"ทรูมูฟ" พล่านหาแพะรับบาปทำข้อมูลลูกค้าทรูมูฟเอชกว่า 46,000 รายหลุด อ้างบริษัทลูกที่รับลงทะเบียนเผลอทำหลุด ทั้งที่เป็นข้อมูลหลังบ้านที่อยู่ในความรับผิดชอบของบริษัทโดยตรง มึนอีกนำข้อมูลไปฝากคลาวด์ตปท.ส่อผิดประกาศ กสทช.อีกก่อนยกเรื่อง SMSหวังกลบกระแส
หลังจากเว็บไซต์ theregister.co.uk ตีแผ่รายงานนักวิจัยด้านความปลอดภัย ที่ตรวจสอบพบว่า “ทรูมูฟเอช" เลินเล่อเปิดให้เข้าถึงข้อมูลสำเนาบัตรประจำตัวประชาชน พาสปอร์ต และใบขับขี่ ของผู้ใช้งานเครือข่ายที่เก็บไว้บน Amazon S3 ซึ่งเป็นบริการฝากข้อมูลบนระบบคลาวน์ (Cloud)โดยไม่มีการเข้ารหัสป้องกัน ทำให้ข้อมูลลูกค้าผู้ใช้บริการกว่า 4.6 หมื่นรายที่ลงทะเบียนตั้งแต่ปี 2557-2561(2014-2018 )หลุดออกมาสู่สาธารณะ ก่อนที่ บริษัทจะอ้างว่าทางบริษัท “ไอทรูมาร์ท” ซึ่งเป็นบริษัทในกลุ่มที่ขายเครื่องและรับลงทะเบียนซิมการ์ดเผลอทำหลุดไปนั้น
แหล่งข่าวในวงการโทรคมนาคม เปิดเผยว่า ภายหลังการชี้แจงของกลุ่มทรู สื่อสังคมออนไลน์ที่เกาะติดกรณีดังกล่าวต่างพากันแสดงความเห็นในทำนองไม่เชื่อถือข้อมูลที่ทรูมูฟแถลงและเรียกร้องให้ กสทช.เร่งเข้ามาตรวจสอบให้เกิดความกระจ่างแทนที่จะไปหยิบยกเอาเรื่อง SMS ดูดเงินหรือเอสเอ็มเอสขยะมากลบเกลื่อนและมองว่าถ้อยแถลงของทรูมูฟดังกล่าวเป็นความพยายามปัดความรับผิดชอบของบริษัทและหา “แพะ”เข้ามารับผิดชอบแทน เพราะการดึงบริษัท ไอทรูมาร์ท(itruemart)ที่เป็นบริษัทลูกเข้ามารับผิดชอบนั้นก็เนื่องจากไม่ได้เป็นผู้รับใบอนุญาตจากกสทช.ทำให้เป็นเรื่องยากที่กสทช. จะลงโทษบริษัทโดยตรงทำได้แค่การแจ้งเตือนไปยังเรียลมูฟในฐานะผู้รับใบอนุญาตเท่านั้น
แหล่งข่าวกล่าวว่าหากตรวจสอบกระบวนการจัดเก็บข้อมูลส่วนบุคคลจะพบว่าข้อมูลที่หลุดออกมานั้น ได้หลุดพ้นขั้นตอนการซื้อเครื่องซิมและลงทะเบียนการ์ดไปแล้ว และถือเป็นขั้นตอนของการจัดเก็บข้อมูลหลังบ้านที่อยู่ในความรับผิดชอบของบริษัทเรียลมูฟหรือทรูมูฟ เอช โดยตรง โดยกระบวนการจัดเก็บข้อมูลตามประกาศ กสทช.ที่ได้พัฒนา “โปรแกรม 2 แชะ” เพื่อให้ผู้รับใบอนุญาตหรือตัวแทนจำหน่ายนำเข้าข้อมูลในอดีตก่อนจะพัฒนามาเป็น “2 แชะอัตลักษณ์” ซึ่งในส่วนของผู้รับไปอนุญาต แต่ละรายมักจะมีการพัฒนาโปรแกรมที่จะใช้กับตัวแทนจำหน่ายโดยตรงเพื่อความสะดวกในการใช้งานแต่จะต้องสอดคล้องกับประกาศของ กสทช. ซึ่งเมื่อตัวแทนจำหน่ายได้ขายเครื่องและทำการลงทะเบียนซิมไปแล้ว ข้อมูลลูกค้าเหล่านี้จะถูกส่งผ่านไปยังทรูมูฟเอชของเรียลมูลผู้รับใยอนุญาตเพื่อจัดเก็บไว้ตามประกาศ กสทช.
“ไม่มีทางเป็นไปได้เลยว่าไอทรูมาร์ท จะนำข้อมูลส่วนบุคคลที่ได้ลงทะเบียนซื้อซิมไว้นี้ไปเก็บไว้ในคราวของ AWSในต่างประเทศได้เอง เนื่องจากประกาศกสทช.ระบุชัดเจนว่าภาระในการจัดเก็บข้อมูลเป็นหน้าที่โดยตรงของผู้รับใบอนุญาต ดังนั้นผู้ที่ต้องทำการเชื่อมต่อข้อมูลจากโปรแกรมดังกล่าวต้องเป็นผู้รับใบอนุญาตโดยตรงจาก กสทช.เท่านั้นนั่นคือบริษัทเรียลมูฟหรือ TUC ไม่มีทางที่ไอทรูมาร์ทจะเชื่อมต่อข้อมูลเองโดยตรงไปยังคราวด์ของ AWS ได้ ดังนั้น กสทช ต้องหาความจริง ไม่ใช่จ้องแต่จะฟอกข่าวให้โดยหาเรื่องอื่นมากลบเกลื่อน”
นอกจากนี้ การที่บริษัทนำข้อมูลส่วนบุคคลไปจัดเก็บไว้กับคราวด์ AWS ในต่างประเทศนั้นยังจ่อจะผิดหลักเกณฑ์ตามประกาศ กสทช.อีกด้วย เพราะตามประกาศกสทช.นั้นกำหนดให้ผู้ใช้บริการต้องจัดส่งข้อมูลดังกล่าวให้สำนักงาน กสทช.ก่อน และให้จัดเก็บข้อมูลที่เป็นดาต้าเหล่านี้ไว้ในประเทศ หากจะนำส่งข้อมูลออกไปต่างประเทศจะต้องได้รับอนุญาตจากกสทช.กำหนด ซึ่งเป็นเครื่องแสดงให้เห็นว่าที่ผ่านมาทรูมูฟเอชมีการจัดเก็บข้อมูลบนคราวด์ AWS1 ที่ไม่เป็นไปตามประกาศ กสทช.
“ตอนนี้กำลังพยายามจะนำเอาเรื่องเอสเอ็มเอสดูดเงินเข้ามากลบเกลื่อนเรื่องอื้อฉาวที่บริษัทมือถือทำข้อมูลลูกค้าหลุดในโลกโซเชียลอย่างชัดเจน เพราะกรณีข้อความ SMS หรือเมล์ขยะดูดเงินนั้นมีหลักเกณฑ์ของ กสทช.กำหนดเอาไว้อยู่แล้ว ลูกค้าสามารถร้องเรียน ลงโทษผู้ให้บริการได้อยู่แล้ว แต่กรณีปล่อยข้อมูลลูกค้าหลุดดังกล่าสวถือเป็นเรื่องร้ายแรงยิ่งกว่ากรณีจ้าพ่อเฟซบุ๊กมาร์ค ซัคเคอร์เบอร์ก เสียอีก”
ด้าน นายภัคพงศ์ พัฒนมาศ รองผู้อำนวยการธุรกิจโมบายล์ บมจ.ทรู คอร์ปอเรชั่น (TRUE) กล่าวว่า ข้อมูลลูกค้าที่รั่วไหลออกมาเป็นลูกค้าที่ซื้อซิมพร้อมเครื่องของทรูมูฟ เอช และเป็นสำเนาบัตรประจำตัวประชาชน จำนวน 11,400 ราย จากลูกค้าทั้งหมด 1 ล้านรายในระหว่างปี 2558-2560 โดยถูกจารกรรมข้อมูล (Hack) ที่ต้องใช้เครื่องมือพิเศษถึง 3 ชนิด ซึ่งบริษัทได้ทราบเรื่องเมื่อ 11 เม.ย. ที่ผ่านมา และได้ระงับช่องโหว่ดังกล่าวไปเมื่อวันที่ 12 เม.ย.ที่ผ่านมา
ทั้งนี้ ไอทรูมาร์ท และ www.wemall.comเป็นการติดตั้งระบบบนคลาวด์ โดยใช้ AmazonS3เป็น Storage ซึ่งข้อมูลที่เก็บไว้บุคคลทั่วไปไม่สามารถเข้าถึงได้ มีแต่ผู้เชี่ยวชาญเท่านั้นที่จะเจาะข้อมูลเข้าไปได้ โดยใช้เครื่องมือพิเศษ โดยไอทรูมาร์ทเป็นพันธมิตรในการขายช่องทางออนไลน์ เหตุการณ์ที่เกิดขึ้นกับลูกค้าจำนวน 11,400 ราย ทาง ทรูมูฟ เอช ยังไม่ได้รับรายงานความเสียหายกับลูกค้ากลุ่มนี้
อย่างไรก็ตาม บริษัทได้เข้าแจ้งความกับเจ้าหน้าที่ตำรวจไว้ เพื่อสงวนสิทธิ์ของลูกค้ากลุ่มนี้หากอนาคตเกิดความเสียหาย และในช่วงเย็นวันนี้จะแจ้งข้อความทาง SMS เตือนไปยังลูกค้าเพื่อแจ้งว่ามีการเจาะเข้าไปใช้ข้อมูลโดยไม่ได้รับอนุญาต ทั้งนี้ ข้อมูลของลูกค้าทรูมูฟเอชทั้งหมดยกเว้นการขายผ่านช่องทางออนไลน์นั้น บริษัทเป็นผู้จัดเก็บข้อมูลเอง ซึ่งเป็นระบบปิด และต่อไปนี้บริษัทมีนโยบายเพิ่มความปลอดภัย (Data Securrity) มากยิ่งขึ้น
ขณะที่นายฐากร ตัณฑสิทธิ เลขาธิการ คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ(กสทช.)กล่าวว่า กสทช.มอบหมายให้โอเปอเรเตอร์ทำการตรวจสอบลูกค้า 11,400 รายที่ข้อมูลถูกเปิดเผยเพื่อกำหนดมาตรการเยียวยาผู้บริโภค พร้อมกันนั้นจะรวบรวมข้อเท็จจริงเพื่อนำเสนอต่อคณะกรรมการ กสทช.ก่อนที่จะพิจารณาบทลงโทษ รวมทั้งจะมีมาตรการต่างๆ หลังจากที่ทรูซึ่งเป็นผู้รับใบอนุญาตโทรคมนาคมแจ้งเรื่องมาว่าคนทั่วไปไม่สามารถเข้าถึงข้อมูลได้ แต่เกิดจากการแฮ็กข้อมูลของคู่ค้า ทั้งนี้ สำนักงาน กสทช.มีแนวคิดที่จะตั้งดาต้าเซ็นเตอร์เองเพื่อจัดเก็บข้อมูลลูกค้าทุกโอเปอเรเตอร์ รวมทั้งจะมีการออกมาตรการมาให้ทุกโอเปอเรเตอร์ป้องกันข้อมูลลูกค้าด้วย
