ขนส่งพัสดุเสี่ยง ที่อยู่ลูกค้ารั่วถึงมิจฉาชีพ แค่ค้นเบอร์โทรก็เจอบ้าน

จากกรณีที่ พล.ต.ท. ไตรรงค์ ผิวพรรณ ผู้บัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี หรือ ตำรวจไซเบอร์ แถลงผลการดำเนินคดีเครือข่ายแก๊งโอริโอ้ ซึ่งเป็นการขยายผลจากการจับนายรัชพล อายุ 16 ปี แอดมินที่คอยขายข้อมูลส่วนบุคคลให้กับแก๊งโอริโอ้ จนพบข้อมูลเชื่อมโยงไปยัง นายวิชัย อายุ 31 ปี ที่มีการนำข้อมูลส่วนบุคคลจากบริษัทขนส่งเอกชนชื่อดังมาขายในระบบ และจ้างนายรัชพลเป็นผู้ดูแล โดยให้ค่าตอบแทนแบบแพ็คเกจรายวัน 300 บาท, แบบรายสัปดาห์ 1,000 บาท, แบบรายเดือน 2,500 บาท นั้น

สกมช.ทำงานร่วมกับตำรวจในการหาสาเหตุของข้อมูลรั่ว

พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) กล่าวว่า จากการทำงานร่วมกันอย่างใกล้ชิดระหว่างสำนักงาน สกมช.กับตำรวจไซเบอร์ พบว่า ข้อมูลที่อยู่อาศัยของผู้ใช้บริการกับบริษัทขนส่งเอกชนชื่อดังที่ถูกนำออกมาขายนั้น เกิดจากระบบส่วนกลางที่เป็นฐานข้อมูลที่อยู่ของลูกค้าใช้ API ( Application Programing Interface ) เชื่อมต่อไปยังระบบหลังบ้านของทั้งสาขาขนส่งทั่วประเทศทั้งบนคอมพิวเตอร์และโทรศัพท์มือถือ ผ่านการเข้ารหัสยูเซอร์เนม พาสเวิร์ด ด้วยตัวเลข ที่มีความเสี่ยงต่อการถูกแฮก การค้นหาที่อยู่ของผู้ใช้บริการหาโดยง่าย เพียงกรอกเบอร์โทรศัพท์ก็สามารถรู้ที่อยู่บ้านปัจจุบัน นอกจากนี้ระบบยังมีการเปิดเผย ซอร์สโค้ด ให้เห็นได้ง่ายในที่สาธารณะอีกด้วย

สกมช.สืบหาแหล่งที่มาของข้อมูลรั่วจากเด็กอายุ 16 เพื่อกันตัวเป็นพยาน

กรณีเด็กอายุ 16 จึงนำคีย์ของระบบหลังบ้าน หรือ API Key มาเขียนโปรแกรมครอบไว้ให้เป็นเหมือนเว็บไซต์ทั่วไป เปิดให้บริการกับกลุ่มคนที่ต้องการข้อมูลที่อยู่ สามารถใช้เบอร์โทรศัพท์เข้าไปค้นหาที่อยู่อาศัยได้ เปรียบเสมือนเป็นหน้าร้านของบริษัทขนส่งชื่อดัง จนเกิดกรณี เครือข่ายแก๊งโอริโอ้ นำเบอร์โทรศัพท์คู่กรณีไปค้นหาบ้านจนทำให้เกิดคดีกับคู่กรณีในที่สุด

ตัวอย่างข้อมูลที่ถูกเข้าถึง

พล.อ.ต.อมร กล่าวว่า ในต่างประเทศก็มีตัวอย่างภัยไซเบอร์จากความประมาทของนักพัฒนาหลายกรณี อาทิ  โค้ดรั่วไหล กรณี นิสสัน ในปี 2564 ที่มีการตั้งค่าเซิร์ฟเวอร์ผิดพลาด ทำให้ซอร์สโค้ดถูกเปิดเผยต่อสาธารณะ  , กรณี รหัสผ่านถูกแฮก ของ อูเบอร์ ในปี 2565 โดยมีการฝังรหัสผ่านในโค้ด ทำให้แฮกเกอร์พบและเข้าถึงระบบได้ และกรณี API Key หลุดของ Twitter หรือ X ในปี 2563 ด้วยการใส่ API Key ไว้ในโค้ด จนแฮกเกอร์นำไปใช้เพื่อโจมตีระบบ เป็นต้น 

เรื่องซอร์สโค้ดถูกเปิดเผย น่าจะเกิดขึ้นมากกว่า 2 ปีแล้ว แต่กรณีเด็กอายุ 16 น่าจะเพิ่งทำได้เพียง 2-3 เดือน และน้องก็ให้ผู้ใช้บริการโอนเงินให้ตัวน้องเอง ไม่ได้ใช้บัญชีม้า การหาตัวจึงง่าย เรื่องนี้ สกมช.ได้แจ้งไปยังบริษัทจนส่งชื่อดังแล้ว 2-3 สัปดาห์ที่ผ่านมา ให้ตระหนักถึงความปลอดภัยไซเบอร์ และรับทำระบบให้ปลอดภัย รวมถึงประสานไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ให้ดูแลเรื่องนี้ต่อไปด้วย 

อย่างไรก็ตาม แม้ว่า กรณีดังกล่าว ได้มีการปิดระบบการเข้าถึงข้อมูลแล้วก็ตาม แต่เพื่อไม่ให้ เกิดปัญหาซ้ำรอย บริษัทขนส่งพัสดุ จึงควรเร่งแก้ไขระบบการเข้าถึงข้อมูลรวมถึงการเฝ้าระวังการเข้าถึงข้อมูลที่ผิดปกติ โดยสามารถทำได้ที่ส่วนกลาง ไม่เดือดร้อนหน้าร้านที่มีสาขาทั่วประเทศแต่อย่างใด เนื่องจากระบบนี้เป็นการทำงานจากส่วนกลางและเชื่อมต่อด้วย API ดังนี้ 

ระบบพาสเวิร์ด ต้องคาดเดายาก ควรมีกลไกตรวจสอบการป้อน พาสเวิร์ด หากผิดหลายครั้ง ควรหน่วงเวลาหรือระงับใช้ชั่วคราว

หลีกเลี่ยงการฝัง ยูสเซอร์เนม พาสเวิร์ด, API key, Token, Secret Key ใน Source Code

หลีกเลี่ยงการเปิดเผย ซอร์สโค้ด บนแพลตฟอร์มที่เข้าถึงได้โดยสาธารณะ (เช่น Github, Gitlab, Postman , Colab)

จำกัดเวลา Session Token, Session Cookie ให้มีระยะเวลาที่เหมาะสม

กำหนดให้มีการเข้ารหัสในการเรียกใช้ API เพื่อป้องกันการดักจับข้อมูล

กำหนดให้มีกลไกในการตรวจสอบว่า ใครเข้าถึงข้อมูลของประชาชนได้บ้าง (Log การใช้งาน)

กำหนดให้มีกลไกในการตรวจสอบการเข้าถึงข้อมูลจากผู้ใช้งานบุคคลเดียวกัน เมื่อถูกเรียกใช้งานจำนวนมากในระยะสั้น เช่น ร้านสาขาหนึ่งพบการนำเบอร์โทรศัพท์ของลูกค้าไปค้นหาที่อยู่ 500 คนต่อวัน แต่จำนวนพัสดุที่รับมีเพียง 100 ชิ้นต่อวัน เป็นต้น แสดงว่าต้องมีความผิดปกติและอาจตกเป็นเครื่องมือของมิจฉาชีพในการแฮกเข้าไปค้นหาที่อยู่ ซึ่งส่วนกลางก็ต้องมีการแจ้งเตือน ตรวจสอบ และมีการกำหนดข้อจำกัดในการค้นหาที่อยู่ ที่สำคัญคือ ต้องกำชับเรื่องการปฎิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล