AIS

หลังจากเมื่อเช้านี้มีรายงานถึงข้อมูล dashboard การจัดการทราฟิกของ AIS หลุดสู่อินเทอร์เน็ต ตอนนี้ทาง AIS ออกแถลงข่าวนี้ระบุว่าไม่มีข้อมูลส่วนบุคคลของลูกค้าแต่อย่างใด โดยแถลงฉบับเต็มมีดังนี้

เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลตามที่เป็นข่าว

25 พฤษภาคม 2563 : นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”

ทั้งนี้ขอเรียนว่า เอไอเอสให้ความสำคัญอย่างยิ่งกับการปกป้องข้อมูลส่วนบุคคลของลูกค้า ที่ผ่านมา เรามีการปฏิบัติตามและทบทวนขั้นตอนการรักษาความปลอดภัยขั้นสูงสุดตามมาตรฐานระดับสากล อย่างต่อเนื่อง อย่างไรก็ตาม บริษัทฯ ต้องขออภัยที่อาจทำให้ลูกค้าเป็นกังวลใจจากสถานการณ์ที่เกิดขึ้น ซึ่งขณะนี้เอไอเอสได้แก้ไขปรับปรุงขั้นตอนการใช้ข้อมูลเพื่อทดสอบบริการเรียบร้อยแล้ว โดยท้ายที่สุดนี้ ขอให้ลูกค้าและประชาชนโปรดมั่นใจและเชื่อมั่นในมาตรฐานการรักษาความปลอดภัยที่บริษัทฯดำเนินการมาโดยตลอด”

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

ผมเข้าใจว่า IP มันหลุดออกมา ซึ่งมันคือข้อมูลส่วนบุคคล (ตาม: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en ) เพราะฉะนั้นคือมันก็มีข้อมูลส่วนบุคคลหลุดออกมาใช่ไหมครับ? หรือผมเข้าใจศัพท์ตรงนี้ผิด

ผมไม่แน่ใจว่า AIS เก็บข้อมูลยังไง แต่ข้อมูลเป็น ip ที่ถูก NAT มาแล้ว
แต่ไม่แน่ว่าอาจมีการเก็บ Mapping ip กับ ค่าอะไรสักอย่างที่ยืนยันตัวตนจริงได้ ก็อาจเป็นไปได้

อันนี้สงสัยเรื่อง ip address เพราะเข้าใจว่า มันน่าจะเป็น dynamic ip คือ เกาะแต่ละครั้ง หมายเลข ip ก็จะเปลี่ยนไปเรื่อยๆ ไม่น่าจะระบุตัวตนของบุคลลจริงๆได้ป่ะครับ?

จะ dynamic หรือ static ก็มีโอกาศระบุตัวตนบุคคลได้ครับ ใช้ร่วมกับข้อมูลอื่น เช่น ข้อมูลเวลาที่ IP นี้ connected ไปยัง node ของ ISP เป็นต้น

ยังไง? ก็สมมุติคุณเป็นหน่วยงานรัฐมีแค่ IP อันเดียว อยากรู้ว่าเป็นใคร ก็นำ IP ไปถาม ISP ว่ามีการ connected เข้ามาเวลาใดบ้าง ซึ่งกฏหมายไทยบังคับ ISP ต้องเก็บ log = ISP ควรจะรู้ว่า IP ต่อมากี่ครั้ง เข้ามาตอนไหน ในระยะ N วันที่ผ่านมา (ขึ้นอยู่กับความระเอียดของ logs ที่เก็บ) มี meta data ใดบ้างที่ชี้ตัวลูกค้าได้ไหม เอาไปค้นในฐานข้อมูลลูกค้าตรงรายชื่อใดบ้าง ฯลฯ

ดังนั้น ตอบซ้ำอีกรอบว่า แค่ IP addr ไม่ว่า dynamic หรือ static อาจสามารถย้อนไประบุอุปกรณ์ของบุคคลนั้นๆได้ครับ ข้อมูลที่มีโอกาศให้สามารถสาวข้อมูลย้อนหลังไปหาตัวบุคคลได้แบบนี้ใน GDPR หรือ CCPA เขานับให้เป็นข้อมูลที่ต้องป้องกัน เรียกว่า PII (Personally identifiable information)

IPv4 อาจติด LSNAT แต่ IPv6 ไม่ใช่นะ มันวิ่งตรงถึง device เลยครับ ผมเคย ping device ในบ้านตัวเองที่ได้ IPv6 แล้วเจอการตอบกลับจาก device ตรงๆ ไม่ต้องทำ NAT อะไรเพิ่มเติม

IPv6 ได้ครับ เพราะมันไม่เปลี่ยนเลยนะถ้ายังใช้ Prefix ชุดเดิม จะนานแค่ไหน IPv6 ก็เลขเดิมครับผมเช็คมาตลอดตั้งแต่ใช้งานมาแล้ว 1 ปี หรือ 2ปี ก็ไม่เปลี่ยน

IPv6 ต้องเปิด Privacy Extension ด้วยครับถึงจะเป็นค่าสุ่ม ไม่งั้นปกติถ้าไม่มี Stable private addr หรือ privacy ext ละก็ SLAAC จะเอา mac address ไปใส่ไอพีเลย

เท่าที่ผมลอง linux distro นิยมๆผู้ใช้ต้องเปิด priv ext เองหมดเลย เว้นแต่ใช้ NetworkManager อันนั้นจะ enable by default / แต่ยังดีใน Windows 10 เปิด priv ext by default

IPv4 มี NAT ระบุยากเพราะมีคนใช้ร่วมเยอะไม่น่ามีปัญหา
แต่ IPv6 นี่ต่อเครื่องโดยตรงว่าง่ายๆวิ่งมาหาได้ตรงๆครับ นั่นคือความอันตราย แต่ปกติถ้าเข้ามาจะติด firewall ของ OS หรือของ anti virus ในเครื่องนั้นๆ อีกที ถ้าเจ้าของอุปกรณ์ไม่ไปปิดมันอ่ะนะ

ขอโทษอย่างสุดซึ้ง พร้อมยืนยันว่าข้อมูล ไม่ว่าจะ Sensitive Data หรือไม่ มันเป็นสิ่งสำคัญต่อองค์กรมากๆ แต่โชคดีที่ข้อมูลที่หลุดออกไปนี้ไม่สามารถไปถึงผู้ใช้งานได้และไม่ก่อเกิดความเสียหายทางด้านการเงินแก่ผู้ใช้งาน ทั้งนี้ทีมงานจะดำเนินการปรับปรุงระบบทุกตัว ตรวจสอบความปลอดภัยทุก Service และจะรับผิดชอบกับข้อมูลที่หลุดออกไปถ้าเกิดถูกนำไปใช้ให้เกิดความเสียหาย จบสวยๆ ด้วยการขออภัยอีกสักครั้ง พร้อมสร้างความเชื่อมั่นด้วยการยืนยันอีกรอบรับผิดชอบ และเพิ่มความตั้งมั่นอีกหน พร้อมลงท้ายจดหมายด้วยขอโปรดจงเชื่อมั่นในตัวเราที่เราให้บริการด้วยใจตลอดมา

ผมได้ sms มาแบบนี้ด้วยครับ

"กลุ่มบริษัทAIS ให้คุณมั่นใจในการดูแลข้อมูลของคุณอย่างต่อเนื่อง โดยได้ปรับปรุงข้อตกลงเงื่อนไขการให้บริการฯ เพิ่มเติมสิทธิหน้าที่ของบริษัทและผู้ใช้บริการตาม"พรบ.คุ้มครองข้อมูลส่วนบุคคล"เรียบร้อยแล้ว เพราะข้อมูลของคุณสำคัญ ขอให้มั่นใจเราดูแลดีที่สุดเพื่อคุณ ais.co.th/PDPA"

template การแจ้งข้อมูลรั่วนี่เหตุการณ์ทั้งหลายแทบจะมาตรฐานครับ

  • ปริมาณข้อมูลรวม ยืนยันกับผู้รายการว่าตรงไหม (ผู้รายงานหลายคนก็ชอบใส่ไข่ อันนี้เรื่องจริง ตรงไหนยืนยันก็บอกให้ชัด)
  • ปริมาณผู้ได้รับผลกระทบ จำนวนลูกค้าที่ข้อมูลตกอยู่ในฐานข้อมูล เป็นลูกค้ากลุ่มไหน ช่วงเวลาใด อย่างกรณีนี้เรายังไม่รู้เลยว่าเป็นลูกค้า AIS, AIS Fibre, หรือลูกค้าศูนย์ข้อมูล ฯลฯ
  • ข้อมูลที่ได้รับผลกระทบ: ข้อมูลการคิวรี DNS, ข้อมูลทราฟิก เคสนี้เป็น netflow ก็บอกว่า มี src IP/port, dst IP/port, message size ฯลฯ

กสทช เรียก 'เอไอเอส' ชี้แจงกรณีข้อมูลการใช้บริการรั่ว

AWN ยืนยันว่าข้อมูลดังกล่าวไม่มีข้อมูลของ User ไม่มีข้อมูลส่วนบุคคล มีเพียงเส้นทางของทราฟฟิกเท่านั้น ซึ่งไม่รู้ว่าต้นทางเป็นใคร ไม่มีข้อมูลธุรกรรมต่างๆ แต่เป็นการดึงข้อมูลมาเพื่อทำการศึกษาพฤติกรรมการใช้งานในภาพรวมว่า ในช่วงเวลาดังกล่าว มีคนเข้าไปในเว็บไหน ติดตามข้อมูลข่าวสารจากไหน โดยเป็นการทดสอบระบบ DNS เพื่อดูเรื่องการให้บริการเท่านั้น เพียงแต่ข้อผิดพลาดที่เกิดขึ้นเนื่องจากพนักงานคิดว่าเป็นระบบทดสอบ จึงขาดความระมัดระวัง บริษัทฯ ได้น้อมรับว่ามีความผิดพลาดในการจัดตั้งระบบทดสอบขึ้นมาจริง

บริษัทฯ ยืนยันว่า มีขั้นตอนมาตรการที่รัดกุม แต่เจ้าหน้าที่ยังขาดความตระหนักถึงความสำคัญ ทำให้เกิดกรณีนี้ขึ้นมา สำหรับพนักงานที่ประมาทเลินเล่อ บริษัทจะดำเนินการลงโทษพนักงานเพื่อให้เกิดมีความตระหนักในเรื่อง Cyber Security ให้มากขึ้น ในแง่ของการบริหารข้อมูล AWN ยังยืนยันว่าบริษัทยังล็อกไว้อีกชั้นหนึ่ง ข้อมูลส่วนบุคคลของลูกค้าจะไม่สามารถหลุดลอดออกไปได้

ผมวางยังไงก็มีข้อมูลส่วนบุคคลอยู่ จะปฎิเสธทำไม ไม่กล้ารับความจริงเหรอ ในเมื่อหลักฐานมันฟ้อง จะแถเหมือน True หรือไง คราวก่อน AIS ข้อมูลหลุด ยังไม่เข็ดอีกเหรอ