คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 27
อัพเดท 17 กรกฎาคม
ทางทรูโทรมาแจ้งว่าได้มีการส่ง activity log ไปให้ทางตำรวจแล้ว (นับตั้งแต่วันที่ส่งหมายจาก สน เข้าไป 5 กค. ใช้เวลา 12 วัน...) ทาง สน แจ้งว่าทรูจะส่งมาเป็นไปรษณีย์ลงทะเบียนก็จะใช้เวลาอีกนิดกว่า สน จะได้ข้อมูล
ยังไงก็อยากให้ทรูเอาเคสนี้ไปพิจารณาปรับปรุงระบบของตัวเอง ไม่ว่าจะเป็น
1. ควรยกเลิกการ reset รหัสผ่านด้วย USSD เนื่องจากขั้นตอนนี้ไม่มีการยืนยันตัวตนใดๆ เลย และรหัสผ่านใหม่เป็นตัวเลข 4 หลักดูปลอดภัยต่ำ
2. ควรแก้ระบบหลังบ้าน ให้เมื่อมีการ reset พาสเวิร์ดต่างๆ แล้ว จะต้องเด้งออกมาให้ login ใหม่โดยอัตโนมัติทันที
3. น่าจะมีการสื่อสารจากทางร้านที่ร่วมโปรโมชั่นต่างๆ ให้เตือนพนักงานว่าอย่าหยิบมือถือลูกค้าไป (ในกรณีนี้ผมกดโค้ดรับส่วนลดเองแต่พนักงาน "ขอ" มือถือไปจดรหัส)
4. คอลเซนเตอร์ควรมี protocol จัดการที่ดีกว่านี้ แนะนำกระบวนการต่างๆ ให้กับลูกค้าอย่าง proactive ไม่ว่าจะเป็นการให้รีเซ็ทพาสเวิร์ดทันที (และระบบรีเซ็ทพาสเวิร์ดต้องทำงานตามข้อ 2 / แนะนำลูกค้าเป็น step ได้ทันทีว่าถ้าอยากได้หลักฐานต้องติดต่อ สน. ยังไง แบบที่ลูกค้าไม่ต้องถามจี้เป็นจุดๆ ถึงจะตอบ
ในส่วนของการตามเรื่องกับทรูก็หมดลงแค่นี้นะครับ ขอขอบคุณพนักงานจากศูนย์รับเรื่องร้องเรียนที่มีการติดต่อดูแลมาโดยตลอดครับ
**********
อัพเดทเพิ่มเติมวันที่ 9 กรกฎาคม
วันนี้เจ้าหน้าที่จากศูนย์ร้องเรียนทรูทำการประสานงานให้ โดยในเบื้องต้นทางทรูได้ชดเชยแต้มที่โดนแอบเอาไปแลกกลับเข้าบัญชีผมแล้ว ก็ต้องขอขอบคุณมา ณ ที่นี้ด้วยครับ
ทางเจ้าหน้าที่ขอให้เปลี่ยน password อีกรอบ ซึ่งผมได้ดำเนินการระหว่างที่ถือสายรอ และกดเข้าไปในแอพ true id หลังเปลี่ยน พบว่าก็ยังเข้าได้ปกติไม่ต้อง log in ใหม่ ทางพนักงานแจ้งว่าจะให้ IT ทำการ revert login (หรือ reverse หว่า) เพื่อเป็นการสั่ง log out บัญชีของผมจากทุกอุปกรณ์ โดยในระหว่างที่ถือสายรอ ผมได้เสนอแนะไปว่า ฟังก์ชั่นการ revert login นี้ควรเกิดขึ้นโดยอัตโนมัติเมื่อผู้ใช้เปลี่ยน/รีเซ็ทรหัสผ่าน และควรเป็น security feature ที่ตัว user หรือ call center สามารถเรียกใช้เองได้
แต่เมื่อพนักงานแจ้งว่าทำการ revert login เรียบร้อยแล้ว เมื่อเข้าไปยังแอพทรูไอดี และทรูไอเซอร์วิส ก็พบว่าเข้าไปได้เลยไม่ต้องล็อกอินใหม่เหมือนเดิม (เทสสองรอบ ทำการ quit app ออกแล้วเข้าใหม่อีกรอบ) หลังจากนั้นทางเจ้าหน้าที่ขอให้ผม log out ด้วยตนเอง ผมจึงอธิบายว่าตรงนี้หน่วยงานที่เกี่ยวข้องต้องตรวจสอบว่าทำไมเปลี่ยนรหัสผ่านก็แล้ว revert login ก็แล้ว แอพมันก็ยังเข้าได้โดยไม่ต้องล็อกอินใหม่อยู่ดี นี่อาจเป็น security flaw อันนึง (ถ้าทุกอย่างทำงานตามแบบที่ควรจะเป็น ตัวแอพต้อง log out อัตโนมัติ ไม่ใช่ให้ผมไปกดเอง) ทางพนักงานได้ประสานแจ้งให้ฝ่าย development ตรวจสอบและจะติดต่อกลับมาในวันพรุ่งนี้ครับ
–––––––––––––––––––––
อัพเดทเพิ่มเติมวันที่ 10 กรกฎาคม
- หลังจากทาง IT ของทรูทำการ revert login ไปให้เมื่อเย็นวาน (ถ้าสำเร็จทุกแอพที่ใช้บัญชีผม login ค้างไว้ต้องเด้งออกมาให้ login ใหม่) มาถึงตอนนี้ที่พิมพ์คอมเม้นนี้ แอพ True ID และ True iService ไม่มีการเด้งออกมาให้ login ใหม่นะครับ
ผมสงสัยว่าหรือที่ login ในแอพต่างๆ มันยังค้างอยู่ ไม่เด้งออก แม้ว่าจะรีเซ็ทพาสแล้ว revert login ก็แล้ว เป็นเพราะการทำรายการเกิดจากมือถือเครื่องผมที่มีซิมการ์ดเบอร์เดียวกับเบอร์บัญชีหรือเปล่า จึงทดสอบโดยการนำ sim ออกแล้วเข้าแอพผ่าน wifi ก็พบว่าไม่ได้มีการให้ login ใหม่แต่อย่างใด (ทำการปิดแอพจาก app switcher ก่อนแล้วด้วย) เป็นข้อพิสูจน์ว่าระบบของทรูน่าจะมี security flaw ตรงนี้จริงๆ ซึ่งทางศูนย์รับเรื่องร้องเรียนแจ้งว่าจะประสานให้ฝ่าย development รับทราบเพื่อแก้ช่องโหว่ต่อไป
- อย่างไรก็ตามทางศูนย์แจ้งว่าหลังได้รับเรื่องได้ทำการ monitor กิจกรรมต่างๆ ของบัญชีผมและไม่พบว่าในช่วงนี้ไม่มีการใช้งานจากอุปกรณ์อื่นๆ อย่างแน่นอน และคอนเฟิร์มว่าก่อนหน้านี้มีการนำบัญชีของผมไป login และแลกแต้มด้วยอุปกรณ์อื่นจริง แต่ไม่สามารถบอกรายละเอียดกับผมได้ ต้องส่งไปทางตำรวจ ผมจึงฝากให้แจ้งมายังผมถ้าส่งไปทางตำรวจแล้วเพื่อจะได้ติดต่อทาง สน ต่อไป
–––––––––––––––––––––
อัพเดท 13 กรกฎาคม ครับ พรุ่งนี้จะหยุดเสาร์อาทิตย์อีกแล้ว
อยากจะมาเตือนสติทรูว่า case ยังไม่ closed นะครับ
- ยังไม่ได้รับความคืบหน้าด้านการจัดส่ง activity log จากทรูไปยังยังตำรวจ นานไปแล้วนะครับ คุณได้รับการแจ้งตั้งแต่วันที่ 4 และได้เอกสารจาก สน ตั้งแต่วันที่ 5
- เรื่องการ revoke login ยังไม่มีคำตอบว่าแล้วทำไมแอพในมือถือผมมันก็ยังค้างให้ใช้บริการได้อยู่ ในส่วนของฝั่ง user มองแล้วว่ากระบวนการหลังบ้านของคุณไม่ได้มีการสั่ง kill all active sessions แน่ๆ
ถ้าคุณบอกว่าระบบของคุณมีความปลอดภัยพอ ก็อยากให้เอา hard facts มาคุยกันครับ
ทางทรูโทรมาแจ้งว่าได้มีการส่ง activity log ไปให้ทางตำรวจแล้ว (นับตั้งแต่วันที่ส่งหมายจาก สน เข้าไป 5 กค. ใช้เวลา 12 วัน...) ทาง สน แจ้งว่าทรูจะส่งมาเป็นไปรษณีย์ลงทะเบียนก็จะใช้เวลาอีกนิดกว่า สน จะได้ข้อมูล
ยังไงก็อยากให้ทรูเอาเคสนี้ไปพิจารณาปรับปรุงระบบของตัวเอง ไม่ว่าจะเป็น
1. ควรยกเลิกการ reset รหัสผ่านด้วย USSD เนื่องจากขั้นตอนนี้ไม่มีการยืนยันตัวตนใดๆ เลย และรหัสผ่านใหม่เป็นตัวเลข 4 หลักดูปลอดภัยต่ำ
2. ควรแก้ระบบหลังบ้าน ให้เมื่อมีการ reset พาสเวิร์ดต่างๆ แล้ว จะต้องเด้งออกมาให้ login ใหม่โดยอัตโนมัติทันที
3. น่าจะมีการสื่อสารจากทางร้านที่ร่วมโปรโมชั่นต่างๆ ให้เตือนพนักงานว่าอย่าหยิบมือถือลูกค้าไป (ในกรณีนี้ผมกดโค้ดรับส่วนลดเองแต่พนักงาน "ขอ" มือถือไปจดรหัส)
4. คอลเซนเตอร์ควรมี protocol จัดการที่ดีกว่านี้ แนะนำกระบวนการต่างๆ ให้กับลูกค้าอย่าง proactive ไม่ว่าจะเป็นการให้รีเซ็ทพาสเวิร์ดทันที (และระบบรีเซ็ทพาสเวิร์ดต้องทำงานตามข้อ 2 / แนะนำลูกค้าเป็น step ได้ทันทีว่าถ้าอยากได้หลักฐานต้องติดต่อ สน. ยังไง แบบที่ลูกค้าไม่ต้องถามจี้เป็นจุดๆ ถึงจะตอบ
ในส่วนของการตามเรื่องกับทรูก็หมดลงแค่นี้นะครับ ขอขอบคุณพนักงานจากศูนย์รับเรื่องร้องเรียนที่มีการติดต่อดูแลมาโดยตลอดครับ
**********
อัพเดทเพิ่มเติมวันที่ 9 กรกฎาคม
วันนี้เจ้าหน้าที่จากศูนย์ร้องเรียนทรูทำการประสานงานให้ โดยในเบื้องต้นทางทรูได้ชดเชยแต้มที่โดนแอบเอาไปแลกกลับเข้าบัญชีผมแล้ว ก็ต้องขอขอบคุณมา ณ ที่นี้ด้วยครับ
ทางเจ้าหน้าที่ขอให้เปลี่ยน password อีกรอบ ซึ่งผมได้ดำเนินการระหว่างที่ถือสายรอ และกดเข้าไปในแอพ true id หลังเปลี่ยน พบว่าก็ยังเข้าได้ปกติไม่ต้อง log in ใหม่ ทางพนักงานแจ้งว่าจะให้ IT ทำการ revert login (หรือ reverse หว่า) เพื่อเป็นการสั่ง log out บัญชีของผมจากทุกอุปกรณ์ โดยในระหว่างที่ถือสายรอ ผมได้เสนอแนะไปว่า ฟังก์ชั่นการ revert login นี้ควรเกิดขึ้นโดยอัตโนมัติเมื่อผู้ใช้เปลี่ยน/รีเซ็ทรหัสผ่าน และควรเป็น security feature ที่ตัว user หรือ call center สามารถเรียกใช้เองได้
แต่เมื่อพนักงานแจ้งว่าทำการ revert login เรียบร้อยแล้ว เมื่อเข้าไปยังแอพทรูไอดี และทรูไอเซอร์วิส ก็พบว่าเข้าไปได้เลยไม่ต้องล็อกอินใหม่เหมือนเดิม (เทสสองรอบ ทำการ quit app ออกแล้วเข้าใหม่อีกรอบ) หลังจากนั้นทางเจ้าหน้าที่ขอให้ผม log out ด้วยตนเอง ผมจึงอธิบายว่าตรงนี้หน่วยงานที่เกี่ยวข้องต้องตรวจสอบว่าทำไมเปลี่ยนรหัสผ่านก็แล้ว revert login ก็แล้ว แอพมันก็ยังเข้าได้โดยไม่ต้องล็อกอินใหม่อยู่ดี นี่อาจเป็น security flaw อันนึง (ถ้าทุกอย่างทำงานตามแบบที่ควรจะเป็น ตัวแอพต้อง log out อัตโนมัติ ไม่ใช่ให้ผมไปกดเอง) ทางพนักงานได้ประสานแจ้งให้ฝ่าย development ตรวจสอบและจะติดต่อกลับมาในวันพรุ่งนี้ครับ
–––––––––––––––––––––
อัพเดทเพิ่มเติมวันที่ 10 กรกฎาคม
- หลังจากทาง IT ของทรูทำการ revert login ไปให้เมื่อเย็นวาน (ถ้าสำเร็จทุกแอพที่ใช้บัญชีผม login ค้างไว้ต้องเด้งออกมาให้ login ใหม่) มาถึงตอนนี้ที่พิมพ์คอมเม้นนี้ แอพ True ID และ True iService ไม่มีการเด้งออกมาให้ login ใหม่นะครับ
ผมสงสัยว่าหรือที่ login ในแอพต่างๆ มันยังค้างอยู่ ไม่เด้งออก แม้ว่าจะรีเซ็ทพาสแล้ว revert login ก็แล้ว เป็นเพราะการทำรายการเกิดจากมือถือเครื่องผมที่มีซิมการ์ดเบอร์เดียวกับเบอร์บัญชีหรือเปล่า จึงทดสอบโดยการนำ sim ออกแล้วเข้าแอพผ่าน wifi ก็พบว่าไม่ได้มีการให้ login ใหม่แต่อย่างใด (ทำการปิดแอพจาก app switcher ก่อนแล้วด้วย) เป็นข้อพิสูจน์ว่าระบบของทรูน่าจะมี security flaw ตรงนี้จริงๆ ซึ่งทางศูนย์รับเรื่องร้องเรียนแจ้งว่าจะประสานให้ฝ่าย development รับทราบเพื่อแก้ช่องโหว่ต่อไป
- อย่างไรก็ตามทางศูนย์แจ้งว่าหลังได้รับเรื่องได้ทำการ monitor กิจกรรมต่างๆ ของบัญชีผมและไม่พบว่าในช่วงนี้ไม่มีการใช้งานจากอุปกรณ์อื่นๆ อย่างแน่นอน และคอนเฟิร์มว่าก่อนหน้านี้มีการนำบัญชีของผมไป login และแลกแต้มด้วยอุปกรณ์อื่นจริง แต่ไม่สามารถบอกรายละเอียดกับผมได้ ต้องส่งไปทางตำรวจ ผมจึงฝากให้แจ้งมายังผมถ้าส่งไปทางตำรวจแล้วเพื่อจะได้ติดต่อทาง สน ต่อไป
–––––––––––––––––––––
อัพเดท 13 กรกฎาคม ครับ พรุ่งนี้จะหยุดเสาร์อาทิตย์อีกแล้ว
อยากจะมาเตือนสติทรูว่า case ยังไม่ closed นะครับ
- ยังไม่ได้รับความคืบหน้าด้านการจัดส่ง activity log จากทรูไปยังยังตำรวจ นานไปแล้วนะครับ คุณได้รับการแจ้งตั้งแต่วันที่ 4 และได้เอกสารจาก สน ตั้งแต่วันที่ 5
- เรื่องการ revoke login ยังไม่มีคำตอบว่าแล้วทำไมแอพในมือถือผมมันก็ยังค้างให้ใช้บริการได้อยู่ ในส่วนของฝั่ง user มองแล้วว่ากระบวนการหลังบ้านของคุณไม่ได้มีการสั่ง kill all active sessions แน่ๆ
ถ้าคุณบอกว่าระบบของคุณมีความปลอดภัยพอ ก็อยากให้เอา hard facts มาคุยกันครับ
สุดยอดความคิดเห็น
ความคิดเห็นที่ 2
สรุปสถาณการ์ตอนนี้
- ผู้ต้องสงสัยยังคงไม่ยอมรับ
- แอพ True ID ยังเข้าใช้งานได้เหมือนเดิมแม้มีการเปลี่ยนรหัสผ่าน (ยังสามารถแลกแต้มได้ สามารถเข้าถึงไฟล์ใน cloud ได้ ฯลฯ)
- ตำรวจต้องการหลักฐาน activity log จากทรู แต่ทรูใช้เวลาเป็นวันๆ จนถึงคาบโดนวันหยุด แบบไม่มีความคืบหน้าใดๆ
- ยังไม่มีใครออกมายืนยันได้ว่าผู้ร้ายไม่สามารถเข้าถึงข้อมูลส่วนตัวในบัญชีของผมได้แล้ว
สิ่งที่ผมต้องการ
- คอนเฟิร์มด้วยหลักฐานทั้งหมด (ที่ทาง สน ท้องที่จะมองว่าแน่นหนาพอ) เพื่อบังคับให้ผู้ต้องสงสัยเอามือถือเครื่องที่ log in บัญชีของผมเข้าไปมาทำการ log out หรือล้างเครื่อง
- ให้ทรู เร่งดำเนินการตามที่ขอโดยทันที
ข้อเสนอแนะให้กับทุกภาคส่วน
- ผู้ใช้ ห้าม!!!! ให้มือถือพนักงานโดยเด็ดขาด แค่ยื่นให้พนักงานดูด้วยมือเรา พนักงานไม่ควรเอาไปถือ โปรโมชั่นบางอย่างที่ให้พนักงานเป็นคนกดยืนยันสิทธิ์เอง ให้เรายื่นให้พนักงานกดโดยมือเรายังถือเครื่อง
- ร้านค้าที่ร่วมโปรโมชั่น ควรมีนโยบายไม่ให้พนักงานหยิบจับมือถือลูกค้า เพื่อป้องกันปัญหาที่อาจตามมา
- แม้ทางตำรวจจะมีหน่วย ปอท แต่ก็ควรมีเจ้าหน้าที่ตำรวจที่รู้เท่าทันเทคโนโลยีประจำทุกสถานี ตราบใดที่หลายๆ เคสยังต้องแจ้งกับ สน ท้องที่
สำหรับทรู
- มันเป็นเรื่องน่าขำที่การประสานขอ activity log ของบัญชีต้องใช้เวลาเป็นสัปดาห์
- คุณต้องยกเลิกช่องทางรับรหัสผ่านใหม่ผ่าน *871*4# เพราะช่องทางนี้ไม่ต้องมีการยืนยันตัวตนขั้นที่สองเช่นคอนเฟิร์มวันเดือนปีเกิด เลขประชาชน หรือ security question การรีเซ็ทรหัสผ่านอย่างน้อยควรส่งมาเป็นลิ้งค์ให้เข้าไปตั้งใหม่อย่างเดียวพร้อมยืนยันตัวตนขั้นที่สอง ที่สำคัญเลย รหัสผ่านที่เป็นตัวเลขเพียง 4 ตัวแสดงให้เห็นถึงความปลอดภัยที่ต่ำมาก
- สำหรับบัญชีที่มีพ้อยท์ มีข้อมูลส่วนบุคคลเช่นนี้ ต้องมีระบบแจ้งเตือนเวลาเอาไป log in เครื่องใหม่ และการดูว่าบัญชีนี้ logged in เครื่องใดไว้อยู่ / การสั่ง log out ทุกเครื่องจากผู้ใช้หรือทางทรูเองควรเป็นฟังก์ชั่นพื้นฐาน
- กรุณาแก้ไขช่องโหว่ที่ app ต่างๆ ของคุณยังสามารถใช้งานได้ปกติ ไม่บังคับให้ log in ใหม่ แม้มีการเปลี่ยนรหัสผ่านแล้วอย่างเร่งด่วนที่สุด
- เคสนี้ ผู้บริหารและฝ่าย Fraud & Cyber Crime (ในเอกสารทรูบอกว่ามี แต่ในเคสนี้ยังไม่ปรากฏตัว) ควรเข้ามาดูไว้ ว่าจะพัฒนาอย่างไรให้รับมือเคสลักษณะที่ที่นับวันจะมีมากขึ้นเรื่อยๆ ได้ทันท่วงที ไม่ใช่ดึงเวลาเป็นสัปดาห์แบบนี้ เพราะยิ่งช้า การมัดตัวคนร้ายก็ยิ่งลำบาก แม้สิ่งที่เกิดขึ้นจะเป็นความเสียหายเล็กๆ แต่การเข้าถึงข้อมูลส่วนบุคคลลูกค้าที่คุณเองมีหน้าที่ช่วยปกป้องให้เป็นความลับสามารถนำไปสู่อาชญากรรมที่เสียหายมากกว่านี้ได้ ถ้าไปถึงขั้นนั้น ตัวคุณเองก็มีความผิดเพราะไม่จัดการให้อย่างทันท่วงทีแม้จะมีการแจ้งไปแล้วแต่เนิ่นๆ
ปล. ผมหงุดหงิดกับการที่ทรูดองเรื่องไว้มากจนโทรไปร้องเรียนกับทาง กสทช เลยทราบมาว่ากรณีนี้ เพราะไม่เกี่ยวกับโทรคมนาคมโดยตรง กสทช ไม่ยุ่ง จ้าาาาาาาาาาาาา
- ผู้ต้องสงสัยยังคงไม่ยอมรับ
- แอพ True ID ยังเข้าใช้งานได้เหมือนเดิมแม้มีการเปลี่ยนรหัสผ่าน (ยังสามารถแลกแต้มได้ สามารถเข้าถึงไฟล์ใน cloud ได้ ฯลฯ)
- ตำรวจต้องการหลักฐาน activity log จากทรู แต่ทรูใช้เวลาเป็นวันๆ จนถึงคาบโดนวันหยุด แบบไม่มีความคืบหน้าใดๆ
- ยังไม่มีใครออกมายืนยันได้ว่าผู้ร้ายไม่สามารถเข้าถึงข้อมูลส่วนตัวในบัญชีของผมได้แล้ว
สิ่งที่ผมต้องการ
- คอนเฟิร์มด้วยหลักฐานทั้งหมด (ที่ทาง สน ท้องที่จะมองว่าแน่นหนาพอ) เพื่อบังคับให้ผู้ต้องสงสัยเอามือถือเครื่องที่ log in บัญชีของผมเข้าไปมาทำการ log out หรือล้างเครื่อง
- ให้ทรู เร่งดำเนินการตามที่ขอโดยทันที
ข้อเสนอแนะให้กับทุกภาคส่วน
- ผู้ใช้ ห้าม!!!! ให้มือถือพนักงานโดยเด็ดขาด แค่ยื่นให้พนักงานดูด้วยมือเรา พนักงานไม่ควรเอาไปถือ โปรโมชั่นบางอย่างที่ให้พนักงานเป็นคนกดยืนยันสิทธิ์เอง ให้เรายื่นให้พนักงานกดโดยมือเรายังถือเครื่อง
- ร้านค้าที่ร่วมโปรโมชั่น ควรมีนโยบายไม่ให้พนักงานหยิบจับมือถือลูกค้า เพื่อป้องกันปัญหาที่อาจตามมา
- แม้ทางตำรวจจะมีหน่วย ปอท แต่ก็ควรมีเจ้าหน้าที่ตำรวจที่รู้เท่าทันเทคโนโลยีประจำทุกสถานี ตราบใดที่หลายๆ เคสยังต้องแจ้งกับ สน ท้องที่
สำหรับทรู
- มันเป็นเรื่องน่าขำที่การประสานขอ activity log ของบัญชีต้องใช้เวลาเป็นสัปดาห์
- คุณต้องยกเลิกช่องทางรับรหัสผ่านใหม่ผ่าน *871*4# เพราะช่องทางนี้ไม่ต้องมีการยืนยันตัวตนขั้นที่สองเช่นคอนเฟิร์มวันเดือนปีเกิด เลขประชาชน หรือ security question การรีเซ็ทรหัสผ่านอย่างน้อยควรส่งมาเป็นลิ้งค์ให้เข้าไปตั้งใหม่อย่างเดียวพร้อมยืนยันตัวตนขั้นที่สอง ที่สำคัญเลย รหัสผ่านที่เป็นตัวเลขเพียง 4 ตัวแสดงให้เห็นถึงความปลอดภัยที่ต่ำมาก
- สำหรับบัญชีที่มีพ้อยท์ มีข้อมูลส่วนบุคคลเช่นนี้ ต้องมีระบบแจ้งเตือนเวลาเอาไป log in เครื่องใหม่ และการดูว่าบัญชีนี้ logged in เครื่องใดไว้อยู่ / การสั่ง log out ทุกเครื่องจากผู้ใช้หรือทางทรูเองควรเป็นฟังก์ชั่นพื้นฐาน
- กรุณาแก้ไขช่องโหว่ที่ app ต่างๆ ของคุณยังสามารถใช้งานได้ปกติ ไม่บังคับให้ log in ใหม่ แม้มีการเปลี่ยนรหัสผ่านแล้วอย่างเร่งด่วนที่สุด
- เคสนี้ ผู้บริหารและฝ่าย Fraud & Cyber Crime (ในเอกสารทรูบอกว่ามี แต่ในเคสนี้ยังไม่ปรากฏตัว) ควรเข้ามาดูไว้ ว่าจะพัฒนาอย่างไรให้รับมือเคสลักษณะที่ที่นับวันจะมีมากขึ้นเรื่อยๆ ได้ทันท่วงที ไม่ใช่ดึงเวลาเป็นสัปดาห์แบบนี้ เพราะยิ่งช้า การมัดตัวคนร้ายก็ยิ่งลำบาก แม้สิ่งที่เกิดขึ้นจะเป็นความเสียหายเล็กๆ แต่การเข้าถึงข้อมูลส่วนบุคคลลูกค้าที่คุณเองมีหน้าที่ช่วยปกป้องให้เป็นความลับสามารถนำไปสู่อาชญากรรมที่เสียหายมากกว่านี้ได้ ถ้าไปถึงขั้นนั้น ตัวคุณเองก็มีความผิดเพราะไม่จัดการให้อย่างทันท่วงทีแม้จะมีการแจ้งไปแล้วแต่เนิ่นๆ
ปล. ผมหงุดหงิดกับการที่ทรูดองเรื่องไว้มากจนโทรไปร้องเรียนกับทาง กสทช เลยทราบมาว่ากรณีนี้ เพราะไม่เกี่ยวกับโทรคมนาคมโดยตรง กสทช ไม่ยุ่ง จ้าาาาาาาาาาาาา
ความคิดเห็นที่ 4
https://m.ppantip.com/topic/37562345?
โหวตซิครับ รออะไร
บทเรียนเก่าก็เคยมี
ทำไมฝ่าย IT ของทรูยังไม่ปรับปรุงอีกหรือ?
เรื่องการเคารพข้อมูลส่วนตัวของลูกค้า
https://m.ppantip.com/topic/37562345?
โหวตซิครับ รออะไร
บทเรียนเก่าก็เคยมี
ทำไมฝ่าย IT ของทรูยังไม่ปรับปรุงอีกหรือ?
เรื่องการเคารพข้อมูลส่วนตัวของลูกค้า
สมาชิกหมายเลข 3918591 สยอง, onsecondthoughts ถูกใจ, สมาชิกหมายเลข 1724275 ถูกใจ, นายคลาสสิค ถูกใจ, สมาชิกหมายเลข 1619332 ถูกใจ, สมาชิกหมายเลข 2992959 ถูกใจ, ItazuraNeko ถูกใจ, น้องเป็นสาวเหนือเจ้า ถูกใจ, สมาชิกหมายเลข 3730540 ทึ่ง
แสดงความคิดเห็น
ระวัง!!! เอามือถือให้ พนง จดโค้ดโปรส่วนลด โดนขโมยทรูไอดี เกือบสัปดาห์ทรูไม่ตรวจสอบสักที ต้องให้ทำยังไง?!?!?
อย่าประมาทยื่นโทรศัพท์ของเราไปให้พนักงานจับหรือคลาดสายตาเด็ดขาด มิเช่นนั้นคุณอาจโดนขโมยบัญชีออนไลน์ได้โดยไม่รู้ตัว และการตามสืบหลักฐานเพื่อเอาผิดคนร้าย/ป้องกันการโจรกรรมข้อมูลนั้นยากมากๆ แม้เราจะมี พรบ. คอมพิวเตอร์และนี่มันปี 2018 แล้วก็ตาม
** กระทู้นี้ตั้งใจเพื่อให้เป็นอุทาหรณ์ให้กับทุกท่าน ชี้ช่องโหว่ความปลอดภัยร้ายแรง และเสนอให้เห็นว่าผู้ให้บริการยังจัดการกับปัญหานี้ได้ไม่ดีพอ **
สัปดาห์ที่แล้ว วันพุธที่ 4 กรกฎาคม เวลา 12:01 ผมได้รับ SMS แจ้งการนำคะแนน True Point ไปแลกเป็นคูปองเงินสดเซเว่น จำนวนสองครั้ง โดยที่ตัวผมเองไม่ได้เป็นคนทำรายการ
ผทโทรสอบถามไปยังคอลเซนเตอร์ทรูทันที สิ่งที่พนักงานแจ้งคือ
- ไม่ใช่ความผิดพลาดของระบบ
- เป็นการแลกผ่าน app (ผมไม่ได้เป็นคนแลก/ไม่มีส่วนรู้เห็น)
- ให้เอาคูปองไปใช้ที่เซเว่น (แต่เปิดในแอพดูแล้วไม่มีคูปอง - ก็แหงสิ เราไม่ได้ใช้เครื่องเราแลก)
- ลูกค้าเผลอเอาพาสเวิร์ดไปบอกใครหรือเปล่า คนอื่นสามารถ log-in บัญชีของเราเข้าเครื่องอื่นหากรู้เบอร์โทรและพาสเวิร์ด (พาสเวิร์ดคืออะไรเราเองยังจำไม่ได้เลย)
- ตัวคอลเซนเตอร์เองตรวจสอบไม่ได้ว่าตอนนี้บัญชีของเรา log in ค้างไว้เครื่องใดบ้าง ไม่สามรถสั่งให้ log out จากส่วนกลางได้ ตรวจสอบไม่ได้ว่าคูปองนั้นนำไปแลกใช้ที่เซเว่นสาขาใด
- แนะนำให้เปลี่ยนพาสเวิร์ด
- คะแนนตัดไปแล้วทำอะไรไม่ได้
ผมบอกทางคอลเซนเตอร์ว่าผมเป็นห่วงเรื่องของการนำข้อมูลส่วนตัวไปใช้มากกว่าเรื่องแต้มที่หายไป เพราะหากมีบุคคลนอก log in บัญชีผมเข้าไปได้จริง ในบัญชีของทรูมีข้อมูลส่วนบุคคลอยู่ ไม่วาจะเป็นชื่อ ที่อยู่ เบอร์โทร อีเมล์ ไฟล์ใน cloud วันเดือนปีเกิด เลขประชาชน เลขบัตรเครดิต ที่ผมเกรงว่าคนร้ายอาจเข้าถึงได้ ระบบของทรูควรตรวจสอบได้ว่าบัญชีของลูกค้าถูกนำไป log in ไว้กับอุปกรณ์ใดบ้าง แต่ทางคอลเซนเตอร์แจ้งว่าทำไม่ได้ ผมจึงฝากเรื่องนี้ให้แจ้งไปยังหน่วยงานที่เกี่ยวข้อง คอลเซนเตอร์แจ้งว่าจะทำการติดต่อกลับ
เมื่อวางสาย สิ่งแรกที่ผมทำคือเข้าไปตั้งรหัสผ่านใหม่ที่ https://www.trueid.net/member/forget?client_id=29&lang=th จึงพบว่า เราสามารถ reset รหัสผ่านได้ง่ายๆ โดยใช้มือถือเครื่องที่เป็นเบอร์บัญชี (ทรูไอดีใช้เบอร์โทรเป็น username) กด *871*4# โทรออก แล้วจะได้ SMS รหัสผ่านใหม่ทันที ผมจึงลองเปิดเข้าไปในแอพ message ก็พบว่ามีแมสเสจ SMS รหัสผ่านใหม่ ซึ่งเป็นตัวเลขเพียงแค่สี่หลัก และในตัว SMS นั้นมีการบอกเบอร์โทรที่ใช้ล็อกอินเข้าบัญชีชัดเจน ส่งเข้ามาในเวลา 22:19 วันอังคารที่ 3 กรกฎาคม ซึ่งในเวลานั้นผมได้ไปใช้บริการร้านไอศครีมแห่งหนึ่ง และมีการกดขอส่วนลดแล้วยื่นมือถือไปให้พนักงานจดรหัสขอส่วนลด
ผมสงสัยว่าพนักงานคนนั้นฉวยโอกาสที่หยิบมือถือไปจากผมทำการกด *871*4# โทรออก เพราะจำได้ว่าพนักงานขอมือถือไปจากผมตั้งแต่ก่อนจะคิดเงิน (ระหว่างที่ผมเลือกสินค้า) โดยผมยื่นให้ในขณะที่จอเครื่องแสดงข้อความตอบรับจากทรูที่เป็นรหัสส่วนลดสินค้า แล้วผมก็เลือกสินค้าต่อสักพัก ไม่ได้มองว่าพนักงานทำอะไรกับมือถือเราบ้าง แต่ตอนพนักงานส่งมือถือคืนมาจำได้เลยว่ามันออกมาที่หน้า home แล้ว
เพื่อพิสูจน์ข้อสันนิษฐาน ผมโทรติดต่อทางเจ้าของร้าน ที่ให้ความร่วมมือดีมากในการตรวจสอบกล้องวงจรปิดโดยทันที และพบว่าในเวลาที่ SMS แจ้งรหัสผ่านใหม่เข้ามานั้น มือถือของผมอยู่ในมือพนักงานคนนั้นจริง และพนักงานคนนั้นถือไว้เป็นเวลานานถึงประมาณ 45 วินาที (ภาพไม่ได้ชัดจนเห็นว่าทำอะไร พนักงานหันหลังให้กล้อง แต่เห็นว่ามีการเปลี่ยนจากแอพหนึ่งไปอีกแอพหนึ่งโดยออกมาหน้าโฮมก่อนชัดเจน และพนักงานกดออกมาที่หน้าโฮมก่อนคืนเครื่อง)
ทางเจ้าของร้านแจ้งว่าได้เรียกพนักงานมาคุยแล้วแต่พนักงานปฏิเสธ จำเป็นที่ผมจะต้องหาหลักฐานเพิ่มเติมหรือเอาความทางกฎหมายให้ยอมรับ
อีกเรื่องที่ทำให้ผมตกใจ คือ เมื่อทำการเปลี่ยนพาสเวิร์ดใหม่แล้ว พอกลับไปเข้า app True ID บนมือถือ หรือ True iService ทั้งสองแอพไม่มีการเด้งออกมาให้ log in ด้วยพาสเวิร์ดใหม่แบบที่ควรจะเป็น เลยกลัวว่าถ้าผู้ร้าย log in ของเราค้างไว้ใน app มือถือของเขา ก็ยังเข้าไปทำรายการต่างๆ หรือดูข้อมูลเราได้อยู่ดี ซึ่งอันตรายมาก! หากทางทรูไม่สามารถสั่ง log out จากศูนย์กลางได้ แปลว่าจำเป็นที่จะต้องมีการนำมือถือของผู้ร้ายมาตรวจสอบ
ผมโทรไปยังทรูอีกรอบ แจ้งว่าเคสนี้น่าจะเป็นการที่บุคคลที่สามแอบรีเซ็ทพาสเวิร์ด ในกรณีนี้ทางทรูสามารถตรวจสอบอะไรได้มากกว่านี้หรือไม่ ทางคอลเซนเตอร์แจ้งว่าน่าจะสามารถตรวจสอบได้ว่าตอนที่มีการแลกพ้อยท์เป็นคูปองเงินสดเซเว่น รายการดังกล่าวเกิดขึ้นจากมือถือหมายเลขใด โดยแจ้งว่าจะให้ทางไอทีตรวจสอบและจะติดต่อกลับภายใน 24 ชั่วโมง