ข้อมูลคนไทยหลุด 55 ล้านราย

เมื่อวันที่ 31 มีนาคม พ.ศ. 2566 ที่ผ่านมาเกิดเหตุการณ์ที่ถือได้ว่าร้ายแรงระดับประเทศเลยทีเดียวก็ว่าได้ คือมีสื่อหลายสำนักได้ทำข่าวเกี่ยวกับการประกาศจากเว็บไซต์ https://9near.org/ ได้อ้างว่ามีข้อมูลหลุดของคนไทยจำนวน 55 ล้านรายด้วยกัน ซึ่งประกอบไปด้วย ชื่อ นามสกุล วันเกิด ที่อยู่ หมายเลขบัตรประชาชน และเบอร์โทรศัพท์ โดยมีการอ้างว่าได้มาจากหน่วยงานรัฐแห่งหนึ่ง

https://www.posttoday.com/business/692489

โดยก่อนหน้านี้นั้นได้มีการพบการหลุดของข้อมูลดังกล่าวเมื่อวันที่ 15 มีนาคมโดย ExploitWareLabs ซึ่งเป็นเพจเกี่ยวกับด้านความปลอดภัยทางไซเบอร์ ได้ทำการโพสต์ภาพหน้าจอของโพสต์โดย 9Near บน Breach Forum ซึ่งพวกเขาได้สร้างโพสต์ขึ้นมาเพื่อทำการขายประวัติส่วนบุคคลของคนไทย 55 ล้านคน ซึ่งมีข้อมูลดังที่กล่าวมา

ส่วนนี่คือหน้าเว็บไซต์ของกลุ่มแฮกเกอร์ที่ใช้ชื่อ 9Near ภาพนี้ผมเอามาจาก Wayback Machine ในวันที่ 17 มีนาคม หลังจากมีการประกาศขายข้อมูลบน Breach Forum โดยในหน้าเว็บไซต์มีข้อมูลส่วนบุคคลบางส่วนถูกเปิดเผยออกมา ส่งผลให้มีการทำข่าวต่างๆมากขึ้นในไทย เพราะเกิดความหวั่นวิตกจากการหลุดของข้อมูลดังกล่าว

ส่วนนี่คือหน้าเว็บไซต์ของกลุ่มแฮกเกอร์ที่ใช้ชื่อ 9Near ภาพนี้ผมเอามาจาก Wayback Machine ของวันที่ 30 มีนาคม

จะเห็นได้ว่าทางเว็บไซต์ของเค้านั้นได้มีรูปแบบที่เชื่อได้ว่าน่าจะเป็นคนไทยอย่างแน่นอนเพราะมีรูปลุงตู่สมัยเด็กๆนั่นเอง นี่ก็ชัดแล้วว่าคนต่างชาติไม่น่าจะรู้เรื่องเกี่ยวกับภาพนี้สักเท่าใด นอกจากนี้ยังมีการแปะ รายการทางยูทูปของช่อง Spring News ในวันที่ 17 มีนาคม ที่มีอาจารย์ปริญญา หอมเอนก ผู้เชียวชาญด้านความปลอดภัยทางไซเบอร์ มาให้การสัมภาษณ์ในรายการดังกล่าว คร่าวๆประมาณว่าไม่ให้คนไทยตื่นตระหนก เพราะยังไม่รู้ว่าข้อมูลที่อ้างเป็นของจริงไหม ถูกต้องไหม ประมาณนี้ พวกแฮกเกอร์เค้าก็เลยทำการ เปิดเผยข้อมูลส่วนตัวทั้งหมดแบบไม่เซ็นเซอร์ของอาจารย์ปริญญาเองซะเลย และแถมมีกลุ่มตัวอย่างข้อมูลที่ถูกเปิดเผยออกมาให้ดาวน์โหลดไปดูอีกด้วย (แต่ก็มีปิดบังข้อมูลบางส่วน)

นอกจากนี้ในข้อความของเว็บไซต์นั้นยังระบุอีกด้วยว่า หากใครคิดว่าข้อมูลของตนรั่วไหล ให้ทำการติดต่อกลับไปก่อนวันที่ 5 เม.ย. 16.00 น. เวลาประเทศไทย ไม่เช่นนั้นจะทําการเผยแพร่ข้อมูลทั้งหมดสู่สาธารณะอย่างแน่นอน พร้อมทั้งแนบเทเลแกรมให้ติดต่อกลับไปด้วย

เรื่องยังไม่จบแค่นี้ นอกจากนี้ผู้ประกาศข่าวชื่อดังอย่าง นายสรยุทธ์ สุทัศนจินดา ได้ทำการโพสต์ข้อความใน facebook ส่วนตัว ว่าได้รับข้อความ SMS ที่ระบุข้อมูลส่วนบุคคลของตน ประกอบด้วย เลขบัตรประชาชน 13 หลัก, วันเดือนปีเกิด , ที่อยู่ , เบอร์มือถือ จาก 9near และยังมีอีกหลายๆคนที่ได้รับ SMS เช่นนี้อีก

https://www.facebook.com/photo.php?fbid=823049032515371&set=a.328293581990921&type=3

ต่อมาก็เป็นรีแอคชั่นจากหน่วยงานรัฐบาลไทย โดยนายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า ได้ประสานผู้ให้บริการ domain name สําหรับเว็บไซต์ 9near.org (Namesilo, LLC) ซึ่งเป็น ผู้ให้บริการในต่างประเทศ เพื่อขอปิดกั้นเว็บไซต์ 9near.org ตั้งแต่วันพุธที่ 29 มี.ค. 2566 แล้ว เนื่องจากมีการละเมิดข้อมูลส่วนบุคคลของผู้อื่น และระบุข้อความในลักษณะข่มขู่ให้ผู้คิดว่าข้อมูลของตนรั่วไหล ติดต่อกลับไป ซึ่งเข้าข่ายกระทบต่อความมั่นคงของประเทศทําให้ประชาชนตื่นตระหนก แต่ทั้งนี้ทั้งนั้นยังไม่ได้รับการตอบรับหรือดําเนินการจากผู้ให้บริการดังกล่าว (แป่ว)

จากนั้นก็อยู่ระหว่างดําเนินการขอคําสั่งศาลตาม พ.ร.บ. ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

อยู่ระหว่างประสานผู้ให้บริการอินเทอร์เน็ตในประเทศ (เช่น AIS True NT) เพื่อดําเนินการปิดกั้นเว็บไซต์ดังกล่าวด้วย

อยู่ระหว่างประสานสํานักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล (สคส.) เพื่อสอบถามข้อมูลว่ามีหน่วยงานภาครัฐแจ้งว่ามีข้อมูลรั่วไหลหรือไม่

ต่อมามีบล็อกเกอร์ชื่อดังอย่างนายอาร์ม ที่ออกมาทำวิดีโอลงในช่องยูทูปส่วนตัว พูดถึงเหตุการณ์ที่เกิดขึ้นพร้อมทั้งยังบอกว่าได้ติดต่อกับแฮกเกอร์ดังกล่าวอยู่ และรอตอบกลับมา

9Arm

จากนั้นไม่นานก็ได้มีข้อความตอบกลับมาดังภาพ

โดยหลายคนคาดการณ์กันว่าข้อมูลชุดที่หลุดออกมานั้นคือฐานข้อมูลวัคซีนโควิด MOPHIC ของกระทรวงสาธารณสุข นั่นเอง แต่ตอนนี้ยังไม่รู้รายละเอียดแน่ชัด ต้องรอสืบสวนความจริงอีกครั้ง

แต่ไม่ว่าอย่างไรก็ตามต่อมาวันที่ 2 เมษายนที่ผ่านมาเว็บไซต์ของกลุ่มแฮกเกอร์ได้มีการประกาศว่าจะยุติปฏิบัติการแล้ว หลังเกิดความขัดแย้งกับผู้สนับสนุน ทั้งยังชี้แจงว่าไม่อยากทำร้ายคนไทย แถมยังระบุอีกด้วยว่าไม่ได้ซื้อข้อมูลมาจากราชการ ไม่ใช่แก็งค์คอลเซนเตอร์ หรือสแกมเมอร์ และยังไม่เคยขายข้อมูลให้ใครแม้แต่คนเดียว ดังนั้นเขาจึงยังมีอำนาจต่อรองอยู่ แต่ข้อมูลที่เขามี ก็มีไว้สำหรับการเคลื่อนไหว ไม่ใช่เพื่อเงิน และยังบอกเกี่ยวกับผู้สนับสนุนเค้าทำวิธีการสกปรกรับไม่ได้และจะมีการโต้ตอบกลับมาอย่างแน่นอน พร้อมเตรียมแฉใครอยู่เบื้องหลังอีกด้วย (แหล่วๆๆๆ)

ทั้งนี้ทั้งนั้นคาดว่าการสืบสวนยังคงดำเนินต่อไป โดยโทษที่เกี่ยวข้องตามความผิด พรบ. คอมพิวเตอร์ ฯ นั้นมีโทษสูงสุด จําคุก 5 ปี และการนําข้อมูล ส่วนบุคคลไปใช้อย่างผิดกฎหมาย เข้าข่ายผิด พรบ.คุ้มครองข้อมูลส่วนบุคคล อาจถูก จําคุก 1 ปี หรือปรับ 1 ล้านบาท หรือทั้งจําทั้งปรับ ต่อ 1 กรรม หรือต่อผู้เสียหาย 1 คน นั่นหมายความว่าหากมีผู้เสียหายหลายรายเท่าไร ก็ยิ่งทวีโทษไปเท่านั้นนั่นเอง

หากดูจากการหลุดของข้อมูลในไทยนั้น จะพบว่ามีมาเรื่อยๆเลย อย่างเช่น

ในเดือนมิถุนายน ปีพ.ศ. 2564 เว็บไซต์กรมควบคุมโรคสำหรับชาวต่างชาติได้ถูกแฮก และนำข้อมูลมาเผยแพร่ในโลกออนไลน์ โดยภายในมีทั้งเลขพาร์สปอร์ต ข้อมูลส่วนบุคคล ข้อมูลการฉีดวัคซีน COVID-19

ในเดือนกันยายน ปีพ.ศ. 2564 ข้อมูลคนไข้ของกระทรวงสาธารณสุขที่โรงพยาบาลแห่งหนึ่ง จำนวน 10,095 ราย ได้ถูกนำไปขายบนเว็บบอร์ด Raidforums.co มีการเสนอขายในราคา 500 ดอลลาร์ หรือประมาณ 16,000 บาท ข้อมูลดังกล่าวประกอบไปด้วยชื่อ-นามสกุล วันเดือนปีเกิด ที่อยู่ เบอร์โทรศัพท์ ชื่อแพทย์เจ้าของไข้ โรงพยาบาลที่เข้ารับรักษา และข้อมูลด้านสุขภาพส่วนบุคคลอื่นๆ

ในเดือนกุมภาพันธ์ ปีพ.ศ. 2565 ข้อมูลส่วนตัวของผู้ที่สมัครสอบผ่านระบบการคัดเลือกกลางบุคคลเข้าศึกษาในสถาบันอุดมศึกษา หรือ TCAS กว่า 23,000 รายการถูกประกาศขาย โดยมีข้อมูลส่วนบุคคลทั้ง ชื่อ นามสกุล เลขบัตรประชาชน และผลคะแนนตามเกณฑ์การคัดเลือกของสาขาวิชาที่สมัคร

ยังไม่จบนะ จากกรณีนี้มีข่าวเสริมมาจากหน่วยงานของรัฐดังนี้

ดีอีเอสได้หารือถึงแนวทางเร่งรัดการใช้ ดิจิทัลไอดี (Digital ID) เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน ซึ่งในเรื่องนี้ กระทรวงดิจิทัลฯ ได้จัดทำ พระราชกฤษฎีกา (พ.ร.ฎ.) ว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ. 2565 (Digital ID) ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 ธ.ค. 2565 และ ผลักดันการพัฒนาระบบตัวตนของผู้ใช้บริการบนโลกดิจิทัล (National Digital ID) ของกระทรวงมหาดไทย ซึ่งจะมีประโยชน์ในการป้องกันข้อมูลรั่วไหล และยืนยันตัวตนได้อย่างมั่นใจมาขึ้นอีกระดับหนึ่ง

จากข่าวดังกล่าวเราจะมั่นใจได้แค่ไหน เราจะไว้ใจได้เท่าไร และผลกระทบจากการยืนยันตัวตนแบบใหม่จะเกิดอะไรต่อจากนี้อีกบ้างไหม หรือนั่นจะหมายความว่า เรากำลังก้าวเข้าสู่โลกแห่งยุคดิจิตอลที่ต้องคอยหวาดระแวงกับข้อมูลของเราตลอดเวลาในขณะที่ข้อมูลเหล่านั้น อยู่หลังประตูไม่กี่บานที่ใครๆในโลกอินเตอร์เน็ตอาจจะแวะมาทักทายได้เสมอ