Tags:
Node Thumbnail

อินเดีย เป็นประเทศที่มีจำนวนประชากรมากเป็นอันดับ 2 ของโลก เป็นรองก็เพียงแต่จีนเท่านั้น ด้วยจำนวนประชากรราว 1.32 พันล้านคน (ข้อมูลจากปี 2016) มากกว่า 2 เท่าของจำนวนประชากรในทุกประเทศเขตเอเชียตะวันออกเฉียงใต้รวมกันด้วยซ้ำ นั่นทำให้ฐานข้อมูลเกี่ยวกับประชากรของประเทศนี้คือข้อมูลขนาดมหึมา การรวบรวมและดูแลจึงเป็นเรื่องไม่ง่ายเลย ซึ่งล่าสุดรัฐบาลอินเดียก็พลาดเรื่องนี้จนได้

เพื่อจัดการกับข้อมูลประชากรมหาศาล รัฐบาลอินเดียได้จัดตั้ง Aadhaar ฐานข้อมูลกลางแห่งชาติที่รวบรวมข้อมูลประจำตัวบุคคลซึ่งรวมถึงข้อมูลอัตลักษณ์ทางชีวภาพอย่างลายนิ้วมือ และภาพสแกนม่านตา โดยมีประชากรอินเดียราว 1.1 พันล้านคนลงทะเบียนข้อมูลแสดงตัวตนในฐานข้อมูล Aadhaar นี้

No Descriptionขั้นตอนการเก็บข้อมูลของผู้ลงทะเบียนใน Aadhaar ซึ่งรวมถึงการเก็บลายนิ้วมือ และสแกนม่านตา

ผู้ที่ลงทะเบียนใน Aadhaar สามารถใช้ข้อมูลประจำตัวในนั้นไปดำเนินธุรกรรมต่างๆ ได้ ไม่ว่าจะเป็นการเปิดบัญชีธนาคาร, การซื้อและจดทะเบียนซิมโทรศัพท์, การชำระค่าสาธารณูปโภค รวมทั้งลงทะเบียนเพื่อรับสวัสดิการและความช่วยเหลือทางการเงินต่างๆ จากภาครัฐ และฐานข้อมูลชุดเดียวกันนี้ยังถูกใช้โดยบริษัทใหญ่อย่าง Amazon และ Uber เพื่อระบุตัวตนลูกค้าด้วย

ด้วยเหตุที่กล่าวมา แม้การลงทะเบียนข้อมูลใน Aadhaar จะไม่ใช่กฎบังคับสำหรับประชาชนชาวอินเดียทุกคน แต่ใครที่ปฏิเสธการลงทะเบียนก็ย่อมเสียโอกาสและขาดสิทธิ์ต่างๆ ในการดำรงชีวิตไปไม่น้อย

ปัญหาคือ เมื่อข้อมูลที่สำคัญขนาดนี้รั่วไหล ผลกระทบจึงใหญ่โตมหาศาล

Karan Saini นักวิจัยด้านความปลอดภัยจาก New Delhi ให้ข้อมูลแก่ ZDNet ว่าฐานข้อมูล Aadhaar ซึ่งดูแลโดยบริษัทเอกชนชื่อ Indane ภายใต้การกำกับดูแลจากรัฐบาล มีช่องโหว่ให้ผู้ไม่หวังดีสามารถดาวน์โหลดข้อมูลส่วนบุคคลของผู้ลงทะเบียนในระบบทุกคนได้หมด ทั้งชื่อ, เลขประจำตัวประชาชน รวมถึงข้อมูลอื่นที่เชื่อมโยงกับฐานข้อมูลของ Aadhaar เช่นเลขบัญชีธนาคาร บริการชำระเงินสาธารณูปโภค (แน่นอนว่าที่อยู่สำหรับการแจ้งหนี้เหล่านี้ย่อมเชื่อมโยงกัน)

No Description

การเข้าถึงข้อมูลดังกล่าว ทำโดยการเข้าทาง endpoint ของ API ที่ Indane ใช้ในการตรวจสอบตัวตนของผู้ลงทะเบียนในฐานข้อมูล ซึ่ง endpoint เจ้าปัญหานี้เป็น url หนึ่งในเว็บของ Indane เองที่ปราศจากการป้องกันการเข้าถึงโดยบุคคลภายนอก ตัว endpoint นี้เปิดให้เข้าถึงฐานข้อมูลได้โดยรหัสผ่านแบบฝังไว้ในโค้ด (hardcoded access token) ซึ่งถอดรหัสกลายเป็นข้อความว่า "INDAADHAARSECURESTATUS," ตรงตัวชัดเจน และเมื่อใครที่เข้าถึง endpoint นี้ได้แล้ว การจะค้นหาข้อมูลชาวอินเดียคนไหนจากฐานข้อมูล Aadhaar ก็ทำได้หมดโดยไม่มีการตรวจสอบซ้ำเพื่อยืนยันตัวตนผู้ทำการค้นหาอีกเลย

แม้ว่าการจะค้นหาข้อมูลจาก Aadhaar นั้นจำเป็นต้องระบุหมายเลขประจำตัวของชุดข้อมูลให้ถูกต้องจึงจะได้ผลการค้นหาที่มีข้อมูลจริง แต่ Saini บอกว่าเรื่องนี้ไม่ใช่อุปสรรคเลย เพราะเมื่อเข้าถึงฐานข้อมูลผ่านทาง endpoint ได้แล้วการค้นหาข้อมูลนี้ก็ทำได้เรื่อยๆ เพราะระบบไม่จำกัดจำนวนครั้งในการค้นหาข้อมูล ตราบเท่าที่คนคนนั้นยังทำไหวการจะหาข้อมูลโดยสุ่มเลขประจำตัวนับล้านล้านครั้งก็ย่อมทำได้ เขาบอกว่าด้วยคอมพิวเตอร์แค่เครื่องเดียว เขาสามารถทำการค้นหาได้หลายพันครั้งต่อนาที

Saini ยังกล่าวอ้างว่าด้วยความยินยอมจากเพื่อนของเขา เขาได้ทดลองค้นหาข้อมูลของเพื่อนคนนั้นจาก Aadhaar ซึ่งก็พบทั้งชื่อ, นามสกุล, เลขประจำตัวลูกค้า (หมายเลขที่ Indane ใช้เพื่อระบุตัวตนของบุคคลที่ลงทะเบียนใน Aadhaar) รวมทั้งข้อมูลบัญชีธนาคารของเพื่อนคนดังกล่าว โดยเขาได้แสดงภาพหน้าจอส่วนหนึ่งที่เขาพบจากค้นหาข้อมูลต่อ ZDNet ด้วย

No Descriptionภาพตัวอย่างผลการค้นหาที่ Saini ใช้ข้อมูลของเพื่อนเพื่อทำการทดสอบ

ZDNet ระบุว่าหลังรับทราบข้อมูลเรื่องนี้ ก็ได้พยายามส่งอีเมลติดต่อหน่วยงานรัฐของอินเดียผู้รับผิดชอบเรื่องนี้ แต่เป็นระยะเวลานานกว่า 1 เดือน ก็ไม่มีการตอบสนองใดๆ ต่ออีเมลหลายฉบับที่ถูกส่งไป

ทีมงาน ZDNet ตัดสินใจติดต่อไปยังสถานกงสุลอินเดียประจำ New York และติดต่อ Devi Prasad Misra เจ้าหน้าที่กงสุลด้านการค้าและศุลกากรของอินเดีย เพื่อแจ้งเรื่องนี้ การติดต่อและซักถามนานร่วม 3 สัปดาห์ผ่านไปในขณะที่ช่องโหว่ของฐานข้อมูลยังคงเปิดอ้าแบบออนไลน์โดยไม่มีใครแก้ปัญหา จนท้ายที่สุด ZDNet ได้แจ้งว่าจะเผยแพร่บทความเรื่องนี้บนอินเทอร์เน็ต เสียงตอบรับก็ยังเงียบ กระทั่ง ZDNet โพสต์บทความลงบนเว็บในที่สุด ช่องโหว่ดังกล่าวจึงถูกดึงออกจากระบบออนไลน์ในไม่กี่ชั่วโมงถัดมา

ทางด้าน UIDAI (Unique Identification Authority of India) หน่วยงานรัฐผู้รับผิดชอบเรื่องข้อมูลอัตลักษณ์บุคคลของรัฐบาลอินเดีย ได้ออกมาปฏิเสธเรื่องนี้อย่างแข็งขัน โดยโพสต์ข้อความแถลงว่าฐานข้อมูล Aadhaar ไม่เคยรั่วไหล และยังยืนยันว่า Aadhaar ไม่ได้จัดเก็บข้อมูลเรื่องบัญชีธนาคารของผู้ลงทะเบียน

ยังดีที่ (เท่าที่ผู้เขียนรู้) เหตุการณ์แบบนี้ "ยัง" ไม่เกิดขึ้นกับบ้านเรา

ที่มา - ZDNet

Get latest news from Blognone

Comments

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 26 March 2018 - 13:02 #1040329

ดูจากข่าวเก่า(ค่ายเขียว)​ประเทศเราหาได้แม้กระทั้งตำแหน่งปัจุบันที่ยืนอยู่เลยครับไม่ได้เบาบางไปกว่าปัญหาอินเดียเจอนี้เลย...

By: meathasith
Windows PhoneAndroidWindows
on 26 March 2018 - 13:33 #1040343 Reply to:1040329

ประเทศเรามีการเก็บข้อมูลม่านตา หรือเอาไปใช้ยืนยันตัวตนได้ด้วยหรอครับ

By: Gored on 26 March 2018 - 13:47 #1040349 Reply to:1040329
Gored's picture

อันนั้นเป็นความผิดของเอกชนไม่ใช่เหรอ

By: devilblaze
iPhoneAndroidWindows
on 26 March 2018 - 13:55 #1040350 Reply to:1040329
devilblaze's picture

เคสค่ายเขียวนั่นคนในเอาออกมา แต่เคสอินเดียคือช่องโหว่ระบบไม่ใช่หรอ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 26 March 2018 - 20:54 #1040434 Reply to:1040329

ตอบกลับทีเดียวเลยนะครับ​ไม่ได้ข้อมูลอัตลักษณ์แต่ได้ข้อมูลเพื่อทำให้เป็นบุคคลสาบสูญได้ครับ​ ส่วนรัฐหรือเอกชนปัญหาข้อมูลรั่วเนี่ยต้องรับผิดชอบร่วมกันครับรัฐก็ต้องหามาตรการบี้เอกชนให้ปกป้องข้อมูลลูกค้า​ครับ​ ส่วนเรื่องคนเอาออกมาไม่รั่วก็สะท้อนการจัดการความมั่นคงข้อมูลครับเพราะระบบก็จัดเก็บก็ต้องมีนโยบายที่ดี​ เพราะจะระบบหรือคนข้อมูลรั่วเหมือนกัน

ปล.ข้อแรกที่ตอบแบบนั้นเพราะครอบครัวมีประสบการณ์ตรงครับ​มือปืนไล่ล่าเหตุจากเรื่องการเมืองท้องถิ่น​

By: Gored on 26 March 2018 - 23:13 #1040467 Reply to:1040434
Gored's picture

ผมว่าจะโทษรัฐไม่ได้ ต่อให้รัฐออกกฏหมายรุนแรงคุณว่าจะไม่มีการเอาข้อมูลมาขายเหรอ เรื่องนี้ผมก็ว่าเอกชนผิดเต็มๆ แต่ไม่เห็นด้วยจะโทษรัฐ

By: Jirawat
Android
on 26 March 2018 - 22:33 #1040462 Reply to:1040329
Jirawat's picture

ไหนๆ ขอต้นทาง

By: akira on 26 March 2018 - 13:24 #1040336

ยังเพราะหน่วยงานรัฐไม่ค่อยเขียนแบบ API หรือเปล่า ? หรือไม่งั้นก็ใช้ Tool ประมวลผลเบ็ดเสร็จบน Server เงินเหลือเยอะซื้อ Server แรงๆ ได้ แต่ถ้าเขียนแยกเป็น Micro Service แบบ Multiple Device ปัญหานี้ได้เจอกันแน่ๆ รับรอง ผมเขียนรีบๆ ยังต้องทำ Local JWT คุมอีกชั้น รีบแค่ไหนก็ต้องครอบไว้ก่อน กันพลาด

By: ImKK on 26 March 2018 - 13:37 #1040346

การค้นหาข้อมูลนี้ก็ทำได้ไม่เรื่อยๆ -> การค้นหาข้อมูลนี้ก็ทำได้เรื่อย ๆ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 27 March 2018 - 15:50 #1040654 Reply to:1040346
panurat2000's picture

ตราบเท่าที่คนคนนั้นยังทำไหวการจะหาข้อมูลโดยสุ่มเลข

สุ่มเลข => สุ่มเลข