สายการบิน Aeroflot เผลอปล่อย Docker registry ออกสู่อินเทอร์เน็ต ทำให้คนที่รู้ URL สามารถ pull เซิร์ฟเวอร์ไปได้ และเมื่อดาวน์โหลดไป จะเห็นซอร์สโค้ดของเว็บทั้งชุด

อย่างไรก็ดี ไม่มีข้อมูลส่วนตัวของลูกค้าอยู่ในอิมเมจแต่อย่างใด ความเสี่ยงสำคัญคือแฮกเกอร์สามารถนำโค้ดไปวิเคราะห์หาช่องโหว่ และใชัโจมตีเว็บจริงของทางสายการบินต่อไป

ประเด็นซอร์สโค้ดรั่วเป็นประเด็นสำคัญที่พบกันเรื่อยๆ ในองค์กรต่างๆ แม้แต่แอปเปิลก็ถูกขโมยโค้ด iBoot มาเปิดเผยต่อสาธารณะ

ที่มา - The Register

Mozilla เปิดตัวฟีเจอร์ใหม่ Firefox Monitor บริการฟรีเพื่อแจ้งเตือนผู้ใช้หากตกเป็นเหยื่อของการรั่วไหลข้อมูล ตั้งแต่กลางปี โดยเป็นพาร์ทเนอร์ร่วมกับ Have I Been Pwned ของ Troy Hunt และหลังจากทดสอบเป็นระยะเวลาหนึ่ง วันนี้ Firefox Monitor ก็พร้อมให้บริการแล้ว

เมื่อสัปดาห์ที่แล้ว British Airways ประกาศว่าพบข้อข้อมูลรั่วไหล กระทบลูกค้า 380,000 คน ภายในวันเดียวกัน รัฐบาลอังกฤษโดยศูนย์ความมั่นคงปลอดภัยไซเบอร์ก็ออกมาเตือนประชาชนพร้อมกัน แนวทางนี้ทำให้เราเห็นว่าเมื่อเหตุการณ์เกิดขึ้นแล้ว ในประเทศที่เจริญแล้วมีแนวทางรับมือปัญหาอย่างไร

ภายใต้กฎหมาย GDPR ทาง British Airways ถูกบังคับให้ต้องแจ้งหน่วยงานที่เกี่ยวข้องว่ามีข้อมูลรั่วไหลภายใน 72 ชั่วโมงหลังทราบเรื่อง หากปิดบังไว้โทษปรับสูงสุดถึง 4% ของรายได้บริษัท

บริษัทผู้ทำข้อมูลรั่ว: บอกข้อมูลชัด, แจ้งผลกระทบ, บอกแนวทาง, แจ้งชดเชย

หน้าเว็บแจ้งเตือนของ British Airways มีการอัพเดตเป็นระยะ อย่างไรก็ตามข้อมูลตอนนี้ค่อนข้างนิ่งแล้ว โดยการแจ้งเตือนมีดังนี้

British Airways ออกประกาศเหตุการณ์ข้อมูลรั่วไหลบนเว็บไซต์และแอพของบริษัทกระทบกับลูกค้ากว่า 380,000 คนที่จองเที่ยวบินตั้งแต่วันที่ 21 สิงหาคมจนถึง 5 กันยายน

สำหรับข้อมูลที่หลุดไปนั้น British Airways ระบุว่าเป็นข้อมูลสำคัญ โดยมีทั้งชื่อ, ที่อยู่, อีเมล และข้อมูลบัตรเครดิต แต่ไม่มีข้อมูลพาสปอร์ตหรือข้อมูลเกี่ยวกับการเดินทางที่จองหลุดออกไปในครั้งนี้

British Airways ได้แจ้งลูกค้าที่ได้รับผลกระทบหลังตรวจพบข้อมูลรั่วไหลภายใน 1 วัน โดยทางสายการบินแนะนำให้ผู้ใช้ที่ได้รับผลกระทบติดต่อผู้ออกบัตรเครดิต โดยทางบริษัทจะจ่ายค่าตรวจสอบเครดิตให้ลูกค้ารวมถึงชดใช้ค่าเสียหายให้ด้วย

T-Mobile ผู้ให้บริการโทรศัพท์มือถือรายใหญ่ของสหรัฐฯ ถูกแฮกเกอร์เจาะฐานข้อมูลลูกค้าประมาณ 2 ล้านราย ได้ข้อมูล ชื่อ, อีเมล, ที่อยู่, หมายเลขบัญชี, ข้อมูลการออกใบเสร็จ, และรหัสผ่านที่เข้ารหัส โดยข้อมูลบัตรเครดิตนั้นไม่ได้หลุดไปด้วย

งานนี้ทางทีมดูแลความปลอดภัยของ T-Mobile เป็นผู้พบความผิดปกติด้วยตัวเอง ก่อนจะปิดช่องโหว่นี้ไป

ทาง T-Mobile รายงานออกมาครั้งแรกไม่ได้ระบุว่ามีข้อมูลรหัสผ่านหลุดออกมาด้วย แต่นักวิจัยบางส่วน และทางเว็บ Motherboard ได้รับข้อมูลมา ระบุว่ามีฟิลด์ "userpassword" ในฐานข้อมูล น่าจะเป็นรหัสผ่านที่แฮชด้วย MD5 ที่ค่อนข้างอ่อนแอ ภายหลังทาง T-Mobile จึงยอมรับว่ามีรหัสผ่านที่เข้ารหัสแล้วหลุดออกไปด้วย

Upguard Security รายงานถึง S3 bucket ที่ชื่อว่า abbottgodaddy เก็บข้อมูลเซิร์ฟเวอร์นับพันรายการ และโมเดลราคาของ GoDaddy เอาไว้ พร้อมกับบอกส่วนลดพิเศษที่ GoDaddy ได้รับ

ทาง Upguard พยายามติดต่อ GoDaddy ตั้งแต่ 20 มิถุนายนที่ผ่านมา และตัว bucket ล็อกไปหลังจากนั้นหนึ่งสัปดาห์

GoDaddy ชี้แจงกับ Engadget ว่าข้อมูลที่หลุดออกมาเป็นการประมาณการใช้งานเท่านั้น ส่วนทาง AWS ระบุว่า bucket นี้สร้างโดยเซลล์คนหนึ่งของ AWS เอง เพื่อเก็บโมเดลราคาที่จะให้กับลูกค้า โดยไม่มีข้อมูลลูกค้าของ GoDaddy หลุดแต่อย่างใด

ที่มา - Engadget

Reddit แจ้งผู้ใช้ว่าช่วงเดือนมิถุนายนที่ผ่านมาแฮกเกอร์ได้เข้าถึงโครงสร้างคลาวด์และระบบเก็บซอร์สโค้ด ด้วยการดักรับ SMS ที่ผู้ดูแลระบบใช้เป็นโทเค็นล็อกอินขั้นที่สอง ทำให้แฮกเกอร์เข้าถึงข้อมูลผู้ใช้ได้ด้วย แม้ฐานข้อมูลจะไม่ถูกแก้ไข และบัญชีที่หลุดไปจะไม่มีสิทธิ์เขียนข้อมูลในระบบหลัก แต่ก็มีข้อมูลผู้ใช้หลุดออกไปด้วย

ข้อมูลที่แฮกเกอร์อ่านไปได้ ได้แก่ ล็อกไฟล์อื่น, ซอร์สโค้ดของระบบ, ไฟล์คอนฟิกต่างๆ และข้อมูลที่กระทบต่อผู้ใช้
โดยแบ่งออกเป็นสองกลุ่ม

หลังจากทางธนาคารแห่งประเทศไทยแถลงข่าว ตอนนี้ก็มีข้อมูลจากทั้งสองธนาคารเพิ่มเติม

ระบบของธนาคารกสิกรไทยเป็น "ส่วนหน้า" ของของระบบขอหนังสือรับประกัน K CONNECT LG โดยเป็นข้อมูลที่หาได้จากแหล่งสาธารณะ โดยยืนยันว่าข้อมูลสำคัญเช่นรหัสผ่านหรือรายการธุรกรรมของลูกค้าไม่ได้รั่วออกไป

ทางธนาคารกสิกรไทยกำลังจะติดต่อลูกค้าเป็นรายองค์กรต่อไป

ส่วนของธนาคารกรุงไทยเป็นข้อมูลสมัครสินเชื่อกรุงไทย Super Easy รวม 120,000 ราย ส่วนใหญ่เป็นลูกค้ารายบุคคล เป็นนิติบุคคล 3,000 ราย ทางธนาคารกรุงไทยไม่ได้ระบุว่ามีข้อมูลอะไรที่หลุดออกไปบ้าง แต่หน้าเว็บสมัครสินเชื่อ Super Easy นั้นมีข้อมูล ชื่อ, นามสกุล, หมายเลขโทรศัพท์, และรายได้ต่อเดือน

update: ข้อมูลเพิ่มเติมจากทั้งสองธนาคาร

ธนาคารแห่งประเทศไทยเผยแพร่ข่าวระบุว่าสัปดาห์ที่ผ่านมาเกิดเหตุการณ์ข้อมูลลูกค้าธนาคารสองแห่งหลุดสู่ภายนอก ได้แก่ ธนาคารกสิกรไทย และธนาคารกรุงไทย

ข้อมูลที่หลุดจากธนาคารกสิกรไทยเป็นข้อมูลลูกค้านิติบุคคล ที่เป็นข้อมูลสาธารณะอยู่แล้ว ขณะที่ข้อมูลของธนาคารกรุงไทยเป็นข้อมูลคำขอสินเชื่อลูกค้ารายย่อยและนิติบุคคล

ประกาศไม่ได้ระบุถึงจำนวนลูกค้าที่ได้รับผลกระทบ

ที่มา - จดหมายข่าวธนาคารแห่งประเทศไทย

Level One Robotics บริษัทหุ่นยนต์ในแคนาดาคอนฟิกเซิร์ฟเวอร์ rsync สำหรับสำรองข้อมูลผิดพลาด ทำให้ใครก็ตามเชื่อมต่อจากอินเทอร์เน็ตสามารถดาวน์โหลดข้อมูลออกไปได้

ผู้รายงานข้อมูลรั่วครั้งนี้คือบริษัท Upguard ข้อมูลที่หลุดออกมา ย้อนหลังไปได้ไกล 10 ปี แบ่งตามประเภทข้อมูล ได้แก่

• ข้อมูลลูกค้า เช่น สัญญา, แผนผังโรงงาน, สเปคหุ่นยนต์ที่ใช้งาน, พิมพ์เขียว, ไปจนถึงแบบฟอร์มขอเชื่อมต่อ VPN
• ข้อมูลพนักงาน เช่น ภาพใบขับขี่, หนังสือเดินทาง, ภาพบัตรพนักงาน, และข้อมูลพนักงานอื่นๆ
• ข้อมูลบริษัท เช่น สัญญากับลูกค้า, ข้อมูลการต่อรองราคา, ใบเรียกเก็บเงิน

ลูกค้าของ Level One ล้วนเป็นบริษัทดังที่เราได้ยินชื่อบ่อยๆ เช่น Tesla, Boeing, VW, Toyota เป็นต้น

ตำรวจไซเบอร์ของเอสโตเนีย (Cybercrime Bureau of the Estonian Central Criminal Police) กำลังสอบสวนคดีข้อมูลหลุดและพบว่ามีผู้ได้รับผลกระทบถึง 655,161 ราย อย่างไรก็ดี ทางตำรวจไม่ต้องการส่งอีเมลแจ้งเตือนเนื่องจากไม่แน่ใจว่าเจ้าของบัญชียังเข้าอีเมลได้อยู่หรือไม่ จึงส่งรายชื่อให้โครงการ Have I Been Pwned แจ้งเตือนให้

ยังไม่มีการเปิดเผยว่าข้อมูลชุดนี้หลุดออกมาจากแหล่งใดเนื่องจากคดีอยู่ระหว่างการสอบสวน อย่างไรก็ดีหากผู้ใช้ที่ได้รับผลกระทบจากชุดข้อมูลนี้และถูกขโมยเงินคริปโตไป ทางตำรวจเอสโตเนียขอให้ติดต่อได้ทางอีเมล

บริการสตรีมมิ่งเพลง Tidal เริ่มกระบวนการสอบสวนภายใน เนื่องจากสงสัยการหลุดของข้อมูลสถิติการเล่นเพลงต่าง ๆ

ก่อนหน้านี้ หนังสือพิมพ์นอร์เวย์ Dagens Næringsliv (DN) ได้นำฮาร์ดไดรฟ์ข้อมูลภายในของ Tidal ไปให้ Norwegian University of Science and Technology วิเคราะห์ข้อมูล และพบว่า Tidal ได้ปรับตัวเลขจำนวนครั้งในการเล่นเพลงของ Lemonard และ The Life of Pablo ให้ดูสูงขึ้นมาก (จากรายงานเขียนว่านับร้อยล้านครั้ง) และ Tidal ต้องจ่ายนักร้องทั้งสองคือ Beyoncé และ Kanye West สูงขึ้น

ช่วงปลายเดือนเมษายนที่ผ่านมา Mike Schroepfer ซีทีโอของ Facebook เข้าให้การต่อสภาอังกฤษเรื่องข่าวปลอมและข้อมูลหลุด ผลปรากฏว่าสภาอังกฤษไม่พอใจในคำตอบที่ Schroepfer ที่มีให้ เตรียมเรียกซีอีโอ Mark Zuckerberg มาให้การต่อ แต่ก็ถูกปฏิเสธไป

ล่าสุด Facebook ยอมตกลงจะไปให้การต่อสภายุโรปแล้ว คาดว่าการให้การจะมีขึ้นสัปดาห์หน้าที่กรุงบรัสเซลส์ โดยในบรรดาข้อมูลหลุดทั้งหมด 87 ล้านบัญชี คาดว่ามีคนยุโรปได้รับผลกระทบประมาณ 2.7 ล้านราย และเป็นคนอังกฤษที่ได้รับผลกระทบประมาณกว่าล้านราย

แม้ Cambridge Analytica คู่กรณีของ Facebook ครั้งนี้จะปิดตัวลงไปแล้ว แต่ฝั่งรัฐบาลอังกฤษก็ยังคงให้ความสนใจและยังสอบสวนวิธีที่บริษัทได้ข้อมูลจากผู้ใช้ Facebook นับล้านไปได้อย่างไร

Cambridge Analytica บริษัทที่เป็นคู่กรณีกับ Facebook ในการทำข้อมูลหลุด 87 ล้านบัญชีประกาศปิดตัวแล้ว พร้อมบริษัทแม่ SCL Elections Ltd เนื่องจากเหตุการณ์อื้อฉาวกับ Facebook ทำให้ธุรกิจพังเพราะสูญเสียลูกค้าและบริษัทยังมีค่าใช้จ่ายด้านกฎหมายอีกจำนวนมาก โดยตอนนี้ทางบริษัทจะเข้าสู่กระบวนการตามกฎหมายการล้มละลาย

คำแถลงของ Cambridge Analytica เผยว่า ในช่วงไม่กี่เดือนที่ผ่านมานี้ ทางบริษัทต้องพบกับข้อกล่าวหาที่ไม่มีมูลจำนวนมาก แม้ทางบริษัทจะพยายามแก้ไข แต่ก็ยังถูกใส่ความกิจกรรมที่ถูกกฎหมายรวมทั้งยังเป็นที่ยอมรับในหมู่การโฆษณาออนไลน์ทั้งเชิงการเมืองและพาณิชย์

นิตยสารฟรี Hamburger ออกแถลงการณ์กรณีมีภาพปกนิตยสารเล่มล่าสุดที่ยังจัดหน้าไม่เสร็จถูกเผยแพร่ออกไป โดยระบุว่าเป็นการ "แฮก" เว็บไซต์ ทำให้ภาพจำนวนหนึ่งหลุดออกมา

แถลงการณ์ระบุว่าภาพเหล่านั้นเป็นการอัพโหลดรอการเผยแพร่ และมีเฉพาะทีมงานที่เห็นข้อมูลเท่านั้น โดยไม่มีรายละเอียดอื่นอีก เท่าที่ผมลองเข้าไปดูเว็บ Hamburger เองก็ใช้ระบบ slug ทั้งหมด การเดาชื่อ URL เพื่อเข้าหน้าเว็บล่วงหน้าได้จึงน่าจะยากพอสมควร แต่หากมีการเผลอเปิด directory listing ไว้ในบางส่วนก็คงทำให้ภาพ/วิดีโอหลุดออกไปได้

ตัวแถลงเรียกร้องให้ทุกคนช่วยกันหยุดเผยแพร่รูป และทีมงานกำลังพิจารณาว่าจะยุติการเผยแพร่เนื้อหาทั้งหมดที่เหลือหรือไม่

SEC หรือ ก.ล.ต.ของสหรัฐฯ ออกคำสั่งปรับบริษัท Altaba หรือ Yahoo! เดิมเป็นเงิน 35 ล้านดอลลาร์ ในความผิดที่ทางบริษัทไม่เปิดเผยการรั่วไหลของข้อมูลแม้ว่าทางบริษัทจะรู้ตัวมานานแล้วก็ตาม

Yahoo! เคยยอมรับเมื่อปีที่แล้วว่า ผู้ใช้ทุกคนถูกแฮกข้อมูลทั้งหมดหลายครั้งซึ่งรวมแล้วกว่า 3 พันล้านบัญชี ซึ่งถือเป็นเรื่องสำคัญมากเพราะมีผลกระทบทั้งด้านการเงินและกฎหมาย แม้ว่าการรั่วไหลของข้อมูลจะถูกรายงานไปยังผู้บริหารระดับสูงของบริษัท แต่ทางบริษัทก็ไม่สอบสวนกรณีนี้อย่างเหมาะสมและเปิดเผยให้นักลงทุนได้รับรู้ ซึ่งเท่ากับว่าบริษัทรู้ตัวในปลายปี 2014 กว่าจะเปิดเผยครั้งแรกก็ใช้เวลาล่วงเลยไปจนถึงปี 2016 ที่ Yahoo! อยู่ระหว่างการถูกซื้อโดย Verizon

ทรูมูฟ เอช ส่งจดหมายข่าวแถลงยอมรับคำสั่งกสทช. ที่ได้รับผิดชอบความเสียหายจากข้อมูลรั่วไหล พร้อมกับยืนยันว่า "บริษัทฯ ได้ปฏิบัติตามมาตรการดังกล่าวอย่างเคร่งครัดมาโดยตลอด"

โดยตอนนี้ข้อมูลของทาง iTrueMart ได้ปิดกั้นไปเรียบร้อยแล้ว ตอนนี้ได้เปิดหมายเลข 1242 ให้ลูกค้าที่อาจได้รับผลกระทบโทรสอบถามโดยไม่มีค่าใช้จ่าย (ในการแถลงเมื่อวันอังคารระบุว่าเป็นการ whitelist เฉพาะลูกค้าที่ได้รับผลกระทบเท่านั้น) และข้อมูลส่วนบุคคลของลูกค้าโดยรวมถูกเก็บไว้ในศูนย์คอมพิวเตอร์ของบริษัทเอง และหลังจากนี้จะเพิ่มทีมรักษาความมั่นคงปลอดภัย ทั้งในบริษัทเองและทำงานร่วมกับพาร์ตเนอร์เพื่อเสริมความปลอดภัยกันต่อไป

ลูกค้า TrueMove H ที่ได้รับผลกระทบจากข้อมูลหลุดผ่าน iTrueMart เริ่มได้รับ SMS กันบ้างแล้วตามที่ทาง TrueMove H ได้ประกาศหลังเข้าพบกสทช. เมื่อวันอังคารที่ผ่านมา

น่าสนใจว่าข้อความไม่มีส่วนใดระบุยืนยันว่า "ท่านคือผู้ได้รับผลกระทบ" แต่อย่างใด ระบุเพียง "ขออภัยลูกค้าที่อาจได้รับผลกระทบ" เท่านั้น และข้อความยืนยันว่าเป็นเหตุการณ์เข้าถึงข้อมูลโดยไม่ชอบด้วยกฎหมาย พร้อมกับขอให้ไว้ใจว่าข้อมูลของลูกค้าได้รับการดูแลปกป้องด้วยมาตรฐานสูงสุด

ประเด็นข้อมูลหลุดของ iTruemart บน S3 ยังเป็นที่สนใจของบ้านเรา แต่เคสแบบนี้ไม่ใช่เรื่องใหม่ เพราะเกิดขึ้นมาแล้วบ่อยครั้ง

ล่าสุดมีนักวิจัยความปลอดภัย Chris Vickery จากบริษัท UpGuard ค้นพบสตอเรจบน S3 ที่เปิดเป็น public bucket และมีข้อมูลส่วนบุคคลเยอะถึง 48 ล้านบัญชี ขนาดไฟล์รวม 1.2TB

ข้อมูลนี้เป็นของบริษัทข้อมูลชื่อ Localbox ที่แทบไม่มีใครรู้จัก แต่ทำธุรกิจด้านเก็บสะสมข้อมูลผู้ใช้จากโซเชียลยี่ห้อต่างๆ เช่น Facebook, Twitter, LinkedIn รวมถึงเว็บไซต์อสังหาริมทรัพย์ Zillow ด้วย โมเดลธุรกิจของ Localbox ชัดเจนว่านำข้อมูลไปขายเพื่อการโฆษณา และหน้าเว็บไซต์ของบริษัทระบุว่ามีอีเมลของผู้ใช้งาน 650 ล้านอีเมล ที่ยืนยันตัวตนได้ว่าเป็นใคร

นายสืบสกุล สกลสัตยาทร กรรมการผู้จัดการบริษัทแอสเซนด์คอมเมิร์ซจำกัด ซึ่งดูแล WeMall หรือ iTrueMart กล่าวถึงกรณี TrueMove H เผลอเปิดสตอเรจบน S3 ออกสาธารณะ ทำให้ข้อมูลภาพบัตรประชาชนลงทะเบียนเลขหมายหลุดจำนวนมาก โดยระบุว่าทาง iTrueMart มีระบบรักษาความปลอดภัยที่ดี การตั้งค่าเป็นสาธารณะนั้นไม่มีส่วนทำให้ถูกล้วงข้อมูล แต่ผู้ล้วงข้อมูลตั้งใจใช้เครื่องมือพิเศษที่ชื่อ Bucket Stream ในการเข้าถึงไฟล์ดังกล่าว ซึ่งโดยรวมแล้วคือการเจาะข้อมูลด้วยเครื่องมือพิเศษถึง 3 ชั้น ซึ่งคนทั่วไปไม่สามารถเข้าถึงหรือใช้งานได้ ต้องเป็นระดับผู้เชี่ยวชาญเท่านั้น

ผู้ใช้ Facebook บางรายน่าจะได้เห็นการแจ้งเตือนจาก Facebook แล้วเนื่องจากวันที่ 9 เมาษายนที่ผ่านมา Facebook ประกาศจะแจ้งผู้ใช้ 87 ล้านรายให้รู้ว่าข้อมูลถูก Cambridge Analytica เก็บไป

โดยการแจ้งเตือนมีสองรูปแบบคือ แบบปกติ ที่จะให้กด Go To Apps And Websites เพื่อปิดการใช้งานแอปนอกได้ง่ายๆ เมื่อกดเข้าไปแล้วจะแสดงหน้าจอแอปพลิเคชั่นต่างๆ ให้เห็นง่ายๆ ว่ามีแอปนอกอะไรที่ยัง active ผ่าน Facebook อยู่ ผู้ใช้สามารถเลือกปิดแอปที่ไม่ใช้แล้ว หรือปิดทั้งหมดเลยก็ได้

และในกรณีที่หากผู้ใช้ Facebook คนไหน ได้รับผลกระทบโดยตรงจากการเก็บข้อมูลของแอป This Is Your Digital Life ที่มีความเกี่ยวข้องกับ Cambridge Analytica หน้าจอจะแสดงปุ่ม See How You're Affected ให้กด เพื่อดูว่าเราได้รับผลกระทบอย่างไรบ้าง

จากเหตุการณ์ข้อมูลภาพบัตรประชาชนที่ใช้ลงทะเบียนซิมในเครือข่าย TrueMove H หลุดออกสู่สาธารณะ ที่ต่อมา True แถลงว่าเป็นข้อมูลบัตรประชาชนของลูกค้าที่ลงทะเบียนซิมกับ iTrueMart และกลายเป็นข่าวครึกโครมในช่วงนี้

ล่าสุด พล.อ.อนุพงษ์ เผ่าจินดา รัฐมนตรีว่าการกระทรวงมหาดไทย ได้กล่าวต่อสื่อถึงกรณีนี้ว่าข้อมูลที่หลุดเป็นเพียงข้อมูลหน้าบัตรประชาชนเท่านั้น แต่ "ข้อมูลเชิงลึก" ที่อยู่ในบัตรประชาชนนั้นไม่ได้หลุดออกไป เพราะมีระบบป้องกันข้อมูลส่วนตัว ไม่สามารถมีใครเข้าถึงได้นอกจากเจ้าหน้าที่ที่รับผิดชอบ และหากเจ้าหน้าที่คนไหนที่มีส่วนทำให้ข้อมูลของประชาชนรั่วไหลก็ต้องได้รับโทษ

ที่มา - มติชน

ในขณะที่ Facebook ถูกเพ่งเล็งเรื่องปัญหาการรักษาความปลอดภัยข้อมูลส่วนบุคคล และยังถูกบางฝ่ายมองว่ามีอำนาจผูกขาดในตลาดโฆษณาดิจิทัล นำมาสู่เหตุการณ์ประวัติศาสตร์ครั้งหนึ่งของ Facebook ที่ Mark Zuckerberg ตอบคำถามวุฒิสภาเรื่องข้อมูลหลุด 1,2 ในวันที่ 10-11 เมษายนที่ผ่านมา

คำถามคือ Facebook เป็นบริษัทไอทีรายเดียวที่ถือข้อมูลผู้ใช้ไว้ในมือหรือไม่

คำตอบก็คือ ไม่ใช่อย่างแน่นอน บริษัทอื่น ยกตัวอย่างเช่น Google มีมูลค่าโฆษณาดิจิทัลอาจจะมากกว่า Facebook ถึง 2 เท่า และมีผลิตภัณฑ์ถึง 7 ตัว เช่น Gmail, YouTube และแสดงโฆษณาโดยอาศัยข้อมูลของผู้ใช้หรือความสนใจของผู้ใช้ Amazon เองก็ใช้กลยุทธ์โฆษณาเจาะกลุ่มเป้าหมายโดยใช้ข้อมูลประวัติการซื้อสินค้า และยังมีความกังวลจากผู้ใช้เรื่องลำโพงอัจฉริยะที่มีไมโครโฟนในอุปกรณ์ที่ตั้งอยู่ในบ้านเลย

Jason Kint ผู้บริหารระดับสูงของ Digital Content Next ตั้งข้อสังเกตว่าตั้งแต่ Facebook มีประเด็นฉาวข้อมูลหลุดขึ้นมา ทั้ง Twitter และ Google ก็พยายามทำตัวเงียบมาตลอด

จากประเด็นเรื่อง ข้อมูลลูกค้าหลุดของ TrueMove H ก่อให้เกิดคำถามตามมามากมาย โดยเฉพาะประเด็นเรื่องความรับผิดชอบของบริษัท และบทลงโทษต่อเหตุการณ์ที่เกิดขึ้น

คำตอบคือกรณีนี้ True ไม่ได้ทำผิดกฎหมาย เพราะว่าประเทศไทย [ยัง] ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั่นเองครับ เป็นเหตุผลที่น่าเศร้าแต่บ้านเมืองของเราเป็นเช่นนี้จริงๆ

บทความนี้จะลอง "สมมติ" เหตุการณ์จำลองขึ้นมาว่า ถ้าบ้านเรามีกฎหมายคุ้มครองข้อมูลส่วนบุคคล แล้ว True จะมีความผิดอะไรบ้างจากกรณีข้อมูลหลุดครั้งนี้

หลัง Mark Zuckerberg ตอบข้อสงสัยกรณีข้อมูลหลุด สมาชิกวุฒิสภาก็วางแผนเสนอกฎหมายให้ Facebook และบริษัทไอทีอื่นยกระดับความโปร่งใส ให้เจ้าของข้อมูลควบคุมข้อมูลตัวเองมากขึ้น และทางบริษัทต้องแจ้งให้เจ้าของข้อมูลรู้ภายใน 72 ชั่วโมงหลังข้อมูลหลุด