กสทช.เรียกทรูมูฟเอชให้ข้อมูลกรณีข้อมูลผู้ใช้งานรั่วไหลในสัปดาห์หน้า

นายฐากร ตัณฑสิทธิ์ เลขาธิการ สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เปิดเผยว่า สำนักงาน กสทช. ให้ทรูมูฟ เอช (True Move H) ซึ่งเป็นบริษัทย่อยของบมจ.ทรู คอร์ปอเรชั่น (TRUE) เข้าชี้แจงข้อเท็จจริงในวันอังคารที่ 17 เมษายน 2561 เวลา 9.30 น. ณ ห้องประชุม ชั้น 4 อาคารอำนวยการ สำนักงาน กสทช. กรณีที่ปรากฎข่าวว่า ทรูทำข้อมูลบัตรประชาชนลูกค้ารั่วไหลจำนวนมาก ซึ่งตามพ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2553 กำหนดว่า ผู้กระทำผิดมีโทษตามกฎหมาย หากผู้ประกอบการมีส่วนในความผิด จะถูกดำเนินคดีตามกฎหมาย และพักใช้ เพิกถอนใบอนุญาต โดย กสทช. เป็นผู้เสียหายตามกฎหมายด้วย

นายฐากร กล่าวว่า ในกรณีนี้ หากเป็นการกระทำโดยเจตนา ทรูมูฟ เอช จะมีความผิดแน่นอน แต่สำนักงานต้องให้ทรูมูฟ เอช มาให้ข้อมูลก่อนว่าข้อเท็จจริงเป็นอย่างไร ก่อนที่จะดำเนินการต่อไป

ทั้งนี้ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) รายงานว่า เมื่อวันที่ 13 เมษายน ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัย Niall Merrigan ได้รายงานข้อมูลผู้ใช้บริการ True Move H รั่วไหล โดยข้อมูลเหล่านี้อยู่ใน Amazon S3 bucket ที่ไม่ได้มีมาตรการป้องกันเพียงพอ ส่งผลให้บุคคลภายนอกสามารถเข้าถึงและดาวน์โหลดข้อมูลออกมาได้ ซึ่งมีทั้งไฟล์ภาพ JPG และ ไฟล์ PDF ที่เป็นไฟล์สแกนสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ตของผู้ใช้บริการ ประมาณ 46,000 ไฟล์ รวมแล้วกว่า 32GB นับแต่ปี 2559-2561 แต่ไม่มีการยืนยันจำนวนผู้ได้รับผลกระทบ ซึ่งหลังจากการติดต่อไปยัง True Move H เมื่อต้นเดือนมีนาคม ได้รับการแก้ไขเมื่อวันที่ 12 เมษายน ที่ผ่านมา และกำลังอยู่ระหว่างการประสานงานเพื่อยืนยันความถูกต้องของข้อมูล จึงแนะนำลูกค้าให้ควรตรวจสอบว่าใช้ข้อมูลใดในการลงทะเบียนกับผู้ให้บริการ และอาจพิจารณาแจ้งความลงบันทึกประจำวันไว้เป็นหลักฐาน  หากเกิดเหตุคนร้ายนำข้อมูลออกไปใช้ในการสวมรอยหรือปลอมแปลงตัวบุคคล ซึ่งอาจส่งผลกระทบทางกฎหมายได้

ปัญหาข้อมูลรั่วไหลในลักษณะนี้เคยเกิดขึ้นมาแล้วหลายครั้ง หน่วยงานหรือนักพัฒนาที่นำข้อมูลสำคัญโดยเฉพาะข้อมูลส่วนบุคคลฝากไว้บน Amazon S3 bucket ควรรักษาความมั่นคงปลอดภัยของข้อมูลโดยอาจเข้ารหัสลับข้อมูล จำกัดการเข้าถึงจากบุคคลภายนอก รวมถึงตรวจสอบการใช้งานที่ผิดปกติ

ด้าน ไอทรูมาร์ท ซึ่งเป็นบริษัทกลุ่ม TRUE ออกแถลงการณ์ระบุว่า จากกรณีที่มีข่าวเรื่องข้อมูลลูกค้าที่ลงทะเบียนใหม่ถูกเปิดเผยในที่สาธารณะนั้น ไอทรูมาร์ทรู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น ซึ่งทันทีที่ทราบเรื่อง บริษัทฯ ได้ดำเนินการตรวจสอบอย่างละเอียดทันที โดยพบว่า เป็นการดึงข้อมูลลูกค้าที่ซื้อโทรศัพท์มือถือพร้อมแพคเกจบริการทรูมูฟ เอช โดยมีการลงทะเบียนซิมผ่านช่องทาง itruemart จึงแก้ไขแล้วทั้งจะส่งการแจ้งเตือนไปยังลูกค้าเพื่อให้ทราบถึงมาตรการของบริษัทที่จะดำเนินการเพื่อป้องกันความปลอดภัยของข้อมูล หากถูกนำไปใช้ในทางที่ไม่ถูกต้อง

...