อัปเดต: ไปรษณีย์ไทยออกแถลงยืนยันว่าข้อมูลที่หลุดออกไปนั้นไม่ใช่ข้อมูลของลูกค้าแต่อย่างใด และเป็นข้อมูลเก่า ซึ่งอย่างที่บอกไปก่อนหน้านี้ ลักษณะของข้อมูลจะเป็นแนวเกมเก็บคะแนน ตรงกับแถลงการณ์ของไปรษณีย์ไทยที่ออกมาเป็นระบบ Gamification เพื่อสะสมแต้มเพื่อชิงรางวัลนั่นเอง
จากการสำรวจระบบ Gamification ที่เป็นเกมเสริมทักษะที่รั่วไหลออกมานั้น จะเป็นเกมสำหรับ “เจ้าหน้าที่นำจ่าย” ซึ่งสามารถดาวน์โหลดได้ทั้งบน Android หรือ iOS แต่ในตอนนี้ไม่มีการใช้งานระบบดังกล่าวแล้ว
อย่างที่บอกไปนั้น เกมนี้เป็นเกมสำหรับเจ้าหน้าที่ของไปรษณีย์ไทย ก็สมเหตุสมผลกับรายงานก่อนหน้านี้ที่มีข้อมูลของพนักงานเป็นส่วนใหญ่ แต่สำหรับคนที่ไม่มีข้อมูลก็สามารถลงทะเบียนใหม่ได้เช่นกัน โดยจะต้องใช้หมายเลขประจำตัวประชาชน 13 หลักในการลงทะเบียน นั่นจึงเป็นสาเหตุให้มีหมายเลขประจำตัวประชาชน 13 หลัก โดยที่ข้อมูลเหล่านี้ไม่ได้เป็นข้อมูลลูกค้าที่ใช้บริการของไปรษณีย์ไทยแต่อย่างใด
เย็นวันนี้ (4 ก.พ. 2564) มีเพจเฟซบุ๊กได้โพสต์รายงานถึงช่องโหว่เกี่ยวกับการเข้าถึงฐานข้อมูลของไปรษณีย์ไทย พบข้อมูลส่วนตัวของผู้ใช้และพนักงานหลุดออกไปกว่า 4 หมื่นรายการ โดยมีลักษณะเป็นฐานข้อมูลในบริการ Firebase Realtime Database จาก Google
เมื่อลองสืบดูแล้วนั้นข้อมูลที่หลุดออกมานั้น จะเป็นข้อมูลผู้ใช้ที่ได้ทำการลงทะเบียนเพียง 209 รายการเท่านั้น ซึ่งประกอบไปด้วยข้อมูล ชื่อ-นามสกุล, เบอร์โทรศัพท์, หมายเลขประจำตัวประชาชน 13 หลัก, และวันเดือนปีเกิด
"": {
"birthday": "",
"fullname": "",
"password": "",
"phone": "",
"username": ""
},
ส่วนข้อมูลที่เหลือจะเป็นข้อมูลของพนักงานของไปรษณีย์ไทยกว่าอีก 40,563 รายการ นับว่าเป็นข้อมูลส่วนใหญ่ที่หลุดออกมา โดยประกอบไปด้วยข้อมูล ชื่อ-นามสกุล, เบอร์โทรศัพท์, วันเดือนปีเกิด, ฝ่าย, และแผนก ของพนักงานแต่ละคนของไปรษณีย์ไทยที่จะถูกแยกเป็น 4 ประเภท แต่จะไม่มีหมายเลขประจำตัวประชาชน 13 หลัก เหมือนกับในของส่วนข้อมูลผู้ใช้ที่เป็นการลงทะเบียน
"": {
"birthday": "",
"department": "",
"firstlogin":,
"fullname": "",
"game1": ,
"game2": ,
"game3": ,
"game4": ,
"game5": ,
"game6": ,
"id": "",
"is_player": "",
"level": "",
"locale": "",
"mobilephone": "",
"organization": "",
"password": "",
"phone": "",
"position": "",
"totalscore":,
"user_type_3": "",
"username": "",
"usertype": ""
},
แต่อีกหนึ่งข้อสังเกตนั้นคือ ข้อมูลเหล่านี้ของพนักงานที่หลุดออกมา จะมีลักษณะเป็นกิจกรรมภายใน มีการเก็บแต้มด้วย ซึ่งยังไม่มีการยืนยันแต่อย่างใดว่าเป็นข้อมูลใดกันแน่
สาเหตุของการหลุดของข้อมูลในครั้งนี้คาดว่าเป็นการตั้งค่าที่อาจจะไม่ได้มีระบบป้องกันไว้ทำให้ผู้ใช้ทั่วไปสามารถเข้าถึงข้อมูลได้ โดยบริการ Firebase Realtime Database จาก Google มีระบบที่ให้นักพัฒนาหรือผู้ดูแลสามารถตั้งค่าได้ว่าจะปกป้องฐานข้อมูลด้วยวิธีการใด
แต่อย่างไรก็ตามในขณะนี้ผู้ดูแลได้ปิดการเข้าถึงของผู้ใช้ทั่วไปเป็นที่เรียบร้อยแล้ว แต่เมื่อข้อมูลหลุดมาบนโลกอินเทอร์เน็ตก็ยากที่จะลบทิ้งไปแบบไร้ร่องรอย ทั้งนี้ต้องรอไปรษณีย์ไทยว่าจะเป็นการดำเนินการในรูปแบบใดต่อไป
{
"error" : "Permission denied"
}
————————————————————————————————————————————————————————–
ที่มา : Beartai / วันที่เผยแพร่ 4 กุมภาพันธ์ 2564
Link : https://www.beartai.com/news/it-thai-news/531285