TrueMove H ทำข้อมูลบัตรประชาชนรั่วหลุดกว่า 46,000 ไฟล์ ผ่าน AWS S3

เมื่อวันที่ 14 เมษายนที่ผ่านมา มีข่าวที่น่าตกใจเกี่ยวกับการหลุดรั่วของข้อมูลที่เป็นรูปสแกนบัตรประจำตัวประชาชนเพื่อใช้ในการยืนยันตัวตนของทางทรูมูฟเอช เป็นจำนวนมหาศาล ทาง Zcooby ขอขยายข่าวส่วนนี้เพิ่มครับ

โดยจุดเริ่มต้นนี้เกิดจาก Niall Merrigan นักวิจัยด้านความปลอดภัย ได้พบปัญหาในส่วนที่ว่า  พบ  bucket ที่มีโฟลเดอร์ชื่ว่า truemoveh/idcard อยู่ภายใน พร้อมกับโฟลเดอร์ย่อยตามปีและเดือน (truemoveh/idcard/YYYY/MM/FILENAME.)

ปัญหาสำคัญก็คือ โฟลเดอร์นี้ เข้าถึงได้โดยไม่มีการตั้งรหัสป้องกัน 

เมื่อเปิดโฟลเดอร์นั้นออกมา พบว่าเป็น ไฟล์ภาพบัตรประชาชน (มีทั้ง .jpg และ .pdf) โดยไฟล์ตัวอย่างขีดคร่อมไว้ว่า “ใช้เพื่อลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น”

ทั้งโฟลเดอร์ truemoveh/idcard/ มีข้อมูลรวมทั้งหมด 32 กิกะไบต์ แบ่งดังนี้

  • ปี 2016 ปริมาณข้อมูล 14.5 กิกะไบต์
  • ปี 2017 ปริมาณข้อมูล 8.3 กิกะไบต์
  • ปี 2018 ปริมาณข้อมูล 2.2 กิกะไบต์

โดยภาพสำเนาบัตรประชาชนนี้มีมากกว่า 46,000 ภาพ!!

การแก้ปัญหาจากทาง Truemove H

ทาง Niall Merrigan ได้ทำการติดต่อกับทาง TrueMove H ผ่านทาง Facebook เมื่อวันที่ 8 มีนาคมที่ผ่านมา และได้รับคำตอบว่าให้อีเมลไปทาง truemovecare@truecorp.co.th

เมื่ออีเมลมา เจ้าหน้าที่ได้ตอบกลับมาว่าให้โทรเข้าสำนักงานใหญ่ จนกระทั่งวันที่ 4 เมษายนทาง truemovecare จึงได้ตอบกลับอีกครั้งว่ากำลังแก้ไข

จนเมื่อวันที่ 12 เมษายน 2561 ทาง Niall Merrigan ได้ทำการตรวจสอบสตอเรจว่าปิดไปแล้วเมื่อวันที่ 12 เมษายนที่ผ่านมา รวมเวลาจากการแจ้งครั้งแรกนานกว่าหนึ่งเดือน

 

ที่มา

https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html#axzz5Cd9nXAla

Be the first to comment

Leave a comment

Your email address will not be published.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.