สกมช.ส่งโนติสถึงขนส่งชื่อดัง หลังพบข้อมูลรั่วอื้อ แฮกฯแค่เบอร์ก็เจอบ้าน

 

 

ขนส่งพัสดุเสี่ยง ข้อมูลที่อยู่ลูกค้ารั่วถึงมิจฉาชีพ แค่ค้นเบอร์ก็เจอบ้าน สำนักงานไซเบอร์ฯออกโรงเตือน เอกชนเข้มงวดตฝระบบหลังบ้านให้ปลอดภัย หลังพบกรณีนำข้อมูลที่อยู่ขายให้ แก๊งโอริโอ้ พร้อมแนะเทคนิคป้องแฮกเกอร์ ก่อนเสี่ยงผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

 

จากกรณีที่ พล.ต.ท.ไตรรงค์ ผิวพรรณ ผู้บัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี หรือ ตำรวจไซเบอร์ แถลงผลการดำเนินคดีเครือข่าย แก๊งโอริโอ้ จากกรณีสืบเนื่องจากเกม FiveM ซึ่งเป็นการขยายผลจากการจับนายรัชพล เยาวชนอายุ 16 ปี แอดมินที่คอยขายข้อมูลส่วนบุคคลให้กับแก๊งโอริโอ้ จนพบข้อมูลเชื่อมโยงไปยัง นายวิชัย อายุ 31 ปี ที่มีการนำข้อมูลส่วนบุคคลจากบริษัทขนส่งเอกชนชื่อดังมาขายในระบบ และจ้างนายรัชพลเป็นผู้ดูแล โดยให้ค่าตอบแทนแบบแพ็คเกจรายวัน 300 บาท รายสัปดาห์ 1,000 บาท และรายเดือน 2,500 บาท นั้น

 

 

พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) กล่าวว่า จากการทำงานร่วมกันอย่างใกล้ชิดระหว่างสำนักงาน สกมช. กับตำรวจไซเบอร์ พบว่า ข้อมูลที่อยู่อาศัยของผู้ใช้บริการกับบริษัทขนส่งเอกชนชื่อดังที่ถูกนำออกมาขายนั้น เกิดจากระบบส่วนกลางที่เป็นฐานข้อมูลที่อยู่ของลูกค้าใช้ API (Application Programing Interface) เชื่อมต่อไปยังระบบหลังบ้านของทั้งสาขาเอกชนโลจิสติกส์ขนส่งทั่วประเทศทั้งบนคอมพิวเตอร์และโทรศัพท์มือถือ

 

 

ซึ่งเป็นการเข้าผ่านการเข้ารหัสยูเซอร์เนม พาสเวิร์ด ด้วยตัวเลข ที่มีความเสี่ยงต่อการถูกแฮก การค้นหาที่อยู่ของผู้ใช้บริการหาโดยง่ายเพียงกรอกเบอร์โทรศัพท์ก็สามารถรู้ที่อยู่บ้านปัจจุบัน นอกจากนี้ระบบยังมีการเปิดเผย ซอร์สโค้ด ให้เห็นได้ง่ายในที่สาธารณะอีกด้วย

 

 

กรณีเด็กอายุ 16 ปี จึงนำคีย์ของระบบหลังบ้าน หรือ API Key มาเขียนโปรแกรมครอบไว้ให้เป็นเหมือนเว็บไซต์ทั่วไป เปิดให้บริการกับกลุ่มคนที่ต้องการข้อมูลที่อยู่ สามารถใช้เบอร์โทรศัพท์เข้าไปค้นหาที่อยู่อาศัยได้ เปรียบเสมือนเป็นหน้าร้านของบริษัทจนส่งชื่อดัง จนเกิดกรณี เครือข่ายแก๊งโอริโอ้ นำเบอร์โทรศัพท์คู่กรณีไปค้นหาบ้านจนทำให้เกิดคดีในที่สุด

 

 

พล.อ.ต.อมร กล่าวว่า ในต่างประเทศก็มีตัวอย่างภัยไซเบอร์จากความประมาทของนักพัฒนาหลายกรณี อาทิ โค้ดรั่วไหล กรณี นิสสัน ในปี 2564 ที่มีการตั้งค่าเซิร์ฟเวอร์ผิดพลาด ทำให้ซอร์สโค้ดถูกเปิดเผยต่อสาธารณะ กรณีรหัสผ่านถูกแฮก ของ อูเบอร์ ในปี 2565 โดยมีการฝังรหัสผ่านในโค้ด ทำให้แฮกเกอร์พบและเข้าถึงระบบได้ และกรณี API Key หลุดของ Twitter หรือ X ในปี 2563 ด้วยการใส่ API Key ไว้ในโค้ด จนแฮกเกอร์นำไปใช้เพื่อโจมตีระบบ เป็นต้น

 

 

เรื่องซอร์สโค้ดถูกเปิดเผย น่าจะเกิดขึ้นมากกว่า 2 ปีแล้ว แต่กรณีเด็กอายุ 16 ปี น่าจะเพิ่งทำได้เพียง 2-3 เดือน และน้องก็ให้ผู้ใช้บริการโอนเงินให้ตัวน้องเอง ไม่ได้ใช้บัญชีม้า การหาตัวจึงง่าย เรื่องนี้ สกมช.ได้แจ้งไปยังบริษัทขนส่งชื่อดังเจ้านั้นแล้ว เมื่อ 2-3 สัปดาห์ที่ผ่านมารวมถึงประสานไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ให้ดูแลเรื่องนี้ต่อไปด้วย

 

 

ตามข่าวที่ออกมาในช่วงแรกที่ระบุว่ามีการเข้าถึงข้อมูลทะเบียนราษฎรแต่เมื่อมีการสืบสวนเชิงลึกก็พบว่า ข้อมูลข้างต้นเป็นไม่อัพเดท แต่ข้อมูลจากบริษัทขนส่งเวลาส่งสินค้าออนไลน์แม่นยำมาก และระบุที่อยู่ได้ถูกต้อง เช่น บ้านเลขที่… มีโต๊ะม้าหินอ่อน มีถังขยะวางด้านหน้า หรือบางคนที่อยู่จะเป็นต่างจังหวัด แต่ที่พักอาศัยจริงคือคอนโดมีเนียม ก็จะระบุได้ถึงเลขห้อง เลขชั้น และเบอร์โทรที่ติดต่อไปทันที ดังนั้น ข้อมูลที่รั่วก็แค่ค้นจากเบอร์ก็เจอที่อยู่ได้ในพริบตา

 

อย่างไรก็ตาม แม้ว่า กรณีดังกล่าว ได้มีการปิดระบบการเข้าถึงข้อมูลแล้วก็ตาม แต่เพื่อไม่ให้ เกิดปัญหาซ้ำรอย บริษัทขนส่งพัสดุ จึงควรเร่งแก้ไขระบบการเข้าถึงข้อมูลรวมถึงการเฝ้าระวังการเข้าถึงข้อมูลที่ผิดปกติ โดยสามารถทำได้ที่ส่วนกลาง ไม่เดือดร้อนหน้าร้านที่มีสาขาทั่วประเทศแต่อย่างใด

 

เนื่องจากระบบนี้เป็นการทำงานจากส่วนกลางและเชื่อมต่อด้วย API ดังนี้

 

-ระบบพาสเวิร์ด ต้องคาดเดายาก ควรมีกลไกตรวจสอบการป้อน พาสเวิร์ด หากผิดหลายครั้ง ควรหน่วงเวลาหรือระงับใช้ชั่วคราว

-หลีกเลี่ยงการฝัง ยูสเซอร์เนม พาสเวิร์ด, API key, Token, Secret Key ใน Source Code

-หลีกเลี่ยงการเปิดเผย ซอร์สโค้ด บนแพลตฟอร์มที่เข้าถึงได้โดยสาธารณะ (เช่น Github, Gitlab, Postman , Colab)

-จำกัดเวลา Session Token, Session Cookie ให้มีระยะเวลาที่เหมาะสม

-กำหนดให้มีการเข้ารหัสในการเรียกใช้ API เพื่อป้องกันการดักจับข้อมูล

-กำหนดให้มีกลไกในการตรวจสอบว่า ใครเข้าถึงข้อมูลของประชาชนได้บ้าง (Log การใช้งาน)

 

-กำหนดให้มีกลไกในการตรวจสอบการเข้าถึงข้อมูลจากผู้ใช้งานบุคคลเดียวกัน เมื่อถูกเรียกใช้งานวนมากในระยะสั้น เช่น ร้านสาขาหนึ่งพบการนำเบอร์โทรศัพท์ของลูกค้าไปค้นหาที่อยู่ 500 คนต่อวัน แต่จำนวนพัสดุที่รับมีเพียง 100 ชิ้นต่อวัน เป็นต้น

 

 

ดังนั้น แสดงว่าต้องมีความผิดปกติและอาจตกเป็นเครื่องมือของมิจฉาชีพในการแฮกเข้าไปค้นหาที่อยู่ ซึ่งส่วนกลางก็ต้องมีการแจ้งเตือน ตรวจสอบ และมีการกำหนดข้อจำกัดในการค้นหาที่อยู่ ที่สำคัญคือ ต้องกำชับเรื่องการปฎิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

——————————————————————————————————————————————————–

ที่มา :     กรุงเทพธุรกิจ                             / วันที่เผยแพร่ 13 กุมภาพันธ์ 2568
Link :https://www.bangkokbiznews.com/tech/gadget/1166363