ดีอี เร่งตรวจสอบข้อมูลรั่ว 36.1 ล้านราย ไม่ชัดรั่วจากหน่วยงานไหน

จากกรณีที่ นายธนารัตน์ กัววัฒนาพันธ์ ประธานเจ้าหน้าที่บริหาร (CEO) ของ DomeCloud ผู้เชี่ยวชาญด้านซอฟต์แวร์และเทคโนโลยี Blockchain เปิดเผยข้อมูลจากการติดตามกลุ่มซื้อขายข้อมูลส่วนบุคคลในแพลตฟอร์ม Discord และ Telegram โดยระบุว่าพบชุดข้อมูลขนาดใหญ่ซึ่งเชื่อมโยงกับฐานข้อมูลด้านสิทธิการรักษาพยาบาลของประชาชนไทย รวมกว่า 67.1 ล้านราย

ข้อมูลดังกล่าวไม่ได้มีเพียงชื่อ-นามสกุล หรือ เลขประจำตัวประชาชนเท่านั้น แต่ยังรวมถึงที่อยู่ สิทธิการรักษาพยาบาล และในบางกรณียังมีข้อมูลที่เกี่ยวข้องกับบิดามารดา ซึ่งอาจเพิ่มความเสี่ยงต่อการนำไปใช้ก่ออาชญากรรมในรูปแบบที่ซับซ้อนมากขึ้น

ทั้งนี้ นายธนารัตน์ ตั้งข้อสังเกต ว่า การรั่วไหลจำนวนมากไม่ได้เกิดจากการแฮ็กเซิร์ฟเวอร์โดยตรง แต่เกิดจากการขโมยข้อมูลยืนยันตัวตน โดยเครื่องคอมพิวเตอร์ของเจ้าหน้าที่ที่ติดมัลแวร์จากการใช้โปรแกรมเถื่อน ดาวน์โหลดไฟล์ที่ไม่ปลอดภัย หรือเข้าเว็บไซต์ที่มีความเสี่ยง อาจทำให้รหัสผ่านที่ถูกบันทึกไว้ในเครื่องถูกดึงออกไป และนำไปใช้เข้าสู่ระบบจริงได้

อย่างไรก็ตาม ต่อมาได้ปรากฎข่าวว่า ฐานข้อมูลพลเมืองไทยขนาดมหึมาโผล่บนฟอรัมใต้ดิน ผู้ขายอ้างครอบคลุมชื่อ-นามสกุล เบอร์โทรศัพท์ วันเกิด เพศ และที่อยู่ของประชากรผู้ใหญ่มากถึงกึ่งหนึ่งของประเทศ จำนวน 36.1 ล้านราย ตั้งราคา 100,000 ดอลลาร์สหรัฐหรือราว 3.3 ล้านบาท

นางสาวแนน บุณย์ธิดา สมชัย รัฐมนตรีช่วยว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า กรณีที่มีการอ้างถึงการประกาศขายข้อมูลส่วนบุคคลของคนไทยกว่า 36 ล้านรายการนั้น ตนได้มอบหมายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) บูรณาการการทำงานร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เพื่อตรวจสอบข้อเท็จจริงดังกล่าว

ทั้งนี้จากการตรวจสอบเบื้องต้นของ สกมช. โดยติดตามและตรวจสอบแหล่งที่มีการโพสต์ขายข้อมูลดังกล่าว โดยใช้ขั้นตอนการวิเคราะห์และตรวจสอบความถูกต้องของข้อมูล รวมถึงเปรียบเทียบกับข้อมูลรั่วไหลที่เคยปรากฏในอดีต จากตัวอย่างข้อมูล (Sample Data) ที่ผู้ขายนำมาแสดง พบต้นทางของประกาศที่มีลักษณะข้อความใกล้เคียงกับข้อมูลที่กำลังถูกเผยแพร่ และอยู่ระหว่างดำเนินการทดสอบเพื่อดึงข้อมูลตัวอย่างมาตรวจสอบเชิงลึกว่าเป็นข้อมูลใหม่หรือเป็นข้อมูลที่ถูกนำมารวบรวมจากเหตุการณ์ข้อมูลรั่วไหลในอดีต

อย่างไรก็ตามขณะนี้ยังไม่มีหลักฐานยืนยันว่าข้อมูลดังกล่าวเป็นข้อมูลจริง หรือสามารถเชื่อมโยงได้ว่ามาจากหน่วยงานใด ซึ่งกระทรวงดีอีจะติดตามและตรวจสอบกรณีดังกล่าวอย่างใกล้ชิด เพื่อสร้างความเชื่อมั่นให้กับประชาชน หากผลการตรวจสอบพบว่ามีการรั่วไหลของข้อมูลส่วนบุคคลจริง กระทรวงดีอี พร้อมดำเนินการตามกฎหมายและประสานหน่วยงานที่เกี่ยวข้องเพื่อปกป้องข้อมูลส่วนบุคคลของประชาชนอย่างเต็มที่

การมีส่วนเกี่ยวข้องกับการซื้อขายข้อมูลส่วนบุคคล มีความผิดโทษสูงสุด ปรับ 500,000 บาท หรือจำคุก 5 ปี หรือทั้งจำทั้งปรับ และขอให้หน่วยงานรัฐที่มีข้อมูลของประชาชนจำนวนมากระมัดระวังและปฏิบัติการตามมาตรการรักษาความปลอดภัยของข้อมูลสูงสุด เพื่อป้องกันไม่ให้ข้อมูลประชาชนรั่วไหล โดยหากพบปล่อยปละละเลย หรือพบการร่วมกระทำความผิด จะมีการดำเนินการเอาผิดตามกฎหมายอย่างถึงที่สุด