By: nismod 
on 13 September 2016 - 10:47
Tags:
Topics:
ผู้ใช้เว็บไซต์พันทิพที่ชื่อว่า pairnow ได้โพสต์กระทู้ร้องเรียน จากการถูกพนักงานของ AIS นำข้อมูลส่วนบุคคลทั้งบันทึกการโทรเข้าโทรออก และพิกัดสถานที่ของเบอร์โทรศัพท์ที่ใช้งาน ส่งไปให้กับบุคคลภายนอกเป็นไฟล์ excel
ผู้ใช้ pairnow เผยด้วยว่าแจ้งไปยัง AIS ผ่านทาง Serenade Callcenter และผู้จัดการสาขาของ AIS Shop โดยได้รับแจ้งว่าทั้งหน่วยงาน ฝ่าย HR และผู้บริหารทราบเรื่องแล้ว แต่คุณ pairnow รู้สึกว่าไม่ได้รับการช่วยเหลืออย่างที่ควรจะเป็น พร้อมทั้งอ้างด้วยว่า การกระทำของพนักงาน AIS คนนี้ไม่ได้ทำเป็นครั้งแรก เนื่องจากพบหลักฐานการได้รับเงินจากบุคคลที่ 3 ให้ดึงข้อมูลในลักษณะเดียวกันนี้ของคนอื่นๆ อีกมาก
ทั้งนี้แอคเคาท์ของ AIS ได้ตอบเจ้าของกระทู้ล่าสุดว่า บริษัทได้ตรวจสอบพบว่าพนักงานทำผิดจริง และได้พิจารณาให้พนักงานคนดังกล่าวพ้นสภาพการเป็นพนักงานแล้ว และจะมีการดำเนินการตามขั้นตอนกฎหมายต่อไปด้วย
ที่มา - Pantip
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ไม่แน่ใจว่าอันนี้เป็นการกระทำโดยพนักงานเพียงคนเดียวหรือมีผู้ร่วมงานคนอื่น (รวมถึงตัว AIS เอง) สมรู้ร่วมคิดด้วยหรือไม่ เพราะเรื่องนี้มีผลกระทบกับความเป็นส่วนตัวอย่างมากและตัวบริษัทเองด้วย
Get ready to work from now on.
กระทู้ยาวมากถกกันจนหลงประเด็นกันเลย
บร๊ะแล้ว ดึงได้ยัน OTP
งามหน้าละรู้OTPด้วย
พนักงานทำได้แล้วทุจริต ผมไม่แปลกใจ แต่เจ๊แกหาหลักฐานโอนเงินจำนวนมากมาได้นี่
เจ้คงจ่ายให้พนักงานธนาคารให้แอบเอาข้อมูลออกมาให้อีกที
+1 สงสัยอยู่เหมือนกัน 555
ก็ได้จาก "ผู้หวังดี" แหละครับ (จาก คห.235) ไม่งั้นไม่ได้หลักฐานขนาดนี้
ขอบคุณตอนแรกผมอ่านไม่ถึงนะ เยอะเกิน
ผู้หวังดีเป็น...ของผู้มีอิทธิพล ส่งข้อมูลเหล่านี้มาขู่ จขกท. อีกทีนึง
งงจุดนี้เหมือนกัน เหมือนเรื่องมันจะเทาๆ
ผมล่ะกลัวว่า จขกท ก็ทำแบบที่ตัวเองโดนเหมือนกัน เพราะไม่ยอมเล่าอะไรเกี่ยวกับตัวเอง ที่มา หรือการได้มาของข้อมูลเลย บอกแค่ว่าผู้หวังดี งั้นทำไมไม่คิดว่า สิ่งที่ตัวเองโดนมาจากผู้หวังร้ายมั่งล่ะ เหอะๆ
แล้วทำไมข้อมูล จขกท ถึงมีคนอยากได้ ? เป็นเรื่องนักสืบหรือคนที่จ้างวาน ? ที่อาจเกี่ยวกับชีวิตส่วนตัว ครอบครัว ?
ย่อหน้า 3 บอกว่าเปิดในชื่อตัวเอง แต่ให้สามี ถือและใช้ แต่ย่อหน้า 4 กลับบอกว่า สามารถรุ้การเคลือ่นไหว วันเวลา โทรเข้าออก การติดต่อของตัวดิฉัน
ผู้มีอิทธิพล ? ตัวเธอเคยโดนข่มขู่ ทั้งที่ทำงาน สามีเคยโดนขู่ฆ่า แสดงว่ามีข้อมูลจากส่วนอื่นด้วย ถึงได้ตามตัวเธอและสามีได้
เรื่องนี้ AIS ยังงัยก็ผิด แต่ข้อมูลส่วนอื่น ค่อนข้างคลุมเครือ
เนื้อความของกระทู้ หลังๆ เริ่มออกทะเลมาก การประดิษฐคำพูดออกมาดูแปลกๆ เหมือนต้องการให้ AIS เป็นผู้รับบาปทั้งหมด ขอความเห็นใจจา social ทั้งที่ ทั้งที่คนบงการคือ ผู้มีอิทธิพล ตามที่เธอกล่าวถึง
เรื่องรายละเอียดคงยังไม่ต้องไปโฟกัสมากครับ เอาแค่ประเด็นหลักที่ว่าข้อมูลลูกค้ารั่วให้จบก่อน
ทำผิดแล้วแค่ไล่ออก ? ง่ายดีนะ วันหลังไปสมัคร ทำๆ รับเงินไป อย่างมากก็แค่ไล่ออก เดี๋ยวก็หางานใหม่ได้
มันควรจะมี audit ภายนอกเข้าตรวจเลย ตรวจกันเองภายใน เคยจับอะไรได้บ้าง
แต่จริงๆแล้วมันอยู่ที่ให้สิทธิพนักงานมากเกินไป พวกธนาคารก็เหมือนกัน พนักงานกิ้กก๊อกหน้า counter ดูได้แม่มทุกอย่าง
"และจะมีการดำเนินการตามขั้นตอนกฎหมายต่อไปด้วย"
แต่ก็ต้องดูว่าจะเดินเรื่องไปแค่ไหน หรือปล่อยให้เงียบไป ขึ้นอยู่กับ จขกท.ในพันทิปจะเอาให้สุดขนาดไหน
ถ้าแค่ไล่ออกนี่ ผมว่า AIS คงต้องโดนสังคมประนามต่อไปแล้วล่ะครับ แหม่จากเบอร์ 1 ด้านภาพลักษณ์ตอนนี้อาจพังถ้าสุดท้ายเรื่องนี้จัดการ Crisis response/management ไม่ดี
@TonsTweetings
เรื่องแบบนี้ผิดกฏหมายด้วยครับ คงไม่จบแค่ไล่ออกเฉยๆ แน่นอน
จากที่อ่านมาให้ออกคืออย่างแรกที่ทำครับ ส่วนจะมีการไล่เบี้ยยังไงต่อไปก็คงเป็นไปตามขั้นตอน
ข้อมูลระดับนี้ไม่ใช่พนักงานกิ๊กก็อกแน่นอนครับ
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
กิ๊กก๊อก ก็สามารถทำได้ครับ ถ้าได้ทำงานในส่วนที่เกี่ยวข้องกับข้อมูลพวกนี้ ผมเคยเป็น outsource กิ๊กก๊อก ในธนาคารผมยังสามารถเข้าเครื่องเมนเฟรมของธนาคารได้เลย ดึงข้อมูลลูกค้าได้ทุกคน แต่ทั้งนี้ทั้งนั้นขึ้นอยู่กับจริยธรรมของแต่ละคนว่ามีมากแค่ไหน ส่วนตัวไม่เคยก้อบของพวกนั้นออกมานอกธนาคารเลย ทั้งๆที่ผมมีสิทธิ์ใช้ USB เสียบเครื่องได้โดยไม่แจ้งเตือนด้วยซ้ำ
โห งั้นถือว่าการป้องกันหละหลวมสุด ๆ เลยครับ
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ถ้าได้ทำงานเกี่ยวข้องกับส่วนนั้น มันก็เข้ากันได้แหละครับ
ไม่เกี่ยวกับว่าใหญ่ไม่ใหญ่ครับ ถ้าทำอยู่ส่วนงานที่ตรง
ก็มีสิทธิ์เข้าถึงข้อมูลพวกนี้ได้ครับ
กรณีแบบนี้จะต้องมีการเยียวยาให้กับทางลูกค้าด้วยหรือเปล่าครับ หรือ AIS ต้องรับโทษอะไรมั๊ย
หรือพอหาตัวคนทำผิดได้ก็จบๆกันไป AIS แค่จัดการกันภายใน
ส่วนลูกค้าปัจจุบันก็ลุ้นเอาว่าใครจะ(รู้ตัว)เป็นรายต่อไป
ก็บอกแล้ว รหัส OTP ที่ใช้กันอยู่มันไม่เข้ารหัสอะไรเลย พนักงานจะขโมย OTP ของใครก็ได้
การปกป้องข้อมูลส่วนบุคคลต่ำมาก
ปูเสื่อรอเลยครับ
เคสนี้โหดมาก ถึงจะรู้อยู่แล้วว่ามันก็มีแบบนี้กันทุกค่ายทุกเครือข่ายก็เถอะ - -*
งานนี้ AIS เละ ตอนทรูโดนเรื่องออกซิมกับเอาเอกสารไปลักลอบเปิดเบอร์ นี่ยังไม่รุนแรงเท่านี้เลย
ความเชื่อมั่นที่สั่งสมมาหลายปีหายไปในพริบตา
Destination host unreachable!!!
สมัยเรียนเคยใช้ค่ายนี้แล้วโดนบริการ SMS โทรจากไหนไม่รู้ บอกชื่อผมถูก ทั้งๆที่ไม่เคยไปสมัครบัตรอะไรนอกจากบัญชีธนาคาร
อยากให้ สนช. รีบๆเข็น พรบ. คุ้มครองข้อมูลส่วนบุคคลออกมาทีเถอะ รำคาญพวกนี้เหลือเกิน
มีทุกวงการ ศูนย์บริการโตโยต้า เข้าปุ๊ป ประกันโทรมาวันละ 6 ราย 5 วันติด
น่ากลัวมากอ่ะ ทั้งสิทธิ์ในการเข้าถึงของ พนง. และการหาข้อมูลของ จขกท. -..-'
my blog
อ่านข้อความต้นเรื่องก่อนสิครับ
จขกท เธอไม่ได้หาข้อมูลมาเอง แต่ถูกบุคคลอื่นเอามาใช้ในการข่มขู่ในงานที่เธอ ทำอยู่
คุณลิงใจดี หมายถึงว่าผู้เสียหาย ได้มาซึ่งข้อมูลยันหน้าที่ตำแหน่งของพนักงานคนดังกล่าว ซึ่งน่าจะเป็นข้อมูลของกรมการปกครองครับ
เรื่องนี้มันใหญ่จริง ๆ AIS ต้องทำอะไรมากกว่านี้ ...
ดูๆแล้วเรื่องของเรื่องมันไม่น่าจะเกี่ยวกับ AIS แล้วนะครับ
มันเหมือนมีคนเอาปืนมาจ่อหัวพนักงาน AIS ให้มอบข้อมูลให้ แต่ในเคสนี้คือให้ตัง
ควรแก้ปัญหาให้ถูกจุดนะ แต่ไม่รู้จะมีคนมาแก้ปล่าว ไม่รู้เขาใหญ่ระดับไหน
ก็คงต้องดูว่าพนักงานคนนั้นมีหน้าที่อะไร มีสิทธิ์เข้าถึงข้อมูลที่ว่าหรือเปล่า เพราะข้อมูลส่วนตัวแบบนี้ ควรต้องกำหนดสิทธิ์ที่จำกัดมาก และจะเรียกดูแต่ละครั้งควรจะต้องขออนุมัติเป็นครั้งๆด้วยซ้ำ (เพราะไม่ใช่ข้อมูลที่จำเป็นในการให้บริการทั่วไป) ซึ่งควรจะช่วยป้องกันเหตุการณ์แบบนี้ได้
ยากครับ
อีกฝ่ายมีปืน เรื่องการอนุมงอนุมัติ ไม่ต้องพูดแล้วครับ
ผมว่าลูกค้าคนนี้เขาไม่น่าจะ mind อะไร AIS มากแล้วนะครับ แต่ถ้าให้ด๊ AIS น่าจะช่วยกระพือข่าวให้ลูกค้าคนนี้ก็ดี
แนะนำลองไปอ่านกระทู้ดูครับ
http://pantip.com/topic/35589452/comment235
ระบบพวกนี้ไม่ควรยอมให้กดเรียกได้จนกว่าจะมีคนที่มีอำนาจมากดอนุมัติเรียบร้อยแล้วนะครับ ถ้าทำมาแบบนั้นต่อให้เอาปืนมาจ่อยังไงมันก็เรียกไม่ได้
จริงๆ ต่างประเทศก็มองว่าการทำธุรกรรมโดยต้องพึ่ง OTP จากระบบเครือข่ายมือถือ ไม่ว่าจะ SMS หรือ Call ก็ตามล้วนไม่ปลอดภัยครับ เพราะระบบโดนออกแบบมานาน ทุกวันนี้การถอดข้อมูลจากระบบ GSM สามารถทำได้จริงอยู่แล้ว (ไม่รู้ต้องให้เอาชื่อโปรเจ็คใน github มาแปะกันด้วยไหม)
ทุกวันนี้ผมล่ะอยากได้ TOTP มากๆๆๆๆ เมื่อไรหลายธนาคารจะทำกันสักที มี lib base ให้ implement กันเพียบอยู่แล้ว
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
จริงๆ บางธนาคารทำมานานแล้วนะครับ อย่างเช่น HSBC (credit card) ผมเคยใช้มาตั้งแต่ 2007-2011 ก่อนหน้าที่จะขายกิจการให้กรุงศรีไป
ผมว่าปัญหาหลักคือ ธนาคารไม่ยอมจ่ายเงินมาลงทุนมากกว่าครับ
ถ้าโดนถอนใบอนุญาตนี่สนุกเลยครับ
รู้กระทั้ง แลตติจูด ลองติจูด รอดักอุ้มได้เลย น่ากลัวมากๆ
ทำได้ขนาดนี้ ไม่รู้ว่าจะสามารถดักฟังโทรศัพได้ไหม
แนะนำให้ดู jason bourne ทุกภาคเลยครับ
ตอนเด็กผมดูก็ไม่ได้คิดอะไร พอกลับมาดูอีกที มันคือความจริงที่โหดร้าย
เข้าใจว่าเป็นพิกัดของเสาส่งครับ (แต่ก็ยังถือว่าน่ากลัวอยู่ดี)
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
Breach ชัดเจนขนาดนี้
ถ้าเป็นต่างประเทศ AIS โดนปรับหนักระดับหลายล้านบาท
ยิ่งถ้าลูกค้าแจ้งผ่าน Call Center แล้วไม่มีการดำเนินการต่อ
จนลูกค้าต้องมาโพสต์ Pantip โดนทั้งคนรับเรื่องและ AIS แน่นอน
มีโทษจำคุกด้วยซ้ำ
เป็นทั่วโลกแหละ อะไรที่ใช้คนทำ ซื้อได้หมด นักสืบเอกชน สายลับ
เป็นทั่วโลกแหละ อะไรที่ใช้คนทำ ซื้อได้หมด นักสืบเอกชน สายลับ
ทุกคนรู้ว่ามีคนทำได้ (แต่ปกติจะนึกถึงแต่บัตรเครดิต ประกัน) แต่ไม่เคยมีหลักฐาน เคสนี้มีพร้อม
รอติดตาม
มันใช่เคสเดียวกับที่อยู่ดีๆ ก็มีคนโทรมาขายประกัน เสนอเงินกู้ส่วนบุคคลไม๊ครับ ผมเคยถามกลับว่าคุณไปเอาข้อมูลผมมาได้ยังไง คนที่โทรมาอ้อม แอ้ม บอกว่าเป็นแค่พนักงาน ทาง บ. ส่งข้อมูลมาให้อีกที แล้วทำเปลี่ยนเรื่องยังจะขายของต่ออีก
เออ เหมือนผมเลย ผมโวยวายกลับไปว่า
"ผมจำได้ว่าไม่ได้ยินยอมให้ใครเอาข้อมูลผมมาให้บริษัทประกันนะ ! คุณไปเอาคอนแทคผมมาจากไหน บอกมาเดี๋ยวนี้ ! "
ด้วยน้ำเสียงเกือบตะคอก
ทางโน้นเผลอหลุดออกมาว่า "เจ้าหน้าที่..."
ผมเลยตวาดกลับไปอีกว่า "เจ้าหน้าที่อะไร"
"ธนาคารค่ะ"
-*-
กรณีนี้ เป็นข้อพิสูจน์ว่า ธนาคารควรเลิก OTP ทางSMS ได้แล้ว นะครับ