ข้อมูลส่วนตัวของเด็กสอบ TCAS หลุด และถูกนำไปประกาศขายกว่า 23,000 รายการ ขณะที่ ปทอ.ยืนยันข้อมูลรั่วไหลจริง
เป็นอีกครั้งที่ข้อมูลส่วนตัวของประชาชนจากหน่วยงานรัฐรั่วไหลในโลกออนไลน์ หลังจากที่ช่วงกลางดึกของวันที่ 2 กุมภาพันธ์ มีการประกาศขายข้อมูลส่วนตัวของผู้ที่สมัครสอบผ่านระบบการคัดเลือกกลางบุคคลเข้าศึกษาในสถาบันอุดมศึกษา หรือ TCAS กว่า 23,000 รายการ
ข้อมูลที่หลุดไปนี้มีทั้ง ชื่อ นามสกุล เลขบัตรประชาชน และผลคะแนนตามเกณฑ์การคัดเลือกของสาขาวิชาที่สมัคร ซึ่งแฮกเกอร์ได้นำข้อมูลนี้ไปประกาศขายบนฟอรั่มที่เคยพบการขายข้อมูลส่วนบุคคลของผู้ป่วย โดยระบุว่าเป็นข้อมูลจากระบบของกระทรวงสาธารณสุข
และเมื่อเวลาประมาณ 01.00 น. ของวันนี้ (3 กุมภาพันธ์) ที่ประชุมอธิการบดีแห่งประเทศไทย (ทปอ.) แถลงผลการตรวจสอบไฟล์ตัวอย่าง พบว่า เป็นข้อมูลของระบบ TCAS64 ในรอบที่ 3 ที่เจ้าหน้าที่ที่ได้รับมอบหมายของแต่ละสถาบันอุดมศึกษาดึงออกจากระบบเพื่อประมวลผลคัดเลือกของแต่ละสาขาวิชาที่เปิดรับในสถาบันฯ พร้อมบอกว่าข้อมูลที่หลุดไปนี้ “ไม่ใช่ข้อมูลส่วนบุคคล ‘ทั้งหมด’ ของผู้สมัคร”
“ข้อมูลในรอบ 3 ของระบบ TCAS64 มีทั้งหมด 826,250 รายการ แต่ที่ผู้ขายข้อมูลกล่าวอ้างนั้น มี 23,000 รายการ โดยคาดว่าเป็นไฟล์ที่สร้างขึ้นในช่วงเดือนพฤษภาคม 2564 ที่เจ้าหน้าที่ของสถาบันอุดมศึกษาดึงข้อมูลคะแนนไปจัดเรียงลำดับผู้สมัคร ตามเกณฑ์คัดเลือกของแต่ละสาขาวิชา ซึ่งข้อมูลที่นำเสนอขายไม่มีผลการจัดเรียงลำดับ Ranking ของผู้สมัคร”
“ปัจจุบัน ทปอ. ได้ปิดระบบ TCAS64 ไปแล้วตั้งแต่เดือนธันวาคม 2564 และระบบ TCAS65 มีการเปลี่ยนระบบเป็นรูปแบบใหม่ และเว็บไซต์ที่พัฒนาขึ้นใหม่ในปีนี้ มีการจัดเก็บไฟล์ข้อมูลที่มีความอ่อนไหวในรูปแบบ Private ที่ไม่สามารถเข้าถึงโดยตรงได้ การที่จะเข้าถึงไฟล์ข้อมูลได้นั้น ผู้ใช้งานระบบต้องได้รับการอนุญาตจากระบบที่มีอายุในเวลาที่กำหนดเท่านั้น ซึ่งผู้ใช้งานระบบสามารถเข้าถึงข้อมูลได้ชั่วคราว พร้อมระบบบันทึกการใช้งานอย่างละเอียด”
ตอนท้ายของแถลงการณ์ยังระบุว่า “ทปอ. ขอยืนยันว่า ระบบ TCAS65 มีความปลอดภัยในการใช้งาน และ มีการเฝ้าระวังสิ่งผิดปกติ ร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) และ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) อย่างใกล้ชิด เพื่อให้คงไว้ซึ่งความน่าเชื่อถือในระบบและกระบวนการคัดเลือกต่อไป”
เหตุการณ์นี้ทำให้ #แบนทปอ กลับมาอีกครั้ง เพราะแม้ ทปอ.จะระบุว่า ข้อมูลที่หลุดนั้นไม่ใช่ข้อมูลทั้งหมด แต่การรั่วไหลของข้อมูลก็เกิดขึ้นจริง โดยหลายคนกล่าวว่า ต่อให้มีข้อมูลของนักเรียนหลุดไปเพียงแค่คนเดียว แต่นั่นก็หมายถึงความล้มเหลวของการรักษาความเป็นส่วนตัวและความปลอดภัยของประชาชน
อ้างอิงจาก
https://www.blognone.com/node/126988
https://twitter.com/lataedekd/status/1488911892823244800
https://www.facebook.com/CUPTmytcas/photos/a.312077079510765/927446014640532/