ประเด็นคือ – โปรแกรมเมอร์โต้ ทรูรู้แก่ใจว่าเป็นความผิดพลาด ขณะที่ไนออล แมร์ริแกน นักวิจัยด้านความปลอดภัย ผู้ค้นพบไฟล์ข้อมูลบัตรประชาชนของลูกค้าทรู ยืนยัน ไม่ได้แฮกข้อมูลแต่ใครก็สามารถเข้าไปดูได้
นายไนออล แมร์ริแกน ผู้ค้นพบข้อมูลบัตรประชาชนลูกค้าทรู ได้ออกมาเปิดเผยผ่านทางบล๊อกส่วนตัว ชี้แจงกรณีที่บริษัททรูมูฟเอช อ้างว่าถูกแฮกข้อมูลนั้น ไม่เป็นความจริงและไม่มีการแฮกข้อมูล เนื่องจากข้อมูลที่ค้นพบ ไม่ได้มีการป้องกันไว้แต่แรก จึงถือว่าเป็นข้อมูลที่รั่วไหล และคนทั่วไปที่ใช้เซิจเอนจิ้นอย่างกูเกิ้ล ก็สามารถเข้าถึงข้อมูลเหล่านี้และดาวน์โหลดเก็บไว้ได้
My god trying to find medium experience people in Cyber/InfoSec is hard..everyone is either 15 minutes or 15 years in the area..I am looking for people with 2 to 6 years to join my team in SVG or Oslo. RT appreciated DMs open
— Niall Merrigan (@nmerrigan) 4 มีนาคม 2561
นายไนออล บอกว่า เขาใช้เครื่องมือที่เรียกว่า s3-ncdu ในการตรวจสอบและคำนวณรายการไฟล์และขนาดไฟล์ในถังข้อมูล ทำให้เห็นโครงสร้างโฟลเดอร์ทั้งหมด พร้อมพบไฟล์เจเปคและพีดีเอฟจำนวน 45,736 ไฟล์ ซึ่งข้อมูลเหล่านี้สามารถเข้าถึงได้ตั้งแต่เมื่อไรไม่ทราบ แต่เข้าถึงได้จนวันที่ 12 เมษายนที่ผ่านมา และทันทีที่ค้นพบว่าข้อมูลไม่ถูกป้องกัน ก็ได้แจ้งกับบริษัททรูไปแล้วก่อนหน้านี้ อย่างไรก็ตาม ตั้งแต่เขาแจ้งว่าได้พบข้อมูลรั่วไหล ทางฝั่งบริษัททรูไม่ได้ติดต่อมาเพื่อซักถามเพื่อหาความชัดเจน
นายไนออล กล่าวว่า สาเหตุที่ข้อมูลไม่ถูกป้องกัน อาจมาจากความสะเพร่าของบริษัทที่ไม่ได้มีการตรวจสอบระบบอย่างเข้มงวด และขาดความรู้ความเข้าใจเกี่ยวกับผลกระทบด้านความปลอดภัย หรือแย่ไปกว่านั้น ผู้ดูแลระบบบางคนอาจปิดระบบป้องกันโดยบังเอิญ หรืออาจจะตั้งใจประสงค์ร้าย
ขณะที่ทรูมูฟ ยืนยันว่า ได้แก้ไขและปิดกั้นข้อมูลบัตรประชาชนลูกค้าจำนวน 11,400 ราย เพื่อไม่ใช้ผู้ใดสามารถจารกรรมข้อมูลสำคัญเหล่านี้ไปได้ โดยข้อมูลที่รั่วไหลออกมานั้น เป็นข้อมูลจากที่ลูกค้าใช้บริการซื้อเครื่องมือถือพร้อมเปิดซิมใหม่ผ่านระบบออนไลน์ของไอทรูมาร์ทเท่านั้น ส่วนข้อมูลลูกค้ารายอื่นๆ ไม่ได้รับผลกระทบใดๆ
ขณะที่นายธนานนท์ ปฏิญญาศักดิกุล โปรแกรมเมอร์ โพสต์วิดีโอผ่านเพจนายอาร์ม ถึงกรณีทรูทำข้อมูลบัตรประชาชนลูกค้าหลุด หลังจากทรูชี้แจงกับ กสทช.ว่าถูกเจาะข้อมูลด้วยเครื่องมือพิเศษ 3 ชั้น
“ผมนึกออกแค่ 2 ขั้นตอน คือ 1.สแกนหาลิงก์ 2.ดาวน์โหลด ซึ่งทรูบอกอีกว่าถ้าไม่ใช่ผู้เชี่ยวชาญนั้นไม่มีทางได้ไปแน่นอน ทั้งที่การทำบักเก็ตสแกนหรือหาลิงค์ที่หลุดออกมานั้นไม่ยากเลย แล้วถ้าหาลิงค์เจอครั้งเดียวแล้วคนก็แชร์กันต่อได้เรื่อยๆ ทำไมจึงบอกว่าเป็นเครื่องมือพิเศษ 3 ชั้น ผมไม่คิดว่าเป็นเครื่องมือพิเศษ แต่ง่ายเหมือนเดินไปซื้อค้อนมาตอกฝาบ้าน ทำไมจึงไม่ยอมรับว่า Amazon Storage S3 ที่ตั้งขึ้นมานั้น ค่าที่ตั้งไว้เริ่มแรกคือ Private ต้องมีคนไปกดเปลี่ยนเป็น Public ซึ่งการตั้งค่านี้มีการเก็บบันทึกไว้หมด”
นายธนานนท์ บอกว่า ข้อมูลทั้งหมดสามารถกลับไปดูว่าใครเป็นคนตั้งค่าให้เป็นสาธารณะ รวมถึงมีบันทึกว่าไฟล์ถูกดาวน์โหลดไปแล้วกี่ครั้ง ทรูต้องแจ้งกับ กสทช. เชื่อว่า วิศกรในทรูรู้แก่ใจว่าเป็นความผิดพลาด แต่ผู้บริหารกลับบอกว่าโดนแฮ็ก รวมถึงที่มีคนมาเสนอให้ดำเนินคดีกับนักวิจัยที่พบลิงก์นี้แล้วมาเตือน กลายเป็นว่าคนทำดีกลับจะถูกลงโทษ …
https://www.facebook.com/castby9arm/videos/1904584162945748/
