นักวิจัยด้านความปลอดภัย พบบันทึกข้อมูลอินเทอร์เน็ตของผู้ใช้ในไทย หลุดออกไปกว่า 8 พันล้านรายการ

The MATTER อัพเดต 28 พ.ค. เวลา 01.30 น. • เผยแพร่ 25 พ.ค. เวลา 10.00 น. • Brief

ข้อมูลส่วนบุคคล ความเป็นส่วนตัว เป็นเรื่องที่หลายคนตระหนักกันมากขึ้น แต่ล่าสุดกลับมีรายงานข่าวที่เปิดเผยว่า มีข้อมูลอินเทอร์เน็ตของผู้ใช้ในไทย หลุดออกไปมากถึงหลายพันล้านรายการ ที่ให้เห็นถึงประวัติการเข้าเว็บไซต์ และการใช้แอพฯ ต่างๆ เลยด้วย

เว็บไซต์ข่าวเทคโนโลยีและสตาร์ทอัพ TechCrunch เปิดเผยว่า Justin Paine นักวิจัยด้านความปลอดภัยได้ตีพิมพ์บทความในบล็อกส่วนตัวว่า เขาค้นพบฐานข้อมูลซึ่งประกอบด้วยการสืบค้น Domain Name System และข้อมูล Netflow ของผู้ใช้อินเทอร์เน็ต AIS เครื่อข่ายมือถือ และอินเทอร์เน็ตที่ใหญ่ที่สุดในประเทศไทย ซึ่งมีข้อมูลมากถึง 8.3 พันล้านรายการ

ในบล็อกของ Paine ระบุว่า ฐานข้อมูลที่เขาพบนั้น ไม่มีรหัสผ่านในการเข้าถึง และเขาคาดว่าจะสามารถเข้าถึงสิ่งที่ผู้ใช้อินเทอร์เน็ตใช้ตามเวลาจริง ซึ่งเขาได้แจ้ง AIS ให้ทราบถึงข้อมูลนี้ตั้งแต่วันที่ 13 พฤษภาคมที่ผ่านมา แต่เมื่อผ่านไป 1 สัปดาห์ และยังไม่ได้รับการติดต่อกลับมา เขาจึงรายงานเรื่องนี้ไปให้ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือไทยเซิร์ต ซึ่งหลังจากนั้น ฐานข้อมูลนั้นก็ไม่สามารถเข้าได้แล้ว

Paine ได้ให้สัมภาษณ์กับ TechCrunch ว่า ไม่มีใครรู้ว่าใครเป็นเจ้าของฐานข้อมูล และประเภทของการบันทึกที่พบในฐานข้อมูลยังมาจากคนที่สามารถตรวจสอบปริมาณการใช้อินเทอร์เน็ตผ่านเครือข่าย แต่ถึงอย่างนั้นก็ไม่รู้ว่ามันเป็นฐานข้อมูลของผู้ให้บริการอินเทอร์เน็ต ของบริษัทลูก หรือของลูกค้า แต่ทาง AIS เองก็ไม่ได้ตอบอีเมล์ซึ่ง Paine ที่ส่งไปสอบถามความคิดเห็น

ข้อมูลของ DNS แม้ว่าจะไม่เก็บข้อความส่วนตัว อีเมล์ หรือข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่าน แต่มันก็สามารถระบุเว็บไซต์ และแอพฯ ที่ผู้ใช้เข้าถึงได้ ทั้งอาจเป็นความเสี่ยงสูงสำหรับบุคคลบางกลุ่ม เช่นนักกิจกรรม นักเคลื่อนไหว หรือนักข่าว ซึ่งสามารถใช้บันทึกอินเทอร์เน็ตเพื่อระบุแหล่งที่มา

Paine ยังแสดงให้เห็นว่า การเข้าถึงข้อมูลดังกล่าว จะทำให้สามารถเรียรรู้สิ่งต่างๆ ที่เชื่อมต่อด้วยอินเทอร์เน็ตของผู้ใช้ได้ เช่นอุปกรณ์ที่ใช้ โปรแกรมป้องกันไวรัส เบราว์เซอร์ แอพฯ สื่อ และเว็บไซต์ด้วย นอกจากนี้มันยังสามารถใชัเพื่อระบุข้อมูลเชิงลึกเกี่ยวกับกิจกรรมทางอินเทอร์เน็ตของบุคคล หรือโฆษณาเองยังใช้เพื่อหากลุ่มเป้าหมายในการแสดงโฆษณาได้ด้วย

หลังจากเรื่องนี้เป็นข่าว ทาง AIS ก็ส่งคำชี้แจงมาให้ The MATTER อ้างคำพูดของ สายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ AIS ระบุว่าข้อมูลตามที่เป็นข่าว "ไม่ใช่ข้อมูลส่วนบุคคลของลูกค้า แต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ" โดยกรณีนี้ เกิดจากการทดสอบ เพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม พ.ศ.2563 และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว

สายชลยังกล่าวยืนยันว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆ (จากกรณีที่เกิดขึ้น) อย่างแน่นอน

อ้างอิงจาก

https://techcrunch.com/2020/05/24/thai-billions-internet-records-leak/

https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records

#Brief #TheMATTER

ดูข่าวต้นฉบับ