TrueMove H

Niall Merrigan นักวิจัยด้านความปลอดภัย เฝ้าการสร้าง bucket สำหรับสตอเรจใน S3 และทดลองสแกน แล้วพบ bucket ที่มีโฟลเดอร์ชื่อว่า truemoveh/idcard อยู่ภายใน พร้อมกับโฟลเดอร์ย่อยตามปีและเดือน

เมื่อทดสอบเปิดไฟล์ขึ้นมา จึงเห็นว่าเป็นไฟล์ภาพบัตรประชาชน โดยไฟล์ตัวอย่างขีดคร่อมไว้ว่า "ใช้เพื่อลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น"

โฟลเดอร์มีข้อมูลรวม 32 กิกะไบต์ เป็นของปี 2016 14.5 กิกะไบต์ ของปี 2017 8.3 กิกะไบต์ และ 2018 อีก 2.2 กิกะไบต์

Merrigan ติดต่อทาง TrueMove H ผ่านทางเฟซบุ๊กวันที่ 8 มีนาคมที่ผ่านมา และได้รับคำตอบว่าให้อีเมลไปทาง truemovecare@truecorp.co.th เมื่ออีเมลมา เจ้าหน้าที่ได้ตอบกลับมาว่าให้โทรเข้าสำนักงานใหญ่ จนกระทั่งวันที่ 4 เมษายนทาง truemovecare จึงได้ตอบกลับอีกครั้งว่ากำลังแก้ไข

Merrigan ตรวจสอบสตอเรจว่าปิดไปแล้วเมื่อวันที่ 12 เมษายนที่ผ่านมา รวมเวลาจากการแจ้งครั้งแรกนานกว่าหนึ่งเดือน

ที่มา - The Register, Niall Merrigan

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

จริงส่วนหนึ่งครับ แต่ติดตรงที่หน่วยงานหรือแผนกที่ไปแจ้งไม่มีอำนาจ แต่จริงๆ ไม่น่าโยนต่อน่าจะรับเรื่องและส่งต่อให้ ถ้าความผิดล้าช้าผมว่สคนแรกที่โยนอาจโดนเด้ง

เท่าที่อ่านดู เหมือนจะ “ไม่มีแผนกด้านความปลอดภัย” ด้วย แต่จริงๆมันก็ส่งแผนก it ได้แหละ มันต้องสักคนแหละ

ถ้าเป็นผม ผมจะรับเรื่องแล้วส่งเมล์ it all ไปเลย ขนาดเรื่องเล็กน้อยกว่านี้ผมยังเคยส่งมาแล้วเลย

น่าจะเป็นเรื่องความไม่เข้าใจว่าปัญหามันร้ายแรงขนาดไหน แล้วก็ไม่ใส่ใจ เพราะมองว่าไม่ใช่ปัญหาตัวเอง
ยิ่งเป็น post ใน fb มันสามารถที่จะใช้เวลาสอบถามได้ เช่น พี่ครับนี่เขาหมายถึงอะไร ติดต่อใครดี

แต่ไม่แน่นะ เท่าที่ทราบ หลังๆบาง bu ก็มี dev เป็นของตนเองซ้อนเข้าไปอีก มันเลยยิ่งยุ่งวุ่นวายเข้าไปใหญ่

น่าจะเป็นเรื่องความไม่เข้าใจว่าปัญหามันร้ายแรงขนาดไหน

ไอ้นี่แหละน่าเป็นห่วงที่สุด ทั้งๆ ที่ บ. ตัวเองเก็บข้อมูลลูกค้าเอาไว้มากมาย แต่พนักงานขาดสำนึกถึงความรับผิดชอบต่อสิ่งเหล่านั้น

เห็นเลยว่าพนักงานในองค์กรเช้าชามเย็นชาม รอตอกบัตรกลับบ้านใจจดใจจ่อขนาดไหน

เป็นต่างชาติก็ให้ไปแจ้งสำนักงานใหญ่เองเหมือนกันครับ T_T

The response was quite shocking. They admitted not having a security department and that I should contact their head office between business hours.

โอ้วชิท จบแล้ว ไม่มีของปี2015หรือปีก่อนๆแต่ก็กังวลกับเรื่องความปลอดภัยนี่แหละ

ฝรั่งยังงงว่าจะเก็บรูปสำเนาบัตรพวกนี้ไว้ทำไม อันนี้คงเป็น better version ของสำเนาบัตรแบบกระดาษในหน่วยงานราชการ คือเก็บเป็นไฟล์ดิจิตัล แต่แย่หน่อยพอหลุดแล้วไปหมดเลยง่ายกว่า “There were lots of driving licences and I think I saw a passport,” said security researcher Scott Helme. “I guess they have to send ID for something and the company is storing the photos in this bucket, which can be viewed by the public.”

ข้อมูลสำคัญก็เก็บบนคลาวด์ได้ครับ
เอาจริงๆ ถ้า config ถูกต้อง ผมว่า s3 มันปลอดภัยกว่าเก็บใน hdd เสียอีก เพราะเข้ารหัสได้ มีการกำหนดสิทธิ์เข้าถึงได้ ทำการ sign url ให้ load ครั้งเดียวก็ได้ มี access log ด้วย

แต่กรณีนี้คือ เปิดอ้าซ่าหมดเอง

คำถามที่ต้องการตอนนี้ มันโดนใคร download ออกไปหรือยัง ?

ดูปีแล้วเป็นสโตรเรจของฝั่งลงทะเบียนซิม แชะๆๆๆ ละไรเทือกนั้นตามร้านสะดวกซื้อหรือเปล่า ?

สาวกเค้าตอบมาอย่างนี้ครับ "ถ้าหลุดต้องมีคนนำออกไปซึ่งดูแล้วเป็นเฉพาะการ Scan เอกสาร" เพลียใจเลยเจอ comment เเบบนี้ เฮ้อ

ตอนนั้นลงทะเบียนซิมปี 58 โอ้วชิท...... แต่ทำเรื่องเปลี่ยนชื่อ-สกุลไปก่อน+บันทึกประจำวันว่าเปลี่ยนไว้แล้ว

เนี่ยนะ AWS Partner? กระจอกฉิบ

True IDC ได้รับแต่งตั้งเป็น AWS Authorized Training Reseller Partner เปิดอบรมสร้างความเข้าใจในการใช้งาน AWS Cloud

คนสอน implement หรือเปล่า
หรือไม่เคยส่งคนในหน่วยตัวเองไปเรียนเลย
หรือคนทำงาน เรียนแล้วไม่follow best practice s

ทำไมทำงานกันได้แบบ.....เช่นนี้ล่ะครับ
บริษัทระดับนี้มันไม่ควรจะเกิดเรื่องแบบนี้ แต่ยกเว้นทรูไว้ซักเจ้าแล้วกัน ทำงานกันยังไงก็พอเข้าใจอยู่ (สมัยฝึกงานเคยอยู่ที่ทรู ก็พอจะเห็นระบบการทำงานแบบไทยๆ อยู่)

แต่เรื่องติดต่อแบบโยนกันไปโยนกันมานี่มันพีคจริงๆ จริงๆ ถ้า admin facebook มีความรู้ในเรื่องนี้ เรื่องแบบนี้มันต้องเต้นผ่าวๆ รีบรายงานไปทางผู้ใหญ่แล้ว นี่แสดงว่าไม่ได้ตระหน้กอะไรเลยซักนิด เหมือนไม่มีความรู้ ทำงานไปวันๆ แล้วโยนให้ฝ่ายอื่นต่อ แถมอีเมล truemovecare ก็ยังเป็นด้วยอีกทั้งๆ ที่น่าจะเป็นฝ่ายรับเรื่องได้ดีที่สุด หมดคำพูดกับบริษัทนี้จริงๆ ก็คงจะเห็นกันแล้วว่าบริษัทนี้ทำงานกันยังไง ถ้าไม่เพราะเงินถุงเงินถังมากมายที่ทุ่มลงทุนกับระบบมานี้ก็คงไม่ได้เป็นเบอร์ 2 มาหรอก

น่าจะมีใครใช้ Blockchain ทำระบบเก็บเอกสารสำคัญ แล้วใช้กุญแจอสมมาตรเข้ารหัสขัอมูลไว้ ใครจะขอก็ให้ Public Key เข้าผ่าน API แล้วกำหนดช่วงเวลาใช้งานได้ไปด้วยน่าจะดีกว่านี้นะ แถมรู้ด้วยว่าเคยให้ใครไปบ้าง

เทคโนโลยี blockchain มันมีอะไรที่เหมาะสมกับงานลักษณะแบบนี้เหรอครับ อันนี้ถามด้วยความไม่รู้นะครับ อยากได้ความรู้ครับ

ไม่ต้องถึงขั้น blockchain ก็ได้ครับ ใช้ S3 ให้ถูกวิธีก็พอแล้วไม่ต้องเปิด public แล้วใครจะอ่านไฟล์ไหนค่อยอนุญาตให้เป็นครั้ง ๆ เฉพาะคนเฉพาะไฟล์แล้วกำหนดเวลาที่ให้อ่านได้มี access log ครบทุกอย่าง แค่เค้าไม่คิดทำซักอย่าง

มีกลุ่มคนกำลังทำอยู่ครับ มีแกนนำเป็น ดอกเตอร์ภูมิ

TEDxChiangMai's Youtube
Green lantern's Slack
Github
White paper

ปกติจะมี meetup กันทุกพุธเย็น แต่พุธล่าสุดละครวันสุดท้ายเลยยกเลิกไป
ล้อเล่นไปต่างจังหวัดกันเยอะช่วงวันหยุดยาว

ผมรู้จักบิตคอยครั้งแรกก็ตอนจบใหม่ๆประมาณ5ปีที่แล้ว ยังไม่มีเงินเก็บ อ่านแล้วเข้าใจว่าน่าจะคล้ายๆกับพวกสกุลเงินต่างประเทศ
ก็เลยว่าจะซื้อมาเก็บเก็งกำไรไว้ขำๆสัก1บิตคอย
เปิดเว็บเจอราคา 1บิตคอย = ประมาณ8,000พับโครงการเลยครับ
ยังเสียดายไม่หายเลยครับ
รู้อะไรไม่สู้รู้งี้จริงๆ 555

ตอนนั้นไม่เคยคิดถึงซื้อเลยครับ ยุคนั้นขุดง่ายขนาดใช้ laptop เปิดขำๆ ก็มีโอกาสได้ 50 BTC เน้นๆ ยังแปลกใจที่ผมไม่ขุดเพราะปกติชอบลองเล่นของพวกนี้

แต่ไม่เสียดายขนาดนั้นครับ เรื่องที่ผ่านไปแล้วผมไม่ค่อยคิดมาก กับอีกอย่างคือรู้ตัวดีว่าต่อให้ขุดมาได้ผมก็ขายไปนานมากแล้ว 555

ผมเข้าใจว่า ใน USA ถ้าหลุดแบบ massive อย่างนี้จะต้องมีการสืบสวนสอบสวนใหญ่พอดู แต่นี่เงียบมาก แถมข่าวแรกยังมาจากต่างประเทศอีกด้วย

จริงๆแปลกตรงคนเปิดสิทธิ์ด้วย ว่าตอนเปิด public นี่คิดไร ไม่มี security team review หรอ?

เพราะ default มัน private นี่นา
"By default, all S3 buckets are private, and can only be accessed by users that have been explicitly granted access."

https://aws.amazon.com/premiumsupport/knowledge-center/secure-s3-resources/

ใช่ครับ Bucket ที่สร้าง ค่าเริ่มต้นคือ private ทุกอัน และเวลาอัปโหลดอะไร จะตั้งค่าไฟล์เป็น private แบบ default ครับ

ป.ล. ใช้อยู่ เลยรู้

หรืออาจจะตั้งใจเปิดเพื่ออะไรซักอย่าง

คนคุมระบบหากมีอำนาจมากไปพวกเขาอาจทำระบบให้เป็นอาณาจักรของตนเอง เปิดปิดความปลอดภัยตามใจชอบเพื่อความสะดวกของตนเอง

แต่ถ้ามองอีกมุมมองหนึ่งอาจเป็นความตั้งใจเปิดข้อมูลก็ได้ เป้าหมายคือขายข้อมูลนั่นล่ะ

ส่วนตัวนะครับ

  • เรื่องนี้ไม่ต้องลุ้นไม่ต้องลุ้นแบ็คใหญ่ๆทั้งนั้น ออกมาก้มหัวก็น่าจะจบ
  • เคสนี้เป็นความรับผิดชอบของ กสทช. ดูจากคดีที่ผ่านมาคงโดนถามว่า
    "มีความเสียหายหรือยัง" ไม่ก็ื "อยู่ระหว่างสอบสวน" ซึ่งผมว่าต่อให้มันผิดระเบียบ กสทช.
    ทางเราจะได้อะไรไหมนอกจาก กสทช. ได้ค่าปรับ.......ก็ไม่ :)
  • ผมขีดกำกับโชคดีไป
  • ทรูยังมีเรื่องข้อมูลบัตรเครดิต ลูกค้า กับ บัญชีธนาคารอีกนะครับ
    จากพวกทรูมันนี้วอลเล็ตและระบบออนไลน์...."ให้คุกกี้มำนายกันว่าจะแจ็คพ็อตอีกเมื่อไหร่"

อันสุดท้ายเนี่ยแหละประเด็นที่ผมเลือกที่ไม่ใช้พวกวอลเล็ตพวกนี้เลย (รวมถึงพวก AirPay, BluePay พวกนี้ ที่ผมเหมารวมเรียกว่า "กระเป๋าเงินจีน")

เรื่องความปลอดภัยของลูกค้าอันนี้คือเรื่องที่ผมกังวลเกี่ยวกับ 3rd party wallet มาก แล้วพอเจอเคสนี้ ทำให้ผมเบรกเรื่องนี้ยาว ๆ เลยครับ

ผมไม่เคยเชื่อใจกระเป๋าเงินออนไลน์ของเจ้าไหนเลย

ไม่ว่าจะในหรือนอก แต่ทำไงได้ยุคนี้

นั่นแหละครับประเด็น ผมไม่ใช้เลยกับพวกนี้ (ที่ใช้จริง ๆ ก็มีแค่ PayPal) ที่เหลือผมไม่ไว้ใจมันนะ โดเฉพาะของในบ้านเรา

เหมือนเจอพวก ^^"
เพราะผมก็ผูกไว้แค่ paypal กับอเมซอน
เว็บไหนไม่น่าไว้ใจ เช่น SSL basic , กดแล้วพาไปอีก link นี่
ส่วนใหญ่ผมออกมาก่อนทุกที

เราอาจต้องไปอยู่ป่าเหมือนที่ข้างล่างว่าไว้ก็ได้นะครับ

แล้ว?

ผมพอเข้าใจที่คุณจะสื่อนะครับว่าเรื่องความเป็นส่วนตัวมันหายตั้งแต่เข้าบนโลกอินเทอร์เน็ต แต่เรื่องธุรกรรมทางการเงินมันซีเรียสมากกว่าความเป็นส่วนตัวนะครับ ความเป็นส่วนตัว มันกันได้อยู่แล้ว แต่ถ้าเงินหาย คุณจะทำยังไง?

ส่วนตัวผม ถ้ามีบัญชีอะไรต่าง ๆ ผม opt-out การเก็บข้อมูลทุกอัน และจะพยายามไม่ใช้ของที่มีการล่วงล้ำข้อมูลส่วนตัว อย่างของกูเกิล ผมไม่ค่อยไว้ใจมัน เลย opt-out ทุกอย่างที่สามารถสืบเรื่องข้อมูลส่วนตัวได้ และพยายามลดการใช้งานให้น้อยที่สุด ผลิตภัณฑ์บางตัว ถ้าไม่จำเป็นจะไม่ใช้เลยอย่าง Google Photos ผมไม่ใช้เลย และไม่ได้ใช้ Google Drive เป็นหลักด้วย

แต่เรื่องเงินเนี่ย เราฝากบัตร ฝากบัญชีธนาคาร ฝากเงิน (ที่หลายที่ถอนแล้วเสียค่าธรรมเนียมแพงกว่าฝากเข้า) ส่วนตัว ผมไม่ไว้ใจพวกนั้น ประเด็นอยู่ตรงนั้นครับ

เคยทำงานที่ Truecorp อยู่ 2 ปีกว่า
บอกเลยว่า ไม่แปลกเลย ธรรมดามาก

เรื่องความผิดพลาด ความรัดกุม ความปลอดภัย หลวมมาก
วัฒนธรรมของคนในองค์กร มันเป็นแบบนี้

จริงๆครับ หน้าช๊อปนี้เป็นด่านแรกที่เก็บข้อมูลลูกค้า ถ่ายเอกสารวางกันเกลื่อนกระจาย แม่บ้านเอาไปทิ้งโดยไม่ฉีกทำลาย ไม่ทราบว่าตอนนี้ปรับปรุงหรือยัง

username Sat, 14/04/2018 - 10:53

คิดเล่นๆ คนในจงใจให้หลุดเพื่อขายข้อมูลหรือเปล่า พอมีคนแจ้ง bug เลยเฉยๆไปก่อน

มันสามารถทราบได้มั้ยครับว่า มีคนเข้าไปดู/เข้าไปโหลด ออกมา ข้อมูลหลุดในประเทศที่สวมรอยบัตรประชาชนกันเป็นเรื่องปกติ กลัวครับกลัวอยู่ดีๆจะมีหนี้สินที่ตัวเองไม่ได้ก่อมาถึงบ้าน

แค่ตอนนี้บางคนก็มีเบอร์ทรูเพิ่มเข้ามา งง ๆ ทีละ 2-3 เบอร์แล้วครับ ช่วย ๆ กันหน่อยครับเป้าหมายคือ 40ล้านเลขหมายจะได้เป็นเบอร์ 1 จริง ๆ ซักที //หลังจากที่เป็นแค่ที่ 1 ในใจคุณมาหลายปี 555555555

SleepyPD Sat, 14/04/2018 - 13:33

https://www.blognone.com/node/85461

AIS ก็เคยเหตุการณ์แบบนี้ สุดท้ายก็แค่ไล่พนักงานออก แต่ไม่เห็นมีอะไรคืบหน้า เคสนี้คงไม่ต่าง

ถ้าเป็นเช่นนั้นจริงแสดงว่าคนที่แย่ที่สุดคงเป็นกสทช. ครับ เป็นหน่วยงานกำกับดูแลโดยตรง (แถมเรื่องเก็บบัตรประชาชนนี่ก็สั่งเอง)

คนละเรื่องเลยครับ อันนั้นหลวมที่ระบบภายในพนักงานก็อบข้อมูลออกไปขาย มันยังเกิดภายในองค์กร
แต่ออันนี้ผิดที่ระบบตรวจสอบทั้งหมดเปิด Public ของ S3 คนภายนอกเข้าถึงได้หมด ความผิดมันคนล่ะสเกลเลยครับ

AIS นี่คนมีเส้นสายเข้าถึงได้แต่คนจนๆ ก็อดนะครับ ทรูให้ความเสมอภาคด้วยการไม่เกี่ยงว่าคนต้องการเข้าถึงจะเป็นคนจนหรือคนรวยเลยนะ #ใช่เหรอ

ถ้าตามปรกติก็ใช่.....แต่ถามว่าทำไปแล้วทรูได้อะไรนอกจากโดนด่า
เปลืองทรัพยากรคน เวลา เงิน ฯลฯ เอาเวลาไปเขียนคำถ้อยแถลง กสทช.
เท่ๆดีกว่าอีก

ขอถามเป็นความรู้ครับข้อมูลบัตรประชาชนที่หลุดไป
ถ้ามิจฉาชีพได้ไป จะสามารถเอาไปทำอะไรทำอะไรได้บ้างครับ
ที่อาจมีผลเสียต่อเจ้าของบัตร