ผู้ที่ใช้ชื่อว่า Inanimate บนเว็บบอร์ด Raidforums ลงขายข้อมูลในรูปแบบไฟล์ SQL ที่อ้างว่านำมาจากระบบของกระทรวงสาธารณสุขประเทศไทย ขนาด 3.75GB กว่า 16 ล้านรายการ ระบุวันที่ล่าสุดของฐานข้อมูล วันอาทิตย์ที่ 5 กันยายน 2021 ที่ผ่านมา
ข้อมูลประกอบด้วย ชื่อผู้ป่วย ที่อยู่ เบอร์โทร หมายเลขประจำตัวประชาชน วันเกิด ชื่อโรงพยาบาล แพทย์ประจำตัว รหัสเข้าใช้ระบบโรงพยาบาล และอื่นๆ โดยลงขายในราคาเพียง 500 ดอลลาร์ หรือราว 16,300 บาทเท่านั้น (แต่ระบุเป็นราคาพิเศษช่วงสองวันแรก)
ที่มา - Raidforums
อัพเดตเพิ่มเติม:
วันที่ 7 กันยายน โรงพยาบาลเพชรบูรณ์ออกประกาศฉบับที่ 1 เรื่องเหตุภัยคุกคามทางไซเบอร์ ยืนยันเหตุการณ์ ระบุว่าโรงพยาบาลเพชรบูรณ์ได้รับรายงานการประกาศขายข้อมูลของโรงพยาบาลเพชรบูรณ์ในอินเทอร์เน็ต เมื่อวันที่ 5 กันยายน 2554 เวลา 13.30 น. ขนาด 3.75 GB จํานวน 16 ล้าน records จากฐานข้อมูล จํานวน 146 ฐานข้อมูล ในราคา 500 เหรียญสหรัฐอเมริกา
ข้อมูลที่มีการเผยแพร่ในอินเทอร์เน็ตแสดงข้อมูลทั่วไปของประชาชนที่มารับบริการ และเจ้าหน้าที่บางส่วน โรงพยาบาลได้ดําเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก ตรวจสอบความเสียหายระบบภายในโรงพยาบาล มีการตรวจสอบความปลอดภัยด้านไซเบอร์ ตรวจสอบระบบที่ข้อมูลรั่ว ไม่ให้มีแฮกเกอร์อยู่ในระบบ ผลการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย ระบุข้อมูลที่หลุดมีดังนี้
- ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา)
- ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา ประมาณ 7,000 ราย
- ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล
- ข้อมูลรายชื่อผู้ป่วยในการคํานวณค่าใช้จ่ายในการผ่าตัด 692 ราย
- ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย หมายเหตุ
ซึ่งข้อมูลส่วนใหญ่เป็นรูปภาพ งานเอกสาร และตาราง ทําให้ไฟล์ข้อมูลมีขนาดใหญ่
ที่มาอัพเดต - Thairath Online
Get latest news from Blognone
Follow @twitterapi
Comments
ก็ไม่สงสัยหรอกว่าทำไมได้รับ SMS เว็บพนัน เงินกู้ อยู่บ่อยๆ
หลังจากที่ลงทะเบียนแอพต่างๆ ของภาครัฐ
ก็เป็นซะอย่างเงี้ย ทำไม่ไหวก็กลับไปใช้แบบกระดาษ กรอกข้อมูลใส่แบบ Manual ก็ได้นะ
ลงกระดาษนี่หอบเดินออกมาดื้อๆ ไม่มีใครสังเกตเลยครับ
I need healing.
ประชดครับ ทำ IT ไม่ไหว ก็กลับไปย้อนยุคละกัน
กระดาษอาจจะกลายเป็นถุงกล้วยแขกในอนาคตครับ
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
ล่าสุดเลยกับแอพระบบลงทะเบียนภาครัฐ ลงปุ๊ป3วันSMS เงินกู้เด้งมาก่อนเลยทั้งที่ไม่เคยมีเพราะเบอร์เปลี่ยนใหม่และไม่เคยเอาไปลงข้อมูลอะไรที่ไหนส่วนบัตรเครดิตโดนเอาไปตัดโฆษณา FB ดีนะส่งเรื่องระงับได้ ถุงกล้วยแขกบัตรประชาชนก็โดนมาละเห้อเหนื่อยกับการที่ต้องมาป้องกันข้อมูลตนเอง
เป็นเหมือนกันเลยครับ ก่อนโควิดนี่ไม่มีข้อความอะไรแบบนี้เลย
จริงครับ เบอร์หลักผมก็ได้sms พนันออนไลน์ ให้กู้เงิน ฯลฯ หลังจากลงทะเบียนต่างๆของภาครัฐในช่วงโควิทนี่แหละ
ตอนแรกๆมีคนบอกว่า สุ่มเบอร์ส่ง ไม่เกี่ยวกับข้อมูลหลุดหรือขายหรอก แต่ที่ผมเจอคือเบอร์สำรองที่หมวดใกล้ๆกัน แต่ไม่ได้ไปลงทะเบียนอะไรที่ไหน ไม่มีsmsพวกนี้โผล่มาเลย จะบอกว่าพวกบัตรเครดิตก็ไม่น่าใช่เพราะไม่ได้สมัครอะไรใหม่มานานแล้ว(อีกอย่างผลิตภัณฑ์มันก็คนละแบบ ปกติมีแต่ขายประกันกับเสนอวงเงินกู้)
ไม่อยากจะกล่าวหา แต่หลายๆอย่างมันก็ชวนให้คิด
รู้สึกน้อยใจที่ข้อมูลส่วนตัวมีมูลค่าไม่ถึงสตางค์เดียว
ในเว็บเดียวกันก็บอกว่ามีข้อมูลอ้างว่าของ cpfreshmartshop ขาย
ก็คงเฉยๆกันแหละ เพราะไม่ใช่หน้าที่หลักของ DE อ่ะนะ เหอๆๆ
อยากให้แปะลงพาดหัวข่าวเลย 555
อ่านมาแล้วจากหน้าเว็บ เป็น รพ.แห่งหนึ่งทางอีสานติดชายแดน ตัวอย่างตารางที่เอามาให้ดูเป็นตารางข้อมูลผู้ป่วยที่นอนโรงพยาบาล มีทั้ง เลขโรงพยาบาล เลยผู้ป่วยใน ชื่อ นามสกุล เพศ วันเดือนปีเกิด แพทย์เจ้าของไข้ สิทธิ์การรักษา ยอดค่าใช้จ่าย หอผู้ป่วยที่นอนอยู่
ใบ้ชื่อรพ.ได้ไหมครับ ผมกดเข้าไปดูเมื่อกี้ดูไม่ได้แล้วครับ พอดีเคยทำงานรพ.แถวอีสาน เริ่มกังวลละ T-T
โทดที จำผิด ไม่ได้อยู่ติดชายแดน แต่ก็เกือบ ๆ แล้วล่ะ
เป็น รพท. แน่ ๆ เพราะที่อ่านมีขึ้นคำว่าสิทธิ์ประกันสังคมของที่นั่นอยู่หลาย field
10727 บอกได้แค่นี้
ขอบคุณมากครับ โล่งอกไปไม่โดน แต่ในอนาคตไม่แน่ -*-
เมื่อคืนเข้าไปดู เหมือนมีเรคคอร์ดที่ระบุชื่อ รพ เพชรบูรณ์อยู่นะครับ
Smart card ที่เพอร์เฟค
แต่ cyber sec ห่วย เอิ่มมมน่าร้ากก
มาทั้งระบบเลย ระบบผู้ใช้งานทั่วไปที่ใช้ระบบนี้อยู่ก็น่าจะพอเดาออกมาจากต้นสังกัดไหน
แอบสังเกตุเห็นมีตารางรายนิ้วมือด้วย น่ากลัวนะเนี่ย ข้อมูลแบบเจาะจงตัวบุคคลมากๆ
ก่อนหน้าไม่นานมานี่ รพ.แถวภาคกลางก็เคยเจอ กระทรวงอาจต้องแข็มงวดเรื่องนี้เพิ่มแล้วล่ะ
ถ้าให้เดาก็คงชื่อโปรแกรม+ชื่อระบบปฏิบัติการ จากตัวย่อ 3 อักขระ?
อยากถาม นวก.คอมฯในสายสธ.ทั้งหลายครับว่า "คำว่า Hardening คืออะไรครับ?"
ไม่ต้องถึง hardening หรอก แค่ two-tier architecture น่ะรู้จักป่าว?
ตอนนี้ดูจะ flaccid ครับ
นวก. คอม ฝากผมมาบอกว่า ไม่ว่างครับ กำลังซ่อมเครื่องถ่ายเอกสารกับเปลี่ยนหลอดไฟอยู่
ตกเย็นก็ต้องไปพิมพ์รายงานให้ลูกสาว ผอ.รพ ครับ
แล้วก็ยังมี notebook ของทั้งคุณหมอและพยาบาลอาวุโสส่งมาให้ลง Windows ใหม่ กับแก้ติดไวรัสเรียกค่าไถ่อีก 2-3 เครื่อง
อ่านแล้วจะร้องไห้กับความจริง
คร่ำครึมาก
ข้อมูลลักษณะนี้ใช้ Graph database จะเหมาะกว่า
ผมลองเอาชื่อตารางหาใน google ดู น่าจะเป็น ฐานข้อมูลของ รพ. ใดซักแห่ง
- eclaim สำหรับส่งเบิก
- db_bill อันนี้ชัดน่าจะเป็นระดับ รพ. หรือ คลีนิค หรือ หน่วยบริการ ที่ออก bill ได้
- db_finger ถ้ามันคือลายนิ้วมือ และ ถ้าเก็บเป็นภาพนี่งานเข้าแน่นอน
- db_salary น่าจะข้อมูลเงินเดือน อันนี้หลุดไป ใครได้เยอะ ใครได้น้อย อาจได้เห็นคนตีกันใน รพ.
- joomla3-8 คนทำเว็บรู้กัน คงไม่ใช่ประเภท database เดียวใส่ทุกอย่างนะ 555+ คิดในแง่บวก อาจเป็นส่วนหนึ่งของระบบ
งบหมด ไม่ได้ต่อ ma บริษัทที่รับเขียน หรือไม่ก็บริษัทที่เขียนระบบมาเจ๊งไปแล้ว ดูแล้วมีอายุน่าดู
ระดับ Dump ออกมาได้ทั้ง Database ถ้าไม่โดนดูดจากข้างนอก ก็อาจจะโดนเจาะเอาไฟล์ Daily Backup ไป (แต่เดาว่าอย่างหลัง)
มาเป็นไฟล์ SQL เลย หลุดที โดนเอาไป Restore ได้ข้อมูลหมดชุดเลยทีเดียว
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
เดานะ ไม่น่าใช่แอปสามพยางค์ แต่คิดว่าน่าจะเป็นตัวอักษร 5 ตัว เพราะเคยเข้าไปอัปเกรดคอมให้...ที่นึง
แบบ... อืม... นะ Java Swing + mysql โล้นๆเลย
แต่ถ้าเป็นแอปสามพยางค์ซะเอง ผมว่าต้องลากนวก.คอมกับผอ.รพ.ไปเข้าห้องมืดสามเดือนเพื่อเทรน security ใหม่นะ ไอ้แนวคิดใช้ได้ไม่ต้องซ่อมเนี่ย... ไม่ไหวจะเคลียร์
ไม่รู้ว่าระบบหลังบ้านเป็นยังไง แต่ถ้าจำไม่ผิดเหมือนจะมีข้อมูลว่ารพ.รัฐส่วนใหญ่ใช้โปรแกรม 5 พยางค์ในการจัดการนะ ถ้าใช่จากโปรแกรมนนี้นี่ซวยแหน่ ทั้งทีมต้องโดนเข้าห้องมืดแล้ววว
ไม่ต้องเดาเลยครับ MySQL แน่ๆ หรือไม่ก็ MariaDB ที่ต่อยอดจาก MySQL อีกที
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
รอพี่ศรีร้องเรียนอยู่นะครับ ไม่ใช่ร้อง DE นะ อยากให้ร้องแฮกเกอร์อ่ะครับ
กระทรวง.... ทำอะไรอยู่นะ
ปกป้องสถาบันอยู่นะ ถ้าตามที่เขาว่า
ก็ไม่แปลกใจที่ทำไม #PDPA เลื่อนแล้วเลื่อนอีก
@ Virusfowl
I'm not a dev. not yet a user.
แล้วคือเมื่อเช้าสดๆ ร้อนๆ เว็บพนันโทรด้วยระบบอัตโนมัติมาตอนตี 5...จะโทรหาลูกค้าทั้งทีก็หัดมีจิตวิทยาแห่งการขายมั่งสิวะ
ดูแลตัวเองละกันนะครับ เพราะอันนี้อยู่นอกเหนือภารกิจของ DES เค้าครับ
DES เค้าต้องทำภารกิจใหญ่ ปกป้อง ชาติ ศาสน์ กษัตริย์ จากภัยคุกคาม(ประชาชนตัวเอง?) อยู่ครับ
ข้อมูลที่หลุดไปมาจาก HIS หรือ ระบบอื่นๆ ที่พ่วงกับ HIS ครับ?
แบบนี้เราเรียกว่า Victim blaming ได้มั้ยครับ
กรณีนี้เป็นหน้าที่ของเจ้าของระบบในการปกป้องข้อมูลส่วนบุคคลนะครับ ถึงตามกฎหมายจะต้องรอ PDPA ออกมาก่อน แต่ด้วยกฎหมายอื่นของสธ.ก็ครอบคลุมอย่างกว้างไว้อยู่แล้ว
เหมือนคุณมีหน้าที่ดูแลป้องกัน แต่ไม่ได้ทำหน้าที่ดีพอตามสมควร เช่นเป็นรปภ.ต้องล็อคกุญแจประตูหลังเลิกใช้งาน แต่ประมาทเลินเล่อไม่ล็อคจนเกิดความเสียหาย ผู้ดูแล/รปภ.นั้นย่อมมีความผิดด้วย
ส่วนคนร้ายก็ผิดอยู่แล้ว
มีหรือไม่มีกฎหมาย PDPA ก็ไม่แน่ใจว่าเกี่ยวกับการยอมให้ถูกแฮ็คหรือเปล่านะครับ
เรื่องการกันพวกแฮ็คเกอร์ ผมว่าทำได้เต็มที่ก็กันให้แฮ็คได้ยากขึ้น คงไม่สามารถกันได้ 100% ช่องโหว่มันมีอยู่เรื่อยๆ
ข่าวมีให้เห็นเรื่อยๆ ตั้งแต่องค์กรเล็กๆ ไปถึงองค์กรใหญ่ๆ ทั้งไทยและต่างประเทศ
ผมไม่รู้ว่าวิธีการที่เขาให้แฮ็ก มันยากง่ายแค่ไหน องค์กรมีการปกป้องแล้วหรือยัง ถ้ามี มีมากน้อยแค่ไหน
แต่หลายๆ เม้นท์ในนี้ ก็แซะกันสนุกสนาน เอามันส์ไว้ก่อน คงเพราะเห็นว่าเป็นองค์กรรัฐ
แล้วก็ไม่ค่อยเห็นใครพูดถึงคนร้ายเลย ฮาา
จริงๆคือมันต้องมีกฎหมายกำกับดูแล มันถึงจะกำหนด"ขั้นต่ำ"ได้ แบบพวกธุรกิจการเงิน แม้ไม่มีPDPA แต่มีมาตรฐานกลางระดับนานาชาติกำหนด เช่นธุรกิจบัตรเครดิตต้องผ่านมาตรฐาน PCI-DSS ที่จะกำหนดขั้นต่ำของมาตรฐานความปลอดภัย โดยอ้างอิงpaperของหน่วยงานระดับชาติเช่น NIST ที่คุณต้องทำตาม(เช่นการเข้ารหัสที่เปลี่ยนเป็นแบบเข้มแข็งขึ้นเรื่อยๆ การใช้ช่องสื่อสารแบบเข้ารหัส การเก็บกุญแจ ฯลฯ) และปรับเปลี่ยนทุกปี คือถ้าคุณทำแล้วยังโดน ก็ถือว่าเกินจะป้องกันได้ แต่ถ้าไม่ทำแล้วโดน อันนี้แหละมีความผิดถือว่าประมาทเลินเล่อ มีผลต่อการเพิกถอนใบอนุญาต รวมถึงคดีอาญาฯและแพ่งฯ
มันกันไม่ได้ 100% แต่ไม่ใช่ไม่กันเลย
เหมือนคุณอ้างว่าโจรมีกุญแจผี มีเลื่อย ตัดกุญแจได้ เลยไม่ใส่กุญแจซะเลย?
ผมไม่รู้หรอกว่าการขโมยข้อมูลครั้งนี้ทำด้วยวิธีไหน หรือป้องกันดีอยู่แล้วหรือเปล่า แต่ได้มาแทบจะทั้งDBแบบนี้แสดงว่า เปิดโล่งเลย และเชื่อเถอะว่าหน่วยงานรัฐที่หลุดๆกันส่วนใหญ่ไม่ใช่ช่องโหว่zero day โดยhackerระดับโลกอะไรหรอก แต่เป็นง่ายๆแบบ ใช้password default,เปิดport ที่ควรปิด ใช้software versionเก่าที่มีช่องโหว่ หรือแม้แต่ทำเวบที่ไม่กัน sql injectionง่ายๆ คือเรื่องพวกนี้ ถ้าคนทำเรียนจบป.ตรีทางคอมพิวเตอร์มา มันเป็นพื้นฐานสุดๆของการป้องกันเบื้องต้นเลยด้วยซ้ำ(เด็กฝึกงานยังรู้เลยเรื่องการป้องกันsql injection) อย่าอ้างว่าทำฟรีเลยนะครับ คุณมีอัตราจ้างนวก.คอมฯ มีการจัดซื้อจัดจ้างบ.เอกชนติดตั้งระบบ มันก็ต้องมีการตรวจรับแบบมีมาตรฐาน ไม่ใช่สมัยโบราณที่ทำกันเองตามมีตามเกิดแล้วอ้างว่าไม่มีงบ
จะบอกว่าผมกล่าวหาก็ได้นะ แต่พูดจากเคสที่ผ่านๆมา มันก็จบแบบเงียบๆ จำไม่ได้หรือเพิ่งมีข่าวรพ.รัฐที่นึงโดนransomware จนต้องยกเลิกนัดคนไข้ทั้งหมดไปอยู่เลย ไม่เคยเปิดเผยผลการสอบสวนใดๆ คนนอกก็ได้แต่คาดเดา
อย่างที่บอกไปมันคือหน้าที่โดยตรงของกระทรวงสธ.และDES ที่จะกำหนดมาตรฐานความปลอดภัยและกำกับดูแล โดยออกคำสั่ง ออกกฎ ข้อบังคับหรือบทลงโทษ รวมไปถึงสนับสนุนการจัดหา ติดตั้งระบบความปลอดภัยขั้นพื้นฐาน
ปัญหาคือรัฐไทยไม่เข้าใจ คิดง่ายๆว่าออกคำสั่งไปก็จับได้ หรือลงเงินไปครั้งเดียวจบ(แบบพวกจัดซื้อfirewall) ไม่ต้องปรับเปลี่ยนอะไร ที่เขาด่าก็ด่าหน่วยงานที่มีหน้าที่รับผิดชอบ แต่ไม่ทำนี่แหละ อย่างล่าสุดรมต.บางท่านพูดบอกว่าไม่มีข้อมูลสำคัญ ทั้งๆที่มีข้อมูลsensitiveหลายตัว โดยถ้าอ้างอิงตามกฎหมายPDPAที่กำลังจะออก มีโทษจำคุกเลยด้วยซ้ำ
โจรนี่เขาก็ด่ากัน แต่นี่เวบไอที ก็ต้องด่าทีมงานไอทีและผู้บริหารที่เลินเล่อ ไม่ทำหน้าที่ขั้นต่ำที่ควรทำ
อยากให้พูดถึงคนร้ายว่ายังไงเหรอครับ ถ้ามีประเด็นไหนอยากพูดถึงก็เปิดมาเลยครับ
ทุกคนในนี้รู้ครับว่าคนร้ายผิดแน่นอน แต่มันไม่มีประเด็นอะไร ก็เลยไม่มีใครพูดถึง แค่นั้นเองครับ
และคนผิดก็ไม่จำเป็นต้องมีคนเดียวครับ ในเคสนี้กลุ่มคนที่มีหน้าที่ต้องคุ้มกันทั้งในระดับปฏิบัติการณ์และในระดับนโยบายต่างก็ผิดเช่นเดียวกัน ที่ไม่สามารถปฏิบัติหน้าที่ได้ดีพอ และต่อให้เป็นองค์กรเอกชนแต่ถ้าทำข้อมูลหลุดคนในนี้ก็พร้อมด่าเช่นเดียวกันครับ
เป็น victim blaming หรือไม่? เขามีหน้าที่ต้องปกป้องข้อมูลของเราครับ เพราะงั้นการที่เขาปฏิบัติหน้าที่ผิดพลาดย่อมสามารถถูกตำหนิได้ครับ
รอคุณ low_budget_photo เข้ามาเม้นอยู่ครับ
16 ล้าน records นี่เท่ากับจำนวนประชากรทั้งภาคเลยนะ ไม่น่าเฉพาะแค่จังหวัด