สำหรับผู้อ่านหลาย ๆ ท่าน ผมเชื่อว่ามีความรู้และเข้าใจเพียงพอในการท่องอินเทอร์เน็ตหรือใช้งานแอปพลิเคชันต่าง ๆ ที่ต้องระมัดระวังการสูญหายหรือขโมยข้อมูลส่วนบุคคล เพราะหากข้อมูลเหล่านั้นหลุดไปอยู่ในมือมิจฉาชีพ เขาอาจใช้ข้อมูลเหล่านั้นไปใช้ขโมยเบอร์โทรเราโดยขอซิมการ์ดใหม่ เปิดบัญชีธนาคารในชื่อของเรา หรือหลอกลวงคนใกล้ชิดและตัวของเราเองก็เป็นได้ ดังนั้นสิ่งสำคัญที่เราต้องคำนึงก็คือ ใช้แอปพลิเคชันหรือเข้าเว็บไซต์ที่น่าเชื่อถือ
แต่มันก็น่าขำเสียนี่กระไร? แอปพลิเคชันจากแหล่งที่น่าเชื่อถือที่สุดอย่างแอปพลิเคชันของภาครัฐ ที่ออกโดยหน่วยงานของรัฐ กลับเป็นตัวปล่อยข้อมูลของเราให้ถูกขโมยได้ง่าย ๆ แม้จะไม่ใช่เพราะความตั้งใจ แต่มันแสดงให้เห็นถึงความไม่ใส่ใจและไร้คุณภาพของผู้พัฒนา รวมถึงหน่วยงานเจ้าของแอปฯ นั้น ๆ
เกิดปัญหาอะไรขึ้นกับ my SSO ?
ล่าสุดผู้พัฒนาซอฟต์แวร์และนักความมั่นคงปลอดภัยของระบบสารสนเทศหลายรายก็ได้ออกมาเปิดเผยความหละหลวมของแอปฯ my SSO ที่พัฒนาโดย CAT Telecom Public Co., Ltd. หรือ กสท ซึ่งเป็นแอปพลิเคชันสำหรับผู้ประกันตนกับทางประกันสังคม ที่สามารถใช้เลขหมายบัตรประชาชนเพื่อเข้าไปตรวจสอบสถานะประกันสังคม ทั้งข้อมูลโรงพยาบาลและเงินสะสม ปัญหานี้ถูกค้นพบและรายงานปัญหากันในสังคมออนไลน์ ตั้งแต่วันที่ 2 ธันวาคม 2559 ที่ผ่านมา นั่นคือ การลงทะเบียนเข้าใช้งานในแอปฯ my SSO นั้น ไม่มีการยืนยันตัวบุคคลเลย ทำให้ใครก็ตามที่มีหมายเลขบัตรประจำตัวประชาชนก็สามารถเข้าถึงข้อมูลส่วนตัวเราได้เลย ซึ่งหมายเลขนี้มันไม่ได้หายากอะไรอยู่แล้ว ไม่ว่าจะดูจากสำเนาที่เราเคยถ่ายเอาไว้ หรือภาพบัตรประจำตัวประชาชนที่เราเคยสมัครสมาชิกออนไลน์บางตัว หรือแม้แต่การเดาสุ่มก็ยังทำได้ไม่ยาก เพราะใน Google บอกวิธีสร้างหมายเลขบัตรประจำตัวประชาชนเอาไว้แบบละเอียดเลย
สำหรับขั้นตอนการลงทะเบียนมีเพิ่มเติมนิดหน่อยหลังจากนั้น คือ เมื่อเราลงทะเบียนแล้ว จะได้เลขประจำตัวผู้ใช้งาน User ID มาหนึ่งตัว เป็นเลข 6 หลัก เพื่อความสะดวกในการใช้งาน โดยไม่ใส่ใจเรื่องความปลอดภัยเลย เพราะรหัส 6 ตัวนี้ไม่มีหลักป้องกันความปลอดภัยเลย สรุปว่าไม่ว่าจะทางไหนผู้ไม่หวังดีก็มีสิทธิ์เข้าถึงข้อมูลส่วนตัวเราได้ง่าย ๆ เลยครับ
Update: ล่าสุดในช่วงบ่ายของวันที่ 3 ธ.ค. 2559 พบว่าทีมงานผู้พัฒนาได้ปิดระบบแล้ว จนปัจจุบันยังใช้งานไม่ได้ครับ
ปัญหาการละเลยเรื่องความปลอดภัยของแอปฯ และเว็บไซต์ของภาครัฐนี้มีมาให้เห็นได้ทุกวี่วัน ผู้พัฒนาและหน่วยงานที่รับผิดชอบควรระลึกเอาไว้ว่า อย่าใช้ความน่าเชื่อถือของตัวเองให้สิ้นเปลืองนัก ไม่เช่นนั้นสักวันมันจะหมดลงไปได้ ในส่วนที่เราตำหนิท่านไม่หวังจะกดให้จมดิน แต่หวังให้พัฒนาให้ดีขึ้น แถมเป็นกำลังใจให้ด้วยอีกต่างหาก หวังว่าเหตุการณ์เช่นนี้จะไม่เกิดขึ้นอีกในประเทศไทยนะครับ หรืออย่างน้อย ๆ แค่ไม่เกิดกับหน่วยงานเดิม แอปฯ เดิม เราก็ว่าดีมากแล้วจริง ๆ
บทความที่เกี่ยวข้อง:
1. ใครมีประกันสังคมโหลดแอพ MY SSO สามารถดูสิทธิได้ว่าเราอยู่ รพ.อะไร เงินเก็บสะสมมีเท่าไหร่แล้ว สะดวกมาก
2. จับเข่ามานั่งเคลียร์: อันตรายของระบบสแกนลายนิ้วมือ รูม่านตา และใบหน้า คำตอบที่ดีสุดตอนนี้คือการยืนยันตัวตน 2+ ขั้นตอน ใช่หรือไม่?
ที่มา:
- https://www.facebook.com/thainetizen/posts/10154834039958130:0
- https://www.facebook.com/thainetizen/posts/10154834039958130:0
- https://www.facebook.com/longhackz/photos/a.1560357644219017.1073741828.1559669844287797/1768143033440476/?type=3
- https://www.facebook.com/LookHin/posts/10154676435246067