Tags:
Node Thumbnail

ยังไม่ทันจะได้นำทางสู่ประชาธิปไตยอันไกลโพ้น ก็ต้องมีอุปสรรคเสียแล้ว เมื่อมีผู้พบว่า แอพ "ดาวเหนือ" ของสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) มีปัญหาเรื่องการเปิดเผยข้อมูลมากกว่าที่ควรจะเป็น รวมถึงการส่งข้อมูลในแบบที่ไม่ได้เข้ารหัสแต่อย่างใด

ผู้ใช้ทวิตเตอร์ @ipats ระบุว่าตัวแอพมีการเรียกใช้งานข้อมูลผ่าน SOAP โดยอยู่บนโปรโตคอล http ซึ่งไม่มีการเข้ารหัส แต่ที่ดูจะเป็นประเด็นสำคัญกว่าคือเมื่อใส่รหัสบัตรประชาชนเข้าไปแล้ว ข้อมูลที่ส่งกลับมาประกอบด้วย "ที่อยู่ตามทะเบียนบ้านของผู้มีสิทธิเลือกตั้ง" มากเกินกว่าข้อมูลของคูหาหรือสถานที่ใช้สิทธิเลือกตั้งแต่ตามที่แอพระบุว่าทำได้

แม้ตัวแอพไม่ได้แสดงข้อมูลเหล่านี้ให้ผู้ใช้ทราบ แต่หากมีผู้ไม่ประสงค์ดี และทราบเพียงรหัสบัตรประชาชน ก็จะสามารถเข้าถึงข้อมูลสำคัญอย่างที่อยู่ตามทะเบียนบ้านได้ไม่ยาก

ที่มา - @ipats (1, 2, 3)

No Description

Get latest news from Blognone

Comments

By: twometre
WriterAndroidWindows
on 22 January 2016 - 11:14 #877511
twometre's picture

"ถ้าไม่ได้ทำอะไรผิด จะกลัวอะไร" ทำไมจู่ๆ นึกถึงวาทกรรมนี้ TT

By: HMage
AndroidWindows
on 22 January 2016 - 11:38 #877531 Reply to:877511

ขัดผลประโยชน์ผู้อื่น ก็น่าจะนับเป็นการทำผิดด้วยนะครับ เพราะทำให้ผู้อื่นเสียใจ แม้ว่าผู้ที่เสียใจจะเป็นคนไม่ดีก็เถอะ

ก็คือ คนดีก็ทำดีแบบผิดๆ ได้

By: watana-design
ContributoriPhone
on 22 January 2016 - 16:59 #877650 Reply to:877511
watana-design's picture

อันนี้น่ะน่ากลัว เพราะผู้ใช้ทั่วไป (ที่พอจะเป็นโปรแกรมหรือดูซอร์สโค้ดเป็น) สามารถที่จะเอาข้อมูลของบุคคลนั้นๆ ไปทั้งหมดได้เลย มันค่อนข้างจะเข้าถึงข้อมูลส่วนตัวมากเกินไป (มาจากฐานข้อมูลทะเบียนราษฎร์) แตกต่างกับโซเชียลเน็ตเวิร์ค ที่เราจะนำเสนอข้อมูลที่มีให้แค่ที่อยากให้เห็นเท่านั้น


I'm Thai Graphic & Website Designer | watana-design

By: animateex
iPhoneAndroidUbuntuWindows
on 22 January 2016 - 11:15 #877512
animateex's picture

สอบถามหน่อยครับ ข้อมูลเลขประชาชนถือเป็นข้อมูลปกปิดหรือหลุดไปจะเป็นอันตรายอะไรหรือเปล่าครับ?

By: phuphu
iPhoneWindows PhoneAndroidWindows
on 22 January 2016 - 11:31 #877519 Reply to:877512
phuphu's picture

ชื่อ-สกุล
ที่อยู่
เบอร์โทร
รายชื่อสกุลญาติ คู่สมรส บุตร
ข้อมูลบริการสิทธิต่าง ๆ ที่ใช้ร่วมกับภาครัฐและเอกชน รหัสประจำตัวผู้เสียภาษี ทะเบียน การขนส่ง ข้อมูลประวัติโรคประจำตัว การศึกษา ส่วนสูง น้ำหนัก กรุ๊ปเลือด ศาสนา คดีความ การสมัครบริการออนไลน์ หมายเลขประจำตัว Passport บัตรเครดิตและบัญชีธนาคาร อินเตอร์เนต เครือข่ายสื่อสารที่ใช้งาน ประวัติการซื้อของออนไลน์
...
ทั้่งหมดนี้คือเท่าที่ผมรู้ว่าโยงกับเลขบัตรปชช.น่ะครับ ว่าถ้าหลุดไปแล้วมีคนเอาไปต่อยอดได้

By: lunatic on 22 January 2016 - 11:25 #877521 Reply to:877512
lunatic's picture

ถ้าไม่จำเป็นก็ไม่เอาไปเผยแพร่ดีกว่า
ยกตัวอย่างง่ายๆเช่นสมมุติเรา post ลง facebook
แล้วเพื่อนเราอยากได้บัตรประชาชนไปสร้าง id เกมออนไลน์ใหม่พอดี (เดี๋ยวนี้ยังใช้อยู่รึเปล่าหว่า - -)
ทำให้เราใช้เลขบัตรไปสมัครเกมนั้นไม่ได้อีก

By: hisoft
ContributorWindows PhoneWindows
on 22 January 2016 - 11:34 #877526 Reply to:877512
hisoft's picture

ไม่ปกปิด แต่ไม่ควรให้คนรู้กันเยอะครับ

จะปกปิดยังไงครับ ในเมื่อเราต้องแจก (ในรูปของสำเนาบัตรประชาชน) อยู่แทบจะตลอดเวลา

By: WoodyWutthichai
iPhoneAndroidRed HatSUSE
on 22 January 2016 - 11:36 #877529 Reply to:877512

บางบริการเช่นคอลเซ็นเตอร์ของบัตรเครดิต ใช้เลขบัตรประชาชน+วันเดือนปีเกิด+ที่อยู่ ในการ Verify ตัวตนครับ

By: HMage
AndroidWindows
on 22 January 2016 - 11:41 #877534 Reply to:877512

ตัวหมายเลขเองไม่ใช่ข้อมูลปกปิดครับ เพราะเป็นรหัสระบุตัวตนใช้แทนชื่อเจ้าของเท่านั้น (สำเนาบัตรประชาชนก็เช่นกัน)

แต่ปัญหาคือมันกลับเอาไปหาข้อมูลปกปิดอื่นๆ ได้นี่สิแย่

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 22 January 2016 - 11:47 #877539 Reply to:877512
Ford AntiTrust's picture

หมายเลขบัตรประจำตัวประชาชนถือว่าเป็นข้อมูลอ่อนไหว เพราะใช้ในการอ้างอิงกับการทำธุรกรรมทางการเงินได้ ในการทำธุรกรรมทางการเงินมักใช้ข้อมูลสำคัญเช่น หมายเลขบัตรประจำตัวประชาชน, วัน-เดือน-ปี เกิด, ข้อมูลที่อยู่ที่จัดส่งเอกสาร, หมายเลขโทรศัพท์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ยืนยันตัวตนแทนตัวผู้ถือสิทธิ์จริงๆ ได้ ฉะนั้น จึงเป็นข้อมูลที่ไม่ควรเผยแพร่เป็นการทั่วไป

By: HMage
AndroidWindows
on 22 January 2016 - 13:38 #877571 Reply to:877539

เอาจริงๆ ข้อมูลพวกนั้นเป็นข้อมูลสาธารณะที่บางครั้งเราก็บอกเพื่อนไปง่ายๆ เลยนะครับ น่าเป็นห่วงจริงๆ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 22 January 2016 - 17:20 #877658 Reply to:877571
mr_tawan's picture

มันเป็น sensitive data ที่เราเปิดเผยอย่างไม่คิดอะไรมากกว่าครับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 22 January 2016 - 21:22 #877706 Reply to:877571
Ford AntiTrust's picture

เราเคยชินกับเรื่องพวกนี้ไงครับ เลยรู้สึกเฉยๆ ทั้งๆ ที่ในความเป็นจริงแล้วมันเป็นข้อมูลสำคัญมากๆ

By: animateex
iPhoneAndroidUbuntuWindows
on 22 January 2016 - 15:47 #877620 Reply to:877512
animateex's picture

ขอบคุณครับ เห็นภาพกว้างขึ้นเยอะ แต่จะให้ปกปิดก็คงยากจริงๆนั้นแหละ ขนาดไปอำเภอที่ไฮเทคเอาบัตรเราเสียบอ่านข้อมูลแล้ว แต่สุดท้ายก็เข้าแสกนภาพบัตรแล้วพิมพ์เป็นสำเนาเพื่อจัดเก็บลงแฟ้มอยู่ดี

พอจะเดินไปต่างประเทศก็ถูกเอนเจนซี่ให้ถ่ายรูปพาสสปอตส่งอยู่ดี

ทั้งรั่วทั่งข้อมูลที่ควรปกปิดมันเยอะจนเหนื่อยใจ... 555

By: MeetJoBlack
iPhoneWindows
on 22 January 2016 - 16:45 #877643 Reply to:877512
MeetJoBlack's picture

องค์กรที่เคยทำงานด้วย มีการสอนเรื่องนี้(Personal Information Protection)ให้กับพนักงานครับ ทุกวันนี้ข้อมูลส่วนใหญ่โดยเฉพาะในต่างประเทศมันจะเชื่อมโยงกันได้หมดครับ ที่เขากลัวกันคือข้อมูลพวกทางการเงินครับ

By: kiva
iPhone
on 22 January 2016 - 17:59 #877673 Reply to:877512

เลข13หลักมีติดตัวจนตายเลย เปลี่ยนไม่ได้ด้วย ชื่อและนามสกุลยังเปลี่ยนได้ หน้าตาคุณก็ยังเปลี่ยนได้แต่เลข13หลักเปลี่ยนไม่ได้ ที่น่ากลัวเพราะเป็นการยืนยันตัวตนคุณอีกที เวลาคุณทำธุรกรรมทางการเงินเขามักจะถามเลข13หลักเป็นการยืนยันตัวตน ถ้ามีคนรู้เอาไปทำธุรกรรมทางการเงินแทน น่ากลัวไหมครับ

By: zoftdev
Android
on 22 January 2016 - 11:25 #877520

ผู้ว่าจ้างควรให้ความสำคัญกับเรื่องความปลอดภัยมากกว่านี้

By: miyavi on 22 January 2016 - 11:28 #877522

พัฒนาโดยบ.Pheonec เพิ่งเปิดตัวก็งานเข้าเลย อยากรู้ว่าใช้งบเท่าไหร่ จำได้ว่ารัฐเปิดเว็บให้ตรวจสอบได้ทุกโครงการแล้ว

By: games2532
ContributoriPhoneWindows PhoneAndroid
on 22 January 2016 - 11:56 #877544 Reply to:877522

บ.นี้เตรียมเจ๊งแน่นอน

By: easyzonecordotnet
AndroidUbuntu
on 22 January 2016 - 12:08 #877550 Reply to:877522

นายสมชัย กล่าวว่า กกต.ใช้เวลาประมาณ 1 ปีในการพัฒนาแอพพลิเคชั่นดังกล่าว โดยให้คนของ กกต.และอาสาสมัครองค์กรปกครองส่วนท้องถิ่น ลงไปกำหนดพิกัดที่เป็นหน่วยเลือกตั้งทั้ง 95,000 หน่วย ว่าอยู่ที่ไหนอย่างไร แล้วนำมาจัดสร้างเป็นแอพพลิเคชั่นภายใต้งบประมาณกว่า 150,000 บาท

ตามนี้ครับ ที่มา http://www.thairath.co.th/content/566031

By: TheOrbital
iPhoneWindows PhoneAndroidSymbian
on 22 January 2016 - 12:25 #877554 Reply to:877550
TheOrbital's picture

อย่างนี้ไม่น่าจะเรียกว่า พัฒนาแอพนะท่านประธานกกต น่าจะเรียกว่าจัดเก็บข้อมูลเฉยๆ
เพราะคิดว่า 1 ปีที่เสียไปกับเงิน 150,000 บาทคือไปเก็บข้อมูลตำแหน่งมาใส่เท่านั้นแหละ

By: osmiumwo1f
ContributorWindows PhoneWindows
on 22 January 2016 - 13:38 #877572 Reply to:877522
osmiumwo1f's picture

ปัญหาคือ SOAP ใครเป็นคนพัฒนา เพราะถ้ากรมการปกครองเป็นคนพัฒนาเอง หรือ Pheonec ได้ SOAP แบบนี้มาตั้งแต่แรกโดยไม่ได้ไปยุ่งกับขั้นตอนการพัฒนามันเลย Pheonec ไม่ผิด เพราะมันเป็นแบบนี้ตั้งแต่แรก แต่ถ้า Pheonec เป็นคนพัฒนาเองก็รับเต็มๆ ครับ

By: akira on 22 January 2016 - 15:33 #877615 Reply to:877572

ผมว่าได้ Excel จากกรมการปกครองมาแล้วมาทำ SOAP เองมากกว่า จากที่เคยเจอมานะ เพราะกรมการปกครองไม่ให้เชื่อมต่อตรงเข้ากับ Service หลักอยู่แล้ว

By: itpcc
ContributoriPhoneRed HatUbuntu
on 22 January 2016 - 23:47 #877730 Reply to:877615
itpcc's picture

ประเด็นคือตัวเว็บมันเป็นของ DOPA เองน่ะสิครับ...


บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: blackdemon
Windows PhoneAndroid
on 22 January 2016 - 17:56 #877671 Reply to:877572
blackdemon's picture

ประเด็นที่ว่าใครพัฒนาไม่ใช่ปัญหาครับ มันอยู่ที่ว่า DOPA อนุญาตให้เผยแพร่หรือปล่าว?
ถ้าไม่ใช่ถือว่า บ.ผู้พัฒนาห่วยแตกที่หละหลวม (เท่าที่ทราบคือ DOPA ไม่ได้เปิด public)

วิธีที่ถูกต้องคือ บ. ควรสร้างเว็บเซอร์วิสกลางมาเชื่อมต่อจาก DOPA มากกว่า
แล้วรับส่งเฉพาะข้อมูลที่จำเป็นเท่านั้น พร้อมเข้ารหัสไว้

Pheonec จะปัดความรับผิดชอบเรื่องนี้ไม่ได้หรอก

By: mrmk
Windows PhoneAndroidUbuntuWindows
on 22 January 2016 - 11:33 #877525

แต่เจอช่องโหว่ก็ควรแจ้งต้นสังกัดก่อนป่ะคับ ค่อยมา public ถ้าไม่ได้รับความสนใจ

By: Jigko
Windows Phone
on 22 January 2016 - 11:34 #877527

เห็นว่า แสนห้า นะค่าจ้างดำเนินการ ฟังจากข่าวทีวีเมื่อวานนี้

By: frozenology
ContributoriPhoneAndroid
on 22 January 2016 - 11:35 #877528

นักพัฒนาแอปมักง่ายจัง แทนที่จะเข้ารหัสหรืออะไรให้แอปอ่านเท่านั้น หรือมีวิธีการที่ดีกว่านั้นนะ


@fb.me/frozenology@

By: hydrojen
iPhoneRed HatWindows
on 22 January 2016 - 22:02 #877714 Reply to:877528
hydrojen's picture

ผมว่าคนทำ SOAP มากกว่า คงจะ select * มาให้ทั้งดุ้น
นักพัฒนาก็คง gen code จาก SOAP อีกที

By: Meow-Meow
ContributoriPhoneWindows PhoneAndroid
on 22 January 2016 - 11:42 #877535
Meow-Meow's picture

Report ให้ Google ถอดออกได้ไม๊


Destination host unreachable!!!

By: games2532
ContributoriPhoneWindows PhoneAndroid
on 22 January 2016 - 12:00 #877548

ผมว่าบ.นี้ น่าจะสอบตกในเรื่องการทำ App ให้ปลอดภัยนะครับ

ดูสิ Developer ทั่วไทยพร้อมใจกันทดสอบโปรแกรมกันเลยทีเดียว

By: angel13th
Android
on 22 January 2016 - 12:07 #877549
angel13th's picture

ลองคิดในแง่ดีว่า service นี้ exposed ให้สาธารณชนใช้อยู่แล้ว ตัว app แค่มาเรียกใช้เท่านั้น
(นี่แง่ดีแล้วเหรอ)

By: srps
iPhoneWindows
on 22 January 2016 - 12:22 #877553
srps's picture

อันตรายนะครับ เพราะรู้แค่เลขบัตรประจำตัวประชาชน เข้าถึงได้ทุกอย่างที่เกี่ยวข้องกับเจ้าของเลขบัตรประชาชนได้
ทั้งข้อมูลที่อยู่ ประวัติ การทำงาน หรือแม้กระทั่งข้อมูลธุรกรรมทางการเงินและข้อมูลทางการแพทย์
เพราะโรงพยาบาลถึงแม้จะไม่มีรหัสโรงพยาบาล (HN) แต่ก็เข้าถึงข้อมูลได้เพียงแค่กรอกข้อมูลรหัสบัตรประจำตัวประชาชน ก็จะบอกทุกอย่างเลย ทั้งประวัติผู้ป่วย, ประวัติการรักษา, ประวัติการใช้ยา หรือข้อมูลลับอื่นๆ ที่ไม่ควรจะออกมาให้สาธารณชนเห็น

By: platezero on 22 January 2016 - 12:30 #877556

ตอนนี้เหมือนจะเอาข้อมูลที่เป็นที่อยู่ส่วนตัวออกไปแล้วนะครับ
เหลือเพียงชื่อเจ้าของเลขบัตรฯ และที่อยู่ของคูหาเลือกตั้ง

By: HMage
AndroidWindows
on 22 January 2016 - 13:40 #877574 Reply to:877556

แค่นั้นก็เกือบบอกที่อยู่ปัจจุบันได้แล้วครับ

By: gettary
ContributorAndroidUbuntuWindows
on 22 January 2016 - 14:15 #877586 Reply to:877574
gettary's picture
By: TheOrbital
iPhoneWindows PhoneAndroidSymbian
on 22 January 2016 - 12:42 #877557
TheOrbital's picture

อยากถามคนที่ลง ตอนลงแอพมีการขออนุญาติในการเข้าถึงข้อมูลจากผู้ใช้หรือเปล่า จะซ่อนหรือแสดงก็ตาม ยังไงก็ต้องขออนุญาติ

ปล.พอดียังไม่ได้ลง ยังไม่ได้ใช้ iOS8 ^ ^"

By: fake-or-dead
In Love
on 22 January 2016 - 12:50 #877559

ต่ายอยากกินไร

By: proxima
iPhoneAndroid
on 22 January 2016 - 12:59 #877561
proxima's picture

เลขบัตรประชาชน เป็นข้อมูลที่คาดเดาได้

ไม่อยากจะนึก มีคนเขียนโปรแกรม วนลูป ใส่เลขที่บัตรปชช.
ไปจนครบ หกสิบล้านคน

ได้ข้อมูล มาทั้งประเทศ TwT

By: thanatips
Ubuntu
on 22 January 2016 - 14:01 #877584

อยากจะเปลี่ยนชื่อแอ๊บจาก

ดาวเหนือ เป็น ดาวซิริเอิส (Sirius) กันเลยทีเดียว
มันช่างส่องสว่างนำทางได้ดีจริง ๆ

By: redmaster
Contributor
on 22 January 2016 - 14:53 #877603
redmaster's picture

bot brute force PID = ทะเบียนราฎร์ย่อยๆ

By: nottoscale
Windows Phone
on 22 January 2016 - 16:52 #877645

เมื่อก่อนตอนใกล้ช่วงเลือกตั้งทำไมผมโหลดข้อมูลมาค้นหาได้เลยอ่ะ รู้ได้หมดชื่อญาติพี่น้อง จำไม่ได้ว่าเป็นไฟล์สเปรดชีตหรือป่าว แต่อันนี้มันก็สะดวกกว่าอะนะ

By: platalay
iPhoneWindows PhoneAndroidWindows
on 22 January 2016 - 17:14 #877655

วิธีแก้ไข

ที่มา

By: sian
Windows PhoneAndroidWindows
on 22 January 2016 - 17:18 #877656 Reply to:877655
sian's picture

.//no coment

By: thanyadol
iPhone
on 22 January 2016 - 17:26 #877660 Reply to:877655

ลั่น

By: Architec
ContributorWindows PhoneAndroidWindows
on 22 January 2016 - 17:38 #877662 Reply to:877655

แบบ.... ไปจ้างตัวอะไรมาเป็นโปรแกรมเมอร์เหรอ?

By: tgst
ContributoriPhoneWindows PhoneWindows
on 22 January 2016 - 22:36 #877721 Reply to:877662
tgst's picture

ผมว่าโดนสั่งมานะ 55555

By: Zondezatera
AndroidRed HatUbuntuWindows
on 22 January 2016 - 17:48 #877668 Reply to:877655

แหม ทำไปได้

By: blackdemon
Windows PhoneAndroid
on 22 January 2016 - 18:01 #877674 Reply to:877655
blackdemon's picture

ทำเป็นขู่ ไปตีความหมายคำว่า "ระบบคอมที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ" ให้ได้ก่อนเถอะ
เปิด http โล่งๆ อย่างนี้เป็นการเฉพาะตรงไหน 555

By: miyavi on 22 January 2016 - 18:04 #877675 Reply to:877655

นี่เค้าขู่คนเขียนข่าวใช่มั๊ย

By: Thaitop_BN
Windows PhoneUbuntuWindows
on 22 January 2016 - 19:33 #877689 Reply to:877655
Thaitop_BN's picture

เห็นละเหนื่อยใจจริงๆ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 22 January 2016 - 19:47 #877692 Reply to:877655

ปัดโธ่วิธีแก้ง่ายๆอย่างนี้ นี่เอง

By: bahamutkung
ContributorAndroidWindowsIn Love
on 23 January 2016 - 23:48 #877917 Reply to:877655
bahamutkung's picture

รู้สึกอยากเตะอะไรขึ้นมาทันที...อีกครั้ง

แอพนี้ช่างมีพลัง


"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."

By: animateex
iPhoneAndroidUbuntuWindows
on 22 January 2016 - 17:50 #877667
animateex's picture

เอ๊ะอะอะไร ขู่ก่อน แล้วดริฟ ไปต่อไม่ไหวค่อยยอมแก้

/me แผนผังการแก้ปัญหาของราชการไทยเวลานี้

By: btoy
ContributorAndroidWindows
on 22 January 2016 - 17:54 #877670
btoy's picture

ดีใจนะที่ Developer บ้านเราช่วยกันตรวจสอบ


..: เรื่อยไป

By: latesleeper
Android
on 22 January 2016 - 18:18 #877678

ไม่เถียงด้วยล่ะ flag as inappropriate ไปละจ้า

By: cutter27
AndroidWindows
on 22 January 2016 - 20:56 #877701
cutter27's picture

ใส่รหัสบัตรประชาชน จริงๆแล้วมันไม่ใช่รหัส น่าจะใช้คำว่าหมายเลขบัตรประชาชน อ่านแล้วเข้าใจง่ายกว่า

By: peerapongsam
iPhone
on 25 January 2016 - 10:48 #878202 Reply to:877701
peerapongsam's picture

จริงๆ ภาษาไทย ในบัตรประชาชน ใบขับขี่ มันก็เรียกว่า เลขประจำตัวประชาชน นะครับ ไม่ได้เรียกว่ารหัส

By: sakpu20
iPhoneBlackberryUbuntu
on 24 January 2016 - 19:03 #878095

ที่จริงแล้วกรมการปกครองแหละครับที่ผิด คนปล่อยที่จริงคือ dopa ไม่ใช่คนทำ app