เล่าเรื่องประเด็นที่ TrueMove H ทำสำเนาบัตรประชาชนของลูกค้าหลุด และเราต้องเรียนรู้อะไรจากเรื่องนี้บ้าง ?

เปิดฉลองปีใหม่ไทยด้วยข่าวอึกกระทึกในข่าวที่ TrueMove H ได้ทำสำเนาบัตรประชาชนของลูกค้าหลุด โดยมีข้อมูลย้อนหลังตั้งแต่ปี 2016 ถึงจนถึงปัจจุบัน (2018) วันนี้เราจะลองมาไล่ Timeline กันว่า จริง ๆ แล้วมันเกิดอะไรขึ้นบ้าง

จุดเริ่มต้นจากนาย Niall Merrigan

Niall Merrigan ที่เป็นนักวิจัยด้านความปลอดภัยอยู่ในประเทศนอร์เวย์ ย้อนกลับไปเมื่อตอน มกราคมปี 2018 ที่งาน NDC London มีตัวละครอีกคนชื่อ Scott Helme ได้พูดถึงเทคนิคนึงในการที่จะ ค้นหา Buckets ใน Amazon S3

หยุดก่อน ก่อนที่เราจะไปกันต่อ เผื่อคนที่ไม่ใช่สาย Tech มาอ่านจะได้เข้าใจมากขึ้น Amazon S3 เป็น Cloud Service หนึ่งจากเว็บ E-Commerce เจ้าดังของโลกอย่าง Amazon ซึ่งเจ้า S3 เนี่ยจริง ๆ ชื่อเต็ม ๆ ของมันคือ Amazon Simple Storage Service (เห็นม่ะ มี 3S) ซึ่งหน้าที่ของมันคือ การรับฝากไฟล์นั่นเอง โดยลักษณะของการเก็บคือ เราจะต้องสร้างสิ่งที่เรียกว่า Buckets ขึ้นมา นึกภาพว่ามันเป็น ตระกร้า ไว้เก็บไฟล์ต่าง ๆ ที่เราโยนเข้าไป โดยเมื่อเราสร้าง Buckets เราก็จะได้ Link ตัวหนึ่งออกมาสำหรับเข้าถึง โดยที่เราสามารถตั้งได้ว่า เราจะให้ Buckets นี้สามารถเข้าถึงได้จากที่ไหน หรือยังไงบ้าง ได้อย่างละเอียด

กลับมาต่อ Mr.Helme ก็ได้พูดถึงเทคนิคหนึ่งที่ใช้ในการหา Buckets ที่ลอยอยู่เต็มอินเตอร์เน็ตไปนี่แหละ โดยอาศัยเทคนิคชื่อ Certificate Transparency ที่เราจะต้องเข้าไปหาการสร้าง Certificate ใน Log ที่เกิดขึ้นเวลาเราสร้าง Bucket ใหม่ แล้วทำให้เราเอาชื่อไปหาต่อได้

แน่นอนว่า เทคนิคนี้ก็ไม่ได้เป็นเทคนิคที่ยากอะไร ถ้าเรียนคอมพิวเตอร์มาก่อนน่าจะเข้าใจได้อย่างไม่ยากเท่าไหร่ และแน่นอนอีกว่ามีคน Implement เทคนิคนี้ออกมาเล่นกันแล้วบน Github จากเทคนิคนี้ เราก็จะได้มาแค่ URL หรือที่อยู่ของ Bucket เท่านั้น ซึ่งก็ไม่ได้ทำให้เรารู้ได้ว่า อะไรอยู่ข้างในตระกร้าอันไหนบ้าง

เราจะรู้ได้ก็ต่อเมื่อเราเปิดดูที่ละอันนี่แหละ แต่การที่เราจะเปิดได้ มันก็ต้องขึ้นอยู่กับเจ้าของตระกร้าอีกว่า เขาตั้งไว้ให้เราเปิดได้ยังไง ตั้งรหัสผ่านมั้ย หรือยังไงก็แล้วแต่ (มันตั้งได้หลายอย่างมาก ๆ) สนุกกว่านั้น มันมี Tool ชื่อ bucket-finder ที่เป็นโปรแกรม ที่เราให้ List ของ Amazon S3 Bucket URL ลงไป มันก็จะกรองออกมาได้ว่า อันไหนสามารถเข้าถึงได้ตรง ๆ (Public) หรืออันไหนที่ต้องมีการยืนยันตัวก่อนถึงจะเข้าได้ (Private)

เพราะจริง ๆ การที่เราเปิด Bucket เป็น Public ก็ไม่ได้ผิดอะไรที่อาจจะต้องการให้คนอื่นอัพโหลดไฟล์บางอย่างเข้ามา หรืออะไรก็ตามแต่แหละ แต่เมื่อข้อมูลที่เราเก็บเป็นข้อมูลที่เป็น Sensitive Data แล้วละก็ การเปิดเป็น Public ไว้ก็ไม่ต่างกับการที่เราเอาเครื่องเพชร วางไว้หน้าบ้านนั้นแหละ

เจอของเด็ดใน Bucket

ระหว่างที่ Mr.Helme ก็กำลังเล่นอยู่นั่นเอง เขาก็ไปสะดุดตากับ Bucket ตัวนึงที่มี Folder ชื่อว่า truemoveh ซึ่งเมื่อเขาเปิดเข้าไปอีก ก็เจอ Folder ที่ในนั้นมีไฟล์อยู่มากกมาย โดยที่ส่วนใหญ่เป็นไฟล์ JPG กับ PDF แต่สิ่งที่ทำให้สะดุดตามากกว่า สกุลไฟล์คือ Format ของที่อยู่ไฟล์เป็น truemoveh/idcard/YYYY/MM/FILENAME

I checked the first couple of files in the directory and it was a picture of a Minion from Despicable Me and some were logos. This led me to believe that it was a development server, but the site name contained -prod, so I scrolled further down and opened a later file which was a scanned ID card of a Thai citizen. - Niall Merrigan

จากข้อความด้านบน เอามาจาก Blog ของ Mr.Merrigan โดยมีเนื้อความว่า ตอนแรกเขาก็เปิดไฟล์ในนั้นสัก 2-3 ไฟล์ขึ้นมาก็เป็นรูปของ Minion จากเรื่อง Despicable Me กับ Logo ทำให้เชื่อว่า Bucket ตัวนี้สร้างมาเพื่อทดสอบเฉย ๆ แต่ Site name มันมีคำว่า -prod (prod แปลว่า Production หรือโปรแกรมที่ขึ้นงานจริงแล้ว) ก็เลยเลื่อน ๆ ลงมาดูก็เจอ สำเนาบัตรประชน

Mr.Merrigan ยังบอกอีกว่า ใน Bucket นั้นมีขนาด 32GB และมีราว ๆ 46,000 กว่าไฟล์อยู่ในนั้น โดยเรียงเป็นปี ๆ ตั้งแต่ 2016 ถึง 2018

แจ้งข่าวให้กับ TrueMove H

หลังจากที่ Mr.Merrigan ได้พบช่องโหว่ดังกล่าวแล้ว ด้วยความที่เขาเป็น White Hat Hacker ก็ได้ทำการแจ้งไปที่ TrueMove H ในวันที่ 8 มีนาคม 2018 และได้ทำการส่ง Full Report ของช่องโหว่นี้ไปในอีก 2 วันถัดไป 10 มีนาคม 2018

และก็ได้รับการติดต่อกลับมาว่า "ที่บริษัทไม่มีหน่วยงานด้านความปลอดภัย ให้ติดต่อไปทางสำนักงานใหญ่จะดีกว่า"

เปิดงานเรียกพวก !!!!

เมื่อ Mr.Merrigan ก็อ่านอีเมล์ที่ทาง TrueMove H ได้ตอบกลับมาก็ ตกใจ (เขาเขียนว่า was quite shocking) เขาก็ต้องหาวิธีจัดการกับปัญหานี้ โดยเขาก็ได้ติดต่อไปหา Mr.Helme คนที่แนะนำวิธีนี้มาแต่แรก โดยเขาให้คำแนะนำว่า เนี่ย !! ให้ติดต่อไปที่นักข่าวเลย ให้นักข่าวเนี่ยช่วยสร้างแรงกดดัน

โดย Mr.Merrigan ก็โอเคตามนั้น เลยไปติดต่อกับตัวละครอีกคนหนึ่งชื่อ John Leyden ที่อยู่ที่ The Register พร้อมทั้งส่งอีเมล์กลับไปหา TrueMove H อีกครั้งในวันที่ 4 เมษายน 2018 ว่า ถ้ายังไม่แก้ไขปัญหานี้ จะทำการปล่อยข้อมูลชุดนี้ออกสู่สาธารณะทันที

จนวันที่ 4 ก็ได้มีอีเมล์ตอบกลับมาว่า ทาง TrueMove H ได้รับทราบปัญหาเรียบร้อยแล้ว และกำลังอยู่ในระหว่างการแก้ไข

ผ่านไปจนถึงวันที่ 12 เมษายน 2018 Mr.Merrigan ก็ได้เข้าไปเช็คอีกครั้ง และพบว่า Bucket ได้ถูกตั้งค่าเป็น Private เรียบร้อยแล้ว

สรุปสุทธิแล้ว Bucket ขนาด 32 GB นี้เปิดค้างอยู่บนโลกออนไลน์ปล่อยให้คนเข้ามาโหลดได้กว่า เป็นเดือน ๆ โดยที่ในนั้นมีสำเนาบัตรประชาชนอยู่มากมาย

หงายการ์ด "หนูถูก Hack!!"

การ์ด "หนูถูก Hack!!" คงเป็นการ์ดที่หลาย ๆ คนชอบใช้เมื่ออะไรก็ตามที่เป็น Account ของเราเกิดไปสร้างความเสียหายอะไรขึ้นมา Effect มันก็คือ เราจะไม่ผิด ! (ได้เหรอ ????)

หลังจากนั้นวันที่ 14 เมษายน 2018 ก็มีจดหมายชี้แจงจาก iTrueMart (เอามาจากข่าว True แถลงกรณีข้อมูลหลุด เป็นข้อมูลการลงทะเบียนซิมผ่าน iTruemart โดนแฮ็ก) มาโดยมีส่วนที่สำคัญดังนี้

1. ข้อมูลที่หลุดออกไปดังกล่าว เป็นการ hack ข้อมูลลูกค้าที่ได้ซื้อมือถือพร้อมแพคเกจบริการทรูมูฟ เอช โดยมีการลงทะเบียนซิมผ่านช่องทาง iTrueMart
2. โดยล่าสุดทีมงานไอทรูมาร์ท ได้ดำเนินการแก้ไขเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูลลูกค้าแล้ว
3. มีการส่งแจ้งเตือนไปยังลูกค้ากลุ่มดังกล่าว เพื่อให้ทราบถึงมาตรการของบริษัทที่จะดำเนินการเพื่อป้องกันความปลอดภัยของข้อมูลลูกค้า หากถูกนำไปใช้ในทางที่ไม่ถูกต้อง

มาดูกันทีละข้อละกัน โดยเริ่มจากข้อที่ 1 ที่ว่าข้อมูลใน Bucket ที่เห็นเป็นข้อมูลของ iTrueMart ถูก Hack ไปอีกทีนึง ซึ่งเป็นข้อมูลของลูกค้าที่ซื้อมือถือพร้อม Package แล้วลงทะเบียนซิมผ่าน iTrueMart

จากข้อ 2 คือได้ ดำเนินการแก้ไขเรียบร้อยแล้ว เลยทำให้ งง กับข้อ 1 ที่ว่า ไหนถูก Hack ไปไง แล้วคือ นายโทรไปหา Hacker ให้ปิดเป็น Private งั้นเหรอ ? งงมากมาย กับอีกจุดคือมันขัดกับที่ Mr.Merrigan บอกว่ามันเปิดเป็น Public อ้าซ่าเลย ไม่ต้อง Hack เพราะแกเล่นเปิดประตูบ้านทิ้งไว้ในเดินเข้าเลย

ส่วนข้อ 3 นี่ก็ยังไงไม่รู้เหมือนกัน เพราะผมไม่ได้เคยใช้บริการ iTrueMart มาก่อนจากข้อมูลในข้อ 1 ทำให้ผมไม่น่าจะเป็นเหยื่อของการหลุดในครั้งนี้ ทำให้ไม่ได้รับการแจ้งใด ๆ อยู่แล้ว

พ่อใหญ่เรียกลูกมาคุย

หลังจากที่ข่าวออก กสทช หรือที่มีชื่อยาว ๆ ว่า สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือเจ้าเดียวกับที่เปิดประมูลสัมปทานการใช้คลื่นความถี่เพื่อทำ 3G, 4G นั่นแหละ ก็ได้เตรียมให้ทาง TrueMove H เข้าชี้แจงกันในวันที่ 17 เมษายน 2018 ว่ามันเกิดอะไรขึ้น

โดยหาก TrueMove H ทำผิดจริง ก็จะเข้าข่ายผิด "พรบ. โทรทัศน์และโทรคมนาคม พศ.2553" ว่าเป็นการกระทำโดยเจตนาหรือไม่ และถ้าใช่ก็จะถูกดำเนินคดีตามกฏหมายแน่นอน (ถ้ากฏหมายยังมีจริงอยู่นะ ? ทำหน้ายิ้มแอ๊บแบ๊ว อะฮิ ~)

จากเหตุการณ์นี้เรามองเห็นอะไร ?

หลาย ๆ คนก็น่าจะมีคำถามว่า ที่มาเล่านี่คือจะมาเหยียบซ้ำ ? อ๋อเปล่าไม่ใช่ แต่เป้าหมายจริง ๆ ของที่มาเขียนยาว ๆ นี้เพื่อให้เรื่องนี้เป็นอุทาหรณ์ และ Case Study นึงใน 2 ประการดังนี้

เรื่องแรกคือเรื่อง Security Awareness หรือภาษาไทยแปลว่า ความตระหนักรู้ในเรื่องของความปลอดภัย

กับอีกเรื่องคือเรื่องของ Identity Theft หรือการ ขโมยตัวตน ที่เป็นเรื่องที่น่ากลัวมาก ๆ ในยุคปัจจุบัน

Security Awareness

เรื่องของ Security Awareness เป็นเรื่องของความตระหนักรู้ในเรื่องของความปลอดภัย โดยปกติแล้ว ถ้าสมมุติว่า เราทำงานอยู่ในองค์กรหนึ่งที่อาจจะมีข้อมูลที่ไม่ควรเปิดเผยอยู่ หรือเราเรียกว่า Confidential Data ถ้าเกิดมันถูกปล่อยออกมา นั่นก็อาจทำให้องค์กรของเราเสียชื่อเสียงได้

ซึ่งวิธีการไม่ให้ข้อมูลรั่วได้ดีที่สุด คือ การไม่มี ข้อมูลนั้น ๆ ซึ่งมันก็เป็น Ideal Solution ใครมันจะไปทำได้ฟร๊ะ !!! ในโลกแห่งความเป็นจริงมันไม่ใช่ไง ซึ่งข้อมูลเหล่านี้ก็อาจจะมีการทำให้แค่คนบางคนเข้าถึงได้ เพื่อเป็นการปิดรักษาความลับได้ง่ายขึ้น

ปัญหามันอยู่ที่ คน ละว่า คนที่สามารถเข้าถึงข้อมูลลับ ๆ ได้เนี่ย จะปกป้องความลับได้รึเปล่า ไม่ใช่เดินไปบอกว่า

เฮ้ย ๆ แก ๆ เรามีข้อมูลลับนะ @$@$!@#$#@ แล้วอย่าไปบอกใครละ !!!! เหยียบไว้เลยนะ เกร์ !!

คิดกันเหรอว่า การที่พูดแบบนี้ออกมา คน โดยเฉพาะคนไทย อยากจะเก็บไว้เป็นความลับคนเดียว มันให้ผลตรงข้ามเลย ยิ่งคันปาก คันไม่หยุด !!!! 🤬 อยากจะพูดต่อไปอีก เพราะฉะนั้นเรื่องของการรักษาความลับจึงเป็นเรื่องที่สำคัญมากในองค์กร ไม่ใช่แค่เรื่องนี้เท่านั้น การใช้งานอุปกรณ์ให้มีความปลอดภัยก็เป็นอีกเรื่องที่สำคัญเช่นกัน เช่นการที่ทำงานเสร็จแล้วจะลุกออกจากโต๊ะก็ Logout ออกทุกครั้ง เพื่อไม่ใครมาใช้เครื่องเราในตอนที่เราไม่อยู่

เรื่องพวกนี้แหละคือตัวอย่างของ Security Awareness ที่ทุกคนควรจะมี ไม่ว่าคุณจะใช้งานเครื่องคอมพิวเตอร์หรือไม่ ไม่ว่าจะทำงานอยู่ในองค์กรหรือไม่ก็ตาม เรื่องนี้เป็นเรื่องที่สำคัญมาก โดยปกติองค์กรใหญ่ ๆ ก็จะมีการอบรมในเรื่องนี้อยู่เป็นประจำอยู่แล้ว ยอมเสียตังค์จ้างคนมาอบรมดีกว่า ชิบหาย ข้อมูลหลุด

จากตรงนี้ อาจจะงง กันว่าแล้วมันเกี่ยวอะไรกับเคสนี้ ย้อนกลับไปที่เคสของ TrueMove H กันสักนิดนึง ตรงที่ Mr.Merrigan ได้แจ้งไปที่ TrueMove H แล้วได้รับอีกเมล์ตอบกลับมาว่า "ที่บริษัทไม่มีหน่วยงานด้านความปลอดภัย ให้ติดต่อไปทางสำนักงานใหญ่จะดีกว่า" ถ้าเป็นคนพนักงานที่มี Security Awareness มากหน่อย เมื่อได้รับอีเมล์ทำนองที่ Mr.Merrigan ส่งไปก็น่าจะช๊อค และวิ่งหาหัวหน้าจนออฟฟิศแตก มากกว่าที่จะส่งเมล์หาหัวหน้าแล้วสะบัดตูดกลับบ้านเลยละ เพราะมันส่งผลต่อทั้งภาพลักษณ์และการบริการเป็นอย่างมาก ในขณะที่ TrueMove H ตอบกลับมาแบบนี้คือ ยังไง ? และกว่าจะแก้ได้คือเป็นเดือน ๆ คือยังไง ?

Identity Theft

มาที่อีกเรื่องคือ Identity Theft หรือ การขโมยตัวตน ที่เป็นเรื่องที่น่ากลัวมาก ๆ สิ่งหนึ่งที่เราใช้ในการยืนยันตัวเราในประเทศเราคือ บัตรประชาชน หรือถ้าเป็น USA ก็จะเป็น Social Security Number หรือ SSN จากตรงนี้ ทำให้เราเห็นว่า เลข และบัตร ก็ทำให้เราสามารถยืนยันตัวตนกับใครก็ได้ในประเทศได้แล้ว

ทำให้การได้ บัตรประชาชน หรือ เลขบัตรประชาชนที่อยู่ในบัตรไปก็สามารถเอาไปทำอะไรก็ได้แล้ว เช่นการเปิดบัญชีธนาคาร ยันกู้เงินเป็นต้น เราก็สามารถพูดได้เลยว่า เลขบัตรประชาชนเป็นสิ่งที่เรียกว่า ตัวตน (Identity) ของเราเลยก็ว่าได้ เพราะมันไม่ได้ซ้ำกับใคร เป็นตัวเลขชุดเดียวที่ใช้ในการยืนยันตัวตนของเรา

เช่นเวลาเราจะไปซื้อโทรศัพท์เครื่องใหม่ ถ้าจำได้ ทางร้านก็จะขอบัตรประชาชนของเราไปถ่ายแล้วเอามาให้เราเซ็นต์สำเนาถูกต้อง หรือเราจะไปเปิดบัญชีก็ต้องทำเช่นเดียวกันเลย

ถ้าสมมุติว่า มีคนเกิดได้สำเนาบัตรประชาชนของเราไปได้แล้วคิดว่า จะเกิดอะไรขึ้น ?

นั่นมันก็คือ เขาสามารถเอาสำเนาบัตรประชาชนของเราไปทำอะไรก็ได้อย่างที่ได้กล่าวไป ตั้งแต่เปิดบัญชีธนาคาร ยันกู้เงิน โดยที่ไม่ได้ใช้ชื่อของเขาเลย ถ้ามีอะไรเกิดขึ้น เขาก็ไม่ได้ผิด เพราะเขาไม่ได้ทำเรื่องด้วยชื่อตัวเอง แต่เขาทำเรื่องด้วยชื่อของเราทำให้เราก็กลายเป็นคนผิดไปเลยในทางกฏหมาย

ไม่ใช่แค่เรื่องของบัตรประชาชนอย่าเดียวนะ เพราะในปัจจุบัน ตัวตน ของเราก็มีอยู่หลากหลายอันเหลือเกิน เช่น Email และ Social Network Account ของเรา เรื่องของ Social Network อันนี้อาจจะใกล้ตัวเราหน่อย

ถ้าเกิด สมมุตินะว่า วันดีคืนดี มีคนเอา Facebook Account ของเราทักไปหาลุงตู่ ด่าซะยับ คิดว่า ถ้าลุงตู่จะซิ่วใคร ลุงจะซิ่วใครเป็นคนแรก ?

ก็คงต้องเป็นเราใช้มั้ย ทั้งที่เราไม่ได้ทำอะไรเลยนะ แต่เราก็ได้ไปนั่งรถทหารเล่น ไปค่ายทหารปรับทัศนคติเฉยเลย 🍕 ในขณะที่คนที่เอา Account เราไปกลับไม่โดนอะไรสักอย่าง รอดซะงั้น !! 😰

โดยเฉพาะในปัจจุบันที่เรามีตัวตนบนโลกออนไลน์เยอะมากขึ้นเรื่อย ๆ การขโมยตัวตนในโลกออนไลน์ก็มีสถิติที่มากขึ้นเรื่อย ๆ เป็นเงาตามตัวเลยละ ดังนั้นการป้องกันซะก่อนที่จะเกิดเรื่องก็เป็นทางเลือกที่ดีในการที่เราจะไม่ซวยเป็นเหยื่อของการขโมยตัวตน เริ่มต้นได้ง่าย ๆ ด้วยการระวังตัวมากขึ้น และงดการเข้าถึงสิ่งที่เราไม่แน่ใจหรือไม่รู้ก็น่าจะช่วยได้ในระดับหนึ่งแล้ว

สรุป

ที่เขียนมาซะยาวยืดนี่คือ อยากจะเขียนอยู่ 2 เรื่องคือเรื่องของ Security Awareness และ Identity Theft ที่เป็นเรื่องที่สำคัญมาก ๆ ที่ทุกคนควรจะมีติดตัวไว้ให้มากขึ้น โดยเฉพาะความเชื่อสุดประหลาดของคนไทยที่ว่า เครื่องเราไม่มีอะไรหรอก ไม่ต้องป้องกันก็ได้ นั่นเป็นประโยคหนึ่งที่ขาด Security Awareness และกลายเป็นเหยื่อของ Identity Theft มานัดต่อนัดแล้ว ส่วนเรื่องของ TrueMove H จะเป็นอย่างไรต่อ ก็รอติดตามในข่าวกันในช่วงวันที่ 17 เมษายนนี้ที่ทาง กสทช. เรียก TrueMove H เข้าไปคุย สำหรับวันนี้สวัสดี โชคดีปลอดภัยกันทั้งในโลกออนไลน์และโลกแห่งความเป็นจริงนะฮ่ะ ~

References :

1. Another telco is failing at security
2. FAQ I True Mart data leak
3. True แถลงกรณีข้อมูลหลุด เป็นข้อมูลการลงทะเบียนซิมผ่าน iTruemart โดนแฮ็ก
4. iTruemart ส่งจดหมายขอโทษข้อมูลลูกค้า TrueMove H หลุด ด้าน กสทช. พร้อมสอบเอาผิด