[อัพเดต: ประกาศจาก รพ.เพชรบูรณ์] คนร้ายวางขายข้อมูลส่วนตัวผู้ป่วยและโรงพยาบาล กว่า 16 ล้านรายการ ระบุมาจากกระทรวงสาธารณสุขไทย

By mheevariety Contributor Writer on Tag: Security, Thailand
Security

ผู้ที่ใช้ชื่อว่า Inanimate บนเว็บบอร์ด Raidforums ลงขายข้อมูลในรูปแบบไฟล์ SQL ที่อ้างว่านำมาจากระบบของกระทรวงสาธารณสุขประเทศไทย ขนาด 3.75GB กว่า 16 ล้านรายการ ระบุวันที่ล่าสุดของฐานข้อมูล วันอาทิตย์ที่ 5 กันยายน 2021 ที่ผ่านมา

ข้อมูลประกอบด้วย ชื่อผู้ป่วย ที่อยู่ เบอร์โทร หมายเลขประจำตัวประชาชน วันเกิด ชื่อโรงพยาบาล แพทย์ประจำตัว รหัสเข้าใช้ระบบโรงพยาบาล และอื่นๆ โดยลงขายในราคาเพียง 500 ดอลลาร์ หรือราว 16,300 บาทเท่านั้น (แต่ระบุเป็นราคาพิเศษช่วงสองวันแรก)

ที่มา - Raidforums

อัพเดตเพิ่มเติม:

วันที่ 7 กันยายน โรงพยาบาลเพชรบูรณ์ออกประกาศฉบับที่ 1 เรื่องเหตุภัยคุกคามทางไซเบอร์ ยืนยันเหตุการณ์ ระบุว่าโรงพยาบาลเพชรบูรณ์ได้รับรายงานการประกาศขายข้อมูลของโรงพยาบาลเพชรบูรณ์ในอินเทอร์เน็ต เมื่อวันที่ 5 กันยายน 2554 เวลา 13.30 น. ขนาด 3.75 GB จํานวน 16 ล้าน records จากฐานข้อมูล จํานวน 146 ฐานข้อมูล ในราคา 500 เหรียญสหรัฐอเมริกา

ข้อมูลที่มีการเผยแพร่ในอินเทอร์เน็ตแสดงข้อมูลทั่วไปของประชาชนที่มารับบริการ และเจ้าหน้าที่บางส่วน โรงพยาบาลได้ดําเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก ตรวจสอบความเสียหายระบบภายในโรงพยาบาล มีการตรวจสอบความปลอดภัยด้านไซเบอร์ ตรวจสอบระบบที่ข้อมูลรั่ว ไม่ให้มีแฮกเกอร์อยู่ในระบบ ผลการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย ระบุข้อมูลที่หลุดมีดังนี้

  • ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา)
  • ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา ประมาณ 7,000 ราย
  • ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล
  • ข้อมูลรายชื่อผู้ป่วยในการคํานวณค่าใช้จ่ายในการผ่าตัด 692 ราย
  • ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย หมายเหตุ

ซึ่งข้อมูลส่วนใหญ่เป็นรูปภาพ งานเอกสาร และตาราง ทําให้ไฟล์ข้อมูลมีขนาดใหญ่

ที่มาอัพเดต - Thairath Online

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Perl Mon, 06/09/2021 - 19:35

ก็ไม่สงสัยหรอกว่าทำไมได้รับ SMS เว็บพนัน เงินกู้ อยู่บ่อยๆ
หลังจากที่ลงทะเบียนแอพต่างๆ ของภาครัฐ

ก็เป็นซะอย่างเงี้ย ทำไม่ไหวก็กลับไปใช้แบบกระดาษ กรอกข้อมูลใส่แบบ Manual ก็ได้นะ

peakna Mon, 06/09/2021 - 22:36

ล่าสุดเลยกับแอพระบบลงทะเบียนภาครัฐ ลงปุ๊ป3วันSMS เงินกู้เด้งมาก่อนเลยทั้งที่ไม่เคยมีเพราะเบอร์เปลี่ยนใหม่และไม่เคยเอาไปลงข้อมูลอะไรที่ไหนส่วนบัตรเครดิตโดนเอาไปตัดโฆษณา FB ดีนะส่งเรื่องระงับได้ ถุงกล้วยแขกบัตรประชาชนก็โดนมาละเห้อเหนื่อยกับการที่ต้องมาป้องกันข้อมูลตนเอง

Fourpoint Mon, 06/09/2021 - 23:29

จริงครับ เบอร์หลักผมก็ได้sms พนันออนไลน์ ให้กู้เงิน ฯลฯ หลังจากลงทะเบียนต่างๆของภาครัฐในช่วงโควิทนี่แหละ

ตอนแรกๆมีคนบอกว่า สุ่มเบอร์ส่ง ไม่เกี่ยวกับข้อมูลหลุดหรือขายหรอก แต่ที่ผมเจอคือเบอร์สำรองที่หมวดใกล้ๆกัน แต่ไม่ได้ไปลงทะเบียนอะไรที่ไหน ไม่มีsmsพวกนี้โผล่มาเลย จะบอกว่าพวกบัตรเครดิตก็ไม่น่าใช่เพราะไม่ได้สมัครอะไรใหม่มานานแล้ว(อีกอย่างผลิตภัณฑ์มันก็คนละแบบ ปกติมีแต่ขายประกันกับเสนอวงเงินกู้)

ไม่อยากจะกล่าวหา แต่หลายๆอย่างมันก็ชวนให้คิด

srps Mon, 06/09/2021 - 20:54

อ่านมาแล้วจากหน้าเว็บ เป็น รพ.แห่งหนึ่งทางอีสานติดชายแดน ตัวอย่างตารางที่เอามาให้ดูเป็นตารางข้อมูลผู้ป่วยที่นอนโรงพยาบาล มีทั้ง เลขโรงพยาบาล เลยผู้ป่วยใน ชื่อ นามสกุล เพศ วันเดือนปีเกิด แพทย์เจ้าของไข้ สิทธิ์การรักษา ยอดค่าใช้จ่าย หอผู้ป่วยที่นอนอยู่

Ximenez Tue, 07/09/2021 - 00:01

ใบ้ชื่อรพ.ได้ไหมครับ ผมกดเข้าไปดูเมื่อกี้ดูไม่ได้แล้วครับ พอดีเคยทำงานรพ.แถวอีสาน เริ่มกังวลละ T-T

srps Tue, 07/09/2021 - 00:45

โทดที จำผิด ไม่ได้อยู่ติดชายแดน แต่ก็เกือบ ๆ แล้วล่ะ
เป็น รพท. แน่ ๆ เพราะที่อ่านมีขึ้นคำว่าสิทธิ์ประกันสังคมของที่นั่นอยู่หลาย field
10727 บอกได้แค่นี้

mindphp Mon, 06/09/2021 - 20:44

มาทั้งระบบเลย ระบบผู้ใช้งานทั่วไปที่ใช้ระบบนี้อยู่ก็น่าจะพอเดาออกมาจากต้นสังกัดไหน
แอบสังเกตุเห็นมีตารางรายนิ้วมือด้วย น่ากลัวนะเนี่ย ข้อมูลแบบเจาะจงตัวบุคคลมากๆ

ก่อนหน้าไม่นานมานี่ รพ.แถวภาคกลางก็เคยเจอ กระทรวงอาจต้องแข็มงวดเรื่องนี้เพิ่มแล้วล่ะ

GyG Tue, 07/09/2021 - 02:14

นวก. คอม ฝากผมมาบอกว่า ไม่ว่างครับ กำลังซ่อมเครื่องถ่ายเอกสารกับเปลี่ยนหลอดไฟอยู่
ตกเย็นก็ต้องไปพิมพ์รายงานให้ลูกสาว ผอ.รพ ครับ
แล้วก็ยังมี notebook ของทั้งคุณหมอและพยาบาลอาวุโสส่งมาให้ลง Windows ใหม่ กับแก้ติดไวรัสเรียกค่าไถ่อีก 2-3 เครื่อง

max212 Mon, 06/09/2021 - 21:20

ผมลองเอาชื่อตารางหาใน google ดู น่าจะเป็น ฐานข้อมูลของ รพ. ใดซักแห่ง

  • eclaim สำหรับส่งเบิก
  • db_bill อันนี้ชัดน่าจะเป็นระดับ รพ. หรือ คลีนิค หรือ หน่วยบริการ ที่ออก bill ได้
  • db_finger ถ้ามันคือลายนิ้วมือ และ ถ้าเก็บเป็นภาพนี่งานเข้าแน่นอน
  • db_salary น่าจะข้อมูลเงินเดือน อันนี้หลุดไป ใครได้เยอะ ใครได้น้อย อาจได้เห็นคนตีกันใน รพ.
  • joomla3-8 คนทำเว็บรู้กัน คงไม่ใช่ประเภท database เดียวใส่ทุกอย่างนะ 555+ คิดในแง่บวก อาจเป็นส่วนหนึ่งของระบบ

modernelf Mon, 06/09/2021 - 21:23

งบหมด ไม่ได้ต่อ ma บริษัทที่รับเขียน หรือไม่ก็บริษัทที่เขียนระบบมาเจ๊งไปแล้ว ดูแล้วมีอายุน่าดู

Mikamura Mon, 06/09/2021 - 21:59

ระดับ Dump ออกมาได้ทั้ง Database ถ้าไม่โดนดูดจากข้างนอก ก็อาจจะโดนเจาะเอาไฟล์ Daily Backup ไป (แต่เดาว่าอย่างหลัง)

Architec Mon, 06/09/2021 - 22:26

เดานะ ไม่น่าใช่แอปสามพยางค์ แต่คิดว่าน่าจะเป็นตัวอักษร 5 ตัว เพราะเคยเข้าไปอัปเกรดคอมให้...ที่นึง
แบบ... อืม... นะ Java Swing + mysql โล้นๆเลย

แต่ถ้าเป็นแอปสามพยางค์ซะเอง ผมว่าต้องลากนวก.คอมกับผอ.รพ.ไปเข้าห้องมืดสามเดือนเพื่อเทรน security ใหม่นะ ไอ้แนวคิดใช้ได้ไม่ต้องซ่อมเนี่ย... ไม่ไหวจะเคลียร์

Sephanov Mon, 06/09/2021 - 22:40

ไม่รู้ว่าระบบหลังบ้านเป็นยังไง แต่ถ้าจำไม่ผิดเหมือนจะมีข้อมูลว่ารพ.รัฐส่วนใหญ่ใช้โปรแกรม 5 พยางค์ในการจัดการนะ ถ้าใช่จากโปรแกรมนนี้นี่ซวยแหน่ ทั้งทีมต้องโดนเข้าห้องมืดแล้ววว

KuLiKo Tue, 07/09/2021 - 07:20

แล้วคือเมื่อเช้าสดๆ ร้อนๆ เว็บพนันโทรด้วยระบบอัตโนมัติมาตอนตี 5...จะโทรหาลูกค้าทั้งทีก็หัดมีจิตวิทยาแห่งการขายมั่งสิวะ

TheOrbital Tue, 07/09/2021 - 07:59

ดูแลตัวเองละกันนะครับ เพราะอันนี้อยู่นอกเหนือภารกิจของ DES เค้าครับ
DES เค้าต้องทำภารกิจใหญ่ ปกป้อง ชาติ ศาสน์ กษัตริย์ จากภัยคุกคาม(ประชาชนตัวเอง?) อยู่ครับ

Fourpoint Tue, 07/09/2021 - 14:36

กรณีนี้เป็นหน้าที่ของเจ้าของระบบในการปกป้องข้อมูลส่วนบุคคลนะครับ ถึงตามกฎหมายจะต้องรอ PDPA ออกมาก่อน แต่ด้วยกฎหมายอื่นของสธ.ก็ครอบคลุมอย่างกว้างไว้อยู่แล้ว

เหมือนคุณมีหน้าที่ดูแลป้องกัน แต่ไม่ได้ทำหน้าที่ดีพอตามสมควร เช่นเป็นรปภ.ต้องล็อคกุญแจประตูหลังเลิกใช้งาน แต่ประมาทเลินเล่อไม่ล็อคจนเกิดความเสียหาย ผู้ดูแล/รปภ.นั้นย่อมมีความผิดด้วย

ส่วนคนร้ายก็ผิดอยู่แล้ว

zaithstery Tue, 07/09/2021 - 16:42

มีหรือไม่มีกฎหมาย PDPA ก็ไม่แน่ใจว่าเกี่ยวกับการยอมให้ถูกแฮ็คหรือเปล่านะครับ

เรื่องการกันพวกแฮ็คเกอร์ ผมว่าทำได้เต็มที่ก็กันให้แฮ็คได้ยากขึ้น คงไม่สามารถกันได้ 100% ช่องโหว่มันมีอยู่เรื่อยๆ
ข่าวมีให้เห็นเรื่อยๆ ตั้งแต่องค์กรเล็กๆ ไปถึงองค์กรใหญ่ๆ ทั้งไทยและต่างประเทศ

ผมไม่รู้ว่าวิธีการที่เขาให้แฮ็ก มันยากง่ายแค่ไหน องค์กรมีการปกป้องแล้วหรือยัง ถ้ามี มีมากน้อยแค่ไหน
แต่หลายๆ เม้นท์ในนี้ ก็แซะกันสนุกสนาน เอามันส์ไว้ก่อน คงเพราะเห็นว่าเป็นองค์กรรัฐ
แล้วก็ไม่ค่อยเห็นใครพูดถึงคนร้ายเลย ฮาา

Fourpoint Tue, 07/09/2021 - 17:23

จริงๆคือมันต้องมีกฎหมายกำกับดูแล มันถึงจะกำหนด"ขั้นต่ำ"ได้ แบบพวกธุรกิจการเงิน แม้ไม่มีPDPA แต่มีมาตรฐานกลางระดับนานาชาติกำหนด เช่นธุรกิจบัตรเครดิตต้องผ่านมาตรฐาน PCI-DSS ที่จะกำหนดขั้นต่ำของมาตรฐานความปลอดภัย โดยอ้างอิงpaperของหน่วยงานระดับชาติเช่น NIST ที่คุณต้องทำตาม(เช่นการเข้ารหัสที่เปลี่ยนเป็นแบบเข้มแข็งขึ้นเรื่อยๆ การใช้ช่องสื่อสารแบบเข้ารหัส การเก็บกุญแจ ฯลฯ) และปรับเปลี่ยนทุกปี คือถ้าคุณทำแล้วยังโดน ก็ถือว่าเกินจะป้องกันได้ แต่ถ้าไม่ทำแล้วโดน อันนี้แหละมีความผิดถือว่าประมาทเลินเล่อ มีผลต่อการเพิกถอนใบอนุญาต รวมถึงคดีอาญาฯและแพ่งฯ

มันกันไม่ได้ 100% แต่ไม่ใช่ไม่กันเลย

เหมือนคุณอ้างว่าโจรมีกุญแจผี มีเลื่อย ตัดกุญแจได้ เลยไม่ใส่กุญแจซะเลย?

ผมไม่รู้หรอกว่าการขโมยข้อมูลครั้งนี้ทำด้วยวิธีไหน หรือป้องกันดีอยู่แล้วหรือเปล่า แต่ได้มาแทบจะทั้งDBแบบนี้แสดงว่า เปิดโล่งเลย และเชื่อเถอะว่าหน่วยงานรัฐที่หลุดๆกันส่วนใหญ่ไม่ใช่ช่องโหว่zero day โดยhackerระดับโลกอะไรหรอก แต่เป็นง่ายๆแบบ ใช้password default,เปิดport ที่ควรปิด ใช้software versionเก่าที่มีช่องโหว่ หรือแม้แต่ทำเวบที่ไม่กัน sql injectionง่ายๆ คือเรื่องพวกนี้ ถ้าคนทำเรียนจบป.ตรีทางคอมพิวเตอร์มา มันเป็นพื้นฐานสุดๆของการป้องกันเบื้องต้นเลยด้วยซ้ำ(เด็กฝึกงานยังรู้เลยเรื่องการป้องกันsql injection) อย่าอ้างว่าทำฟรีเลยนะครับ คุณมีอัตราจ้างนวก.คอมฯ มีการจัดซื้อจัดจ้างบ.เอกชนติดตั้งระบบ มันก็ต้องมีการตรวจรับแบบมีมาตรฐาน ไม่ใช่สมัยโบราณที่ทำกันเองตามมีตามเกิดแล้วอ้างว่าไม่มีงบ

จะบอกว่าผมกล่าวหาก็ได้นะ แต่พูดจากเคสที่ผ่านๆมา มันก็จบแบบเงียบๆ จำไม่ได้หรือเพิ่งมีข่าวรพ.รัฐที่นึงโดนransomware จนต้องยกเลิกนัดคนไข้ทั้งหมดไปอยู่เลย ไม่เคยเปิดเผยผลการสอบสวนใดๆ คนนอกก็ได้แต่คาดเดา

อย่างที่บอกไปมันคือหน้าที่โดยตรงของกระทรวงสธ.และDES ที่จะกำหนดมาตรฐานความปลอดภัยและกำกับดูแล โดยออกคำสั่ง ออกกฎ ข้อบังคับหรือบทลงโทษ รวมไปถึงสนับสนุนการจัดหา ติดตั้งระบบความปลอดภัยขั้นพื้นฐาน

ปัญหาคือรัฐไทยไม่เข้าใจ คิดง่ายๆว่าออกคำสั่งไปก็จับได้ หรือลงเงินไปครั้งเดียวจบ(แบบพวกจัดซื้อfirewall) ไม่ต้องปรับเปลี่ยนอะไร ที่เขาด่าก็ด่าหน่วยงานที่มีหน้าที่รับผิดชอบ แต่ไม่ทำนี่แหละ อย่างล่าสุดรมต.บางท่านพูดบอกว่าไม่มีข้อมูลสำคัญ ทั้งๆที่มีข้อมูลsensitiveหลายตัว โดยถ้าอ้างอิงตามกฎหมายPDPAที่กำลังจะออก มีโทษจำคุกเลยด้วยซ้ำ

โจรนี่เขาก็ด่ากัน แต่นี่เวบไอที ก็ต้องด่าทีมงานไอทีและผู้บริหารที่เลินเล่อ ไม่ทำหน้าที่ขั้นต่ำที่ควรทำ

iqsk131 Tue, 07/09/2021 - 22:38

อยากให้พูดถึงคนร้ายว่ายังไงเหรอครับ ถ้ามีประเด็นไหนอยากพูดถึงก็เปิดมาเลยครับ

ทุกคนในนี้รู้ครับว่าคนร้ายผิดแน่นอน แต่มันไม่มีประเด็นอะไร ก็เลยไม่มีใครพูดถึง แค่นั้นเองครับ

และคนผิดก็ไม่จำเป็นต้องมีคนเดียวครับ ในเคสนี้กลุ่มคนที่มีหน้าที่ต้องคุ้มกันทั้งในระดับปฏิบัติการณ์และในระดับนโยบายต่างก็ผิดเช่นเดียวกัน ที่ไม่สามารถปฏิบัติหน้าที่ได้ดีพอ และต่อให้เป็นองค์กรเอกชนแต่ถ้าทำข้อมูลหลุดคนในนี้ก็พร้อมด่าเช่นเดียวกันครับ

เป็น victim blaming หรือไม่? เขามีหน้าที่ต้องปกป้องข้อมูลของเราครับ เพราะงั้นการที่เขาปฏิบัติหน้าที่ผิดพลาดย่อมสามารถถูกตำหนิได้ครับ

cutter27 Tue, 07/09/2021 - 19:47

16 ล้าน records นี่เท่ากับจำนวนประชากรทั้งภาคเลยนะ ไม่น่าเฉพาะแค่จังหวัด