วันพฤหัสบดี, พฤษภาคม 2
อัพเดตวันนี้ =>
Advertisement
Android

my SSO : แอปฯ ภาครัฐทำลายความไว้ใจอีกครั้ง ปล่อยข้อมูลส่วนตัวของประชาชน ไร้การป้องกัน

ดร.อเสข ขันธวิชัยโดย 1 นาทีในการอ่าน

 

สำหรับผู้อ่านหลาย ๆ ท่าน ผมเชื่อว่ามีความรู้และเข้าใจเพียงพอในการท่องอินเทอร์เน็ตหรือใช้งานแอปพลิเคชันต่าง ๆ ที่ต้องระมัดระวังการสูญหายหรือขโมยข้อมูลส่วนบุคคล เพราะหากข้อมูลเหล่านั้นหลุดไปอยู่ในมือมิจฉาชีพ เขาอาจใช้ข้อมูลเหล่านั้นไปใช้ขโมยเบอร์โทรเราโดยขอซิมการ์ดใหม่ เปิดบัญชีธนาคารในชื่อของเรา หรือหลอกลวงคนใกล้ชิดและตัวของเราเองก็เป็นได้ ดังนั้นสิ่งสำคัญที่เราต้องคำนึงก็คือ ใช้แอปพลิเคชันหรือเข้าเว็บไซต์ที่น่าเชื่อถือ

Advertisement

 

แต่มันก็น่าขำเสียนี่กระไร? แอปพลิเคชันจากแหล่งที่น่าเชื่อถือที่สุดอย่างแอปพลิเคชันของภาครัฐ ที่ออกโดยหน่วยงานของรัฐ กลับเป็นตัวปล่อยข้อมูลของเราให้ถูกขโมยได้ง่าย ๆ แม้จะไม่ใช่เพราะความตั้งใจ แต่มันแสดงให้เห็นถึงความไม่ใส่ใจและไร้คุณภาพของผู้พัฒนา รวมถึงหน่วยงานเจ้าของแอปฯ นั้น ๆ

 

เกิดปัญหาอะไรขึ้นกับ my SSO ?

wp_20161204_018

ล่าสุดผู้พัฒนาซอฟต์แวร์และนักความมั่นคงปลอดภัยของระบบสารสนเทศหลายรายก็ได้ออกมาเปิดเผยความหละหลวมของแอปฯ my SSO ที่พัฒนาโดย CAT Telecom Public Co., Ltd. หรือ กสท ซึ่งเป็นแอปพลิเคชันสำหรับผู้ประกันตนกับทางประกันสังคม ที่สามารถใช้เลขหมายบัตรประชาชนเพื่อเข้าไปตรวจสอบสถานะประกันสังคม ทั้งข้อมูลโรงพยาบาลและเงินสะสม ปัญหานี้ถูกค้นพบและรายงานปัญหากันในสังคมออนไลน์ ตั้งแต่วันที่ 2 ธันวาคม 2559 ที่ผ่านมา นั่นคือ การลงทะเบียนเข้าใช้งานในแอปฯ my SSO นั้น ไม่มีการยืนยันตัวบุคคลเลย ทำให้ใครก็ตามที่มีหมายเลขบัตรประจำตัวประชาชนก็สามารถเข้าถึงข้อมูลส่วนตัวเราได้เลย ซึ่งหมายเลขนี้มันไม่ได้หายากอะไรอยู่แล้ว ไม่ว่าจะดูจากสำเนาที่เราเคยถ่ายเอาไว้ หรือภาพบัตรประจำตัวประชาชนที่เราเคยสมัครสมาชิกออนไลน์บางตัว หรือแม้แต่การเดาสุ่มก็ยังทำได้ไม่ยาก เพราะใน Google บอกวิธีสร้างหมายเลขบัตรประจำตัวประชาชนเอาไว้แบบละเอียดเลย

สำหรับขั้นตอนการลงทะเบียนมีเพิ่มเติมนิดหน่อยหลังจากนั้น คือ เมื่อเราลงทะเบียนแล้ว จะได้เลขประจำตัวผู้ใช้งาน User ID มาหนึ่งตัว เป็นเลข 6 หลัก เพื่อความสะดวกในการใช้งาน โดยไม่ใส่ใจเรื่องความปลอดภัยเลย เพราะรหัส 6 ตัวนี้ไม่มีหลักป้องกันความปลอดภัยเลย สรุปว่าไม่ว่าจะทางไหนผู้ไม่หวังดีก็มีสิทธิ์เข้าถึงข้อมูลส่วนตัวเราได้ง่าย ๆ เลยครับ

 

Update: ล่าสุดในช่วงบ่ายของวันที่ 3 ธ.ค. 2559 พบว่าทีมงานผู้พัฒนาได้ปิดระบบแล้ว จนปัจจุบันยังใช้งานไม่ได้ครับ

Apple iPhone SEScreenshot_20160525-124704-horz

ปัญหาการละเลยเรื่องความปลอดภัยของแอปฯ และเว็บไซต์ของภาครัฐนี้มีมาให้เห็นได้ทุกวี่วัน ผู้พัฒนาและหน่วยงานที่รับผิดชอบควรระลึกเอาไว้ว่า อย่าใช้ความน่าเชื่อถือของตัวเองให้สิ้นเปลืองนัก ไม่เช่นนั้นสักวันมันจะหมดลงไปได้ ในส่วนที่เราตำหนิท่านไม่หวังจะกดให้จมดิน แต่หวังให้พัฒนาให้ดีขึ้น แถมเป็นกำลังใจให้ด้วยอีกต่างหาก หวังว่าเหตุการณ์เช่นนี้จะไม่เกิดขึ้นอีกในประเทศไทยนะครับ หรืออย่างน้อย ๆ แค่ไม่เกิดกับหน่วยงานเดิม แอปฯ เดิม เราก็ว่าดีมากแล้วจริง ๆ

 

บทความที่เกี่ยวข้อง:

1. ใครมีประกันสังคมโหลดแอพ MY SSO สามารถดูสิทธิได้ว่าเราอยู่ รพ.อะไร เงินเก็บสะสมมีเท่าไหร่แล้ว สะดวกมาก

2. จับเข่ามานั่งเคลียร์: อันตรายของระบบสแกนลายนิ้วมือ รูม่านตา และใบหน้า คำตอบที่ดีสุดตอนนี้คือการยืนยันตัวตน 2+ ขั้นตอน ใช่หรือไม่?

 

ที่มา:

  1. https://www.facebook.com/thainetizen/posts/10154834039958130:0
  2. https://www.facebook.com/thainetizen/posts/10154834039958130:0
  3. https://www.facebook.com/longhackz/photos/a.1560357644219017.1073741828.1559669844287797/1768143033440476/?type=3
  4. https://www.facebook.com/LookHin/posts/10154676435246067
แชร์
Avatar photo

อาจารย์มหาวิทยาลัยแห่งหนึ่ง ที่มีความสุขที่ได้ส่งต่อความรู้ให้คนอื่น ไม่อยากจำกัดเฉพาะนักศึกษาตัวเอง จึงได้ลงมือเขียนสิ่งที่ตนเองรู้ลงในเว็บไซต์ AppDisqus แห่งนี้ ด้วยความสุขและยินดีที่ได้เป็นส่งต่อและรับความรู้เพื่มจากผู้อ่าน มันช่างเป็นสถานที่แห่งการแลกเปลี่ยนเรียนรู้ที่ดีจริง ๆ //ขอบคุณ AppDisqus นะครับ

Advertisement

เรื่องที่ เกี่ยวข้อง

Exit mobile version