[วิกฤตครั้งใหญ่] จะเป็นอย่างไร ? หากมีข้อมูลส่วนตัวกว่า 55 ล้านรายชื่อ ที่มีครบทั้งชื่อที่อยู่และเบอร์ติดต่อ หลุดออกไปในโลกออนไลน์ จนตกไปอยู่ในมือของเหล่าผู้ไม่หวังดี ความเสียหายและความวุ่นวายคงไม่อาจประมาณการได้ ล่าสุดมีข่าวใหญ่ระดับประเทศอย่าง 9Near แฮ็กเกอร์นิรนาม ที่ขู่จะปล่อยข้อมูลดังกล่าวทั้งหมดในเร็ว ๆ นี้ จนนำไปสู่การตั้งคำถามมากมาย โดยเฉพาะมาตรการป้องกันข้อมูลของคนในประเทศ ในบทความนี้จะมาสรุปเหตุการณ์ทั้งหมดกันครับ
15 มีนาคม : พบแฮ็กเกอร์ที่ชื่อ 9Near
ย้อนกลับไปในวันที่ 15 มีนาคมที่ผ่านมา มีรายงานพบแฮ็กเกอร์รายหนึ่งที่ใช้ชื่อว่า “9Near” ประกาศขายข้อมูลคนไทยกว่า 55 ล้านราย (ประกาศขายในวันที่ 14 มีนาคม) ที่มีทั้งชื่อ วันเกิด เบอร์โทร ที่อยู่ และหลายเลขบัตรประชาชน ในเว็บบอร์ดของต่างประะเทศอย่าง BreachForums โดยข้อมูลทั้งหมดนี้ถูกเผยว่ามาจากหน่วยงานแห่งหนึ่งในไทย นับเป็นข้อมูลที่มากพอสำหรับเหล่ามิจฉาชีพในโลกออนไลน์ โดยเฉพาะเหล่าสแกมเมอร์ (Scammer) และแก๊งคอลเซ็นเตอร์ (Call Center Gang) ที่คงจ้องตาเป็นมัน เพราะสามารถเอาไปหาตัวเหยื่อได้อย่างง่ายดายมาก
อนึ่งในวันเดียวกันนี้เอง เจ้าของเว็บ BreachForums ได้ถูกเจ้าหน้าที่ของสหรัฐฯ เข้าจับกุมเรียบร้อยแล้ว
17 มีนาคม : ข้อมูลดังกล่าวเป็นความจริงหรือไม่ ?
จากเหตุการณ์ข้างต้นก็มีการตั้งคำถามว่า ข้อมูลที่ 9Near มีนั้น เป็นของจริงหรือไม่ ? ทางสำนักข่าว Spring News ก็ได้ออกมารายงานข่าวนี้ โดยได้เชิญ อ.ปริญญา หอมเอนก ผู้เชียวชาญด้านไซเบอร์ซีเคียวริตี้และระบบเทคโนโลยีสารสนเทศ มาพูดคุยเกี่ยวกับกรณีดังกล่าว และในรายการนี้เอง ทางคุณปริญญาก็ได้เผยว่าไม่จำเป็นต้องกังวล เพราะยังพิสูจน์ไม่ได้ว่าข้อมูลกว่า 50 ล้านนี้จะเป็นจริงหรือไม่ ทั้งยังไม่ได้เห็นไฟล์ข้อมูลแบบเต็ม ๆ ออกมาด้วย
30 มีนาคม : 9Near พิสูจน์ตน
พบเว็บไซต์ของ 9Near โดยในเว็บก็ได้เผย ‘ข้อมูลตัวอย่าง’ ที่ภายในมีข้อมูลบุคคลมากมาย ซึ่งมีชื่อกับนามสกุลครบ ส่วนเลขบัตรประชาชนกับที่อยู่มีการปกปิดเอาไว้บางส่วน ทว่าจุดที่ทำให้หลาย ๆ คนฮือฮาเลยคือ ในเว็บมีการแนบคลิป Youtube จากสำนักข่าว Spring News และใต้คลิปก็มีชื่อของ อ.ปริญญา หอมเอนก ที่เผยทั้งเลขบัตรประชาชน วันเกิด ที่อยู่ และเบอร์ติดต่อครบทั้งหมด แบบไม่มีการปิดบังใด ๆ เลย อีกทั้งยังใส่ชื่อว่าเป็นผู้สนับสนุนด้วย ล่าสุดทาง อ.ปริญญา ได้เข้าแจ้งความเรียบร้อย
จากกรณีดังกล่าว ก็เหมือนเป็นการพิสูจน์เลยว่า ข้อมูลที่มีนั้นเป็นของจริง และยังมีประเด็นใหญ่กว่านั้นคือ ในเว็บมีข้อความที่เผยด้วยว่า หากยังไม่ได้รับการติดต่อใด ๆ จากหน่วยงานหรือองค์กรไหน ที่คิดว่าข้อมูลภายในของตนเกิดการรั่วไหล ภายในวันที่ 5 เมษายนนี้ จะทำการเผยแพร่ข้อมูลทั้งหมด และจะระบุด้วยว่าหลุดมาจากที่ไหนบ้าง
ในวันเดียวกันนั้น ก็มีผู้สื่อข่าวชื่อดัง ไม่ว่าจะเป็น สรยุทธ สุทัศนะจินดา หรือ ภูดิท กำเนิดพลอย (หนุ่ม-กรรชัย) และคนอื่น ๆ ประมาณ 20 ราย ต่างได้รับ SMS จาก 9Near ซึ่งมีการระบุชื่อ เลขบัตรประชาชน ที่อยู่ และเบอร์โทร ได้อย่างถูกต้อง พร้อมกับมีลิงค์ URL ไปยังเว็บไซต์ของ 9Near อีกด้วย
31 มีนาคม : กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) แถลงข่าว
นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) พร้อมกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) สำนักงานการรักษาความมั่นคงปลอดภัยไซเบอร์ (สกมช.) และสำนักงานตำรวจแห่งชาติ (สตช.) มาร่วมแถลงข่าวถึงกรณี 9Near แฮ็กข้อมูลคนไทย 55 ล้านคน โดยเบื้องต้นได้ประสานไปยังทางผู้ให้บริการโดเมน (Domain) ของเว็บไซต์ 9Near เพื่อขอบล็อกการเข้าถึงเว็บไซต์ดังกล่าวในประเทศ และเผยบทลงโทษหนักของผู้กระทำในครั้งนี้
ทั้งนี้ตัวข้อมูลที่หลุดออกมานั้น หลาย ๆ คนมองว่ามันคือ ‘ข้อมูลที่ละเอียดอ่อน’ ซึ่งในตัวอย่างหรือในข้อความ SMS ที่ส่งไปยังผู้สื่อข่าวดัง และอีกหลาย ๆ ราย ก็มีระบุทั้งชื่อ เลขบัตรประชาชน ที่อยู่ และเบอร์โทร ซึ่งนับเป็นข้อมูลที่ช่วยให้เข้าถึงตัวบุคคลนั้น ๆ ได้อย่างง่ายดายมาก โดยข้อมูลที่ไม่สามารถเปลี่ยนแปลงได้อย่างบัตรประชาชน และที่เปลี่ยนแปลงได้ยากอย่างที่อยู่อาศัย ก็นับเป็นข้อมูลที่ไม่มีใครอยากให้ถูกเผยแพร่ออกไป นอกจากใช้ทำธุรกรรมหรือลงทะเบียนในบริการต่าง ๆ เท่านั้น ฉะนั้นจึงมีหลาย ๆ คนที่มองว่า ข้อมูลที่กำลังหลุดนี้ คือข้อมูลที่ละเอียดอ่อนอย่างแท้จริง
1 เมษายน : เว็บไซต์ 9Near ถูกสั่งปิดกั้นการเข้าถึง
หลังจากงานแถลงข่าวได้หนึ่งวัน เว็บไซต์ 9Near ได้ถูกทางดีอีเอส สั่งปิดกั้นการเข้าถึงตัวเว็บไซต์เป็นที่เรียบร้อย โดยมีการพูดถึงพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และพรบ.การพนันด้วย
2 เมษายน : 9Near ประกาศยุติการปล่อยข้อมูล
เว็บไซต์ 9Near ที่ก่อนหน้านี้ถูกสั่งปิดไป แต่ก็ยังสามารถเปิดได้ในบางครั้งหรือในบางเครื่อง ทว่าคราวนี้ไม่ได้เป็นหน้าเว็บที่มีเลขนับถอยหลังแล้ว แต่เป็นแถลงการณ์ใหม่ โดยมีการขึ้นต้นหัวข้อว่า 9Near-Hacktivist ซึ่งคำว่า “Hacktivist” ก็หมายถึงกลุ่มนักเคลื่อนไหว ที่เน้นการเทคโนโลยีในการเคลื่อนไหวทางอินเทอร์เน็ต เพื่อส่งเสริมวาระทางการเมืองหรือการเปลี่ยนแปลงทางสังคม
จากนั้นก็ประกาศในเรื่องแรกคือ OPERATION STOPPED หยุดปฏิบัติการหรือยุติการปล่อยข้อมูลแล้ว เนื่องจากมีความขัดแย้งกับผู้สนับสนุน (sponsor) และยังกล่าวด้วยว่าผู้สนับสนุนที่ว่านี้ มีแผนจะนำข้อมูลไปใช้ในทางที่ไม่ดี และเผยว่าไม่อยากทำให้เกิดความเสียหาย แต่อย่างน้อยก็ได้เห็นท่าทีของหน่วยงานในไทยแล้ว ได้เห็นแล้วว่าทางหน่วยงาน ควรมีการคำนึงถึงความปลอดภัย และความเป็นส่วนตัวของคนในประเทศอย่างไรบ้าง
ทั้งนี้ทางกลุ่ม 9Near ยืนยันว่ายังไม่ได้มีการขายข้อมูลให้กับใคร ไม่ได้ซื้อข้อมูลจากใคร (“100% technical”) อีกทั้งยังบอกอีกว่าตนเอง ไม่ได้เป็นสแกมเมอร์หรือแก๊งคอลเซ็นเตอร์แต่อย่างใดด้วย ส่วนข้อมูลที่มีอยู่ในมือนั้น เอาไว้เป็นอำนาจต่อรองที่มีเพื่อการเคลื่อนไหว ไม่ใช่เพื่อเงิน
ความน่าสนใจอีกอย่างคือ กลุ่ม 9Near ยังได้กล่าวถึงผู้สนับสนุนปริศนานี้ด้วย (เรียกว่า “Bro”) ซึ่งระบุว่าผู้สนับสนุนรายนี้ จะนำข้อมูลไปใช้เพื่อผลประโยชน์ต่อตนเอง โดยเฉพาะทางการเมือง จากนั้นก็มีการขู่ว่า จะปล่อยข้อมูลของผู้สนับสนุนดังกล่าว ซึ่งแม้จะพบกันแบบไม่ระบุตัวตน แต่ทางกลุ่ม 9Near ก็รู้ว่าเป็นใคร และบอกด้วยว่าคนไทยก็รู้จัก พร้อมยืนยันว่าจะมีการนับถอยหลังเหมือนเดิม โดยจะเร่งให้มีการเจรจาให้จบ ก่อนที่จะมีอะไรเกิดขึ้น
จากนั้นก็ทิ้งท้ายชวนใจหาย โดยเหมือนเป็นการกล่าวถึงหน่วยงานที่กำลังตามตัว (ใช้คำว่า “hunter”) ซึ่งมีการระบุว่าทางกลุ่ม ได้มีการเขียนสคริปต์ หรือโปรแกรมพิเศษตัวหนึ่ง ที่จะมีการทำงานในทุก ๆ 7 วัน เป็นเวลาถึง 10 ปี โดยโปรแกรมที่ว่า จะทำการเผยแพร่ข้อมูล (ที่คาดว่าเป็นข้อมูลส่วนตัวของคนไทย 55 ล้านคน) ออกไปแบบอัตโนมัติ ซึ่งต้องให้ทางกลุ่มมาช่วยกดหยุดผ่าน API ในทุก ๆ ครั้งเท่านั้น เพราะปัจจุบันได้มีการทำลายตัว [กุญแจ] สำหรับเข้าถึงโปรแกรมตัวนี้ไปแล้ว สรุปคือไม่มีใครหยุดได้ และสั่งให้ปิดการทำงานแบบถาวรได้ แม้ทางกลุ่ม 9Near เองก็ตาม ได้แค่กดหยุดชั่วคราว
ข่าวดีคือ ทางกลุ่มยังไม่ได้เปิดใช้งานตัวโปรแกรมนี้ แต่ก็มีการขู่ว่า หากพบคนในทีมถูกจับ ก็จะสั่งเปิดใช้งานทันที ซึ่งนี่อาจเป็นอำนาจต่อรองที่ใช้กับทางเจ้าหน้าที่โดยเฉพาะ
3 เมษายน : กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) แถลงข่าวครั้งที่ 2
ล่าสุดทางดีอีเอส ก็ได้ออกแถลงข่าวถึงกรณีของ 9Near อีกครั้ง ซึ่งก่อนแถลงการณ์นั้น ก็ได้เผยว่าพบเบาะแสของกลุ่ม 9Near แล้ว เชื่อเป็นคนในประเทศ และมีเป็นขบวนการ ส่วนแถลงการณ์รอบนี้ ก็ได้มีการเชิญหน่วยงานต่าง ๆ ในไทย ที่มีข้อมูลบุคคลอยู่ในมือขนาดใหญ่ อาทิ กระทรวงสาธารณสุข , กระทรวงแรงงาน และอีกหลาย ๆ ที่ มาร่วมพูดคุยหารือกัน ในเรื่องการป้องกันและแก้ไขช่องโหว่ของระบบที่อาจเกิดขึ้น พร้อมกำชับว่า หากมีหน่วยงานไหนทำข้อมูลรั่ว ให้รีบแจ้งด่วน และจะเร่งทำการเยียวยาผู้เสียหายด้วย
จากนั้นก็มีขอให้ทั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ และกระทรวงดิจิทัลฯ ต่อหน่วยงานต่าง ๆ ให้มีการสนับสนุนระหว่างกัน ช่วยกันรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
สุดท้ายก็มีการเร่งผลักดันการใช้ Digital ID ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล โดยมั่นใจว่าจะช่วยป้องกันการถูกขโมยข้อมูล รวมทั้งการป้องกันการหลอกลวงประชาชนจากการทำธุรกรรมออนไลน์ด้วย
บทเรียนครั้งสำคัญระดับประเทศ
มาถึงตอนนี้ ก็ยังเรียกได้ไม่เต็มปากว่า ‘พ้นวิกฤต’ เพราะยังมีแนวโน้มที่ข้อมูลส่วนบุคคลของคนไทย ยังอยู่ในมือของกลุ่ม 9Near และอาจพร้อมเผยแพร่ด้วย ซึ่งหากมีการเผยแพร์ออกไปจริง และเป็นข้อมูลจากคนไทย 55ล้านคนจริง ๆ ต่อไปหากจะมีการตามหาใครซักคน ก็สามารถค้นหาได้จากข้อมูลที่หลุดนี้ได้ เพราะมีทั้งชื่อ ที่อยู่ และเบอร์ติดต่อครบ ไปหาได้ถึงหน้าบ้าน จนอาจได้เป็นข่าวรายวัน หรือกลุ่มนักหลอกลวงในโลกออนไลน์ ก็สามารถหาเหยื่อได้ง่ายราวกับเปิด Google ส่ง SMS หรือโทรไปข่มขู่ได้สบาย ๆ จากนั้นก็หลอกไถ่เงิน หรือนำข้อมูลเลขบัตรปชช. พร้อมวันเกิด ไปทำธุรกรรมแทนเจ้าของตัวจริงก็ยังได้ นับเป็นวิกฤตระดับประเทศอย่างแท้จริง
จุดที่พอโล่งใจได้คือ ดูเหมือนทางกลุ่ม 9Near ได้ไม่มีเจตนาอยากเผยแพร่ข้อมูลออกไป แต่ก็ยืนยันไม่ได้ว่าข้อมูลจะไม่หลุดออกไป 100% เช่นกัน โดยเฉพาะในวันที่ 5 เมษายนนี้ ที่เดิมถูกกำหนดเป็นวันเผยแพร่ข้อมูลส่วนบุคคลของคนไทย ล่าสุดอาจกลายเป็นวันเผยแพร่ข้อมูล ของผู้สนับสนุนนิรนามรายนั้นแทน ซึ่งก็ต้องลุ้นว่าจะเกิดอะไรขึ้นในวันดังกล่าว
นับว่าเป็นการดีที่ทางหน่วยงานในไทยเคลื่อนไหวได้ไว และมีการร่วมพูดคุยถึงการป้องกันและการเยียวยาเพิ่มเติมแล้ว เชื่อว่าเหตุการณ์ในครั้งนี้ อาจทำให้มีการยกระดับการป้องกันข้อมูลครั้งใหญ่ในประเทศ และทำให้หลาย ๆ หน่วยงานหรือบริษัทผู้ให้บริการต่าง ๆ เห็นความสำคัญของข้อมูลส่วนบุคคลยิ่งขึ้น หวังว่าเราจะไม่ได้เห็นสิ่งที่หลายคนไม่อยากให้เกิดกันครับ