ ออกมา เพราะจากกรณีที่เกิดขึ้นล่าสุด เป็นตัวอย่างที่ชี้ว่า นอกจากไม่ตอบโจทย์ด้านความมั่นคงปลอดภัยแล้ว ยังสร้างปัญหา เพิ่มค่าใช้จ่ายแก่ผู้ประกอบการในการเก็บรักษาข้อมูล และยังเพิ่มความเสียหายเมื่อมีข้อมูลหลุดรั่วด้วย

กสทช. เตรียมเรียก 5 ค่ายมือถือ

นายฐากร ตัณฑสิทธิ์ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. กล่าวถึงผลการประชุมร่วมกับตัวแทนทรู ในช่วงเช้าวันนี้ (17 เม.ย.) ว่า จากที่ได้เชิญตัวแทนจากบริษัท ทรู คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัท แอสเซนด์ คอมเมิร์ซ จำกัด ผู้ให้บริการไอทรูมาร์ท (iTruemart) เพื่อมาชี้แจงเรื่องราวที่เกิดขึ้นเกี่ยวกับข้อมูลบัตรประชาชนของลูกค้าที่ลงทะเบียนหมายเลขโทรศัพท์มือถือที่อยู่บนคลาวด์ถูกเจาะข้อมูลได้นั้น

ในเบื้องต้น กสทช.ยังไม่มีบทลงโทษ แต่จะรวบรวมข้อมูลทั้งหมดเพื่อนำเข้าที่ประชุมคณะกรรมการ กสทช. เพื่อพิจารณาอีกครั้งหนึ่ง เพราะจริงๆ แล้วการลงทะเบียนซิมทรู จะต้องเป็นผู้ดำเนินการเองไม่ใช่ให้ iTruemart ทำ

ดังนั้น สำนักงาน กสทช. จะมีหนังสือแจ้งเตือนไปยังผู้ให้บริการโทรศัพท์เคลื่อนที่ (โอเปอร์เรเตอร์) ทั้ง 5 ค่าย และให้ทั้งหมดทำหนังสือแจ้งเตือนกลับมาที่สำนักงาน กสทช. เพื่อป้องกันไม่ให้เกิดความเสียหายกับข้อมูลลูกค้าอีก

ส่วนทรูต้องไปหาข้อมูลมาว่ามีลูกค้าได้รับผลกระทบจากเรื่องนี้หรือไม่ และจะมีมาตรการเยียวยาอย่างไรบ้าง แม้ว่า ลูกค้าอี-คอมเมิร์ซของ iTruemart มีมากกว่า 1 ล้านราย แต่ลูกค้าที่ลงทะเบียนทางออนไลน์ผ่าน iTruemart มีเพียงจำนวน 11,400 ราย ก็ตาม

นอกจากนี้ ได้มีแผนระยะยาว กสทช. คือการทำศูนย์กลางการจัดเก็บข้อมูล (ดาต้าเซ็นเตอร์) ซึ่ง กสทช. มีแผนจะใช้เงินกองทุนบริการโทรคมนาคมพื้นฐานโดยทั่วถึงและบริการเพื่อสังคม (USO) ในการดำเนินการเพื่อสร้างความเชื่อมั่น

ไอทรูมาร์ท
"สำหรับแผนระยะยาวนั้น กสทช.มีแผนจะใช้งบ USO เพื่อสร้าง ดาต้า เซ็นเตอร์ของตนเอง เพื่อให้ประชาชนมั่นใจว่าข้อมูลที่สำคัญจะไม่รั่วไหล" นายฐากร กล่าว

'ทรู' ยันส่ง SMS แจ้งลูกค้าที่ได้รับผลกระทบ พร้อมแจ้งความลงบันทึกประจำวันแทนแล้ว

นายภัคคพงศ์ พัฒนมาศ รองผู้อำนวยการ ธุรกิจโมบายล์ บริษัท ทรู คอร์ปอเรชั่น จำกัด (มหาชน) กล่าวว่า ทรูมูฟ เอช มีพาร์ทเนอร์ในการให้บริการในรูปแบบออนไลน์ แพลตฟอร์ม คือ iTruemart ในการซื้อเครื่องพร้อมเบอร์ post-paid (จ่ายค่าบริการเป็นรายเดือน) ของทรูมูฟ เอช ดังนั้น ลูกค้าที่ได้รับผลกระทบ ทรูจะส่งเอสเอ็มเอสแจ้งเตือน และจะแจ้งความลงบันทึกประจำวันแทนลูกค้า เพื่อป้องกันสิทธิ์ และมีคอลเซ็นเตอร์ 1242 ให้ลูกค้าโทรฟรี หากลูกค้าจะมีปัญหาในอนาคตทรูก็พร้อม จะดูแลลูกค้า

ภัคพงศ์ พัฒนมาศ
"ตอนนี้ยังไม่มีลูกค้าได้รับผลกระทบ และถ้าพาร์ตเนอร์ทรูไม่มีระบบด้านความปลอดภัย ทรูก็จะไม่ทำธุรกิจด้วย" นายภัคคพงศ์ กล่าว

ขณะที่นายสืบสกุล สกลสัตยาทร กรรการผู้จัดการ บริษัท แอสเซนด์ คอมเมิร์ซ จำกัด ผู้ให้บริการ iTruemart กล่าวว่า ข้อมูลที่ถูกเจาะเข้าฐานข้อมูลเป็นส่วนของลูกค้าที่ลงทะเบียนผ่านช่องทางไอทรูมาร์ทเท่านั้น โดยโฟลด์เดอร์ที่ถูกเจาะมีเพียงสำเนาบัตรประชาชนลูกค้า จำนวน 11,400 ราย ซึ่งเมื่อบริษัททราบเรื่องในวันท่ี 11 เม.ย. ที่่ผ่านมา ก็ได้เร่งปิดช่องโหว่ทันที โดยปิดช่องโหว่ได้เมื่อเวลา 19.00 น. ของวันที่ 12 เม.ย. นอกจากนี้ก็ได้มีมาตรการด้านความปลอดภัยระบบมากขึ้น 

พร้อมกับยืนยันว่า บริษัทมีระบบความปลอดภัยที่ดี ไม่มีการตั้งค่าพับลิก (สาธารณะ) จนทำให้ถูกล้วงข้อมูลได้ แต่คนล้วงข้อมูลตั้งใจใช้เครื่องมือพิเศษ ที่ชื่อว่า Bucket Stream ในการเข้าถึงไฟล์ที่ทาง iTruemart ซึ่งเริ่มจัดเก็บไว้ตั้งแต่ปี 2558 และเครื่องมือดังกล่าวไม่ใช่เครื่องมือที่บุคคลทั่วไปสามารถนำไปใช้งานเพื่อเข้าถึงไฟล์ได้โดยง่าย ดังนั้น จึงมั่นใจได้ว่าข้อมูลดังกล่าวยังมีความปลอดภัยอยู่

ส่วนการตั้งค่าระบบของทาง iTruemart เป็นการตั้งค่าตามมาตรฐานที่กำหนดไว้ในปี 2558 เพียงแต่เมื่อมีการคิดค้นเครื่องมือใหม่ๆ ออกมา ทำให้ค่ามาตรฐานที่เคยตั้งค่าไว้ ไม่ปลอดภัยอีกต่อไป

สืบสกล สกลสัตยาทร


"ข้อมูลที่ถูกเก็บไว้ใน Storage ของ Amezon S3 ได้ตั้งรหัสการเข้าถึงข้อมูลเป็นการเฉพาะ และเป็นระบบปิดอยู่แล้ว และหากไม่ใช่ผู้เชี่ยวชาญ ก็ไม่สามารถเข้าถึงได้" นายสืบสกุล กล่าว

ส่วนกรณีที่นายไนออล แมริแกน หัวหน้าฝ่ายพัฒนาซอฟต์แวร์และความปลอดภัยทางไซเบอร์ของบริษัทแคปเจมิไน เข้าถึงข้อมูลในระบบนั้น นายสืบสกุลระบุว่า "นายไนออลไม่มีสิทธิในการเข้าถึงข้อมูลดังกล่าว และการที่จะแฮกเข้าถึงข้อมูลส่วนนี้จะต้องใช้เครื่องมือถึง 3 ตัว ซึ่งเมื่อดูจากข้อมูลพบว่า นายไนออลมีเจตนาแฮกเข้าระบบ และกำลังพิจารณาว่าจะดำเนินการอย่างไรกับนักวิจัยรายนี้หรือไม่"

ข่าวที่เกี่ยวข้อง :