55 ล้านข้อมูลถ้าหลุดจริงสังคม-ประชาชนไทยเดือดร้อนขนาดไหน เรื่องนี้ต้องมีคำตอบหลุดชัวร์ หรือ มั่วนิ่ม ถึงเวลาต้องปฏิรูประบบความปลอดภัยฐานข้อมูลประเทศกันแล้วหรือยัง ?
จากการออกมาเปิดเผยข้อมูลเกี่ยวกับ การหลุดรอดของข้อมูลส่วนบุคคลทั้งจากภาคเอกชนและภาครัฐของ ดร.โกเมน พิบูลย์โรจน์ กรรมการผู้จัดการบริษัท T-NET จนหลายเริ่มให้ความสนใจเกี่ยวกับข้อมูลที่หลุดรอดออกไปของคนไทย ซึ่งระบุว่าอาจมีมากถึง 55 ล้านรายชื่อ และจะกลายเป็นปัญหาใหญ่ในอนาคต หากข้อมูลเหล่านั้นหลุดเข้าไปถึงกลุ่มอาชญากรโดยเฉพาะแก๊งคอลเซ็นเตอร์ ที่กำลังอาละวาดสร้างความเดือดร้อนให้กับคนไทยเป็นจำนวนมากอยู่ในขณะนี้
โดยก่อนหน้านี้ เมื่อราว 2-3 สัปดาห์ที่ผ่านมา มีแฮกเกอร์กลุ่มหนึ่งได้ โพสต์ประกาศขายข้อมูลในเว็บ สำหรับซื้อขายข้อมูลส่วนบุคคลที่หลุดออกมาจากหน่วยงานต่าง ๆ ทั้งภาครัฐและเอกชนในหลายประเทศ ประมาณ 55 ล้านข้อมูล และมีการลงไฟล์ตัวอย่างให้ดูหลักหลายร้อยคนในหลายจังหวัด ผ่านเครือข่ายออนไลน์ 9near.org และBleach Forums
และได้ออกคำเตือนว่า “ให้เวลาหน่วยงานที่ทำหลุดติดต่อกลับมาภายในวันที่ 5 เมษายน 2566 เวลา 16.00 น. ตามเวลา ไม่งั้นจะแฉว่าได้ข้อมูลมาจากไหน และเข้าถึงได้ด้วยกระบวนการใด และจะเผยแพร่ข้อมูลทุกอย่าง พร้อมบอกใกล้เลือกตั้งแล้ว ตัดสินใจให้ดี เราไม่ได้ล้อเล่น”
ซึ่งการออกมาแฉถึงที่มาของข้อมูล คาดการณ์กันไปถึงการลงทะเบียนต่างๆ ในภาครัฐ โดยเฉพาะในช่วงการแพร่ระบาดของโควิด-19 ซึ่งเป็นการลงทะเบียนยืนยันตัวตนที่มี “ความสมบูรณ์ของข้อมูลที่สุด” ในส่วนการลงทะเบียนวัคซีน หรือ แม้แต่การขอความช่วยเหลือจากภาครัฐ
และกระทรวงสาธารณสุขตกเป็นเป้ากังขาในการหลุดรอดออกมาของข้อมูลในส่วนนี้!!
แม้จะมีการออกมาปฏิเสธ โดยนายอนุทิน ชาญวีรกูล รัฐมนตรีว่าการกระทรวงสาธารณสุข โดยระบุว่า เรื่องนี้ยังไม่มีการยืนยันว่าข้อมูลหลุดมาจาก แอปพลิเคชันหมอพร้อมจริงหรือไม่ ซึ่งหน่วยงานด้านความปลอดภัยไซเบอร์กำลังเร่งตรวจสอบอยู่ และได้รับการกำชับจากทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมหรือ DES ว่า ยังไม่ต้องให้ข้อมูล เดี๋ยว DES จะดำเนินการเรื่องนี้เอง และรมว.สธ.ปฏิเสธว่าข้อมูลคนไทย 55 ล้านคนไม่ได้หลุดมาจากบริการให้วัคซีนโรคโควิด-19 หมอพร้อมเพราะบริการดังกล่าวมีข้อมูลคนไทยเพียง 33 ล้านคน
แต่มีข้อมูลที่สวนทางออกมาจากทาง ออกมาจากเพจเฟซบุ๊ก ชมรมแพทย์ชนบท โพสต์ระบุโดยสรุปว่า รั่วเห็น ๆ ข้อมูลวัคซีน ถ้าดูให้ดีจะเห็นร่องรอยว่าข้อมูลดังกล่าวคือฐานข้อมูลวัคซีนโควิด MOPHIC ของกระทรวงสาธารณสุข
จริง ๆ คนไอทีใน สธ. เขารู้แล้วว่านี่คือ ฐานข้อมูลของกระทรวงสาธารณสุข แต่ปลัด สธ. เล่นบทเตมีย์ใบ้ ไม่พูดไม่ตอบ ไม่ทำอะไร ไม่แม้กระทั่งการตั้งกรรมการตรวจสอบข้อเท็จจริง แนะนำว่าใครที่มีชื่อก็สามารถแจ้งความเพื่อให้ตำรวจไปตรวจสอบต่อไป เรื่องนี้เรื่องใหญ่ ปลัด สธ. ไปอยู่ไหน รายงานตัวมาแก้ปัญหาด่วน
อย่างไรก็ตามจากการออกมาตอบโต้กันของหลายฝ่าย ยิ่งกลายเป็นคำถามเกี่ยวกับ ข้อมูลกว่า 55 ล้านรายของคนไทย ว่ามีที่มาที่ไปอย่างไร และการหลุดรอดของข้อมูลในครั้งนี้จะสร้างความเสียหายอย่างไรกับประชาชนชาวไทยเจ้าของข้อมูล
“ทีมข่าวมหาชน” ติดตามจากกลุ่มตัวอย่างที่ได้รับ SMS และ โทรศัพท์ขายสินค้าหลากหลายประเภท ทั้งการขายประกัน การขายโปรแกรมการท่องเที่ยว ทัวร์ต่างๆ การขายโปรโมชั่น การขายสินค้าและบริการต่างๆ การโฆษณาพนันออนไลน์ รวมถึงการผ่านระบบช่องทางออนไลน์ ในอีเมล์ รวมถึงยังมีการแฮกข้อมูลนำไปสู่ระบบติดตามทวงถามหนี้สิน และเข้าสู่อาชญากรรมทางอิเล็กทรอนิกส์ ทั้งแก๊งคอลเซ็นเตอร์ ไปจนถึงเรื่องของ การขายฐานข้อมูลในส่วนนี้ต่อไปอีกหลายทอด ซึ่งนับเป็นการสร้างความเดือดร้อนให้กับสังคมในวงกว้าง
และมีหลายคนตกเป็นเหยื่อของบนวนการขายข้อมูลเหล่านี้แล้วเป็นจำนวนมาก!!
คำถามเกี่ยวกับข้อมูลทั่ง 55 ล้านข้อมูลที่หลุดรอดออกไป จึงเป็นสิ่งที่หน่วยงานภาครัฐโดยเฉพาะกระทรวงDES ต้องออกมาเร่งให้คำตอบเกี่ยวกับเรื่องนี้ เพราะ ไม่เพียงแต่หน่วยงานภาครัฐ ยังมีหน่วยงานภาคเอกชน ก็มีข้อมูลเหล่านี้อยู่ด้วยเช่ยนเดียวกัน โดยเฉพาะหน่วยงานเกี่ยวกับการเงินอย่าง ธนาคารพาณิชย์ ที่ต่างก็มีทั้งข้อมูลทางการเงิน และจากบัตรประชาชนเก็บไว้เป็นจำนวนมาก
ข้อมูลที่หลุดออกมานั้น เป็นข้อมูลปกติที่ถูกเก็บไว้ในหน่วยงานรัฐและเอกชน เช่น ธนาคาร มีการก็อปปี้หน้าบัตรประชาชน หรืออ่านข้อมูลผ่านสมาร์ทการ์ด ก็เข้าไปอยู่ในฐานข้อมูลแล้ว เมื่อข้อมูลรั่วออกมาจากใครก็จะเป็นเท็กดังกล่าวนี้ มีชื่อ เลขบัตรประชาชน ที่อยู่ เบอร์โทรศัพท์
เกี่ยวกับเรื่องนี้ หน้างานเทคโนโลยีเพื่อความมั่นคงของประเทศ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ เสนอให้หน่วยงานที่เป็นเจ้าของข้อมูลออกมาชี้แจง หรือแฮกเกอร์ที่บอกว่ามี 55 ล้านคนจริง ก็ควรจะบอกแหล่งที่มา เพราะอาจมีการเคลมข้อมูลที่ได้มาจากธนาคาร หรือหน่วยงาน ทั้งที่ตัวเลขจริงไม่ถึง 55 ล้านคน
ส่วนการแฮกมีหลายวิธี ทั้งการเจาะเข้าไปในระบบ อาจเป็นหน่วยงานทั้งภาครัฐและเอกชน ที่มีความมั่นคงระดับสูง ระดับกลาง หรือแทบไม่มีความมั่นคงเลย หรือก่อนหน้านี้ก็เคยมีโอเปอร์เรเตอร์ทำข้อมูลูกค้ารั่วไหล ทั้งจากคนไหนดูดข้อมูลออกมา และลบร่องรอยว่านำมาจากหน่วยงานไหน เช่น ลบหัวกระดาษ ลบหัวไฟล์ เมื่อข้อมูลรั่วไหลอาจถูกมิจฉาชีพ เช่น แก๊งคอลเซ็นเตอร์ นำไปใช้ในการหลอกลวงประชาชน เพราะข้อมูลชุดนี้มีเบอร์โทรศัพท์ หมายเลขบัตรประชาชน วันเดือนปีเกิด
แก๊งคอลเซ็นเตอร์จะอ้างเป็นหน่วยงานราชการ พร้อมยืนยันหมายเลขบัตรประชาชน วันเดือนปีเกิด ทำให้ผู้เสียหายหลงเชื่อ สิ่งที่ประชาชนต้องเตรียมการ คือ เมื่อมีคนโทรศัพท์เข้ามาและบอกข้อมูลได้ตรง หรือหากเป็นคนมีชื่อเสียง แก๊งคอลเซ็นเตอร์อาจนำชื่อไปค้นหาข้อมูลในอินเทอร์เน็ต และให้ข้อมูลละเอียดเพิ่มขึ้น เพื่อสร้างความน่าเชื่อถือ
อย่างไรก็ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ผู้เสียหายสามารถไปแจ้งความได้ หากตรวจสอบแหล่งที่มาว่าหลุดจากหน่วยงานใด ก็เอาผิดฐานเป็นเจ้าของข้อมูล แต่ไม่สร้างความเข้มแข็งให้ระบบคอมพิวเตอร์ทำให้ข้อมูลรั่ว
และสุดท้ายกับคำตอบจากหน่วยงานหลักของประเทศอย่าง กระทรวง DES โดยนายชัยวุฒิ ธนาคมานุสรณ์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) พร้อมด้วยตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี เปิดเผยถึงกรณีที่มีผู้ใช้งานบัญชีที่ใช้ชื่อว่า “9near” โพสต์อ้างว่าขายข้อมูลส่วนบุคคลคนไทยกว่า 55 ล้านคน บนเว็บไซต์ Bleach Forums โดยอ้างว่าได้มาจากหน่วยงานรัฐแห่งหนึ่งของประเทศไทย และได้โพสต์ตัวอย่างไฟล์ ระบุชื่อ สกุล ที่อยู่ วันเกิด เบอร์โทรศัพท์และเลขที่บัตรประจำตัวประชาชน พร้อมทั้งระบุข้อความข่มขู่ผู้เสียหายให้ติดต่อกลับและได้สั่งการตรวจสอบเว็บไซต์ ซึ่งเป็นผู้ให้บริการในต่างประเทศ จึงได้ประสาน domain name เพื่อขอปิดกั้นเว็บไซต์ เมื่อวันที่ 29 มี.ค.ที่ผ่านมา เนื่องจากละเมิดข้อมูลส่วนบุคคล แต่ขณะนี้ยังไม่ได้รับการติดต่อกลับ
ส่วนข้อมูลที่อ้างว่ามีข้อมูลส่วนบุคคลถึง 55 ล้านรายชื่อนั้น ไม่น่าจะเป็นความจริง เพราะไม่มีหน่วยงานไหนจะสามารถเก็บข้อมูลของประชาชนได้มากกว่ากรมการปกครอง กระทรวงมหาดไทย และมั่นใจว่าข้อมูลของหน่วยงานรัฐจะไม่รั่วไหลออกมา เนื่องจากข้อมูลส่วนบุคคลอาจอยู่ในระบบการทำธุรกรรมต่างๆ ขณะที่การสืบสวน พบข้อมูลที่เชื่อมโยงไปยังกลุ่มผู้ต้องหาแล้วและเป็นคนไทย ซึ่งอยู่ระหว่างติดตามตัวมาดำเนินคดี
โดย DES ยังแนะนำประชาชนที่ตกเป็นผู้เสียหายว่า หากถูกหลอกลักษณะนี้ให้รีบระงับบัญชีธุรกรรมทางการเงินที่ธนาคารได้ทันที หรือแจ้งความผ่านทางออนไลน์ แต่ขณะนี้ยังมีผู้เสียหายเข้าแจ้งความจำนวนไม่มาก คาดว่ามีผู้เสียหายอย่างน้อย 20 คนที่ถูกนำข้อมูลส่วนตัวไปเปิดเผย
สำหรับการถูกเปิดเผยหมายเลขบัตรประชาชน 13 หลัก แม้ว่าผู้เสียหายจะถูกเปิดข้อมูล แต่ไม่ต้องกังวลว่าจะถูกนำไปใช้เพื่อกระทำผิด หรือลวงข้อมูลทางการเงิน เนื่องจากระบบการตรวจสอบของแต่ละหน่วยงานจะมีการยืนยันตัว โดยกระทรวงฯ ได้ออกกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) หากพบการกระทำเข้าข่ายความผิด สามารถดำเนินคดีได้ทันที”
จากการเปิดเผยของรมว.DES ซึ่งก็ยังมีความึคลุมเครือไม่ชัดเจน ว่าข้อมูล 55 ล้านรายมีการหลุดออกไปจริงหรือไม่? นำมาซึ่งความห่วงใยต่อสถานการณ์ความเป็นส่วนตัวเกี่ยวกับข้อมูลส่วนบุคคล ที่แม้กระทรวง DES จะยังไม่ยืนยันการหลุดรอดออกไปของข้อมูล แต่ต้องยอมรับว่าในปัจจุบัน มีผู้ได้รับความเสียหาย และได้รับความเดือดร้อนจากอาชญากรรมทางอิเลกทรอนิกส์เป็นจำนวนมาก
หากเรื่องของการหลุดรอดรั่วไหลของข้อมูลที่ทางรมว.DES ปฏิเสธว่า “ไม่น่าจะเป็นความจริง” แล้ว ความเคลื่อนไหวของกลุ่มผู้ก่ออาชญากรรมทางอิเลกทรอนิกส์นั้นจะนำข้อมูลมาจากไหน และจะดำเนินการป้องกันและแก้ไขอย่างไรให้มีประสิทธิภาพมากกว่าที่เป็นอยู่ ทั้งหมดนี้ หน่วยงานภาครัฐอย่าง DES ต้องมีคำตอบและแนวทางที่ชัดเจน
แต่หา่กมีการรั่วไหลของข้อมูลกว่า 55 ล้านรายจริง เรื่องนี้ไม่ใช่เรื่องเล็ก และทุกฝ่ายต้องยอมรับความจริงที่เกิดขึ้น ยิ่งหากเป็นการหลุดออกมาจากแหล่งข้อมูลของภาครัฐเองด้วยแล้ว ยิ่งต้องมีการดำเนินการในเรื่องนี้กันอย่างจริงจัง เข้าขั้นถึงกับต้อง ปฏิรูประบบฐานข้อมูลของประเทศ หรือ ต้องไปถึงระดับการประกาศเป็นวาระแห่งชาติกันเลยหรือไม่? นี่ก็เป็นอีกหนึ่งในทางที่ต้องการคำตอบ
