TrueMove H ผู้ให้บริการมือถือ 4G รายใหญ่ของประเทศไทย เผลอตั้งค่า AWS S3 Bucket ไม่รัดกุม ส่งผลให้ข้อมูลรูปบัตรประชาชนของลูกค้ากว่า 46,000 รายรั่วไหลสู่สาธารณะ อย่างไรก็ตาม TrueMove H ได้ดำเนินการแก้ไขและปิดสิทธิ์การเข้าถึงจากภายนอกเป็นที่เรียบร้อยแล้ว
Niall Merrigan นักวิจัยด้านความมั่นคงปลอดภัยเป็นผู้ค้นพบปัญหาดังกล่าว ซึ่งหลังจากทำการสแกนและตรวจสอบ AWS S3 Bucket ของ TrueMove H พบว่ามีโฟลเดอร์ชื่อ truemoveh/idcard โดยภายในประกอบด้วยโฟลเดอร์ย่อยที่แยกตามเดือนและปี ซึ่งแต่ละโฟลเดอร์บรรจุไฟล์สแกนบัตรประชาชนของลูกค้าทั้งแบบ JPG และ PDF พร้อมระบุข้อความว่า “ใช้เพื่อการลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น”
“จนถึงจุดนี้ ผมตระหนักแล้วว่าพวกเขาทำการเก็บบัตรประชาชนที่สแกนไว้ของลูกค้าไว้ใน S3 Bucket และไม่มีการรักษาความมั่นคงปลอดภัยใดๆ ที่ช่วยปกป้องไฟล์เหล่านี้ ง่ายๆ คือ ถ้าคุณเจอ URL คุณสามารถดาวน์โหลดข้อมูลที่สแกนของลูกค้าได้ทั้งหมด” — Merrigan ระบุใน Blog
จากการตรวจสอบพบว่า ข้อมูลบัตรประชาชนของลูกค้าถูกเก็บตั้งแต่ปี 2015 ถึง 2018 รวมทั้งสิ้น 32 GB หรือประมาณ 46,000 ราย โดยข้อมูลปี 2016 มีจำนวนมากที่สุด คือ 14.5 GB ในขณะที่ปี 2017 และ 2018 มีข้อมูล 6.6 GB และ 2.2 GB ตามลำดับ
Merrigan ได้แจ้งเรื่องดังกล่าวไปยัง TrueMove H เมื่อวันที่ 8 มีนาคมที่ผ่านมา ซึ่งได้รับคำตอบว่าให้อีเมลรายละเอียดไปที่ truemovecare@truecorp.co.th หลังจากที่ Merrigan ส่งข้อมูลรายละเอียดพร้อมตัวอย่างไปยังอีเมลดังกล่าว กลับพบว่าทีมงาน TrueMove Care ระบุว่า ไม่มีช่องทางติดต่อแผนกความมั่นคงปลอดภัย และให้ Merrigan โทรหาสำนักงานใหญ่แทน อย่างไรก็ตาม แม้ผ่านไป 2 – 3 สัปดาห์แล้วเรื่องกลับไม่คืบหน้า ส่งผลให้ Merrigan แจ้งทาง TrueMove Care ว่าจะเผยแพร่เรื่องนี้สู่สาธารณะ จนในที่สุด วันที่ 4 เมษายน ทาง TrueMove Care จึงได้ติดต่อกลับมาว่าทางทีมงานได้ทราบเรื่องแล้ว และกำลังตรวจสอบอยู่เพื่อดำเนินการแก้ไข ซึ่งกว่าจะจัดการปิดสิทธิ์การเข้าถึงจากสาธารณะก็ดำเนินมาถึงวันที่ 12 เมษายน กินระยะเวลานานกว่า 1 เดือน
จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่า มีบุคคลอื่นเข้าถึงหรือดาวน์โหลดข้อมูลใน AWS S3 ออกไปหรือไม่ คงต้องรอแถลงการณ์อย่างเป็นทางการจาก TrueMove H อีกทีหนึ่ง
ที่มา: https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html#axzz5CXkf6GxS