พบการรั่วไหลของข้อมูล ผู้บริโภค ในธุรกิจของไทย

จากข้อมูลล่าสุดเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลของ ผู้บริโภค ที่เกิดจากการโจมตีทางไซเบอร์ ทำให้เกิดคำถามขึ้นมาว่าหน่วยงานที่เกี่ยวข้องกับเรื่องนี้อย่าง กระทรวงดิจิทัลพัฒนาเศรฐกิจและสังคม สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จะจัดการกับเรื่องที่เกิดขึ้นนี้อย่างไร

6 เดือนแรกของปี 65 ธุรกิจชั้นนำของไทยถูกโจมตีอย่างหนัก

ข้อมูลจากเว็บไซต์ databreaches.net ได้เปิดเผยให้เห็นว่ามีองค์กรธุรกิจในประเทศไทยถูกโจมตีและนำเอาข้อมูลส่วนบุคคลที่องค์กรเก็บเอาไว้ ไปทำการเปิดขายในตลาดมืด ซึ่งเรื่องความปลอดภัยของระบบเป็นหนึ่งในสิ่งที่จะต้องพิจารณาในการจัดการเรื่อง PDPA ซึ่งพรบ. นี้บังคับใช้อย่างเต็มรูปแบบแล้วตั้งแต่ต้นเดือนมิถุนายนที่ผ่านมา

ข้อมูลการละเมิด ข้อมูลผู้บริโภค ที่มีการเปิดเผยมีดังนี้

• บริษัท เฟรเซอร์ส พร็อพเพอร์ตี้ ประเทศไทย จำกัด (มหาชน) ถูกแฮก ฐานข้อมูลส่วนบุคคลลูกค้าจำนวน 312,834 รายการ และฐานข้อมูลของพนักงานในองค์กร ที่เป็นข้อมูลทางการเงินและข้อมูลสำคัญของในองค์กร
• บริษัท สหการประมูล จำกัด (มหาชน) ถูกแฮก ข้อมูลส่วนบุคคลมากกว่า 30,000 รายการของสมาชิก
• บริษัท ศรีกรุง โบรกเกอร์ จำกัด ถูกขโมยข้อมูลมากกว่า 369 GB ประกอบไปด้วยบันทึกของลูกค้าประมาณ 3.28 ล้านรายการ และบันทึกการทำธุรกรรมของตัวแทน 462,980 รายการ  อีกทั้งยังได้มีการเข้าไปแฮกในฐานข้อมูล 724.co.th  ของบริษัทในเครือคือบริษัท 724 มาร์เก็ต จำกัด กับสำเนาเอกสารประจำตัวที่สแกนและเอกสารเงินกู้ รวมเป็นข้อมูล 1.75 TB
• บริษัท เบทเตอร์เวย์ (ประเทศไทย) จำกัด หรือ มิสทีน ถูกแฮกฐานข้อมูลลูกค้าจำนวน 20 ล้านคนและข้อมูลของตัวแทนขายจำนวน 10 ล้านคน  โดยเป็นไฟล์ข้อมูล 180 GB และไฟล์ 60 GB ซึ่ง Desorden ได้เจาะเข้าไปในเซิร์ฟเวอร์ 20 แห่ง ของกลุ่มมิสทีน ซึ่งระบบจัดเก็บข้อมุลดังกล่าวประกอบไปด้วย ข้อมูลตัวแทนขายของลูกค้า, พนักงาน, ซัพพลายเออร์, การส่งออก, อีคอมเมิร์ซ, ข้อมูลแผนกทรัพยากรบุคคลและการเงิน รวมแล้วเป็นข้อมูลที่ระบุตัวบุคคลได้กว่า 20 ล้านรายการ ซึ่งมีข้อมูลส่วนบุคคลอย่าง หมายเลขบัตรประจำตัวประชาชน, วันเดือนปีเกิด, ชื่อ, ที่อยู่ รวมถึงรายละเอียดการติดต่อโฆษณา

Desorden เป็นใครทำอะไรไว้กับ Central Restaurants Group

หากยังจำกันได้ในเดือนตุลาคม 2564 กลุ่ม Desorden ได้ทำการโจมตี Central Restaurants Group (CRG) ในประเทศไทย โดยทำการควบคุมเซิร์ฟเวอร์ทั้งหมด 5 เครื่อง ซึ่งข้อมูลทั้งหมดประกอบด้วยไฟล์ข้อมูลมากกว่า 400 GB ข้อมูลที่ดึงออกมานั้นเป็นฐานข้อมูลลูกค้าเคยพักที่โรงแรมหรูทั้ง 70 แห่ง ระหว่างปี 2546 ถึงปี 2564  ซึ่งการเข้าโจมตีเป็นการเข้าถึงข้อมูลและทำการควบคุมข้อมูลเป็นระยะเวลา 10 วัน โดยข้อมูลที่ถูกควบคุมเป็นข้อมูลของผู้เข้าพักและผู้ที่จองล่วงหน้า ข้อมูลประกอบด้วยชื่อ, หมายเลขหนังสือเดินทาง, หมายเลขประจำตัวประชาชน,  โทรศัพท์, อีเมล และเวลาเช็คอิน รวมทั้งหมดกว่าล้านรายการ โดยกลุ่มได้ทำการเรียกค่าไถ่เป็นมูลค่า 900,000 เหรียญสหรัฐ ซึ่งทางคณะบริหารกลุ่มเซ็นทรัลไม่รับข้อเรียกร้องค่าไถ่การแฮกข้อมูลที่เกิดขึ้น

ได้เวลาทบทวนเรื่องความปลอดภัยของข้อมูล ผู้บริโภค อย่างจริงจัง

จากข้อมูลและกรณีศึกษาข้างตน ทำให้เราพบว่าข้อมูลส่วนบุคคลเป็นที่หมายปองของเหล่าผู้ไม่หวังดี หลายครั้งที่มีการโจมตีเข้ายึดข้อมูลแล้วทำการเรียกค่าไถ่ หลายครั้งที่มีการโจมตีและล้วงข้อมูลส่วนบุคคลเอาไปขายทอดตลาด ในช่วงเวลาที่ผ่านมากก่อนจะมีการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล เรื่องนี้อาจจะไม่ค่อยตื่นเต้นมากมายนักเพราะคนที่เดือนร้อนเมื่อข้อมูลส่วนบุคคลรั่วไหลก็คือองค์กรธุรกิจว่าจะทำการปิดหรือแก้ไขอย่างไร

แต่นับจากนี้ไปทุกอย่างจะไม่เหมือนเดิม เมื่อ PDPA บังคับใช้ องค์กรที่ทำการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลมีหน้าที่จะต้องปกป้องข้อมูลเหล่านั้นอย่างได้มาตรฐาน อีกทั้งยังต้องทำการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเมื่อพบว่ามีการรั่วไหลของข้อมูลที่มีความเสี่ยง อีกทั้งอาจจะต้องออกมาตรการเยียวยาเจ้าของข้อมูลอีกด้วย ตอนนี้เป็นยุคของผู้บริโภคที่จะได้รับสิทธิอย่างเต็มรูปแบบ ในการที่จะให้องค์กรใช้ข้อมูลส่วนบุคคลของตนเอง จึงเป็นหน้าที่ขององค์กรต่างๆ ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล ต้องทำการปกป้องข้อมูลตามมาตรฐานการรักษาความปลอดภัยให้กับข้อมูลที่เก็บไว้ในระบบ

อ้างอิง: databreaches.net

บทความแนะนำ: วิธีรับมือ Call Center ของผู้บริโภค