แฮกเกอร์ประกาศปล่อยข้อมูลคนไทย 500,000 รายชื่อ ต่อสัปดาห์ หลังจากที่เขาได้แฮกไปจากข้อมูลส่วนบุคคลของสมาชิกบัตร The1 ของกลุ่มเซ็นทรัล ไปเป็นจำนวน 5,108,826 รายการ เมื่อวันที่ 19 พฤศจิกายนที่ผ่านมา ซึ่งข้อมูลที่ขโมยไป ก็มีทั้งชื่อ นามสกุล หมายเลขสมาชิก หมายเลขบัตรประชาชน ประเทศ เบอร์โทรศัพท์ และอีเมล แล้วเรื่องนี้มีรายละเอียดยังไง เราสรุปมาให้แล้ว
ไทมไลน์การขโมยข้อมูล
ประกาศแฮกสำเร็จ
เมื่อวันที่ 19 พฤศจิกายนที่ผ่านมา แฮกเกอร์ที่ใช้ชื่อว่า 0mid16B (เป็นแฮกเกอร์รายเดียวกับที่เจาะระบบ Black Canyon เมื่อช่วงต้นเดือนพฤศจิกายนที่ผ่านมา) ประกาศว่าได้แฮกข้อมูลส่วนบุคคลของสมาชิกบัตร The1 ซึ่งเป็นบัตรสมาชิกของเซ็นทรัล ที่เอาไว้สะสมแต้มเวลาซื้อสินค้า โดยแฮกเกอร์ได้ข้อมูลไปเป็นจำนวน 5,108,826 รายการ ประกอบด้วย ชื่อ นามสกุล หมายเลขสมาชิก หมายเลขบัตรประชาชน ประเทศ เบอร์โทรศัพท์ และอีเมล ขนาดข้อมูลรวมคือ 582MB
ติดต่อไปที่ฝ่ายบริหาร
จากนั้น เขาบอกว่าได้ติดต่อไปยังฝ่ายบริหารของ Central Group แล้วถามว่าพร้อมที่จะรับมือกับเหตุการณ์ข้อมูลหลุดนี้แล้วหรือยัง?
ซึ่งเขาได้ให้สัมภาษณ์ กับ databreaches ว่าหลังจากติดต่อไปทาง Central ก็มีคนไม่เปิดเผยชื่อติดต่อมา เพื่อขอให้ระงับการเผยแพร่ข้อมูล และไม่มีการหารือถึงเรื่องเงิน มีแต่คำถามมากมายว่า ทางเขาขโมยข้อมูลไปได้อย่างไร เขาติดต่อฝ่ายบริหารไม่ได้ และคิดว่าคงถึงเวลาเผยแพร่ข้อมูลแล้ว
ประกาศขายบนดาร์กเว็บ
หลังจากเจรจาล้อมเหลว เขาจึงตัดสินใจขายข้อมูลส่วนบุคคล จำนวน 5,108,826 รายการ บนดาร์กเว็บ พร้อมทำวิดีโอตรวจสอบข้อมูลให้ดูเพื่อยืนยันว่าข้อมูลที่เขาแฮกมาเป็นของจริง เพื่อดึงดูดผู้ซื้อ
จวกบริษัทไทยไม่ใส่ใจปกป้องข้อมูลลูกค้า คนไทยไม่รู้จักเรียกร้องสิทธิตัวเอง
โดยแฮกเกอร์บอกว่า “บริษัทไทยไม่ใส่ใจเรื่องการปกป้องข้อมูล เพราะจะไม่มีอะไรเกิดขึ้นกับพวกเขา ไม่มีค่าปรับตาม พ.ร.บ. คุ้มครองผู้บริโภค และไม่มีความรับผิดชอบใดๆ” พร้อมบอกคนไทยไม่เรียกร้องสิทธิของตัวเอง
แฮกเกอร์ออกจดหมายแถลง หลังมีนักข่าวไทยติดต่อไปจำนวนมาก
โดยแฮกเกอร์บอกว่า มีนักข่าวชาวไทยติดต่อหาเขาไปเป็นจำนวนมาก เลยได้ออกจดหมายชี้แจงถึงการแฮกดังกล่าวว่า
- มีนักข่าวไทยจำนวนมากที่ขอให้ชี้แจงและชี้แจงเกี่ยวกับการแฮ็กบริษัทไทยล่าสุดของเรา
- สังคมไทยเคยคิดบ้างไหม? ใครเป็นผู้เก็บข้อมูล? ใครเป็นผู้รับผิดชอบในการปกป้องข้อมูล? บริษัทเหล่านี้เคยจ่ายเงินชดเชยความผิดพลาดของตนเองหรือไม่? ประชาชนเคยได้รับการชดเชยเมื่อข้อมูลส่วนตัวถูกขโมยหรือไม่? รัฐบาลเคยบังคับใช้กฎหมาย PDPA กับบริษัทเหล่านี้หรือไม่?
- แค่ค้นหาใน Google ก็ได้รู้แล้ว ในช่วง 5 ปีที่ผ่านมา มีบริษัทและหน่วยงานภาครัฐของไทยกี่แห่งที่ถูกแฮ็กข้อมูล มีใครถูกขโมยข้อมูลไปบ้าง มีใครถูกลงโทษจากการรั่วไหลของข้อมูลบ้าง ชื่อดังอย่าง True Corp, 3BB, AIS, ThaiBev, Honda, Toyota, Central Group, CP ALL และอีกมากมาย บริษัทใหญ่ๆ เหล่านี้ล้วนถูกแฮ็กข้อมูล และมีรายงานข่าวต่างประเทศ และข้อมูลส่วนตัวถูกขโมยไปหลายสิบล้านรายการ แต่บริษัทเหล่านี้เคยถูกลงโทษบ้างหรือไม่
- สิ่งที่เราทำนั้นผิด เราไม่เคยบอกว่ามันถูกต้อง แต่หากไม่มีแฮกเกอร์อย่างเรา บริษัทต่างๆ จะสนใจที่จะปกป้องข้อมูลส่วนบุคคลของผู้ใช้หรือไม่ กฎหมาย PDPA ในประเทศไทย – กฎหมายที่ไม่มีการบังคับใช้ก็เป็นเพียงคำพูดเท่านั้น
- ลองคิดดูสิ ทำไมบริษัทต่างๆ ถึงไม่ประกาศเรื่องการละเมิดข้อมูล ทำไมสื่อไทยในประเทศไม่รายงานเรื่องการละเมิดข้อมูลของไทย แต่สื่อต่างประเทศกลับรายงานเรื่องนี้
ยก 2 เคสตัวอย่าง
- Black Canyon ถูกแฮ็กเมื่อเดือนตุลาคม แต่พวกเขาแจ้งให้ลูกค้าทราบเมื่อไหร่ ในวันแรก Black Canyon โกหกต่อสาธารณะว่ามีเพียงบัญชี LINE เท่านั้นที่ถูกแฮ็ก พวกเขาประกาศความจริงหนึ่งสัปดาห์หลังจากที่เราเผยแพร่ข้อมูลทั้งหมด และพวกเขารู้ว่าพวกเขาไม่สามารถโกหกได้อีกต่อไป
- “Central Group” ยังปฏิเสธข่าวขโมยข้อมูลส่วนตัว 5 ล้านราย สังคมไทยรู้หรือไม่ว่า “Central Group” นำข้อมูลส่วนตัวลูกค้าของ “The1” ไปขายโฆษณาแบบเจาะกลุ่มเป้าหมายไปยังบริษัทอื่นผ่าน The 1 Business Ads พวกเขาได้รับผลประโยชน์จากการใช้ข้อมูลส่วนบุคคลของลูกค้า ตอนนี้ข้อมูลลูกค้าถูกขโมยไป พวกเขาไม่ควรจะต้องรับผิดชอบต่อการไม่ปกป้องข้อมูลหรือ?
บทสรุป:
รู้สิทธิของตัวเอง เมื่อคุณสมัครสมาชิก คุณเคยยินยอมให้บริษัทสร้างรายได้จากข้อมูลส่วนบุคคลของคุณหรือไม่ ต่อสู้เพื่อสิทธิของตนเอง หากข้อมูลส่วนตัวถูกขโมย คุณเคยได้รับการชดเชยหรือไม่? PDPA ไม่ใช่แค่กฎหมาย แต่เป็นสิทธิตามกฎหมายของคุณ
ประกาศปล่อยข้อมูลบางส่วน 5 แสนรายชื่อ/สัปดาห์
หลังจากที่ลงขายข้อมูลทั้งหมดแล้ว แฮกเกอร์คนดังกล่าวยังได้ประกาศปล่อยข้อมูลที่หลุดบางส่วน ซึ่งประกอบไปด้วย ชื่อ นามสกุล ประเทศ แล้วก็เลขบัตรประชาชน โดยตัดส่วนที่เป็นข้อมูลการติดต่อออกไป
ที่มา DataBreaches, 0mid16B