8 ธันวาคม 58 เปิดทำงานวันแรกหลังหยุดสุดสัปดาห์ มีใครสังเกตเห็นไหมว่า เว๊ปไซต์ของบริษัททิพยประกันภัย จำกัด(มหาชน) www.tipinsure.com (ไม่รู้ว่าแตกต่างกับเว๊ปเก่า www.dhipaya.co.th อย่างไร)
ปิดปรับปรุงชั่วคราว (ภาพที่1) ผมไม่ได้ตามว่าเปิดทำการปกติได้ในวันไหน แต่มาดูเหตุผลว่าเกิดอะไรขึ้น จึงต้องปิดปรับปรุง ทั้งที่เพิ่งผ่านวันหยุดยาวมา
มันเป็นความบังเอิญที่ผมได้รับหน้าที่จัดทำรวบรวมภาพของเพื่อนๆ ชั้น มศ.4 ที่บางคนยังไม่เคยเจอกันมาร่วม 40 ปี (คงพอเดาอายุได้) ช่วงวันหยุดยาว 5-7 ธันวาคม 58 จึงได้ใช้อินเตอร์เน็ตสืบค้นข้อมูลของเพื่อนตามชื่อ นามสกุลที่มีอยู่ในทะเบียนนักเรียนเก่าของห้องเดียวกัน ทำสำเร็จไปได้หลายคน และบางคนก็หาไม่พบข้อมูลใดๆ ไม่รู้ว่าเปลี่ยน ชื่อ นามสกุล หรือย้ายถิ่นฐานไปอยู่ต่างประเทศหรือไม่ สมองอยากพักบ้าง จึงเกิดความคิดว่า ถ้าคนอื่นสืบค้นชื่อ นามสกุลของผมบ้าง เขาจะเห็นข้อมูลอะไรเกี่ยวกับตัวผมบ้าง คราวนี้ผมใช้กูเกิลค้นหาข้อมูล ตามชื่อ นามสกุลตนเอง ปรากฎว่า
ผมตกใจมาก (ภาพที่ 2) เพราะรายการแรกที่แสดง เป็นข้อมูลเอกสารหน้าบัตรประชาชนของผม ที่ทำสำเนาถูกต้องส่งไปให้บริษัท ทิพยประกันภัย จำกัด(มหาชน) เพื่อลงทะเบียนสมัครสมาชิกและชำระเบี้ยประกันภัย เมื่อวันที่ 26 เมษายน 2558 ได้ถูกเปิดเผยโดยไม่มีการป้องกัน ความที่ผมทำงานด้านไอทีมาตลอด จึงทราบว่า เซิฟเวอร์ของบริษัท ที่มีข้อมูลสำเนาบัตรประชาชนของลูกค้าที่สมัครสมาชิกกับ tipinsure.com ถูกจัดเก็บไว้ สามารถเรียกเข้าไปดูได้ทุกรายการในแบบแฟ้มข้อมูลในโฟลเดอร์ และยังมีเอกสารภายในจำพวกกรมธรรม์ ใบเสร็จรับเงิน เอกสารประกอบการทำกรมธรรม์ ก็จัดแยกเป็นโฟลเดอร์ต่างๆ (ภาพที่ 3,4) ผมยังได้ทดลองเปิดเข้าไปว่า มีระบบป้องกันการใช้งานอย่างไรบ้าง ซึ่งสรุปว่า บุคคลภายนอกสามารถเรียกเปิดดูข้อมูลได้ทั้งหมดจากทางอินเตอร์เน็ต (ภาพที่ 5,6,7, 8) ความกังวลใจว่า
ข้อมูลบัตรประชาชนและอื่นๆ ที่เกี่ยวกับการทำธุรกรรมของคุณลูกค้าบริษัทนี้ ได้ถูกเปิดเผยมานานหรือยัง ?? จะมีผู้ไม่หวังดีได้กระทำการหาประโยชน์จากข้อมูลเหล่านี้ไปเท่าไรแล้ว หาก พรบ คุ้มครองข้อมูลส่วนบุคคล พ.ศ... มีผลบังคับใช้ น่าจะต้องมีผู้รับผิดทางแพ่งเป็นกรณีศึกษา
เพื่อป้องกันข้อมูลส่วนตัวของตนเองและของลูกค้าจำนวนหนึ่ง วันนั้น 6 ธันวาคม 58 ผมได้พยายามแจ้งปัญหานี้ผ่านทางคอลเซ็นเตอร์ 1736 ซึ่งพนักงานรับสายบอกว่า เป็นส่วนงานแจ้งเคลมอุบัติเหตุ จะให้ผมรอบริษัทเปิดทำการปกติในวันที่ 8 ธันวาคม พนักงานคงไม่ซาบซึ้งถึงปัญหาที่จะเกิดขึ้น จึงขอให้น้องพนักงานช่วยโอนสายไปยังระดับหัวหน้างานคอลเซ็นเตอร์ ซึ่งได้รับคำแนะนำว่า ผมต้องไปโพสต์เรื่องนี้ที่ เฟสบุค เพราะมีเจ้าหน้าที่แอดมินค่อยอ่านและตอบข้อสงสัยได้ สุดท้ายแอดมินทางเฟสบุคของบริษัททิพยประกันภัย ก็ตอบกลับว่ากำลังแจ้งให้ฝ่ายไอทีทราบปัญหาและกำลังหาวิธีแก้ไขให้อยู่ ผ่านไปสองสามชั่วโมง ก็เริ่มสังเกตว่าโฟลเดอร์ที่เก็บบัตรประชาชนได้ถูกปิดไม่สามารถเข้าไปได้ แต่ยังมีโฟลเดอร์เอกสารภายในอื่นๆ ยังไม่ได้ปิดทุกรายการ คงจะทยอยพิจารณาผลกระทบและวิธีการแก้ปัญหาที่แตกต่างกัน
ผมต้องเฝ้าตรวจสอบ ว่าทางบริษัทแก้ไขเรียบร้อยดีไหม ก็ไปพบปัญหาต่อเนื่องว่า หากค้นหาด้วยชื่อ นามสกุล ผ่านทางกูเกิล แล้วเลือกดูข้อมูลด้วยแคชของกูเกิล ก็ยังสามารถเรียกดูข้อมูลส่วนบุคคล เอกสารใบเสร็จ กรมธรรม์ ได้อยู่อีก จึงแจ้งจุดอ่อนนี้ให้ทางแอดมิน ทราบเพิ่มเติม
วันจันทร์ที่ 7 ธันวาคม ยังเป็นวันหยุดชดเชย เรื่องข้อมูลส่วนบุคคลของลูกค้าถูกเปิดเผยโดยไม่มีการป้องกัน คงได้รับการแก้ไขในเบื้องต้น จนย่างเข้าสู่วันที่ 8 ธันวาคม ทางบริษัทจึงตัดสินใจปิดเว๊ปไซต์ทั้งหมด และขึ้นข้อความเป็นปิดปรับปรุงชั่วคราวตามภาพที่ 1 ช่วงเที่ยงวันจึงมีเจ้าหน้าที่ของบริษัทโทรศัพท์เข้ามาชี้แจง ขอโทษต่อปัญหาที่เกิดขึ้น และทางบริษัทได้ประสานงานกับทางกูเกิลให้ช่วยลบข้อมูลในแคชของกูเกิลที่เก็บข้อมูลเซิฟเวอร์ของบริษัท ซึ่งจะต้องใช้เวลาอีกประมาณสัปดาห์หนึ่ง ผมได้ฝากข้อเสนอผ่านเจ้าหน้าที่ท่านนั้นว่า ปัญหาข้อมูลส่วนบุคคลถูกเปิดเผย ไม่ใช่เป็นข้อมูลของผมคนเดียว แต่น่าจะกระทบกับลูกค้าของบริษัทอีกจำนวนหนึ่ง ทางบริษัทควรชี้แจงให้ลูกค้าอื่นๆ ทราบด้วยเพื่อการตรวจสอบผลกระทบที่อาจเกิดขึ้นในอนาคตอันเนื่องการจากข้อมูลถูกเปิดเผยครั้งนี้ และผมจะรอฟังข่าวจากทางบริษัท หากไม่มีคำชี้แจงต่อสาธารณะ ลูกค้าทั่วไป ผมจะขอนำเสนอเรื่องนี้ให้สังคมรับทราบ
10 วันผ่านไป 15 ธันวาคม 58 ผมได้โพสต์ถามกับทางเฟสบุคแอดมินของบริษัททิพยประกันภัย ก็ได้รับคำชี้แจงต่อสาธารณะเป็นทางการด้วยวิธีตอบกลับที่ผมโพสต์ (ภาพที่ 9) จึงขอนำมาเสนอให้คุณลูกค้าที่เคยลงทะเบียนสมัครใช้ระบบกับ tipinsure.com ทราบโดยทั่วกัน และค้นดูว่าข้อมูลสำคัญของคุณที่เก็บรักษาที่บริษัท ยังสามารถเปิดอ่านได้ผ่านทางกูเกิลแคชหรือไม่
ป.ล. เท่าที่ผมทดลองเอง ไม่เจอข้อมูลบัตรประชาชนของลูกค้าใน tipinsure.com ผ่านทางกูเกิลแคช แต่ของลูกค้า 2 ท่านที่ผมจดชื่อไว้เพื่อการทดสอบ ยังสามารถค้นอ่าน กรมธรรม์ ใบเสร็จ ได้จาก tipinsure.com ผ่านทางกูเกิลแคช ผมไม่ได้ใช้เครื่องมือพิเศษอย่างแฮ๊กเกอร์ใช้กัน เพื่อเข้าไปดูข้อมูลตามเรื่อง แต่ก็ระมัดระวังตัวเอง ไม่ให้ถูกกล่าวหา โดยได้เก็บวัตถุพยานเตรียมไว้พิสูจน์ความจริงได้หากมีผู้สงสัย
ภาพที่1
ภาพที่2
ภาพที่3
ภาพที่4
ภาพที่5
ภาพที่6
ภาพที่7
ภาพที่8
ภาพที่9
กรณีศึกษา ข้อมูลส่วนบุคคลของลูกค้าบริษัทประกันภัย ถูกเปิดเผยทางอินเตอร์เน็ตโดยไม่มีการป้องกัน
มันเป็นความบังเอิญที่ผมได้รับหน้าที่จัดทำรวบรวมภาพของเพื่อนๆ ชั้น มศ.4 ที่บางคนยังไม่เคยเจอกันมาร่วม 40 ปี (คงพอเดาอายุได้) ช่วงวันหยุดยาว 5-7 ธันวาคม 58 จึงได้ใช้อินเตอร์เน็ตสืบค้นข้อมูลของเพื่อนตามชื่อ นามสกุลที่มีอยู่ในทะเบียนนักเรียนเก่าของห้องเดียวกัน ทำสำเร็จไปได้หลายคน และบางคนก็หาไม่พบข้อมูลใดๆ ไม่รู้ว่าเปลี่ยน ชื่อ นามสกุล หรือย้ายถิ่นฐานไปอยู่ต่างประเทศหรือไม่ สมองอยากพักบ้าง จึงเกิดความคิดว่า ถ้าคนอื่นสืบค้นชื่อ นามสกุลของผมบ้าง เขาจะเห็นข้อมูลอะไรเกี่ยวกับตัวผมบ้าง คราวนี้ผมใช้กูเกิลค้นหาข้อมูล ตามชื่อ นามสกุลตนเอง ปรากฎว่า ผมตกใจมาก (ภาพที่ 2) เพราะรายการแรกที่แสดง เป็นข้อมูลเอกสารหน้าบัตรประชาชนของผม ที่ทำสำเนาถูกต้องส่งไปให้บริษัท ทิพยประกันภัย จำกัด(มหาชน) เพื่อลงทะเบียนสมัครสมาชิกและชำระเบี้ยประกันภัย เมื่อวันที่ 26 เมษายน 2558 ได้ถูกเปิดเผยโดยไม่มีการป้องกัน ความที่ผมทำงานด้านไอทีมาตลอด จึงทราบว่า เซิฟเวอร์ของบริษัท ที่มีข้อมูลสำเนาบัตรประชาชนของลูกค้าที่สมัครสมาชิกกับ tipinsure.com ถูกจัดเก็บไว้ สามารถเรียกเข้าไปดูได้ทุกรายการในแบบแฟ้มข้อมูลในโฟลเดอร์ และยังมีเอกสารภายในจำพวกกรมธรรม์ ใบเสร็จรับเงิน เอกสารประกอบการทำกรมธรรม์ ก็จัดแยกเป็นโฟลเดอร์ต่างๆ (ภาพที่ 3,4) ผมยังได้ทดลองเปิดเข้าไปว่า มีระบบป้องกันการใช้งานอย่างไรบ้าง ซึ่งสรุปว่า บุคคลภายนอกสามารถเรียกเปิดดูข้อมูลได้ทั้งหมดจากทางอินเตอร์เน็ต (ภาพที่ 5,6,7, 8) ความกังวลใจว่า ข้อมูลบัตรประชาชนและอื่นๆ ที่เกี่ยวกับการทำธุรกรรมของคุณลูกค้าบริษัทนี้ ได้ถูกเปิดเผยมานานหรือยัง ?? จะมีผู้ไม่หวังดีได้กระทำการหาประโยชน์จากข้อมูลเหล่านี้ไปเท่าไรแล้ว หาก พรบ คุ้มครองข้อมูลส่วนบุคคล พ.ศ... มีผลบังคับใช้ น่าจะต้องมีผู้รับผิดทางแพ่งเป็นกรณีศึกษา
เพื่อป้องกันข้อมูลส่วนตัวของตนเองและของลูกค้าจำนวนหนึ่ง วันนั้น 6 ธันวาคม 58 ผมได้พยายามแจ้งปัญหานี้ผ่านทางคอลเซ็นเตอร์ 1736 ซึ่งพนักงานรับสายบอกว่า เป็นส่วนงานแจ้งเคลมอุบัติเหตุ จะให้ผมรอบริษัทเปิดทำการปกติในวันที่ 8 ธันวาคม พนักงานคงไม่ซาบซึ้งถึงปัญหาที่จะเกิดขึ้น จึงขอให้น้องพนักงานช่วยโอนสายไปยังระดับหัวหน้างานคอลเซ็นเตอร์ ซึ่งได้รับคำแนะนำว่า ผมต้องไปโพสต์เรื่องนี้ที่ เฟสบุค เพราะมีเจ้าหน้าที่แอดมินค่อยอ่านและตอบข้อสงสัยได้ สุดท้ายแอดมินทางเฟสบุคของบริษัททิพยประกันภัย ก็ตอบกลับว่ากำลังแจ้งให้ฝ่ายไอทีทราบปัญหาและกำลังหาวิธีแก้ไขให้อยู่ ผ่านไปสองสามชั่วโมง ก็เริ่มสังเกตว่าโฟลเดอร์ที่เก็บบัตรประชาชนได้ถูกปิดไม่สามารถเข้าไปได้ แต่ยังมีโฟลเดอร์เอกสารภายในอื่นๆ ยังไม่ได้ปิดทุกรายการ คงจะทยอยพิจารณาผลกระทบและวิธีการแก้ปัญหาที่แตกต่างกัน
ผมต้องเฝ้าตรวจสอบ ว่าทางบริษัทแก้ไขเรียบร้อยดีไหม ก็ไปพบปัญหาต่อเนื่องว่า หากค้นหาด้วยชื่อ นามสกุล ผ่านทางกูเกิล แล้วเลือกดูข้อมูลด้วยแคชของกูเกิล ก็ยังสามารถเรียกดูข้อมูลส่วนบุคคล เอกสารใบเสร็จ กรมธรรม์ ได้อยู่อีก จึงแจ้งจุดอ่อนนี้ให้ทางแอดมิน ทราบเพิ่มเติม
วันจันทร์ที่ 7 ธันวาคม ยังเป็นวันหยุดชดเชย เรื่องข้อมูลส่วนบุคคลของลูกค้าถูกเปิดเผยโดยไม่มีการป้องกัน คงได้รับการแก้ไขในเบื้องต้น จนย่างเข้าสู่วันที่ 8 ธันวาคม ทางบริษัทจึงตัดสินใจปิดเว๊ปไซต์ทั้งหมด และขึ้นข้อความเป็นปิดปรับปรุงชั่วคราวตามภาพที่ 1 ช่วงเที่ยงวันจึงมีเจ้าหน้าที่ของบริษัทโทรศัพท์เข้ามาชี้แจง ขอโทษต่อปัญหาที่เกิดขึ้น และทางบริษัทได้ประสานงานกับทางกูเกิลให้ช่วยลบข้อมูลในแคชของกูเกิลที่เก็บข้อมูลเซิฟเวอร์ของบริษัท ซึ่งจะต้องใช้เวลาอีกประมาณสัปดาห์หนึ่ง ผมได้ฝากข้อเสนอผ่านเจ้าหน้าที่ท่านนั้นว่า ปัญหาข้อมูลส่วนบุคคลถูกเปิดเผย ไม่ใช่เป็นข้อมูลของผมคนเดียว แต่น่าจะกระทบกับลูกค้าของบริษัทอีกจำนวนหนึ่ง ทางบริษัทควรชี้แจงให้ลูกค้าอื่นๆ ทราบด้วยเพื่อการตรวจสอบผลกระทบที่อาจเกิดขึ้นในอนาคตอันเนื่องการจากข้อมูลถูกเปิดเผยครั้งนี้ และผมจะรอฟังข่าวจากทางบริษัท หากไม่มีคำชี้แจงต่อสาธารณะ ลูกค้าทั่วไป ผมจะขอนำเสนอเรื่องนี้ให้สังคมรับทราบ
10 วันผ่านไป 15 ธันวาคม 58 ผมได้โพสต์ถามกับทางเฟสบุคแอดมินของบริษัททิพยประกันภัย ก็ได้รับคำชี้แจงต่อสาธารณะเป็นทางการด้วยวิธีตอบกลับที่ผมโพสต์ (ภาพที่ 9) จึงขอนำมาเสนอให้คุณลูกค้าที่เคยลงทะเบียนสมัครใช้ระบบกับ tipinsure.com ทราบโดยทั่วกัน และค้นดูว่าข้อมูลสำคัญของคุณที่เก็บรักษาที่บริษัท ยังสามารถเปิดอ่านได้ผ่านทางกูเกิลแคชหรือไม่
ป.ล. เท่าที่ผมทดลองเอง ไม่เจอข้อมูลบัตรประชาชนของลูกค้าใน tipinsure.com ผ่านทางกูเกิลแคช แต่ของลูกค้า 2 ท่านที่ผมจดชื่อไว้เพื่อการทดสอบ ยังสามารถค้นอ่าน กรมธรรม์ ใบเสร็จ ได้จาก tipinsure.com ผ่านทางกูเกิลแคช ผมไม่ได้ใช้เครื่องมือพิเศษอย่างแฮ๊กเกอร์ใช้กัน เพื่อเข้าไปดูข้อมูลตามเรื่อง แต่ก็ระมัดระวังตัวเอง ไม่ให้ถูกกล่าวหา โดยได้เก็บวัตถุพยานเตรียมไว้พิสูจน์ความจริงได้หากมีผู้สงสัย
ภาพที่1
ภาพที่2
ภาพที่3
ภาพที่4
ภาพที่5
ภาพที่6
ภาพที่7
ภาพที่8
ภาพที่9