(อัปเดต: แถลง ปณท. ไม่เกี่ยวกับฐานข้อมูลลูกค้า) พบฐานข้อมูลไปรษณีย์ไทย ชื่อ เบอร์โทร เลขบัตร ปชช. หลุดกว่า 4 หมื่นรายการ

อัปเดต: ไปรษณีย์ไทยออกแถลงยืนยันว่าข้อมูลที่หลุดออกไปนั้นไม่ใช่ข้อมูลของลูกค้าแต่อย่างใด และเป็นข้อมูลเก่า ซึ่งอย่างที่บอกไปก่อนหน้านี้ ลักษณะของข้อมูลจะเป็นแนวเกมเก็บคะแนน ตรงกับแถลงการณ์ของไปรษณีย์ไทยที่ออกมาเป็นระบบ Gamification เพื่อสะสมแต้มเพื่อชิงรางวัลนั่นเอง

จากการสำรวจระบบ Gamification ที่เป็นเกมเสริมทักษะที่รั่วไหลออกมานั้น จะเป็นเกมสำหรับ “เจ้าหน้าที่นำจ่าย” ซึ่งสามารถดาวน์โหลดได้ทั้งบน Android หรือ iOS แต่ในตอนนี้ไม่มีการใช้งานระบบดังกล่าวแล้ว

อย่างที่บอกไปนั้น เกมนี้เป็นเกมสำหรับเจ้าหน้าที่ของไปรษณีย์ไทย ก็สมเหตุสมผลกับรายงานก่อนหน้านี้ที่มีข้อมูลของพนักงานเป็นส่วนใหญ่ แต่สำหรับคนที่ไม่มีข้อมูลก็สามารถลงทะเบียนใหม่ได้เช่นกัน โดยจะต้องใช้หมายเลขประจำตัวประชาชน 13 หลักในการลงทะเบียน นั่นจึงเป็นสาเหตุให้มีหมายเลขประจำตัวประชาชน 13 หลัก โดยที่ข้อมูลเหล่านี้ไม่ได้เป็นข้อมูลลูกค้าที่ใช้บริการของไปรษณีย์ไทยแต่อย่างใด


เย็นวันนี้ (4 ก.พ. 2564) มีเพจเฟซบุ๊กได้โพสต์รายงานถึงช่องโหว่เกี่ยวกับการเข้าถึงฐานข้อมูลของไปรษณีย์ไทย พบข้อมูลส่วนตัวของผู้ใช้และพนักงานหลุดออกไปกว่า 4 หมื่นรายการ โดยมีลักษณะเป็นฐานข้อมูลในบริการ Firebase Realtime Database จาก Google

เมื่อลองสืบดูแล้วนั้นข้อมูลที่หลุดออกมานั้น จะเป็นข้อมูลผู้ใช้ที่ได้ทำการลงทะเบียนเพียง 209 รายการเท่านั้น ซึ่งประกอบไปด้วยข้อมูล ชื่อ-นามสกุล, เบอร์โทรศัพท์, หมายเลขประจำตัวประชาชน 13 หลัก, และวันเดือนปีเกิด

"": {
  "birthday": "",
  "fullname": "",
  "password": "",
  "phone": "",
  "username": ""
},

ส่วนข้อมูลที่เหลือจะเป็นข้อมูลของพนักงานของไปรษณีย์ไทยกว่าอีก 40,563 รายการ นับว่าเป็นข้อมูลส่วนใหญ่ที่หลุดออกมา โดยประกอบไปด้วยข้อมูล ชื่อ-นามสกุล, เบอร์โทรศัพท์, วันเดือนปีเกิด, ฝ่าย, และแผนก ของพนักงานแต่ละคนของไปรษณีย์ไทยที่จะถูกแยกเป็น 4 ประเภท แต่จะไม่มีหมายเลขประจำตัวประชาชน 13 หลัก เหมือนกับในของส่วนข้อมูลผู้ใช้ที่เป็นการลงทะเบียน

"": {
  "birthday": "",
  "department": "",
  "firstlogin":,
  "fullname": "",
  "game1": ,
  "game2": ,
  "game3": ,
  "game4": ,
  "game5": ,
  "game6": ,
  "id": "",
  "is_player": "",
  "level": "",
  "locale": "",
  "mobilephone": "",
  "organization": "",
  "password": "",
  "phone": "",
  "position": "",
  "totalscore":,
  "user_type_3": "",
  "username": "",
  "usertype": ""
},

แต่อีกหนึ่งข้อสังเกตนั้นคือ ข้อมูลเหล่านี้ของพนักงานที่หลุดออกมา จะมีลักษณะเป็นกิจกรรมภายใน มีการเก็บแต้มด้วย ซึ่งยังไม่มีการยืนยันแต่อย่างใดว่าเป็นข้อมูลใดกันแน่

สาเหตุของการหลุดของข้อมูลในครั้งนี้คาดว่าเป็นการตั้งค่าที่อาจจะไม่ได้มีระบบป้องกันไว้ทำให้ผู้ใช้ทั่วไปสามารถเข้าถึงข้อมูลได้ โดยบริการ Firebase Realtime Database จาก Google มีระบบที่ให้นักพัฒนาหรือผู้ดูแลสามารถตั้งค่าได้ว่าจะปกป้องฐานข้อมูลด้วยวิธีการใด

แต่อย่างไรก็ตามในขณะนี้ผู้ดูแลได้ปิดการเข้าถึงของผู้ใช้ทั่วไปเป็นที่เรียบร้อยแล้ว แต่เมื่อข้อมูลหลุดมาบนโลกอินเทอร์เน็ตก็ยากที่จะลบทิ้งไปแบบไร้ร่องรอย ทั้งนี้ต้องรอไปรษณีย์ไทยว่าจะเป็นการดำเนินการในรูปแบบใดต่อไป

{
  "error" : "Permission denied"
}

พิสูจน์อักษร : สุชยา เกษจำรัส