หลังจากข่าวใหญ่จาก Facebook ที่ทำข้อมูลหลุด ไปอยู่ในมือของบริษัท Cambridge Analytica ที่นำข้อมูลไปใช้ประโยชน์ในการวิเคราะห์ทางการเมือง อาจจะดูไกลไป มาดูกรณีบ้านเราซึ่งตอนนี้ทาง TrueMove H ก็ทำข้อมูล บัตรประชาชนของลูกค้าหลุดออกมาเช่นกัน ซึ่งมีตั้งแต่ปี 2016-2018 เป็นจำนวนรวมกว่า 32GB ข้อมูลทั้งหมดนั้นถูกเก็บไว้บน S3
ทำความรู้จักกับ S3 คร่าวๆ
S3 ย่อมาจาก Simple Storage Service ซึ่งเป็นบริการหนึ่งของทาง Amazon ที่นำมาใช้สำหรับการเก็บไฟล์ ซึ่งเอาไปใช้ประโยชน์ได้หลายอย่างไม่ว่าจะเป็นการเก็บข้อมูลรูป หรือไฟล์ js, css ต่างๆของเว็บไซต์ รวมถึงการ backup ข้อมูลต่างๆไว้บนนี้เช่นกันซึ่งเวลาจะใช้ S3 เราจะต้องสร้างสิ่งที่เรียกว่า bucket หรือก็คือถังที่เอาไว้ใส่ข้อมูลนั้นเอง และเราสามารถตั้ง policy ของมันได้ว่า bucket นี้เป็น public หรือ private และใครสามารถเข้าไปเรียกใช้ข้อมูลเหล่านี้ได้บ้าง
กรณีของ TrueMove H เกิดขึ้นได้ยังไง?
ทาง TrueMove H นั้นได้ทำการเก็บรูปบัตรประชาชนของลูกค้าไว้ใน bucket บน S3 เหมือนกัน แต่ประเด็นอยู่ที่ว่า ไม่ได้มีการจํากัดสิทธิ์ในการเข้าถึง data เลย คือตั้งเป็น public ที่นี้ ทำให้ใครก็ตามที่มี URL สามารถเข้าถึงข้อมูลเหล่านั้นได้เลย ซึ่งก็คือการ configuration ที่ผิดพลาดนั่นเองตัวอย่าง public S3 ของ facebook (อันนี้คือเขาตั้งใจ public)
http://imgfacebook.s3-eu-west-1.amazonaws.com/
ซึ่งเราสามารถดูดข้อมูลพวกนี้ได้เลย เพราะมัน public ซึ่งในนั้นมี key ที่เป็นชื่อรูปอยู่เราสามารถเข้าถึงรูปพวกนั้นได้เลยดังตัวอย่างรูปข้างล่าง
ประเด็นที่น่าสนใจ
กรณีนี้เริ่มจาก Niall Merrigan นักวิจัยด้านความปลอดภัยได้ไปพบข้อมูลบัตรประชาชนของ TrueMove H ที่เก็บไว้บน S3 โดยไม่มีการป้องกันการเข้าถึงใดๆ ทำให้ใครก็ตามที่รู้ URL สามารถเข้าถึงได้หมดทาง Niall Merrigan ได้แจ้งไปยัง True ว่าพบข้อมูลบัตรประชาชนอยู่บน public cloud นะ แจ้งไปตั้งแต่ว่าที่ 10 มีนาคม ซึ่งได้การตอบกลับให้ติดต่อให้ยัง Head Quarter ทาง Niall ก็ติดต่อไปเพราะเห็นว่าสำคัญ แต่ก็ยังไม่เกิดการแก้ไขขึ้น จนกระทั่งทาง Niall ติดต่อไปอีกครั้ง ในวันที่ 2 เมษายน รอบนี้คือกดดันว่าจะ publish ตัวบทความของเรื่องนี้ในสัปดาห์หน้าแล้วนะ ซึ่งทาง True ตอบกลับมาอีกทีวันที่ 4 เมษา ว่ากำลังตรวจสอบ และในที่สุดวันที่ 12 เมษายน ข้อมูลถึงถูกทำให้เป็น private รวมระยะเวลาก็ 1 เดือนเลยทีเดียว
รวมถึงปัจจุบันทาง นายสืบสกล สกลสัตยาทร ผู้จัดการทั่วไปของบริษัท Ascend Commerce ผู้ให้บริการเว็บ iTrueMart หรือ WeMall ได้ออกมาแถลงว่าสิ่งที่เกิดขึ้นนั้นนาย Niall Merrigan นั้นทำการแฮก "ถ้าไม่ใช่ผู้เชี่ยวชาญ ไม่สามารถเข้าถึงได้"
ซึ่งจริงๆแล้วไม่ใช่การแฮก ก็อย่างที่บอกไปก่อนหน้านี้ว่าคุณเปิดเป็น public เอง เพราะฉะนั้นแค่คุณ Url นั้นก็สามารถดาวน์โหลดข้อมูลได้แล้ว! เด็กปริญญาตรีก็ทำได้ไม่ยากเลย กลายเป็นการทําคุณบูชาโทษไปแล้ว
ซึ่งข้อมูลบัตรประชนนั้นอันตรายมากๆ เราต้องแชร์เรื่องนี้กันเยอะๆ ให้กรณีนี้เป็นกรณีนี้ตัวอย่าง เพื่อไม่ให้มันเกิดขึ้นอีกในอนาคต
ข้อมูลเพิ่มเติมจากนาย Niall Merrigan
- ฺBlog ของ Niall Merrigan
- FAQ ของนาย Niall Merrigan
