xs
xsm
sm
md
lg

ตำรวจไซเบอร์ฯ จี้ขนส่งอุดช่องโหว่ หลังข้อมูลลูกค้าหลุดขายแก๊งโอริโอ้

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



ตำรวจไซเบอร์ฯ เตือนด่วน! บริษัทขนส่งทั่วประเทศเร่งอุดช่องโหว่ หลังข้อมูลลูกค้าหลุดขายแก๊งโอริโอ้ เสี่ยงผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล แนะวิธีป้องกันก่อนโดนแฮกซ้ำ

จากกรณีตำรวจไซเบอร์เปิดปฏิบัติการกวาดล้างเครือข่ายอาชญากรรมทางเทคโนโลยี "แก๊งโอริโอ้" หลังขยายผลจากการจับกุม "แอดมินวัย 16 ปี" ที่ลักลอบขายข้อมูลส่วนบุคคลให้ขบวนการมืด โดยพบว่า เครือข่ายนี้มีการใช้ข้อมูลลูกค้าจากระบบหลังบ้านของบริษัทขนส่งเอกชนชื่อดัง ส่งผลให้ข้อมูลที่อยู่ของประชาชนถูกขายต่อได้ง่ายเพียงแค่กรอกเบอร์โทรศัพท์

พล.ต.ท.ไตรรงค์ ผิวพรรณ ผู้บัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี เปิดเผยว่า การจับกุมเริ่มจาก นายรัชพล อายุ 16 ปี แอดมินเว็บไซต์ลับที่ขายข้อมูลส่วนตัวของลูกค้าบริษัทขนส่ง ซึ่งถูกจ้างจาก นายวิชัย อายุ 31 ปี ให้เป็นผู้ดูแลระบบ ข้อมูลเหล่านี้หลุดมาจากฐานข้อมูลกลางของบริษัท โดยเจ้าตัวได้รับค่าตอบแทนเป็นแพกเกจ รายวัน 300 บาท รายสัปดาห์ 1,000 บาท และรายเดือน 2,500 บาท

พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ระบุว่า ระบบของบริษัทขนส่งเอกชนชื่อดังมีช่องโหว่จากการใช้ API (Application Programming Interface) ที่เชื่อมต่อข้อมูลที่อยู่ลูกค้าเข้ากับระบบของสาขาทั่วประเทศผ่านทั้งคอมพิวเตอร์และมือถือ แต่การเข้ารหัสยังใช้เพียงตัวเลขธรรมดา ทำให้แฮกเกอร์เข้าถึงข้อมูลได้ง่าย

นอกจากนี้ API Key ของระบบหลังบ้านยังถูกนำมาใช้โดยไม่จำกัดสิทธิ ส่งผลให้แอดมินวัย 16 ปีสามารถเขียนโปรแกรมให้ผู้ใช้ทั่วไปค้นหาที่อยู่ของใครก็ได้เพียงแค่ใส่หมายเลขโทรศัพท์ ราวกับเป็นหน้าร้านของบริษัทขนส่งชื่อดัง ทำให้กลุ่มมิจฉาชีพใช้ช่องทางนี้ไปล่อลวงเหยื่อ จนนำไปสู่คดีอาชญากรรม

พล.อ.ต.อมร ยังยกตัวอย่างปัญหาซอร์สโค้ดรั่วไหลที่เคยเกิดขึ้นระดับโลก เช่น ในปี 2564 Nissan ตั้งค่าเซิร์ฟเวอร์ผิดพลาด ทำให้ซอร์สโค้ดหลุดสู่สาธารณะ ปี 2565 Uber ถูกแฮกบัญชีผู้ใช้ เพราะฝังรหัสผ่านไว้ในโค้ด และในปี 2563 Twitter (X) API Key หลุด ทำให้แฮกเกอร์เจาะระบบได้

"เรื่องซอร์สโค้ดของบริษัทขนส่งเอกชนน่าจะถูกเปิดเผยมากว่า 2 ปีแล้ว แต่กรณีแอดมินวัย 16 ปี เพิ่งเกิดขึ้นในช่วง 2-3 เดือนที่ผ่านมา ที่น่าสนใจคือ เด็กคนนี้ให้ผู้ใช้โอนเงินตรงเข้าบัญชีของตัวเอง ไม่ได้ใช้บัญชีม้า ทำให้การจับกุมเป็นไปอย่างรวดเร็ว" พล.อ.ต.อมร กล่าว และว่า

"สกมช. ได้ประสานไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อให้เร่งตรวจสอบมาตรฐานความปลอดภัยของบริษัทขนส่งที่มีช่องโหว่ รวมถึงเรียกร้องให้ภาคธุรกิจหันมาใช้ระบบความปลอดภัยที่เข้มงวดขึ้น ป้องกันไม่ให้ข้อมูลประชาชนถูกนำไปใช้ในทางที่ผิด ขณะนี้ตำรวจไซเบอร์ยังเดินหน้าขยายผลเพื่อตามล่าผู้ร่วมขบวนการเพิ่มเติม และเตือนประชาชนให้เพิ่มความระมัดระวังในการให้ข้อมูลส่วนตัวกับแพลตฟอร์มต่างๆ เพราะอาจถูกมิจฉาชีพนำไปใช้โดยไม่รู้ตัว"

อย่างไรก็ตาม แม้บริษัทขนส่งพัสดุจะปิดระบบการเข้าถึงข้อมูลหลังเกิดเหตุข้อมูลลูกค้าหลุดไปอยู่ในมือมิจฉาชีพ แต่เตือนว่า หากไม่มีมาตรการป้องกันที่รัดกุม อาจเกิดปัญหาซ้ำรอย พร้อมเสนอแนวทางแก้ไขที่สามารถดำเนินการได้จากส่วนกลางโดยไม่กระทบการดำเนินงานของสาขาทั่วประเทศ

หนึ่งในข้อเสนอสำคัญคือการปรับปรุงระบบ พาสเวิร์ดและการยืนยันตัวตน โดยต้องกำหนดให้รหัสผ่านมีความซับซ้อน และเพิ่มกลไกตรวจสอบ เช่น หากมีการป้อนพาสเวิร์ดผิดหลายครั้ง ควรมีการหน่วงเวลาหรือระงับการใช้งานชั่วคราวเพื่อลดความเสี่ยงจากการสุ่มเดารหัส

นอกจากนี้ ต้องหลีกเลี่ยงการฝังยูสเซอร์เนม พาสเวิร์ด API Key หรือ Token ต่างๆ ไว้ในซอร์สโค้ด ซึ่งอาจถูกเข้าถึงโดยผู้ไม่หวังดี และควรจำกัดการเผยแพร่ซอร์สโค้ดบนแพลตฟอร์มสาธารณะ เช่น GitHub, GitLab, Postman หรือ Colab ที่อาจกลายเป็นช่องโหว่ให้แฮกเกอร์เจาะเข้าระบบ

เพื่อป้องกันการโจมตีผ่าน API ควรมีการเข้ารหัสข้อมูลทุกครั้งเมื่อมีการเรียกใช้ API พร้อมทั้งกำหนดอายุของ Session Token และ Session Cookie ให้มีระยะเวลาที่เหมาะสม ลดโอกาสที่ผู้ไม่หวังดีจะใช้ช่องโหว่นี้เจาะเข้าระบบ

อีกประเด็นสำคัญ คือ การตรวจสอบการเข้าถึงข้อมูลผ่านระบบล็อก (Log) ที่สามารถบันทึกว่า ใครเข้าถึงข้อมูลของประชาชนบ้าง หากพบความผิดปกติ เช่น ร้านสาขาแห่งหนึ่งมีการใช้หมายเลขโทรศัพท์ลูกค้าค้นหาที่อยู่ 500 รายต่อวัน แต่รับพัสดุเพียง 100 ชิ้น ระบบกลางต้องสามารถแจ้งเตือนและกำหนดข้อจำกัดในการเข้าถึงได้ทันที

นอกจากนี้ สิ่งที่บริษัทขนส่งต้องให้ความสำคัญที่สุดคือ การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งกำหนดให้หน่วยงานที่เก็บข้อมูลลูกค้าต้องมีมาตรการป้องกันข้อมูลรั่วไหล มิฉะนั้นอาจเผชิญบทลงโทษทางกฎหมาย รวมถึงความเสียหายทางธุรกิจจากความเชื่อมั่นที่ลดลงของลูกค้า

ขณะนี้หน่วยงานด้านความมั่นคงไซเบอร์และตำรวจไซเบอร์กำลังจับตาการแก้ไขของบริษัทขนส่งเหล่านี้ หากพบว่ายังไม่มีการดำเนินมาตรการป้องกันอย่างเพียงพอ อาจนำไปสู่การตรวจสอบและดำเนินคดีในอนาคต

กำลังโหลดความคิดเห็น