ไม่ปลอดภัย! พบช่องโหว่แอป กกต. เจาะข้อมูลบ้านเลขที่ได้ แค่รู้เลขบัตรประชาชน

พบช่องโหว่แอปพลิเคชัน "ดาวเหนือ" ของสำนักงาน กกต. แสดงพิกัดจุดเลือกตั้งละเอียดยันเลขที่บ้าน แค่รู้เลขที่บัตรประชาชน แต่ไม่โชว์ในหน้าแอปฯ เท่านั้น

หลังจากที่สำนักงานคณะกรรมการการเลือกตั้ง (กกต.) ใช้เวลากว่า 1 ปี พัฒนาแอปพลิเคชั่นสำหรับประชาชน ภายใต้งบประมาณกว่า 150,000 บาท กระทั่งได้เปิดตัวโดยใช้ชื่อว่า "ดาวเหนือ" ผ่านระบบไอโอเอส และแอนดรอยด์ มีคุณสมบัติสามารถค้นหารายชื่อผู้มีสิทธิเลือกตั้ง สถานที่เลือกตั้ง และแผนที่เดินทางไปใช้สิทธิที่หน่วยเลือกตั้ง เพื่อรองรับการออกเสียงประชามติร่างรัฐธรรมนูญที่จะมีขึ้นช่วงปลายเดือน ก.ค. 2559 ต่อเนื่องถึงการเลือกตั้งทั่วไป

ล่าสุดดูเหมือนว่าแอปพลิเคชั่นนี้จะไม่เป็นใจสำหรับผู้ใช้มือถือซะแล้ว เมื่อทวิตเตอร์ @ipats ได้ออกมาเปิดเผยช่องโหว่ของแอปพลิเคชันนี้ โดยระบุว่า แอปพลิเคชันของ กกต. ดึงข้อมูล SOAP service ผ่าน http ตอบกลับมาพบว่ามีเลขที่บ้านพร้อม แค่ไม่โชว์ในแอปพลิเคชัน และเมื่อลองเอาเลขที่บัตรประชาชนที่เสิร์ชได้จากกูเกิล ไปใส่ในแอปพลิเคชัน พบว่าแสดงพิกัดจุดเลือกตั้งละเอียด แต่ยังปลอดภัย ไม่โชว์บ้านเจ้าของเลขที่บัตรประจำตัวประชาชน.

แอปของกกต. เรียก soap service ผ่าน http เพลนๆ งี้เลยแฮะ ที่ soap ตอบกลับมา ก็มีเลขที่บ้านพร้อมเลย (แค่ไม่โชว์ในแอป) pic.twitter.com/nneMnCqjTK
— Patinya S. (@ipats) January 21, 2016

ลองเอาเลขปชช. ที่เซิร์จได้จากกูเกิ้ล ไปใส่ในแอปดาวเหนือ อืมม ก็แสดงพิกัดจุดเลือกตั้งให้ละเอียดดีนะ ปลอดภัย ไม่โชว์บ้านเจ้าของเลข!!
— Patinya S. (@ipats) January 21, 2016

@lewcpe ขออนุญาตถมดำจำนวนมาก (HID น่าจะเป็นเลขบ้านตามทะเบียน, HNO คือบ้านเลขที่) pic.twitter.com/yhVOf5NtQy
— Patinya S. (@ipats) January 21, 2016

อนึ่ง MGR Online ตรวจสอบแล้ว พบว่าแอปพลิเคชัน "ดาวเหนือ" พัฒนาระบบโดย บริษัท ฟีโอเน็ค จำกัด ซึ่งเคยรับงานทำเว็บไซต์และแอปพลิเคชันให้กับหลายหน่วยงานทั้งภาครัฐและเอกชน.

อ่านประกอบ : “สมชัย” เปิดตัวแอปฯ “ดาวเหนือ” ช่วยนำทางผู้ใช้สิทธิไปคูหาเลือกตั้ง

<img src="https://mpics.mgronline.com/pics/Images/559000000792801.JPEG" data-width="540" data-height="960"> พบช่องโหว่แอปพลิเคชัน "ดาวเหนือ" ของสำนักงาน กกต. แสดงพิกัดจุดเลือกตั้งละเอียดยันเลขที่บ้าน แค่รู้เลขที่บัตรประชาชน แต่ไม่โชว์ในหน้าแอปฯ เท่านั้น หลังจากที่สำนักงานคณะกรรมการการเลือกตั้ง (กกต.) ใช้เวลากว่า 1 ปี พัฒนาแอปพลิเคชั่นสำหรับประชาชน ภายใต้งบประมาณกว่า 150,000 บาท กระทั่งได้เปิดตัวโดยใช้ชื่อว่า "ดาวเหนือ" ผ่านระบบไอโอเอส และแอนดรอยด์ มีคุณสมบัติสามารถค้นหารายชื่อผู้มีสิทธิเลือกตั้ง สถานที่เลือกตั้ง และแผนที่เดินทางไปใช้สิทธิที่หน่วยเลือกตั้ง เพื่อรองรับการออกเสียงประชามติร่างรัฐธรรมนูญที่จะมีขึ้นช่วงปลายเดือน ก.ค. 2559 ต่อเนื่องถึงการเลือกตั้งทั่วไป ล่าสุดดูเหมือนว่าแอปพลิเคชั่นนี้จะไม่เป็นใจสำหรับผู้ใช้มือถือซะแล้ว เมื่อทวิตเตอร์ @ipats ได้ออกมาเปิดเผยช่องโหว่ของแอปพลิเคชันนี้ โดยระบุว่า แอปพลิเคชันของ กกต. ดึงข้อมูล SOAP service ผ่าน http ตอบกลับมาพบว่ามีเลขที่บ้านพร้อม แค่ไม่โชว์ในแอปพลิเคชัน และเมื่อลองเอาเลขที่บัตรประชาชนที่เสิร์ชได้จากกูเกิล ไปใส่ในแอปพลิเคชัน พบว่าแสดงพิกัดจุดเลือกตั้งละเอียด แต่ยังปลอดภัย ไม่โชว์บ้านเจ้าของเลขที่บัตรประจำตัวประชาชน. <blockquote class="twitter-tweet" lang="en">แอปของกกต. เรียก soap service ผ่าน http เพลนๆ งี้เลยแฮะ ที่ soap ตอบกลับมา ก็มีเลขที่บ้านพร้อมเลย (แค่ไม่โชว์ในแอป) <a href="https://t.co/nneMnCqjTK">pic.twitter.com/nneMnCqjTK</a>— Patinya S. (@ipats) <a href="https://twitter.com/ipats/status/690203174464958464">January 21, 2016</a></blockquote> <script async src="//platform.twitter.com/widgets.js" charset="utf-8"></script> <blockquote class="twitter-tweet" lang="en">ลองเอาเลขปชช. ที่เซิร์จได้จากกูเกิ้ล ไปใส่ในแอปดาวเหนือ อืมม ก็แสดงพิกัดจุดเลือกตั้งให้ละเอียดดีนะ ปลอดภัย ไม่โชว์บ้านเจ้าของเลข!!— Patinya S. (@ipats) <a href="https://twitter.com/ipats/status/690176485898846208">January 21, 2016</a></blockquote> <script async src="//platform.twitter.com/widgets.js" charset="utf-8"></script> <blockquote class="twitter-tweet" lang="en"><a href="https://twitter.com/lewcpe">@lewcpe</a> ขออนุญาตถมดำจำนวนมาก (HID น่าจะเป็นเลขบ้านตามทะเบียน, HNO คือบ้านเลขที่) <a href="https://t.co/yhVOf5NtQy">pic.twitter.com/yhVOf5NtQy</a>— Patinya S. (@ipats) <a href="https://twitter.com/ipats/status/690204596497584128">January 21, 2016</a></blockquote> <script async src="//platform.twitter.com/widgets.js" charset="utf-8"></script> อนึ่ง MGR Online ตรวจสอบแล้ว พบว่าแอปพลิเคชัน "ดาวเหนือ" พัฒนาระบบโดย บริษัท ฟีโอเน็ค จำกัด ซึ่งเคยรับงานทำเว็บไซต์และแอปพลิเคชันให้กับหลายหน่วยงานทั้งภาครัฐและเอกชน. <A HREF="http://www.manager.co.th/Politics/ViewNews.aspx?NewsID=9590000007160" CLASS="innerlink" TARGET="_blank">อ่านประกอบ : “สมชัย” เปิดตัวแอปฯ “ดาวเหนือ” ช่วยนำทางผู้ใช้สิทธิไปคูหาเลือกตั้ง</A> <img src="https://mpics.mgronline.com/pics/Images/559000000792802.JPEG" data-width="540" data-height="960"> <img src="https://mpics.mgronline.com/pics/Images/559000000792803.JPEG" data-width="540" data-height="960"> <img src="https://mpics.mgronline.com/pics/Images/559000000792804.JPEG" data-width="540" data-height="960">