ขนส่งพัสดุเสี่ยง ข้อมูลที่อยู่ลูกค้ารั่วถึงมิจฉาชีพ แค่ค้นเบอร์ก็เจอบ้าน สำนักงานไซเบอร์ฯออกโรงเตือน เอกชนเข้มงวดตฝระบบหลังบ้านให้ปลอดภัย หลังพบกรณีนำข้อมูลที่อยู่ขายให้ แก๊งโอริโอ้ พร้อมแนะเทคนิคป้องแฮกเกอร์ ก่อนเสี่ยงผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

จากกรณีที่ พล.ต.ท.ไตรรงค์ ผิวพรรณ ผู้บัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี หรือ ตำรวจไซเบอร์ แถลงผลการดำเนินคดีเครือข่าย แก๊งโอริโอ้ จากกรณีสืบเนื่องจากเกม FiveM ซึ่งเป็นการขยายผลจากการจับนายรัชพล เยาวชนอายุ 16 ปี แอดมินที่คอยขายข้อมูลส่วนบุคคลให้กับแก๊งโอริโอ้ จนพบข้อมูลเชื่อมโยงไปยัง นายวิชัย อายุ 31 ปี ที่มีการนำข้อมูลส่วนบุคคลจากบริษัทขนส่งเอกชนชื่อดังมาขายในระบบ และจ้างนายรัชพลเป็นผู้ดูแล โดยให้ค่าตอบแทนแบบแพ็คเกจรายวัน 300 บาท รายสัปดาห์ 1,000 บาท และรายเดือน 2,500 บาท นั้น

พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) กล่าวว่า จากการทำงานร่วมกันอย่างใกล้ชิดระหว่างสำนักงาน สกมช. กับตำรวจไซเบอร์ พบว่า ข้อมูลที่อยู่อาศัยของผู้ใช้บริการกับบริษัทขนส่งเอกชนชื่อดังที่ถูกนำออกมาขายนั้น เกิดจากระบบส่วนกลางที่เป็นฐานข้อมูลที่อยู่ของลูกค้าใช้ API (Application Programing Interface) เชื่อมต่อไปยังระบบหลังบ้านของทั้งสาขาเอกชนโลจิสติกส์ขนส่งทั่วประเทศทั้งบนคอมพิวเตอร์และโทรศัพท์มือถือ

ซึ่งเป็นการเข้าผ่านการเข้ารหัสยูเซอร์เนม พาสเวิร์ด ด้วยตัวเลข ที่มีความเสี่ยงต่อการถูกแฮก การค้นหาที่อยู่ของผู้ใช้บริการหาโดยง่ายเพียงกรอกเบอร์โทรศัพท์ก็สามารถรู้ที่อยู่บ้านปัจจุบัน นอกจากนี้ระบบยังมีการเปิดเผย ซอร์สโค้ด ให้เห็นได้ง่ายในที่สาธารณะอีกด้วย

กรณีเด็กอายุ 16 ปี จึงนำคีย์ของระบบหลังบ้าน หรือ API Key มาเขียนโปรแกรมครอบไว้ให้เป็นเหมือนเว็บไซต์ทั่วไป เปิดให้บริการกับกลุ่มคนที่ต้องการข้อมูลที่อยู่ สามารถใช้เบอร์โทรศัพท์เข้าไปค้นหาที่อยู่อาศัยได้ เปรียบเสมือนเป็นหน้าร้านของบริษัทจนส่งชื่อดัง จนเกิดกรณี เครือข่ายแก๊งโอริโอ้ นำเบอร์โทรศัพท์คู่กรณีไปค้นหาบ้านจนทำให้เกิดคดีในที่สุด

พล.อ.ต.อมร กล่าวว่า ในต่างประเทศก็มีตัวอย่างภัยไซเบอร์จากความประมาทของนักพัฒนาหลายกรณี อาทิ โค้ดรั่วไหล กรณี นิสสัน ในปี 2564 ที่มีการตั้งค่าเซิร์ฟเวอร์ผิดพลาด ทำให้ซอร์สโค้ดถูกเปิดเผยต่อสาธารณะ กรณีรหัสผ่านถูกแฮก ของ อูเบอร์ ในปี 2565 โดยมีการฝังรหัสผ่านในโค้ด ทำให้แฮกเกอร์พบและเข้าถึงระบบได้ และกรณี API Key หลุดของ Twitter หรือ X ในปี 2563 ด้วยการใส่ API Key ไว้ในโค้ด จนแฮกเกอร์นำไปใช้เพื่อโจมตีระบบ เป็นต้น 

เรื่องซอร์สโค้ดถูกเปิดเผย น่าจะเกิดขึ้นมากกว่า 2 ปีแล้ว แต่กรณีเด็กอายุ 16 ปี น่าจะเพิ่งทำได้เพียง 2-3 เดือน และน้องก็ให้ผู้ใช้บริการโอนเงินให้ตัวน้องเอง ไม่ได้ใช้บัญชีม้า การหาตัวจึงง่าย เรื่องนี้ สกมช.ได้แจ้งไปยังบริษัทขนส่งชื่อดังเจ้านั้นแล้ว เมื่อ 2-3 สัปดาห์ที่ผ่านมารวมถึงประสานไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ให้ดูแลเรื่องนี้ต่อไปด้วย

ตามข่าวที่ออกมาในช่วงแรกที่ระบุว่ามีการเข้าถึงข้อมูลทะเบียนราษฎรแต่เมื่อมีการสืบสวนเชิงลึกก็พบว่า ข้อมูลข้างต้นเป็นไม่อัพเดท แต่ข้อมูลจากบริษัทขนส่งเวลาส่งสินค้าออนไลน์แม่นยำมาก และระบุที่อยู่ได้ถูกต้อง เช่น บ้านเลขที่... มีโต๊ะม้าหินอ่อน มีถังขยะวางด้านหน้า หรือบางคนที่อยู่จะเป็นต่างจังหวัด แต่ที่พักอาศัยจริงคือคอนโดมีเนียม ก็จะระบุได้ถึงเลขห้อง เลขชั้น และเบอร์โทรที่ติดต่อไปทันที ดังนั้น ข้อมูลที่รั่วก็แค่ค้นจากเบอร์ก็เจอที่อยู่ได้ในพริบตา

อย่างไรก็ตาม แม้ว่า กรณีดังกล่าว ได้มีการปิดระบบการเข้าถึงข้อมูลแล้วก็ตาม แต่เพื่อไม่ให้ เกิดปัญหาซ้ำรอย บริษัทขนส่งพัสดุ จึงควรเร่งแก้ไขระบบการเข้าถึงข้อมูลรวมถึงการเฝ้าระวังการเข้าถึงข้อมูลที่ผิดปกติ โดยสามารถทำได้ที่ส่วนกลาง ไม่เดือดร้อนหน้าร้านที่มีสาขาทั่วประเทศแต่อย่างใด 

เนื่องจากระบบนี้เป็นการทำงานจากส่วนกลางและเชื่อมต่อด้วย API ดังนี้ 

-ระบบพาสเวิร์ด ต้องคาดเดายาก ควรมีกลไกตรวจสอบการป้อน พาสเวิร์ด หากผิดหลายครั้ง ควรหน่วงเวลาหรือระงับใช้ชั่วคราว

-หลีกเลี่ยงการฝัง ยูสเซอร์เนม พาสเวิร์ด, API key, Token, Secret Key ใน Source Code

-หลีกเลี่ยงการเปิดเผย ซอร์สโค้ด บนแพลตฟอร์มที่เข้าถึงได้โดยสาธารณะ (เช่น Github, Gitlab, Postman , Colab)

-จำกัดเวลา Session Token, Session Cookie ให้มีระยะเวลาที่เหมาะสม

-กำหนดให้มีการเข้ารหัสในการเรียกใช้ API เพื่อป้องกันการดักจับข้อมูล

-กำหนดให้มีกลไกในการตรวจสอบว่า ใครเข้าถึงข้อมูลของประชาชนได้บ้าง (Log การใช้งาน)

-กำหนดให้มีกลไกในการตรวจสอบการเข้าถึงข้อมูลจากผู้ใช้งานบุคคลเดียวกัน เมื่อถูกเรียกใช้งานวนมากในระยะสั้น เช่น ร้านสาขาหนึ่งพบการนำเบอร์โทรศัพท์ของลูกค้าไปค้นหาที่อยู่ 500 คนต่อวัน แต่จำนวนพัสดุที่รับมีเพียง 100 ชิ้นต่อวัน เป็นต้น 

ดังนั้น แสดงว่าต้องมีความผิดปกติและอาจตกเป็นเครื่องมือของมิจฉาชีพในการแฮกเข้าไปค้นหาที่อยู่ ซึ่งส่วนกลางก็ต้องมีการแจ้งเตือน ตรวจสอบ และมีการกำหนดข้อจำกัดในการค้นหาที่อยู่ ที่สำคัญคือ ต้องกำชับเรื่องการปฎิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล