xs
xsm
sm
md
lg

ข้อมูลส่วนบุคคลที่ต้องระวัง! กรณีศึกษา ‘ใบขับขี่ดิจิทัล’

เผยแพร่:   โดย: กิตตินันท์ นาคทอง


กิตตินันท์ นาคทอง Facebook.com/kittinanlive

ฮือฮากันตั้งแต่ต้นปี สำหรับใบขับขี่ดิจิทัล หรือ DLT QR LICENCE แอปพลิเคชันใบอนุญาตขับขี่เสมือนจริง ที่กรมการขนส่งทางบก เปิดให้ประชาชนดาวน์โหลดกันตั้งแต่ 15 มกราคม 2562 ที่ผ่านมา

จุดประสงค์หลักก็คือ อำนวยความสะดวกให้ประชาชนใช้แสดงตนแทนใบขับขี่ตัวจริง เวลาผ่านด่านตรวจที่ไหน เพียงแค่เปิดแอปฯ แล้วยื่นมือถือให้เจ้าหน้าที่ดู จะได้ไม่ต้องเสียเวลาค้นใบขับขี่ตัวจริง และไม่ต้องพกบัตรให้ตุงกระเป๋าสตางค์

พอฟังอย่างนี้แล้วก็มีผู้คนแห่ดาวน์โหลดแอปฯ นับแสนรายในเวลาไม่กี่วัน แต่ก็ต้องเจอฝ่ายตำรวจไม่เอาด้วย เพราะขัดกับกฎหมายจราจรที่ใช้อยู่ในปัจจุบัน ถ้าจะแก้กฎหมายต้องผ่านสภานิติบัญญัติแห่งชาติ (สนช.) ใช้เวลาไม่น้อยกว่า 6 เดือน

คงไม่ต้องบอกว่าขนส่งฯ จะว่าอย่างไร เพราะตอนนี้ให้คนที่ดาวน์โหลดไปแล้วพกใบขับขี่ตัวจริงไปก่อน จนกว่าจะแก้กฎหมายแล้วเสร็จ ทำเอาสังคมกังขาว่า ขนส่งกับตำรวจทำไมไม่ตกลงกันให้จบเสียก่อนที่จะประกาศออกมา

สิ่งที่น่าเป็นห่วงสำหรับแอปฯ นี้ก็คือ “ขั้นตอนการสมัคร” เพราะดูเหมือนว่ายังมีช่องโหว่ที่จะให้ “บุคคลอื่น” สวมรอยใบขับขี่ของใครก็ได้ ที่ยังไม่ได้ดาวน์โหลดแอปฯ นี้ เพื่อดึงข้อมูลจากใบขับขี่เข้ามาแสวงหาผลประโยชน์โดยทุจริต

ช่องโหว่ที่น่ากลัวก็คือ ใช้เพียงแค่ “เลขประจำตัวประชาชน” กับ “อีเมล” อะไรก็ได้ เพื่อรับรหัสใช้ครั้งเดียว (One Time Password หรือ OTP) สำหรับเปิดใช้งานแอปฯ และ “คิวอาร์โค้ด” ด้านหลังบัตรสำหรับดึงข้อมูลเท่านั้น

ความน่ากลัวอีกอย่างหนึ่งก็คือ ถ้ามิจฉาชีพสวมรอยสมัครใบขับขี่ดิจิทัลแล้ว ยังสามารถล่วงรู้ข้อมูลที่อยู่ในแอปฯ ใบขับขี่นำไปใช้ในทางมิชอบ ทั้งประวัติการแพ้ยา, กรุ๊ปเลือด, โรคประจำตัว, สิทธิรักษาพยาบาล และเบอร์ผู้ติดต่อกรณีฉุกเฉิน

ปัญหาก็คือ “อีเมล” ไม่ใช่ข้อมูลยืนยันตัวตนอย่างเป็นทางการ ต่างจาก “เบอร์โทรศัพท์มือถือ” ที่ต้องลงทะเบียนซิมการ์ดกับสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.)

อีกทั้งคนไทยส่วนใหญ่ใช้ “ฟรีอีเมล” ที่มาจากผู้ให้บริการายใหญ่ เช่น Outlook (Hotmail) ของไมโครซอฟท์, Gmail ของกูเกิล, Yahoo ของยาฮู หรือ iCloud ของแอปเปิล ซึ่งสมัครง่ายเพียงไม่กี่นาทีเท่านั้น

นึกถึงกรณีที่ลูกค้า “ธนาคารสีเขียว” รายหนึ่ง ถูกมิจฉาชีพใช้แอปฯ “วอลเลทเจ้าดัง” ขโมยเงินในบัญชีผ่านบริการหักบัญชีอัตโนมัติ มิจฉาชีพเพียงแค่ล่วงรู้เลขที่บัตรประชาชน เลขที่บัญชี และเบอร์มือถือจากการหลอกถามข้อมูลส่วนตัว

ส่วนอีเมลก็เป็นของมิจฉาชีพที่สมัครเอาไว้ เมื่อวอลเลทเจ้าดังเปิดใช้บริการ “หักบัญชีอัตโนมัติ” (Auto Direct Debit) กับธนาคารฯ ก็ผูกบัญชีธนาคารกับวอลเลทได้แล้ว ก่อนที่มิจฉาชีพจะดึงเงินจากบัญชีของเหยื่อโดยไม่รู้ตัว

กว่าจะทราบว่าถูกขโมยเงินในบัญชีก็ตอนเช็กยอดแล้วเงินที่อยู่ในบัญชีนับหมื่น เหลือเศษเงินเพียงแค่ไม่กี่บาทเท่านั้น ที่น่าคิดก็คือ แม้ผู้เสียหายจะให้เพื่อนโอนเงินเข้าบัญชีไปอีก 200 บาท แต่ก็ถูกมิจฉาชีพขโมยเงินจากบัญชีในเวลาอันรวดเร็ว

ฝ่ายวอลเลทเจ้าดังก็อ้างว่าระบบทำมาดีอยู่แล้ว ขณะที่ธนาคารก็อ้างว่าผู้เสียหายไม่อ่านข้อความแจ้งเตือนเอง ซึ่งคนที่ทำรายการเพียงแค่เช็กยอด โอนเงิน จ่ายบิล ไม่อาจทราบมาก่อนว่ามีแจ้งเตือนแบบนี้ เห็นว่าให้ตอบตกลงก็ตกลงไว้ก่อน

แม้จะจบลงตรงที่ธนาคารสีเขียว เลือกที่จะโอนเงินเยียวยาเหยื่อเพื่อให้เรื่องราวจบลง แต่การติดตามตัวมิจฉาชีพมาดำเนินคดี ระหว่างธนาคารกับวอลเลทเจ้าดัง ไม่รู้ว่าคืบหน้าไปมากน้อยแค่ไหน หรือปล่อยให้เรื่องเงียบหายไปก็ไม่อาจทราบได้

อีกเรื่องหนึ่ง เกี่ยวข้องกับสาธารณูปโภคก็คือ แอปพลิเคชัน “PEA Smart Plus” ของ การไฟฟ้าส่วนภูมิภาค สำหรับเช็กยอดค่าไฟและชำระค่าไฟทั้งผ่านบัญชีธนาคารและบัตรเครดิต เปิดให้ประชาชนผู้ใช้ไฟดาวน์โหลดไปนานแล้ว

ในขั้นตอนการสมัคร จะใช้เลขประจำตัวประชาชน และเบอร์มือถือลงทะเบียนเพื่อรับ OTP ซึ่งเบอร์มือถือที่ใช้สมัครแอปฯ นี้จะอยู่ในฐานข้อมูลของการไฟฟ้าส่วนภูมิภาค เวลาแจ้งไฟฟ้าขัดข้องผ่าน 1129 จะสะดวกอย่างมาก

ครั้งหนึ่งที่บ้านไฟฟ้าดับ ใช้เบอร์มือถือที่สมัครแอปฯ โทร. ไปที่คอลเซ็นเตอร์ ปรากฎว่าปลายสายแจ้งข้อมูลบ้านที่ไฟดับ ก่อนจะถามว่า “เรียนสายคุณ ... ถูกต้องไหมคะ” ตอนนั้นถึงกับอึ้ง แต่ก็ถือว่าสะดวกมากทีเดียว

แต่ที่น่ากลัวก็คือ เราสามารถล่วงรู้ข้อมูลการใช้ไฟฟ้าของบ้านไหนก็ได้ ผ่าน “หมายเลขผู้ใช้ไฟฟ้า” และ “รหัสเครื่องวัด” บนใบแจ้งค่าไฟฟ้า ที่พนักงานจดหน่วยไฟฟ้าจะพิมพ์จากเครื่อง แล้วส่งไปตามบ้านเรือนต่างๆ

เมื่อกรอกข้อมูลทั้งสองอย่างลงในแอปฯ แล้ว จะรู้ประวัติการใช้ไฟฟ้าว่า แต่ละเดือนใช้ไฟฟ้าไปกี่หน่วย จ่ายค่าไฟฟ้าไปเท่าไหร่ แถมยังดูแผนที่ว่าบ้านหลังนั้น พิกัดอยู่จุดไหนได้อีก (แต่ปัจจุบันแผนที่อยู่ในระหว่างปรับปรุงข้อมูล)

ในวันนี้เราอาจยังไม่คิดหรอกว่า ข้อมูลเหล่านี้มิจฉาชีพจะเอาไปทำอะไรได้ แต่ก็เกรงว่าหากวันหนึ่งมิจฉาชีพสวมรอยบุคคลอื่น แล้วนำข้อมูลเหล่านี้ไปใช้ในทางทุจริต เกิดความเสียหาย ไม่อยากจะนึกเลยว่าจะเกิดอะไรขึ้น

ที่กล่าวมาทั้งหมดนี้ไม่ใช่ว่าจะบอกให้กลัวจนไม่กล้าใช้บริการเหล่านี้ แต่ก็อยากจะบอกกับหน่วยงานต่างๆ โดยเฉพาะหน่วยงานราชการ ถ้าจะทำแอปฯ หรือบริการอี-เซอร์วิสต่างๆ ในขั้นตอนการสมัครควรมีความรัดกุมมากกว่านี้

ถ้าจะให้รัดกุมที่สุดก็คือ ยืนยันตัวตนในการสมัครต่อหน้าเจ้าหน้าที่ เพื่อเป็นพยานเพียงครั้งเดียว แต่ก็อาจจะถูกวิจารณ์ว่า ในเมื่อลงทะเบียนออนไลน์ได้แล้ว จะให้ยืนยันตัวตนให้ยุ่งยากทำไมก็ตาม

ยกตัวอย่างเช่น ลงทะเบียนพร้อมเพย์ บางธนาคารสมัครได้เลย แต่บางธนาคารยังต้องสมัครต่อเจ้าหน้าที่ แล้วให้กดรหัส *179*เลขประจำตัวประชาชน# แล้วโทรออก เพื่อตรวจสอบว่ามือถือเบอร์นี้ตรงกับเลขประจำตัวประชาชนหรือไม่

ส่วนวิธีป้องกันข้อมูลส่วนบุคคลที่ดีที่สุดก็คือ “ไม่โพสต์ข้อมูลส่วนตัวลงในโซเชียล” เช่น เลขประจำตัวประชาชน เบอร์มือถือ ใบขับขี่ บิลค่าน้ำ ค่าไฟ ค่าโทรศัพท์ เอกสารสำคัญ ฯลฯ รวมทั้งหลีกเลี่ยงการให้เอกสารต่างๆ แก่บุคคลที่ไม่น่าไว้วางใจ

เพราะเราไม่รู้ว่า วันไหนมิจฉาชีพรายใดจะเข้าถึง หรือล่วงรู้ข้อมูลส่วนตัว แล้วใช้สมัครบริการต่างๆ ในทางทุจริตและเกิดความเสียหายขึ้นตามมา ซึ่งสุดท้ายแล้วก็แก้ปัญหากันที่ปลายเหตุทุกที

ปัจจุบันแม้จะมี พ.ร.บ.คอมพิวเตอร์ ที่ร่างมาแน่นหนารัดกุม แต่มิจฉาชีพทั้งหมดมักทำงานแบบไม่เปิดเผยตัวตน อีกทั้งหน่วยงานที่รับผิดชอบมีความหย่อนยาน จึงเห็นภัยที่เกิดขึ้นจากอินเตอร์เน็ตไม่รู้จบกระทั่งถึงวันนี้
ข้อมูลส่วนบุคคลที่ต้องระวัง! กรณีศึกษา ‘ใบขับขี่ดิจิทัล’
ข้อมูลส่วนบุคคลที่ต้องระวัง! กรณีศึกษา ‘ใบขับขี่ดิจิทัล’
ข้อมูลส่วนบุคคลที่ต้องระวัง! กรณีศึกษา ‘ใบขับขี่ดิจิทัล’
ข้อมูลส่วนบุคคลที่ต้องระวัง! กรณีศึกษา ‘ใบขับขี่ดิจิทัล’
ข้อมูลส่วนบุคคลที่ต้องระวัง! กรณีศึกษา ‘ใบขับขี่ดิจิทัล’
กำลังโหลดความคิดเห็น