เครือข่ายพลเมืองเน็ต (Thai Netizen Network) รายงานการพบเว็บไซต์ของสำนักงานเขตแห่งหนึ่งของกรุงเทพมหานคร เผยแพร่ข้อมูลส่วนตัวรายชื่อของผู้มีสิทธิรับเงินเบี้ยยังชีพผู้สูงอายุ ซึ่งมีทั้งชื่อสกุล เลขบัตรประชาชน วันเดือนปีเกิด เลขที่บัญชีธนาคาร ชื่อธนาคารและสาขาของธนาคาร เป็นไฟล์ PDF (ล่าสุด ณ เวลาเขียนข่าวผมพบว่าเว็บไซต์และไฟล์นี้ยังคงเข้าถึงได้)
หัวหน้าฝ่ายพัฒนาชุมชนและสวัสดิการสังคมชี้แจงจุดประสงค์ของการอัพโหลดข้อมูลดังกล่าวว่า เพื่อต้องการให้ผู้มีสิทธิรับเงินเบี้ยยังชีพผู้สูงอายุ สามารถตรวจสอบชื่อและรายละเอียดของตัวเองได้ผ่านเว็บไซต์ เนื่องจากตลอดระยะเวลาที่ผ่านมา ผู้มีสิทธิหลายคนเปลี่ยนบัญชีธนาคาร ทำให้ไม่สามารถโอนเงินได้และติดต่อไม่ได้ด้วยเช่นกัน
นอกจากเว็บไซต์ของกรุงเทพฯ แล้ว เครือข่ายพลเมืองเน็ตได้ตรวจสอบเว็บไซต์ของจังหวัดหรือเขตเทศบาลอื่นๆ ก็พบการเปิดเผยข้อมูลส่วนตัวเช่นกัน ซึ่งแต่ละที่มีรายละเอียดของข้อมูลแตกต่างกันไป ซึ่งผู้ช่วยเจ้าหน้าที่พัสดุและช่วยงานส่วนสวัสดิการสังคม องค์การบริหารส่วนตำบลหนองปลาไหล อำเภอเขาย้อย จังหวัดเพชรบุรีชี้แจงว่า จำเป็นต้องเผยแพร่วันเดือนปีเกิด เพราะเกี่ยวข้องกับการได้รับสิทธิ์และจำนวนเงิน ซึ่งแตกต่างกันตามอายุ ส่วนเลขประจำตัวประชน ก็เป็นข้อมูลที่ให้ตรวจสอบกันเป็นปกติ เหมือนตอนตรวจสอบผู้มีสิทธิ์เลือกตั้ง
ที่มา - Thai Netizen Network
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
มันใช่ข้อมูลที่ควรจะเปิดเผยไหมเนี่ย แบบนี้คนแก่ก็โดนเป็นเป้าก่ออาชญากรรมได้เลยนะ ถ้าข้อมูลถูกเอาไปใช้ก่อคดี
มันน่าจะให้ทางบ้านเข้ามาติดต่อผ่านทางโทรศัพท์หรือใช้ระบบ login ตามแต่ละบุคคลแล้วค่อยเปิดรายละเอียดข้อมูลพวกนี้ นี่เล่นเผยแพร่ออกมาเป็น PDF ก็จบเห่นะสิ ไม่ใช่บัญชีบริจาคหรือหน่วยงานการกุศลนะจะเอามาเผยแพร่แบบนี้
Get ready to work from now on.
เวรกรรม
มันควรทำเป็นระบบค้นหามั้ย? ไม่ใช่ปล่อยออกมาหมดแบบนี้
The Dream hacker..
ต่อไปที่เราต้องกลัวคือการที่รัฐปล่อยข้อมูลส่วนตัวของประชาชนออกมาแบบ "สั่วๆ" แบบนี้
คือถ้าคนในรายชื่อพวกนั้นโดนแก๊งค์มิจฉาชีพมาหลอกลวง รัฐจะรับผิดชอบไหมครับ ข้อมูลพวกนี้มันมากพอให้หลอกได้เลย
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
สามารถเข้าถึงได้ทั่วโลกซะด้วย
ต้องหาวิธีอื่นให้ตรวจสอบ ไม่ใช่มักง่ายแบบนี้
^
^
that's just my two cents.
ชี้แจ้ง => ชี้แจง
ชี้แจ้ง => ชี้แจง
ที่ควรปิดมันก็เปิด
ที่ควรเปิดมันก็ปิด
ถามจริง!? .... บ้าหรือเปล่าาา
โอ้ยยย กรรมๆๆๆๆๆ
"ข้อมูลแค่นี้จะหวงอะไรกัน" เฮ้อ
ถามแบบไม่ค่อยรู้นะครับ
เลขที่บัญชีธนาคารเอาไปทำอะไรได้อ่ะครับ นอกจากโอนเงินเข้า
เพราะพวกแม่ค้าตามเว็บก็บอกให้คนอื่นรู้ตั้งเยอะแยะ
เอาออกก็ได้นะครับ สมมติว่าดันไปทำบัตรเอทีเอ็มไว้ โดนแจ้งบัตรหาย เพราะรู้ทั้งชื่อธนาคาร บัญชีธนาคาร สาขาที่เปิด แถมบอกวันเกิดได้ ที่อยู่ได้ บอกเลขบัญชีได้อีก
นี่ยังไม่นับว่าโดนเอาไปสวมตัวตนอีก
ผมก็ไม่รุ้นะเอาไปทำอะไรได้มั่ง พวกมิจฉาชีพมันอาจมีช่องทาแปลกๆ หรืออาจจะตามมาหลอกถึงบ้านแบบในทีวี(เรื่องจริงผ่านจอ)
ลองพิมพ์ชื่อ นามสกุล เลขบัญชี รหัสบัตรประชาชน (ให้เป็นเทมเพลตเดียวกับที่หลุดออกมา)ในนี้เลยครับ
ทำอะไรดูเจตนากันมั่งซี้~~~ ปัดโถ่วววว....
ไม่อยากจะ Hate Speech นะ แต่แบบนี้ไม่โ ่จริง ทำไม่ได้นะ มีข้อมูลแม่ผมด้วย
นี่หรือมาตรฐานความปลอดภัยโลกยุคใหม่!
ประกันเอย พวกสวมรอยบัญชีธนาคารเอย (สวมบัตรต่างด้าวยังได้เลย)
???
มักง่ายได้อีก
ไม่พิมพ์แล้วส่งไปรษณีย์แจกให้ครบทุกบ้านเลยละ
ผมมองอีกด้านนะ คิดว่าข้อมูลพวกนี้ มันไม่ควร เอามาเป็นส่วนหนึ่งของ ระบบความปลอดภัย เพราะมันมีไม่ใช่ข้อมูลที่เป็นความลับตั้งแต่ต้นอยู่แล้ว
แต่คนคิดระบบความปลอดภัยหลายๆเจ้า กลับเอาข้อมูลพวกนี้มาเป็นข้อมูลในการพิสูจน์ตัว โดยคิดว่ามันเป็นข้อมูลลับ
อย่างที่เห็นๆกันทั่วไป เวลาพวก Call Center จะพิสูจน์ตัวตน แค่ถาม ประชาชน วันเดือนปีเกิด (บอกเลยว่าโคตรอ่อน)
เป็นไปได้ผมอยากให้มี กฏหมาย เกี่ยวกับ ข้อมูล ระบุชัดไปเลย ว่าห้ามเอาข้อมูลพวกนี้มาเป็นส่วนหนึ่งของระบบความปลอดภัยทางข้อมูล
เห็นด้วยครับ
วิธีที่ปลอดภัยสุด คือไปดำเนินการถึงที่ด้วยตัวเอง แต่มันคงช้าไปหรือไม่สะดวกสำหรับยุคนี้
วิธียืนยันตัวตนที่ดีที่สุดที่ตอนนี้มีคือ สแกนนิ้วมือ ฉะนั้นใช้มือถือที่สแกนนิ้วมือได้เป็นการเช็คตัวตน แล้วส่ง OTP ใส่รหัสซ้อนเข้าไปอีกให้แน่นหนาขึ้น
ผมว่าผมเข้าใจประเด็นคุณนะ แต่อ่านหลายรอบเหมือนกัน
เรื่องนี้พูดยากครับ เอาเท่าที่ผมพอทราบมาก่อนนะ (ตกหล่นก็ว่ากันอีกที)
คือมันมีขั้นตอนที่เรียกว่า "การรู้จักลูกค้า/การตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า หรือ Know Your Customer/Customer Due Diligence (KYC/CDD)" ที่เป็นขั้นตอนพื้นฐานที่เกี่ยวข้องกับสำนักงานป้องกันและปราบปรามการฟอกเงิน และธนาคารแห่งประเทศไทย ซึ่งมีข้อกำหนดแบบฟอร์มที่กรอกตอนเปิดให้บริการ ซึ่งแสดงต่อเจ้าหน้าที่ มันเป็นข้อมูลในการนำมาใช้เพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า ส่วนใหญ่จะประมาณตามรายการด้านล่างครับ ธนาคาร สถาบันการเงินก็ขอประมาณนี้กันทั้งนั้น (รวมถึงบริการอื่นๆ ก็มักจะเอาแนวทางไปใช้กัน)
1) ชื่อและนามสกุล
2) วันเดือนปีเกิด
3) เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขใบสำคัญประจำตัวคนต่างด้าว หรือเลขเอกสารหลักฐานแสดงตนอื่นที่ออกหรือรับรองโดยหน่วยงานหรือองค์กรที่น่าเชื่อถือ
4) ที่อยู่ตามทะเบียนบ้าน หรือที่อยู่ปัจจุบัน
5) เพศ
6) สัญชาติ
7) สถานภาพการสมรส
8) หลักฐานสำคัญประจำตัวบุคคลที่มีรูปถ่ายซึ่งทางราชการออกให้
9) หนังสือเดินทาง หรือใบสำคัญประจำตัวคนต่างด้าว หรือเอกสารหลักฐานแสดงตนอื่นที่ออกหรือรับรองโดยหน่วยงานหรือองค์กรที่น่าเชื่อถือในกรณีที่เป็นคนต่างด้าว
10) อาชีพ สถานที่ทำงาน และหมายเลขโทรศัพท์
11) สถานที่สะดวกในการติดต่อและหมายเลขโทรศัพท์
12) ลายมือชื่อผู้ทำธุรกรรม
พอได้ข้อมูลตามนี้ก็เป็นข้อมูลที่เพียงพอ เมื่อเราติดต่อผ่านช่องทางอิเล็กทรอนิคส์ จนถึงขั้นตอนการยืนยันตัวตน ก็เลยใช้ข้อมูลส่วนบุคคลเหล่านี้ในการทำหน้าที่แทนตัวบุคคลเพื่อยืนยันตัวตนแทนนั้นเอง อาจจะมีบัตรต่างๆ หรือพวกรหัส PIN ที่เพิ่มเติมเข้ามา (ในกรณีที่มันไม่หาย) แต่ก็แลกกับความไม่สะดวกเพิ่มขึ้น เพราะเดี่ยวนี้ก็แข่งกันที่ความสะดวกด้วย มันเลยกลายเป็น security vs usability ครับ
ทั้งหมดที่ว่ามามันก็เลยพูดยากเข้าไปอีกว่าเราจะเอาให้มันแฮกยากๆ แต่ก็แลกกับการกีดกันคนที่ไม่ใช่คนฝ่ายเทคนิคในการเข้าถึง ก็เลยเกิดฝ่าย Fraud มา monitor พวกนี้เพิ่มเติมภายหลังและเป็นลักษณะตั้งรับ และหวังว่าข้อมูลที่ลูกค้าให้มา มันจะพอใช้ KYC/CDD ได้
เอาจริงๆ ผมว่าอย่าง US ก็ใช้ Social Security number ในการะบุตัวตนกันเยอะ ไทยเราก็เอาแบบเค้าเหมือนกัน แต่ต่างตรงที่ เราขอกันเป็นอะไรที่สามัญเกินไป แถมหน่วยงานรัฐ และเอกชนก็ไม่เก็บรักษามันไว้ให้ดี หลุดกันแบบนี้หลายๆ ประเทศหน่วยงานรัฐต้องมาออกใหม่ให้ประชาชนเลยนะครับ
เห็นพวกเว็บโฮสต์ตอนนี้ใช้ PIN แล้ว เช่น ให้กรอกชื่อแฟนคนแรก พอเราโทรไป Support ก็จะถามชื่อแฟนคนแรกที่เรากรอกไป
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
แบบนี้ถ้าโสดสนิทจะทำไงอ่ะครับ.... T_T
ถ้าเป็นต่างประเทศ ผมว่าโดนฟ้องร้องไปแล้ว...
แล้วเราทำอะไรไม่ได้เลยหรอครับ?
ผมถามจริงๆ ไม่ประชด มีทางฟ้องมั้ย?
คุณ xxx xxx หมายเลขบัตรประชาชน xxxxx
บัญชีธ.หมายเลข xxxx ของคุณเกี่ยวข้องกับการทุจริต กรุณารายงานตัวที่ตู้ atm
ผมว่ามันเพิ่มความน่าเชื่อถือในโจรกว่าเดิมอีกข้อมูลพวกนี้