ผู้ที่ใช้ชื่อว่า Inanimate บนเว็บบอร์ด Raidforums ลงขายข้อมูลในรูปแบบไฟล์ SQL ที่อ้างว่านำมาจากระบบของกระทรวงสาธารณสุขประเทศไทย ขนาด 3.75GB กว่า 16 ล้านรายการ ระบุวันที่ล่าสุดของฐานข้อมูล วันอาทิตย์ที่ 5 กันยายน 2021 ที่ผ่านมา
ข้อมูลประกอบด้วย ชื่อผู้ป่วย ที่อยู่ เบอร์โทร หมายเลขประจำตัวประชาชน วันเกิด ชื่อโรงพยาบาล แพทย์ประจำตัว รหัสเข้าใช้ระบบโรงพยาบาล และอื่นๆ โดยลงขายในราคาเพียง 500 ดอลลาร์ หรือราว 16,300 บาทเท่านั้น (แต่ระบุเป็นราคาพิเศษช่วงสองวันแรก)
ที่มา - Raidforums
อัพเดตเพิ่มเติม:
วันที่ 7 กันยายน โรงพยาบาลเพชรบูรณ์ออกประกาศฉบับที่ 1 เรื่องเหตุภัยคุกคามทางไซเบอร์ ยืนยันเหตุการณ์ ระบุว่าโรงพยาบาลเพชรบูรณ์ได้รับรายงานการประกาศขายข้อมูลของโรงพยาบาลเพชรบูรณ์ในอินเทอร์เน็ต เมื่อวันที่ 5 กันยายน 2554 เวลา 13.30 น. ขนาด 3.75 GB จํานวน 16 ล้าน records จากฐานข้อมูล จํานวน 146 ฐานข้อมูล ในราคา 500 เหรียญสหรัฐอเมริกา
ข้อมูลที่มีการเผยแพร่ในอินเทอร์เน็ตแสดงข้อมูลทั่วไปของประชาชนที่มารับบริการ และเจ้าหน้าที่บางส่วน โรงพยาบาลได้ดําเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก ตรวจสอบความเสียหายระบบภายในโรงพยาบาล มีการตรวจสอบความปลอดภัยด้านไซเบอร์ ตรวจสอบระบบที่ข้อมูลรั่ว ไม่ให้มีแฮกเกอร์อยู่ในระบบ ผลการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย ระบุข้อมูลที่หลุดมีดังนี้
ซึ่งข้อมูลส่วนใหญ่เป็นรูปภาพ งานเอกสาร และตาราง ทําให้ไฟล์ข้อมูลมีขนาดใหญ่
ที่มาอัพเดต - Thairath Online
Comments
ก็ไม่สงสัยหรอกว่าทำไมได้รับ SMS เว็บพนัน เงินกู้ อยู่บ่อยๆ
หลังจากที่ลงทะเบียนแอพต่างๆ ของภาครัฐ
ก็เป็นซะอย่างเงี้ย ทำไม่ไหวก็กลับไปใช้แบบกระดาษ กรอกข้อมูลใส่แบบ Manual ก็ได้นะ
ลงกระดาษนี่หอบเดินออกมาดื้อๆ ไม่มีใครสังเกตเลยครับ
I need healing.
ประชดครับ ทำ IT ไม่ไหว ก็กลับไปย้อนยุคละกัน
กระดาษอาจจะกลายเป็นถุงกล้วยแขกในอนาคตครับ
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Galaxy Note 20
ล่าสุดเลยกับแอพระบบลงทะเบียนภาครัฐ ลงปุ๊ป3วันSMS เงินกู้เด้งมาก่อนเลยทั้งที่ไม่เคยมีเพราะเบอร์เปลี่ยนใหม่และไม่เคยเอาไปลงข้อมูลอะไรที่ไหนส่วนบัตรเครดิตโดนเอาไปตัดโฆษณา FB ดีนะส่งเรื่องระงับได้ ถุงกล้วยแขกบัตรประชาชนก็โดนมาละเห้อเหนื่อยกับการที่ต้องมาป้องกันข้อมูลตนเอง
เป็นเหมือนกันเลยครับ ก่อนโควิดนี่ไม่มีข้อความอะไรแบบนี้เลย
จริงครับ เบอร์หลักผมก็ได้sms พนันออนไลน์ ให้กู้เงิน ฯลฯ หลังจากลงทะเบียนต่างๆของภาครัฐในช่วงโควิทนี่แหละ
ตอนแรกๆมีคนบอกว่า สุ่มเบอร์ส่ง ไม่เกี่ยวกับข้อมูลหลุดหรือขายหรอก แต่ที่ผมเจอคือเบอร์สำรองที่หมวดใกล้ๆกัน แต่ไม่ได้ไปลงทะเบียนอะไรที่ไหน ไม่มีsmsพวกนี้โผล่มาเลย จะบอกว่าพวกบัตรเครดิตก็ไม่น่าใช่เพราะไม่ได้สมัครอะไรใหม่มานานแล้ว(อีกอย่างผลิตภัณฑ์มันก็คนละแบบ ปกติมีแต่ขายประกันกับเสนอวงเงินกู้)
ไม่อยากจะกล่าวหา แต่หลายๆอย่างมันก็ชวนให้คิด
รู้สึกน้อยใจที่ข้อมูลส่วนตัวมีมูลค่าไม่ถึงสตางค์เดียว
ในเว็บเดียวกันก็บอกว่ามีข้อมูลอ้างว่าของ cpfreshmartshop ขาย
ก็คงเฉยๆกันแหละ เพราะไม่ใช่หน้าที่หลักของ DE อ่ะนะ เหอๆๆ
อยากให้แปะลงพาดหัวข่าวเลย 555
อ่านมาแล้วจากหน้าเว็บ เป็น รพ.แห่งหนึ่งทางอีสานติดชายแดน ตัวอย่างตารางที่เอามาให้ดูเป็นตารางข้อมูลผู้ป่วยที่นอนโรงพยาบาล มีทั้ง เลขโรงพยาบาล เลยผู้ป่วยใน ชื่อ นามสกุล เพศ วันเดือนปีเกิด แพทย์เจ้าของไข้ สิทธิ์การรักษา ยอดค่าใช้จ่าย หอผู้ป่วยที่นอนอยู่
ใบ้ชื่อรพ.ได้ไหมครับ ผมกดเข้าไปดูเมื่อกี้ดูไม่ได้แล้วครับ พอดีเคยทำงานรพ.แถวอีสาน เริ่มกังวลละ T-T
โทดที จำผิด ไม่ได้อยู่ติดชายแดน แต่ก็เกือบ ๆ แล้วล่ะ
เป็น รพท. แน่ ๆ เพราะที่อ่านมีขึ้นคำว่าสิทธิ์ประกันสังคมของที่นั่นอยู่หลาย field
10727 บอกได้แค่นี้
ขอบคุณมากครับ โล่งอกไปไม่โดน แต่ในอนาคตไม่แน่ -*-
เมื่อคืนเข้าไปดู เหมือนมีเรคคอร์ดที่ระบุชื่อ รพ เพชรบูรณ์อยู่นะครับ
Smart card ที่เพอร์เฟค
แต่ cyber sec ห่วย เอิ่มมมน่าร้ากก
มาทั้งระบบเลย ระบบผู้ใช้งานทั่วไปที่ใช้ระบบนี้อยู่ก็น่าจะพอเดาออกมาจากต้นสังกัดไหน
แอบสังเกตุเห็นมีตารางรายนิ้วมือด้วย น่ากลัวนะเนี่ย ข้อมูลแบบเจาะจงตัวบุคคลมากๆ
ก่อนหน้าไม่นานมานี่ รพ.แถวภาคกลางก็เคยเจอ กระทรวงอาจต้องแข็มงวดเรื่องนี้เพิ่มแล้วล่ะ
ถ้าให้เดาก็คงชื่อโปรแกรม+ชื่อระบบปฏิบัติการ จากตัวย่อ 3 อักขระ?
อยากถาม นวก.คอมฯในสายสธ.ทั้งหลายครับว่า "คำว่า Hardening คืออะไรครับ?"
ไม่ต้องถึง hardening หรอก แค่ two-tier architecture น่ะรู้จักป่าว?
ตอนนี้ดูจะ flaccid ครับ
นวก. คอม ฝากผมมาบอกว่า ไม่ว่างครับ กำลังซ่อมเครื่องถ่ายเอกสารกับเปลี่ยนหลอดไฟอยู่
ตกเย็นก็ต้องไปพิมพ์รายงานให้ลูกสาว ผอ.รพ ครับ
แล้วก็ยังมี notebook ของทั้งคุณหมอและพยาบาลอาวุโสส่งมาให้ลง Windows ใหม่ กับแก้ติดไวรัสเรียกค่าไถ่อีก 2-3 เครื่อง
อ่านแล้วจะร้องไห้กับความจริง
คร่ำครึมาก
ข้อมูลลักษณะนี้ใช้ Graph database จะเหมาะกว่า
ผมลองเอาชื่อตารางหาใน google ดู น่าจะเป็น ฐานข้อมูลของ รพ. ใดซักแห่ง
- eclaim สำหรับส่งเบิก
- db_bill อันนี้ชัดน่าจะเป็นระดับ รพ. หรือ คลีนิค หรือ หน่วยบริการ ที่ออก bill ได้
- db_finger ถ้ามันคือลายนิ้วมือ และ ถ้าเก็บเป็นภาพนี่งานเข้าแน่นอน
- db_salary น่าจะข้อมูลเงินเดือน อันนี้หลุดไป ใครได้เยอะ ใครได้น้อย อาจได้เห็นคนตีกันใน รพ.
- joomla3-8 คนทำเว็บรู้กัน คงไม่ใช่ประเภท database เดียวใส่ทุกอย่างนะ 555+ คิดในแง่บวก อาจเป็นส่วนหนึ่งของระบบ
งบหมด ไม่ได้ต่อ ma บริษัทที่รับเขียน หรือไม่ก็บริษัทที่เขียนระบบมาเจ๊งไปแล้ว ดูแล้วมีอายุน่าดู
ระดับ Dump ออกมาได้ทั้ง Database ถ้าไม่โดนดูดจากข้างนอก ก็อาจจะโดนเจาะเอาไฟล์ Daily Backup ไป (แต่เดาว่าอย่างหลัง)
มาเป็นไฟล์ SQL เลย หลุดที โดนเอาไป Restore ได้ข้อมูลหมดชุดเลยทีเดียว
I did not care everything. It's MY WAY to do whatever I want.
เดานะ ไม่น่าใช่แอปสามพยางค์ แต่คิดว่าน่าจะเป็นตัวอักษร 5 ตัว เพราะเคยเข้าไปอัปเกรดคอมให้...ที่นึง
แบบ... อืม... นะ Java Swing + mysql โล้นๆเลย
แต่ถ้าเป็นแอปสามพยางค์ซะเอง ผมว่าต้องลากนวก.คอมกับผอ.รพ.ไปเข้าห้องมืดสามเดือนเพื่อเทรน security ใหม่นะ ไอ้แนวคิดใช้ได้ไม่ต้องซ่อมเนี่ย... ไม่ไหวจะเคลียร์
ไม่รู้ว่าระบบหลังบ้านเป็นยังไง แต่ถ้าจำไม่ผิดเหมือนจะมีข้อมูลว่ารพ.รัฐส่วนใหญ่ใช้โปรแกรม 5 พยางค์ในการจัดการนะ ถ้าใช่จากโปรแกรมนนี้นี่ซวยแหน่ ทั้งทีมต้องโดนเข้าห้องมืดแล้ววว
ไม่ต้องเดาเลยครับ MySQL แน่ๆ หรือไม่ก็ MariaDB ที่ต่อยอดจาก MySQL อีกที
I did not care everything. It's MY WAY to do whatever I want.
รอพี่ศรีร้องเรียนอยู่นะครับ ไม่ใช่ร้อง DE นะ อยากให้ร้องแฮกเกอร์อ่ะครับ
กระทรวง.... ทำอะไรอยู่นะ
ปกป้องสถาบันอยู่นะ ถ้าตามที่เขาว่า
ก็ไม่แปลกใจที่ทำไม #PDPA เลื่อนแล้วเลื่อนอีก
@ Virusfowl
I'm not a dev. not yet a user.
แล้วคือเมื่อเช้าสดๆ ร้อนๆ เว็บพนันโทรด้วยระบบอัตโนมัติมาตอนตี 5...จะโทรหาลูกค้าทั้งทีก็หัดมีจิตวิทยาแห่งการขายมั่งสิวะ
ดูแลตัวเองละกันนะครับ เพราะอันนี้อยู่นอกเหนือภารกิจของ DES เค้าครับ
DES เค้าต้องทำภารกิจใหญ่ ปกป้อง ชาติ ศาสน์ กษัตริย์ จากภัยคุกคาม(ประชาชนตัวเอง?) อยู่ครับ
ข้อมูลที่หลุดไปมาจาก HIS หรือ ระบบอื่นๆ ที่พ่วงกับ HIS ครับ?
แบบนี้เราเรียกว่า Victim blaming ได้มั้ยครับ
กรณีนี้เป็นหน้าที่ของเจ้าของระบบในการปกป้องข้อมูลส่วนบุคคลนะครับ ถึงตามกฎหมายจะต้องรอ PDPA ออกมาก่อน แต่ด้วยกฎหมายอื่นของสธ.ก็ครอบคลุมอย่างกว้างไว้อยู่แล้ว
เหมือนคุณมีหน้าที่ดูแลป้องกัน แต่ไม่ได้ทำหน้าที่ดีพอตามสมควร เช่นเป็นรปภ.ต้องล็อคกุญแจประตูหลังเลิกใช้งาน แต่ประมาทเลินเล่อไม่ล็อคจนเกิดความเสียหาย ผู้ดูแล/รปภ.นั้นย่อมมีความผิดด้วย
ส่วนคนร้ายก็ผิดอยู่แล้ว
มีหรือไม่มีกฎหมาย PDPA ก็ไม่แน่ใจว่าเกี่ยวกับการยอมให้ถูกแฮ็คหรือเปล่านะครับ
เรื่องการกันพวกแฮ็คเกอร์ ผมว่าทำได้เต็มที่ก็กันให้แฮ็คได้ยากขึ้น คงไม่สามารถกันได้ 100% ช่องโหว่มันมีอยู่เรื่อยๆ
ข่าวมีให้เห็นเรื่อยๆ ตั้งแต่องค์กรเล็กๆ ไปถึงองค์กรใหญ่ๆ ทั้งไทยและต่างประเทศ
ผมไม่รู้ว่าวิธีการที่เขาให้แฮ็ก มันยากง่ายแค่ไหน องค์กรมีการปกป้องแล้วหรือยัง ถ้ามี มีมากน้อยแค่ไหน
แต่หลายๆ เม้นท์ในนี้ ก็แซะกันสนุกสนาน เอามันส์ไว้ก่อน คงเพราะเห็นว่าเป็นองค์กรรัฐ
แล้วก็ไม่ค่อยเห็นใครพูดถึงคนร้ายเลย ฮาา
จริงๆคือมันต้องมีกฎหมายกำกับดูแล มันถึงจะกำหนด"ขั้นต่ำ"ได้ แบบพวกธุรกิจการเงิน แม้ไม่มีPDPA แต่มีมาตรฐานกลางระดับนานาชาติกำหนด เช่นธุรกิจบัตรเครดิตต้องผ่านมาตรฐาน PCI-DSS ที่จะกำหนดขั้นต่ำของมาตรฐานความปลอดภัย โดยอ้างอิงpaperของหน่วยงานระดับชาติเช่น NIST ที่คุณต้องทำตาม(เช่นการเข้ารหัสที่เปลี่ยนเป็นแบบเข้มแข็งขึ้นเรื่อยๆ การใช้ช่องสื่อสารแบบเข้ารหัส การเก็บกุญแจ ฯลฯ) และปรับเปลี่ยนทุกปี คือถ้าคุณทำแล้วยังโดน ก็ถือว่าเกินจะป้องกันได้ แต่ถ้าไม่ทำแล้วโดน อันนี้แหละมีความผิดถือว่าประมาทเลินเล่อ มีผลต่อการเพิกถอนใบอนุญาต รวมถึงคดีอาญาฯและแพ่งฯ
มันกันไม่ได้ 100% แต่ไม่ใช่ไม่กันเลย
เหมือนคุณอ้างว่าโจรมีกุญแจผี มีเลื่อย ตัดกุญแจได้ เลยไม่ใส่กุญแจซะเลย?
ผมไม่รู้หรอกว่าการขโมยข้อมูลครั้งนี้ทำด้วยวิธีไหน หรือป้องกันดีอยู่แล้วหรือเปล่า แต่ได้มาแทบจะทั้งDBแบบนี้แสดงว่า เปิดโล่งเลย และเชื่อเถอะว่าหน่วยงานรัฐที่หลุดๆกันส่วนใหญ่ไม่ใช่ช่องโหว่zero day โดยhackerระดับโลกอะไรหรอก แต่เป็นง่ายๆแบบ ใช้password default,เปิดport ที่ควรปิด ใช้software versionเก่าที่มีช่องโหว่ หรือแม้แต่ทำเวบที่ไม่กัน sql injectionง่ายๆ คือเรื่องพวกนี้ ถ้าคนทำเรียนจบป.ตรีทางคอมพิวเตอร์มา มันเป็นพื้นฐานสุดๆของการป้องกันเบื้องต้นเลยด้วยซ้ำ(เด็กฝึกงานยังรู้เลยเรื่องการป้องกันsql injection) อย่าอ้างว่าทำฟรีเลยนะครับ คุณมีอัตราจ้างนวก.คอมฯ มีการจัดซื้อจัดจ้างบ.เอกชนติดตั้งระบบ มันก็ต้องมีการตรวจรับแบบมีมาตรฐาน ไม่ใช่สมัยโบราณที่ทำกันเองตามมีตามเกิดแล้วอ้างว่าไม่มีงบ
จะบอกว่าผมกล่าวหาก็ได้นะ แต่พูดจากเคสที่ผ่านๆมา มันก็จบแบบเงียบๆ จำไม่ได้หรือเพิ่งมีข่าวรพ.รัฐที่นึงโดนransomware จนต้องยกเลิกนัดคนไข้ทั้งหมดไปอยู่เลย ไม่เคยเปิดเผยผลการสอบสวนใดๆ คนนอกก็ได้แต่คาดเดา
อย่างที่บอกไปมันคือหน้าที่โดยตรงของกระทรวงสธ.และDES ที่จะกำหนดมาตรฐานความปลอดภัยและกำกับดูแล โดยออกคำสั่ง ออกกฎ ข้อบังคับหรือบทลงโทษ รวมไปถึงสนับสนุนการจัดหา ติดตั้งระบบความปลอดภัยขั้นพื้นฐาน
ปัญหาคือรัฐไทยไม่เข้าใจ คิดง่ายๆว่าออกคำสั่งไปก็จับได้ หรือลงเงินไปครั้งเดียวจบ(แบบพวกจัดซื้อfirewall) ไม่ต้องปรับเปลี่ยนอะไร ที่เขาด่าก็ด่าหน่วยงานที่มีหน้าที่รับผิดชอบ แต่ไม่ทำนี่แหละ อย่างล่าสุดรมต.บางท่านพูดบอกว่าไม่มีข้อมูลสำคัญ ทั้งๆที่มีข้อมูลsensitiveหลายตัว โดยถ้าอ้างอิงตามกฎหมายPDPAที่กำลังจะออก มีโทษจำคุกเลยด้วยซ้ำ
โจรนี่เขาก็ด่ากัน แต่นี่เวบไอที ก็ต้องด่าทีมงานไอทีและผู้บริหารที่เลินเล่อ ไม่ทำหน้าที่ขั้นต่ำที่ควรทำ
อยากให้พูดถึงคนร้ายว่ายังไงเหรอครับ ถ้ามีประเด็นไหนอยากพูดถึงก็เปิดมาเลยครับ
ทุกคนในนี้รู้ครับว่าคนร้ายผิดแน่นอน แต่มันไม่มีประเด็นอะไร ก็เลยไม่มีใครพูดถึง แค่นั้นเองครับ
และคนผิดก็ไม่จำเป็นต้องมีคนเดียวครับ ในเคสนี้กลุ่มคนที่มีหน้าที่ต้องคุ้มกันทั้งในระดับปฏิบัติการณ์และในระดับนโยบายต่างก็ผิดเช่นเดียวกัน ที่ไม่สามารถปฏิบัติหน้าที่ได้ดีพอ และต่อให้เป็นองค์กรเอกชนแต่ถ้าทำข้อมูลหลุดคนในนี้ก็พร้อมด่าเช่นเดียวกันครับ
เป็น victim blaming หรือไม่? เขามีหน้าที่ต้องปกป้องข้อมูลของเราครับ เพราะงั้นการที่เขาปฏิบัติหน้าที่ผิดพลาดย่อมสามารถถูกตำหนิได้ครับ
รอคุณ low_budget_photo เข้ามาเม้นอยู่ครับ
16 ล้าน records นี่เท่ากับจำนวนประชากรทั้งภาคเลยนะ ไม่น่าเฉพาะแค่จังหวัด