AIS ระบุข้อมูลทราฟิกที่รั่วไหลไม่มีข้อมูลส่วนบุคคล

By: lew
FounderJusci's WriterMEconomicsAndroid
on 25 May 2020 - 16:42 Tags:
Topics: 
AIS
Privacy
Data Breach
Node Thumbnail

หลังจากเมื่อเช้านี้มีรายงานถึงข้อมูล dashboard การจัดการทราฟิกของ AIS หลุดสู่อินเทอร์เน็ต ตอนนี้ทาง AIS ออกแถลงข่าวนี้ระบุว่าไม่มีข้อมูลส่วนบุคคลของลูกค้าแต่อย่างใด โดยแถลงฉบับเต็มมีดังนี้

เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลตามที่เป็นข่าว

25 พฤษภาคม 2563 : นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”

ทั้งนี้ขอเรียนว่า เอไอเอสให้ความสำคัญอย่างยิ่งกับการปกป้องข้อมูลส่วนบุคคลของลูกค้า ที่ผ่านมา เรามีการปฏิบัติตามและทบทวนขั้นตอนการรักษาความปลอดภัยขั้นสูงสุดตามมาตรฐานระดับสากล อย่างต่อเนื่อง อย่างไรก็ตาม บริษัทฯ ต้องขออภัยที่อาจทำให้ลูกค้าเป็นกังวลใจจากสถานการณ์ที่เกิดขึ้น ซึ่งขณะนี้เอไอเอสได้แก้ไขปรับปรุงขั้นตอนการใช้ข้อมูลเพื่อทดสอบบริการเรียบร้อยแล้ว โดยท้ายที่สุดนี้ ขอให้ลูกค้าและประชาชนโปรดมั่นใจและเชื่อมั่นในมาตรฐานการรักษาความปลอดภัยที่บริษัทฯดำเนินการมาโดยตลอด”

Get latest news from Blognone

Comments

By: xyz123 on 25 May 2020 - 16:59 #1159860
xyz123's picture

ผมเข้าใจว่า IP มันหลุดออกมา ซึ่งมันคือข้อมูลส่วนบุคคล (ตาม: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en ) เพราะฉะนั้นคือมันก็มีข้อมูลส่วนบุคคลหลุดออกมาใช่ไหมครับ? หรือผมเข้าใจศัพท์ตรงนี้ผิด

By: tg-thaigamer
ContributoriPhoneAndroidBlackberry
on 25 May 2020 - 17:05 #1159866 Reply to:1159860
tg-thaigamer's picture

ผมไม่แน่ใจว่า AIS เก็บข้อมูลยังไง แต่ข้อมูลเป็น ip ที่ถูก NAT มาแล้ว
แต่ไม่แน่ว่าอาจมีการเก็บ Mapping ip กับ ค่าอะไรสักอย่างที่ยืนยันตัวตนจริงได้ ก็อาจเป็นไปได้

มือใหม่!! ใหม่จริงๆนะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 25 May 2020 - 17:06 #1159867 Reply to:1159860
lew's picture

จริงๆ มีคำถามกับ IPv6 ด้วยครับ เพราะน่าจะไม่ได้ NAT

lewcpe.com, @wasonliw

By: tg-thaigamer
ContributoriPhoneAndroidBlackberry
on 25 May 2020 - 17:32 #1159876 Reply to:1159867
tg-thaigamer's picture

เชรด?? แย่เลย

มือใหม่!! ใหม่จริงๆนะ

By: wayland on 25 May 2020 - 17:20 #1159874 Reply to:1159860

นั่นสิ IP ก็เป็นข้อมูลส่วนบุคคล ทำไมตอบแบบนี้นะ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 25 May 2020 - 17:40 #1159880 Reply to:1159860
Ford AntiTrust's picture

แล้วคือ GDPR ด้วยนะ แล้วบริษัทที่ต้องทำตาม compliance ฝั่ง EU เค้าจะว่าไงเนี่ย

By: sarajung
iPhoneWindows PhoneAndroid
on 25 May 2020 - 18:07 #1159885 Reply to:1159860
sarajung's picture

อันนี้สงสัยเรื่อง ip address เพราะเข้าใจว่า มันน่าจะเป็น dynamic ip คือ เกาะแต่ละครั้ง หมายเลข ip ก็จะเปลี่ยนไปเรื่อยๆ ไม่น่าจะระบุตัวตนของบุคลลจริงๆได้ป่ะครับ?

By: Configuleto
AndroidWindows
on 25 May 2020 - 18:45 #1159889 Reply to:1159885
Configuleto's picture

จะ dynamic หรือ static ก็มีโอกาศระบุตัวตนบุคคลได้ครับ ใช้ร่วมกับข้อมูลอื่น เช่น ข้อมูลเวลาที่ IP นี้ connected ไปยัง node ของ ISP เป็นต้น

ยังไง? ก็สมมุติคุณเป็นหน่วยงานรัฐมีแค่ IP อันเดียว อยากรู้ว่าเป็นใคร ก็นำ IP ไปถาม ISP ว่ามีการ connected เข้ามาเวลาใดบ้าง ซึ่งกฏหมายไทยบังคับ ISP ต้องเก็บ log = ISP ควรจะรู้ว่า IP ต่อมากี่ครั้ง เข้ามาตอนไหน ในระยะ N วันที่ผ่านมา (ขึ้นอยู่กับความระเอียดของ logs ที่เก็บ) มี meta data ใดบ้างที่ชี้ตัวลูกค้าได้ไหม เอาไปค้นในฐานข้อมูลลูกค้าตรงรายชื่อใดบ้าง ฯลฯ

ดังนั้น ตอบซ้ำอีกรอบว่า แค่ IP addr ไม่ว่า dynamic หรือ static อาจสามารถย้อนไประบุอุปกรณ์ของบุคคลนั้นๆได้ครับ ข้อมูลที่มีโอกาศให้สามารถสาวข้อมูลย้อนหลังไปหาตัวบุคคลได้แบบนี้ใน GDPR หรือ CCPA เขานับให้เป็นข้อมูลที่ต้องป้องกัน เรียกว่า PII (Personally identifiable information)

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 25 May 2020 - 19:01 #1159891 Reply to:1159885
Ford AntiTrust's picture

IPv4 อาจติด LSNAT แต่ IPv6 ไม่ใช่นะ มันวิ่งตรงถึง device เลยครับ ผมเคย ping device ในบ้านตัวเองที่ได้ IPv6 แล้วเจอการตอบกลับจาก device ตรงๆ ไม่ต้องทำ NAT อะไรเพิ่มเติม

By: Bigkung
iPhoneWindows Phone
on 25 May 2020 - 19:52 #1159897 Reply to:1159885
Bigkung's picture

IPv6 ได้ครับ เพราะมันไม่เปลี่ยนเลยนะถ้ายังใช้ Prefix ชุดเดิม จะนานแค่ไหน IPv6 ก็เลขเดิมครับผมเช็คมาตลอดตั้งแต่ใช้งานมาแล้ว 1 ปี หรือ 2ปี ก็ไม่เปลี่ยน

By: Configuleto
AndroidWindows
on 25 May 2020 - 21:31 #1159910 Reply to:1159897
Configuleto's picture

IPv6 ต้องเปิด Privacy Extension ด้วยครับถึงจะเป็นค่าสุ่ม ไม่งั้นปกติถ้าไม่มี Stable private addr หรือ privacy ext ละก็ SLAAC จะเอา mac address ไปใส่ไอพีเลย

เท่าที่ผมลอง linux distro นิยมๆผู้ใช้ต้องเปิด priv ext เองหมดเลย เว้นแต่ใช้ NetworkManager อันนั้นจะ enable by default / แต่ยังดีใน Windows 10 เปิด priv ext by default

By: Bigkung
iPhoneWindows Phone
on 25 May 2020 - 19:50 #1159896 Reply to:1159860
Bigkung's picture

IPv4 มี NAT ระบุยากเพราะมีคนใช้ร่วมเยอะไม่น่ามีปัญหา
แต่ IPv6 นี่ต่อเครื่องโดยตรงว่าง่ายๆวิ่งมาหาได้ตรงๆครับ นั่นคือความอันตราย แต่ปกติถ้าเข้ามาจะติด firewall ของ OS หรือของ anti virus ในเครื่องนั้นๆ อีกที ถ้าเจ้าของอุปกรณ์ไม่ไปปิดมันอ่ะนะ

By: paween_a
Android
on 25 May 2020 - 17:08 #1159868
paween_a's picture

ถ้าสมมติว่า AIS พลาดไปจริง ๆ จะตอบยังไงให้สวย ๆ จบสวย ๆ โดยไม่มีเรื่องราวเกินไปกว่าข่าวข้อมูลที่หลุดนะ

By: komkit0710
Windows PhoneSUSEWindows
on 25 May 2020 - 17:47 #1159878 Reply to:1159868

ขอโทษอย่างสุดซึ้ง พร้อมยืนยันว่าข้อมูล ไม่ว่าจะ Sensitive Data หรือไม่ มันเป็นสิ่งสำคัญต่อองค์กรมากๆ แต่โชคดีที่ข้อมูลที่หลุดออกไปนี้ไม่สามารถไปถึงผู้ใช้งานได้และไม่ก่อเกิดความเสียหายทางด้านการเงินแก่ผู้ใช้งาน ทั้งนี้ทีมงานจะดำเนินการปรับปรุงระบบทุกตัว ตรวจสอบความปลอดภัยทุก Service และจะรับผิดชอบกับข้อมูลที่หลุดออกไปถ้าเกิดถูกนำไปใช้ให้เกิดความเสียหาย จบสวยๆ ด้วยการขออภัยอีกสักครั้ง พร้อมสร้างความเชื่อมั่นด้วยการยืนยันอีกรอบรับผิดชอบ และเพิ่มความตั้งมั่นอีกหน พร้อมลงท้ายจดหมายด้วยขอโปรดจงเชื่อมั่นในตัวเราที่เราให้บริการด้วยใจตลอดมา

By: Auftrag on 26 May 2020 - 09:51 #1159954 Reply to:1159878
Auftrag's picture

ผมได้ sms มาแบบนี้ด้วยครับ

"กลุ่มบริษัทAIS ให้คุณมั่นใจในการดูแลข้อมูลของคุณอย่างต่อเนื่อง โดยได้ปรับปรุงข้อตกลงเงื่อนไขการให้บริการฯ เพิ่มเติมสิทธิหน้าที่ของบริษัทและผู้ใช้บริการตาม"พรบ.คุ้มครองข้อมูลส่วนบุคคล"เรียบร้อยแล้ว เพราะข้อมูลของคุณสำคัญ ขอให้มั่นใจเราดูแลดีที่สุดเพื่อคุณ ais.co.th/PDPA"

By: lew
FounderJusci's WriterMEconomicsAndroid
on 25 May 2020 - 20:19 #1159900 Reply to:1159868
lew's picture

template การแจ้งข้อมูลรั่วนี่เหตุการณ์ทั้งหลายแทบจะมาตรฐานครับ

  • ปริมาณข้อมูลรวม ยืนยันกับผู้รายการว่าตรงไหม (ผู้รายงานหลายคนก็ชอบใส่ไข่ อันนี้เรื่องจริง ตรงไหนยืนยันก็บอกให้ชัด)
  • ปริมาณผู้ได้รับผลกระทบ จำนวนลูกค้าที่ข้อมูลตกอยู่ในฐานข้อมูล เป็นลูกค้ากลุ่มไหน ช่วงเวลาใด อย่างกรณีนี้เรายังไม่รู้เลยว่าเป็นลูกค้า AIS, AIS Fibre, หรือลูกค้าศูนย์ข้อมูล ฯลฯ
  • ข้อมูลที่ได้รับผลกระทบ: ข้อมูลการคิวรี DNS, ข้อมูลทราฟิก เคสนี้เป็น netflow ก็บอกว่า มี src IP/port, dst IP/port, message size ฯลฯ

lewcpe.com, @wasonliw

By: panurat2000
ContributorSymbianUbuntuIn Love
on 26 May 2020 - 18:34 #1160106 Reply to:1159868
panurat2000's picture

กสทช เรียก 'เอไอเอส' ชี้แจงกรณีข้อมูลการใช้บริการรั่ว

AWN ยืนยันว่าข้อมูลดังกล่าวไม่มีข้อมูลของ User ไม่มีข้อมูลส่วนบุคคล มีเพียงเส้นทางของทราฟฟิกเท่านั้น ซึ่งไม่รู้ว่าต้นทางเป็นใคร ไม่มีข้อมูลธุรกรรมต่างๆ แต่เป็นการดึงข้อมูลมาเพื่อทำการศึกษาพฤติกรรมการใช้งานในภาพรวมว่า ในช่วงเวลาดังกล่าว มีคนเข้าไปในเว็บไหน ติดตามข้อมูลข่าวสารจากไหน โดยเป็นการทดสอบระบบ DNS เพื่อดูเรื่องการให้บริการเท่านั้น เพียงแต่ข้อผิดพลาดที่เกิดขึ้นเนื่องจากพนักงานคิดว่าเป็นระบบทดสอบ จึงขาดความระมัดระวัง บริษัทฯ ได้น้อมรับว่ามีความผิดพลาดในการจัดตั้งระบบทดสอบขึ้นมาจริง

บริษัทฯ ยืนยันว่า มีขั้นตอนมาตรการที่รัดกุม แต่เจ้าหน้าที่ยังขาดความตระหนักถึงความสำคัญ ทำให้เกิดกรณีนี้ขึ้นมา สำหรับพนักงานที่ประมาทเลินเล่อ บริษัทจะดำเนินการลงโทษพนักงานเพื่อให้เกิดมีความตระหนักในเรื่อง Cyber Security ให้มากขึ้น ในแง่ของการบริหารข้อมูล AWN ยังยืนยันว่าบริษัทยังล็อกไว้อีกชั้นหนึ่ง ข้อมูลส่วนบุคคลของลูกค้าจะไม่สามารถหลุดลอดออกไปได้

By: IDCET
Contributor
on 25 May 2020 - 18:33 #1159886

ผมวางยังไงก็มีข้อมูลส่วนบุคคลอยู่ จะปฎิเสธทำไม ไม่กล้ารับความจริงเหรอ ในเมื่อหลักฐานมันฟ้อง จะแถเหมือน True หรือไง คราวก่อน AIS ข้อมูลหลุด ยังไม่เข็ดอีกเหรอ

ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว

By: carrot on 25 May 2020 - 19:05 #1159892

นี่มันข้อมูลส่วนบุคคลล้วนๆ ก็ยังจะแถกันไปได้

By: pongmile
ContributorAndroidSymbianWindows
on 25 May 2020 - 19:42 #1159894
pongmile's picture

ip ไม่ใช่ข้อมูลส่วนบุคคล ว้าว มาตรฐานใหม่

By: NoppawanConan
ContributoriPhoneAndroidWindows
on 25 May 2020 - 20:21 #1159901 Reply to:1159894
NoppawanConan's picture

+1175 +1148 เลยทีเดียว

แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที

By: gift099
Windows PhoneAndroidWindowsIn Love
on 26 May 2020 - 09:07 #1159940 Reply to:1159894

ถ้าส่งข้อมูลให้ตำรวจตามตัว ตำรวจก็ตามเจอนะ 555
AIS แถเล็กๆ

By: Iamz
AndroidWindows
on 25 May 2020 - 19:49 #1159895

ตอนขึ้นศาลเอาไปเป็นหลักฐานมัดตัวคนได้ ตอนหลุดบอกไม่ใช่ข้อมูลส่วนบุคคล

By: buzdesign on 25 May 2020 - 21:50 #1159911

เกี่ยวกับ พรบ ที่เลื่อนไหมครับ

By: icez
ContributoriPhoneAndroidRed Hat
on 26 May 2020 - 12:36 #1160009 Reply to:1159911

หลุดก่อนมีประกาศเลื่อนครับ

By: TeamKiller
ContributoriPhone
on 25 May 2020 - 22:49 #1159917
TeamKiller's picture

เมื่อข้อมูลส่วนบุคคลหลุดออกไปแล้ว ก็จะไม่ใช่ข้อมูลส่วนบุคคลอีกต่อไป

เป็นข้อมูลสาธารณะละ . . .

By: PriteHome
ContributorAndroidWindows
on 26 May 2020 - 08:11 #1159928 Reply to:1159917
PriteHome's picture

+555

By: loptar on 26 May 2020 - 12:29 #1160004 Reply to:1159917
loptar's picture

ตึ่งโป๊ะ

By: big50000
AndroidSUSEUbuntu
on 26 May 2020 - 04:10 #1159924
big50000's picture

ถ้าบอกว่าเป็นข้อมูลระบุตัวตนได้ยาก จะหล่อกว่านี้

By: impascetic
Android
on 26 May 2020 - 12:19 #1160000

ก็ถ้าระดับตาสีตาสาอ่านก็คงโล่งใจ ชื่อ ที่อยู่ เบอร์โทร เลขบัตรประชาชนเราไม่ได้หลุดไปนี่เอง ปลอดภัยละ