ผู้เชี่ยวชาญแจง!! ระบบการเก็บข้อมูลทรูฯ หละหลวมจริง!! หากข้อมูลหลุด มีความเสี่ยงสูงแน่นอน

วันที่ 19 เมษายน ผู้สื่อข่าวรายงานว่า หลังจากเกิดกรณีการรั่วไหลของข้อมูลหน้าบัตรประจำตัวประชาชน ของบริษัททรูมูฟเอช ไปเมื่อไม่นานมานี้ และกลายเป็นที่แตกตื่นของผู้ที่ใช้บริการอยู่ในบริษัทดังกล่าว ว่าอาจจะเกิดความไม่ปลอดภัยขึ้น จนกสทช. ต้องออกมาแจ้งให้บริษัทเข้ามาแจงรายละเอียดอย่างเร่งด่วน

ในปัจจุบันเรื่องการเก็บข้อมูลขององค์กรต่างๆ ที่นิยมใช้กันนั้น ก่อนอื่นต้องชี้แจงว่าปัจจุบันข้อมูลต่างๆ มีความซับซ้อนสูงกว่าอดีต มีข้อมูลจากหลายแหล่ง ทั้งจากเว็บไซต์ โทรศัพท์มือถือ แอพลิเคชั่น เป็นต้น บริษัทหรือองค์กรส่วนใหญ่จึงโยกย้ายไปใช้ Cloud แทน เพราะสามารถรองรับการเก็บข้อมูลเป็นจำนวนมากได้ นอกจากนี้การประมวลผลยังสามารถทำได้เร็วกว่า เซิร์ฟเวอร์แบบปกติขององค์กร คือ มีศักยภาพเหนือกว่ามาก

บริษัทเครือข่ายมือถือของไทยที่กำลังเป็นข่าวอยู่ในช่วงนี้ก็ใช้บริการของ Amazon ซึ่งเป็นบริษัทเดียวกันกับบริษัท Amazon.com ที่เรารู้จักกัน บริการตัวนี้เป็นบริการย่อยที่บริษัททำขึ้นมา ชื่อว่า Amazon S3 ซึ่งเป็นบริการรับจัดเก็บข้อมูลบน Cloud ซึ่งบริษัทที่เป็นข่าวนี้ก็ใช้บริการมาเป็น 10 ปี ซึ่งบริการ Amazon S3 นี้ ก็ได้รับการรับรองจากที่ต่างๆ ว่าเป็นผู้ให้บริการ Cloud อันดับหนึ่งด้านความปลอดภัย บริการ Cloud ของ Amazon ก็มีให้เลือกหลายรูปแบบ ซึ่ง Amazon S3 เป็นรูปแบบการเก็บแบบ Object Storage คือ ใช้เก็บข้อมูลต่างๆ ตามที่บริษัท หรือองค์กรนั้นๆ ต้องการเก็บ

จากการวิเคราะห์คาดว่าบริษัทเครือข่ายมือถือนี้ ใช้บริการชนิด Amazon EC2 เป็น Cloud ที่สามารถประมวลผลข้อมูลได้ด้วย องค์กรระดับโลกที่เช่า Cloud นี้ อาทิเช่น Netflix รวมไปถึงรัฐบาลของประเทศต่างๆ และบริษัทที่กำลังเป็นข่าวนี้ก็เป็นลูกค้าระดับแพลตตินัมของ Amazon คือเป็นลูกค้ารายใหญ่

เมื่อกล่าวถึงการเก็บข้อมูลของ Amazon S3 อธิบายเป็นขั้นตอนได้คร่าวๆ คือ ระบบจะสร้าง Bucket ที่มีลักษณะคล้าย Folder ขึ้นมา เป็นเหมือนถัง ที่มีหน้าโปรแกรมเอาไว้เข้าถงข้อมูลที่ใส่ไว้ ทุกครั้งเมื่อสร้าง Bucket ขึ้นมา ระบบจะมี URL ขึ้นมาด้วย เพื่อใช้ในการเข้าถึงจากทุกที่ ในกรณีของ Amazon คือ เมื่อสร้าง Bucket ขึ้นมา จะถูกระบุสถานะเป็นแบบ Private ทันที เพื่อให้ได้รับการปกป้อง

ต่อมาก็จะเป็นหน้าที่ของแอดมิน หรือผู้ดูแลระบบขององค์กรนั้น ที่ต้องเป็นผู้ควบคุม และแก้ไขการอนุมัติ และจัดการการเข้าถึงว่า จะอนุญาตให้ผู้ใดเข้าถึงได้บ้าง หรือจะตั้งเป็นสาธารณะเพื่อให้ใครเข้าถึงก็ได้

ส่วนในกรณีของบริษัทแห่งนี้ เกิดขึ้นเมื่อนาย Niall Merrigan ซึ่งเป็นนักวิจัยด้าน Network Security ซึ่งจะคอยใช้ Tools ชนิดต่างๆ คอยตรวจสอบ และค้นหา Bucket ที่เปิดสาธารณะไว้ ซึ่งเขาไม่ได้เจาะจงที่จะมาพบของบริษัทนี้ เมื่อเห็นว่า Bucket เปิดโล่ง และเห็นว่าเป็นข้อมูลที่มีความเสี่ยงสูง จึงจำเป็นต้องเตือนไปทางบริษัท จนกลายเป็นข่าวตามโด่งดัง

ด้านความเสี่ยงที่อาจจะเกิดขึ้น หากข้อมูลหน้าบัตรประจำตัวประชาชนที่อยู่ใน Bucket นี้ ซึ่งมีจำนวนประมาณ 11,400 ราย หลุดออกไป อธิบายคร่าวๆ ได้ว่า สำเนาหน้าบัตรประจำตัวประชาชนที่อยู่ใน Bucket นั้นถูกตีลายน้ำไว้ทั้งหมด แต่ปัจจุบันก็ไม่ใช่เรื่องยากที่จะนำลายน้ำเหล่านี้ออกไป

ยกตัวอย่างจากกรณีที่เคยเกิดขึ้นจริง โดยเฉพาะถูกปลอมแปลงบัญชีธนาคาร หรือบัตรเครดิต เมื่อปีที่แล้วเกิดเหตุการณ์ที่มีผู้หญิงรายหนึ่งทำบัตรประชาชนหาย ต่อมามีใบเสร็จเรียกเก็บเงินแจ้งหนี้กว่าแสนบาท เพราะมีมิจฉาชีพนำไปทำธุรกรรมทางการเงิน ซึ่งมิจฉาชีพเหล่านี้ ก็มีแนวทางที่จะทำได้ ดังนั้นระดับความเสี่ยงจึงขึ้นอยู่กับว่าสำเนาบัตรประจำตัวประชาชนนั้นอนู่ในมือของใคร

อีกหนึ่งความเสี่ยงที่อาจจะจะเกิดขึ้นคือ การปลอมแปลงบัตรประจำตัวประชาชน เพราะข้อมูลที่อยู่หน้าบัตรก็มีข้อมูลสำคัญครบเกือบทั้งหมด ทั้งรูปถ่าย ที่อยู่ วันเดือนปีเกิด การปลอมแปลงจึงไม่ใช่เรื่องยาก

ดังนั้นหากข้อมูลสำเนาบัตรประจำตัวประชาชนนี้หลุดออกไป จึงอาจจะส่งผลต่อความปลอดภัยทั้งชีวิต และทรัพย์สินได้