ศุกร์ที่ 13 เมษายนที่ผ่านมา The Register สำนักข่าวเทคโนโลยีในสหราชอาณาจักร เปิดเผยว่า TrueMove H ค่ายผู้ให้บริการเครือข่ายโทรศัพท์ในไทยเผลอทำข้อมูลส่วนตัวผู้ใช้ซึ่งส่วนใหญ่เป็นสำเนาบัตรประจำตัวประชาชน ใบขับขี่ และพาสปอร์ต จำนวนกว่า 46,000 ราย รวม 32 GB หลุดบนคลาวด์เก็บข้อมูล Amazon S3 ตั้งแต่ช่วงเดือนมีนาคมที่ผ่านมา ทำให้ผู้อื่นเข้าถึงข้อมูลชุดดังกล่าวได้โดยไม่มีการป้องกันใดๆ (รวมถึงการดาวน์โหลด)
ไนอัลล์ เมอร์ริเกน (Niall Merrigan) นักวิจัยด้านความมั่นคงบนโลกไซเบอร์คือผู้ที่พบเห็นช่องโหว่และความสะเพร่าของ True ในครั้งนี้ และได้กล่าวโทษว่าค่ายผู้ให้บริการเครือข่ายโทรศัพท์เจ้านี้มิได้ดำเนินการแก้ไขปัญหาอย่างทันท่วงที ทั้งยังดำเนินการล่าช้าในการออกมาตรการป้องกันข้อมูลส่วนตัวของผู้ใช้
ไนอัลล์เริ่มติดต่อทวิตเตอร์แอ็กเคานต์ TrueMove H เมื่อวันที่ 8 มีนาคม และได้รับคำตอบว่าเขาจะต้องแจ้งปัญหาไปยังอีเมล True ก่อนที่สองวันถัดมาเขาได้ร้องเรียนกรณีปัญหาดังกล่าวไปยังค่ายผู้ให้บริการเครือข่ายโทรศัพท์ผ่านอีเมล [email protected] และได้รับคำตอบในวันที่ 12 มีนาคมว่า Truemove_care ไม่ได้มีหน้าที่แก้ปัญหาในส่วนนี้ และได้แนะนำให้ไนอัลล์ติดต่อไปยังเมลสำนักงานใหญ่เฉพาะวันทำการเท่านั้น (วันจันทร์-วันศุกร์ เวลา 8.00-17.00 น.)
ระหว่างนี้ ไนอัลล์ได้ขอคำปรึกษาจาก สก๊อตต์ ไฮลม์ (Scott Helme) ที่ปรึกษาด้านความมั่นคงสารสนเทศ เพื่อหาทางกดดันให้ True ต้องรีบออกมาดำเนินการแก้ไขปัญหาที่เกิดขึ้น โดยสก๊อตต์ได้แนะไนอัลล์ให้ติดต่อนักข่าวเพื่อเผยแพร่ประเด็นนี้ออกไปในวงกว้าง
กระทั่ง 19.00 น. ของพฤหัสบดีที่ 12 เมษายนที่ผ่านมา เขาเพิ่งจะพบว่า True ได้ดำเนินการปิดกั้นการเข้าถึงคลังข้อมูล Amazon S3 แล้ว แต่กว่ากระบวนการแก้ไขปัญหาครั้งนี้จะถูกสะสางก็กินระยะเวลาเกือบ 1 เดือนเต็ม
ฟาก กสทช. ได้มีคำสั่งเรียก True เข้ามาชี้แจงประเด็นดังกล่าวในวันอังคารที่ 17 เมษายน เวลา 9.30 น. กรณีทำข้อมูลบัตรประชาชนลูกค้าหลุดออกมาเป็นจำนวนมาก ซึ่งตาม พ.ร.บ. องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2553 กำหนดไว้ว่า ‘ผู้กระทำผิดมีโทษตามกฎหมาย หากผู้ประกอบการมีส่วนในความผิด จะถูกดำเนินคดีตามกฎหมาย และพักใช้ เพิกถอนใบอนุญาต โดย กสทช. เป็นผู้เสียหายตามกฎหมายด้วย’
นายฐากร ตัณฑสิทธิ์ เลขาธิการ กสทช. กล่าวว่า “หากเป็นการกระทำโดยเจตนา TrueMove H มีความผิดแน่นอน แต่ต้องได้รับข้อเท็จจริงจาก TrueMove H ก่อนเพื่อตรวจสอบข้อเท็จจริงว่าจะดำเนินการต่ออย่างไร ซึ่ง กสทช. ให้ความสำคัญต่อกรณีดังกล่าว เนื่องจากกระทบต่อข้อมูลส่วนบุคคลของประชาชนผู้ใช้บริการ จึงเร่งดำเนินการให้เร็วที่สุด เพื่อคุ้มครองประชาชนผู้ใช้บริการ”
ล่าสุด 14 เมษายนที่ผ่านมา True ได้ออกมาชี้แจงเบื้องต้นผ่าน ‘ไอทรูมาร์ท (iTrueMart)’ ใจความดังนี้ “จากกรณีที่มีข่าวเรื่องข้อมูลลูกค้าที่ลงทะเบียนใหม่ถูกเปิดเผยในที่สาธารณะนั้น ไอทรูมาร์ทรู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น ทันทีที่ทราบเรื่องดังกล่าว บริษัทฯ ก็มิได้นิ่งนอนใจ ได้ดำเนินการตรวจสอบอย่างละเอียดทันที
“กรณีดังกล่าวเกิดขึ้นกับการแฮ็กข้อมูลลูกค้าที่ได้ซื้อมือถือพร้อมแพ็กเกจบริการ TrueMove H โดยมีการลงทะเบียนซิมผ่านช่องทาง iTrueMart โดยล่าสุดทีมงาน iTrueMart ได้ดำเนินการแก้ไขเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูลลูกค้าแล้ว พร้อมทั้งจะมีการส่งแจ้งเตือนไปยังลูกค้ากลุ่มดังกล่าว เพื่อให้ทราบถึงมาตรการของบริษัทที่จะดำเนินการเพื่อป้องกันความปลอดภัยของข้อมูลลูกค้า หากถูกนำไปใช้ในทางที่ไม่ถูกต้อง
“ทีมงาน iTrueMart ขอยืนยันว่า บริษัทให้ความสำคัญสูงสุด เรื่องการปกป้องและรักษาข้อมูลส่วนบุคคลของลูกค้ามาโดยตลอด และสำหรับกรณีที่เกิดขึ้นนี้ บริษัทฯมิได้นิ่งนอนใจ โดยกำลังทำงานอย่างใกล้ชิดกับองค์กรผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ระดับโลก รวมถึงการดำเนินการทางกฎหมายเพื่อให้มั่นใจได้ว่า ข้อมูลของลูกค้าจะได้รับการดูแลปกป้อง ด้วยมาตรฐานสูงสุดทั้งในด้านเทคโนโลยีและทางกฎหมาย”
โดยสรุปก็คือ True ให้คำตอบว่าสาเหตุทั้งหมดเกิดขึ้นเพราะถูกแฮ็กเข้าระบบ ทำให้ข้อมูลลูกค้าที่ซื้อโทรศัพท์พร้อมแพ็กเกจ โดยลงทะเบียนซิมผ่านช่องทางเว็บไซต์ iTrueMart หลุดออกไป ซึ่งทันทีที่ทราบปัญหาทรูก็ไม่ได้นิ่งนอนใจและไม่ได้ดำเนินการล่าช้า
ปัญหาการรักษาข้อมูลส่วนตัวผู้บริโภคกำลังกลายเป็นวาระสำคัญที่ผู้ให้บริการแพลตฟอร์มต่างๆ ทั่วโลกจำเป็นจะต้องระมัดระวังและให้ความสำคัญเป็นอย่างมาก ดังตัวอย่างกรณี Facebook ทำข้อมูลส่วนตัวผู้ใช้หลุดไปกว่า 87 ล้านรายชื่อ ซึ่งส่งผลกระทบต่อความเชื่อมั่นและความน่าเชื่อถือขององค์กรในระยะยาวชนิดที่ไม่มีใครคาดคิด
ต่อจากนี้สิ่งที่ True จะต้องปฏิบัติคือการขึ้นชี้แจงต่อ กสทช. และจะต้องอธิบายพร้อมหากระบวนการเยียวยากลุ่มผู้บริโภคที่ได้รับความเดือดร้อนให้ได้ ขณะที่ผู้ให้บริการเครือข่ายโทรศัพท์มือถือหรือผู้ให้บริการแพลตฟอร์มเจ้าอื่นๆ ก็คงจะต้องเพิ่มความระมัดระวังและยกระดับมาตรการการเก็บรักษาข้อมูลส่วนตัวของลูกค้าให้มากกว่านี้ โดยประเด็นการป้องกันข้อมูลส่วนตัวผู้บริโภคน่าจะได้รับการพูดถึงกันอีกยาวๆ แน่นอนในปีนี้
อ้างอิง: