พบข้อมูลคนไทย 67 ล้านราย รั่วไหลจากหน่วยงานรัฐ จี้รัฐรื้อระบบทั้งหมด
เปิดปมข้อมูลคนไทย 67 ล้านรายรั่วไหลจากหน่วยงานรัฐ เปิดปมข้อมูลคนไทย 67 ล้านรายรั่วไหลจากหน่วยงานรัฐ เปิดปมข้อมูลคนไทย 67 ล้านรายรั่วไหลจากหน่วยงานรัฐ
KEY
POINTS
- ข้อมูลคนไทยกว่า 67 ล้านรายที่เชื่อมโยงกับสิทธิการรักษาพยาบาลรั่วไหล ประกอบด้วยข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เลขบัตรประชาชน ที่อยู่ และข้อมูลครอบครัว
- สาเหตุหลักคาดว่าไม่ได้เกิดจากการแฮ็กเซิร์ฟเวอร์โดยตรง แต่มาจากการขโมยรหัสผ่าน (Credential Theft) จากคอมพิวเตอร์ของเจ้าหน้าที่รัฐที่ติดมัลแวร์
- ผู้ไม่หวังดีอ้างว่าสามารถใช้บอตดึงข้อมูลจากระบบได้แบบเรียลไทม์ เพื่อนำไปใช้หลอกลวงประชาชนในรูปแบบที่เจาะจงและน่าเชื่อถือมากขึ้น
- มีการวิจารณ์ว่าแม้หน่วยงานรัฐจะแก้ไขช่องโหว่ทางเทคนิคแล้ว แต่กลับไม่มีการแจ้งเตือนภัยให้ประชาชนทราบเพื่อเฝ้าระวัง
การรั่วไหลของข้อมูลส่วนบุคคลไม่ใช่เรื่องใหม่ แต่กรณีที่มีการเปิดเผยว่าข้อมูลของประชาชนกว่า 67 ล้านรายอาจถูกเข้าถึงโดยผู้ไม่หวังดี ได้กลายเป็นคำถามสำคัญต่อระบบความมั่นคงปลอดภัยไซเบอร์ของภาครัฐไทย ว่าแท้จริงแล้วช่องโหว่อยู่ที่ระบบ หรืออยู่ที่ตัวบุคคล
นายธนารัตน์ กัววัฒนาพันธ์ ประธานเจ้าหน้าที่บริหาร (CEO) ของ DomeCloud ผู้เชี่ยวชาญด้านซอฟต์แวร์และเทคโนโลยี Blockchain เปิดเผยข้อมูลจากการติดตามกลุ่มซื้อขายข้อมูลส่วนบุคคลในแพลตฟอร์ม Discord และ Telegram โดยระบุว่าพบชุดข้อมูลขนาดใหญ่ซึ่งเชื่อมโยงกับฐานข้อมูลด้านสิทธิการรักษาพยาบาลของประชาชนไทย รวมกว่า 67.1 ล้านราย
ข้อมูลดังกล่าวไม่ได้มีเพียงชื่อ-นามสกุลหรือเลขประจำตัวประชาชนเท่านั้น แต่ยังรวมถึงที่อยู่ สิทธิการรักษาพยาบาล และในบางกรณียังมีข้อมูลที่เกี่ยวข้องกับบิดามารดา ซึ่งอาจเพิ่มความเสี่ยงต่อการนำไปใช้ก่ออาชญากรรมในรูปแบบที่ซับซ้อนมากขึ้น
จุดอ่อนที่คอมพิวเตอร์ของเจ้าหน้าที่รัฐ
หนึ่งในประเด็นสำคัญที่ นายธนารัตน์ตั้งข้อสังเกต คือ การรั่วไหลจำนวนมากไม่ได้เกิดจากการแฮ็กเซิร์ฟเวอร์โดยตรง แต่เกิดจากการขโมยข้อมูลยืนยันตัวตน (Credential Theft) โดยเครื่องคอมพิวเตอร์ของเจ้าหน้าที่ที่ติดมัลแวร์จากการใช้โปรแกรมเถื่อน ดาวน์โหลดไฟล์ที่ไม่ปลอดภัย หรือเข้าเว็บไซต์ที่มีความเสี่ยง อาจทำให้รหัสผ่านที่ถูกบันทึกไว้ในเครื่องถูกดึงออกไป และนำไปใช้เข้าสู่ระบบจริงได้
หากข้อสันนิษฐานดังกล่าวเป็นจริง ปัญหาจะไม่ได้อยู่ที่การเจาะระบบส่วนกลางเพียงอย่างเดียว แต่หมายถึงจุดอ่อนของผู้ใช้งาน ซึ่งกลายเป็นประตูให้ผู้ไม่หวังดีเข้าถึงข้อมูลภาครัฐได้
แฮกเกอร์ค้นข้อมูลขาย แบบ Real-time
นายธนารัตน์ อธิบายรูปแบบการทำงานของกลุ่มผู้ไม่หวังดีที่เปลี่ยนแปลงไปว่า จากการขายไฟล์ฐานข้อมูลเพียงครั้งเดียว กลุ่มเหล่านี้กล่าวอ้างว่าใช้ระบบ Bot ภายใน Discord หรือ Telegram โดยให้ผู้ซื้อส่งเลขบัตรประชาชนหรือข้อมูลที่ต้องการค้นหา ก่อนที่ระบบจะไปดึงข้อมูลกลับมาแบบ Real-time ผ่านช่องโหว่ของระบบที่ยังเปิดใช้งานอยู่
ทั้งนี้ หากเป็นเช่นนี้จริง หมายความว่าความเสียหายอาจไม่ได้เกิดขึ้นเพียงครั้งเดียว แต่เกิดการสืบค้นข้อมูลซ้ำได้ตลอดเวลาจนกว่าจะมีการปิดช่องโหว่ อย่างไรก็ตาม รูปแบบดังกล่าวเป็นข้อมูลจากการให้สัมภาษณ์ของผู้เปิดเผยข้อมูล และยังควรได้รับการตรวจสอบจากหน่วยงานที่เกี่ยวข้องเพิ่มเติม
จากข้อมูลหลุด สู่ "การหลอกลวงแบบเจาะจง"
สิ่งที่น่ากังวลยิ่งกว่าการรั่วไหล คือ การนำข้อมูลไปใช้งาน เมื่อผู้ไม่หวังดีมีทั้งชื่อ ที่อยู่ เลขประจำตัวประชาชน สิทธิการรักษา และข้อมูลความสัมพันธ์ในครอบครัว ย่อมสามารถสร้างสถานการณ์หลอกลวงที่แนบเนียนกว่าการสุ่มโทรศัพท์ทั่วไป
ตัวอย่างเช่น การแอบอ้างว่าเป็นเจ้าหน้าที่โรงพยาบาล การอ้างข้อมูลสิทธิการรักษาที่ถูกต้อง หรือการอ้างถึงบุคคลในครอบครัวเพื่อสร้างความน่าเชื่อถือ ซึ่งอาจเพิ่มโอกาสที่ประชาชนจะตกเป็นเหยื่อของมิจฉาชีพ
รหัสผ่านรั่วไหลกระจายในหลายหน่วยงาน
นอกเหนือจากกรณีข้อมูล 67 ล้านราย นายธนารัตน์ยังเปิดเผยผลการสำรวจข้อมูลรหัสผ่านรั่วไหลของหน่วยงานภาครัฐหลายแห่ง พบว่ากระทรวงมหาดไทย และกระทรวงศึกษาธิการพบข้อมูลรั่วไหลแตะระดับ 500,000 รายการ ซึ่งเป็นเพดานสูงสุดของระบบตรวจสอบ ขณะที่กระทรวงการคลังแม้จำนวนข้อมูลรั่วไหลจะน้อยกว่า แต่กลับถูกสืบค้นข้อมูลบ่อยครั้งที่สุด สะท้อนว่าเป็นเป้าหมายสำคัญของผู้ไม่หวังดี
แม้รหัสผ่านจำนวนมากจะหมดอายุหรือไม่สามารถใช้งานได้แล้ว แต่ข้อมูลเหล่านี้ยังสามารถถูกนำไปวิเคราะห์รูปแบบการตั้งรหัสผ่าน หรือใช้ประกอบการโจมตีแบบ Phishing ที่เจาะจงบุคคลได้
ข้อวิจารณ์ต่อการทำงานของภาครัฐ
นายธนรัตน์ระบุว่า แม้จะมีการแจ้งเตือนไปยังหน่วยงานเจ้าของระบบ , สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ตั้งแต่เดือนมีนาคม พ.ศ. 2569 จนมีการแก้ไขรูรั่วทางเทคนิคเสร็จสิ้น แต่ปัญหาใหญ่ที่พบคือหน่วยงานกลับไม่มีการประกาศแจ้งเตือนภัยให้ประชาชนทราบ
ทั้งนี้ สิ่งที่สำคัญที่สุดคือการแจ้งภัยเพื่อให้คนระวังตัว ซึ่งมีประโยชน์มากกว่าการมุ่งเน้นแค่การลงโทษ เพราะข้อมูลที่หลุดไปแล้วไม่สามารถนำกลับคืนมาได้ ในส่วนของ PDPC ได้ตั้งข้อสังเกตว่าที่ผ่านมามักจะใจดีกับหน่วยงานรัฐด้วยกันเมื่อเกิดข้อมูลรั่วไหล แต่กับภาคเอกชนกลับมีการไล่บี้และตรวจสอบอย่างหนักจนน่าสงสัย
อีกหน่วยงานหนึ่งที่ควรมีบทบาทเชิงรุก คือ ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล - PDPC Eagle Eye ที่ควรทำหน้าที่สแกนหาความเสี่ยงและแจ้งเตือนก่อนเกิดเหตุ แต่ผลงานที่ผ่านมากลับเน้นเพียงการไปให้ความรู้หรือจัดอบรมตามหน่วยงาน ซึ่งไม่สอดคล้องกับบทบาทการเป็นหน่วยงานเชิงรุก
ปัญหาไซเบอร์ไม่ใช่แค่เรื่องเทคโนโลยี
นายธนารัตน์เสนอให้ทุกหน่วยงานรัฐเร่งเปลี่ยนจากระบบ Username และ Password แบบเดิม ไปสู่ระบบยืนยันตัวตนหลายชั้น (Multi-Factor Authentication: MFA) หรือระบบ ThaID เพื่อปิดความเสี่ยงจากการขโมยรหัสผ่าน
ควบคู่กับการยกระดับมาตรการภายใน เช่น การห้ามใช้โปรแกรมเถื่อน การตรวจสอบเครื่องคอมพิวเตอร์ของเจ้าหน้าที่ การตรวจสอบข้อมูล Credential Leak อย่างสม่ำเสมอ และการสร้างวัฒนธรรมด้าน Cyber Security ภายในองค์กร
ยื่น กมธ.จี้หน่วยงานรัฐ รับผิดชอบ
ผู้เชี่ยวชาญตั้งข้อสังเกตว่า แม้จะมีการอุดช่องโหว่ของระบบแล้ว แต่ประชาชนซึ่งอาจได้รับผลกระทบกลับไม่ได้รับการแจ้งเตือนอย่างเป็นทางการ เพื่อให้ระมัดระวังการถูกนำข้อมูลไปใช้หลอกลวง
ด้วยเหตุนี้ตนจึงนำเรื่องเข้าสู่กรรมาธิการที่เกี่ยวข้อง เพื่อผลักดันให้เกิดการตรวจสอบข้อเท็จจริง การชี้แจงต่อสาธารณะ และการยกระดับมาตรฐานความปลอดภัยของข้อมูลภาครัฐ
ท้ายที่สุด กรณีนี้อาจไม่ได้เป็นเพียงข่าวข้อมูลรั่วไหลอีกหนึ่งเหตุการณ์ แต่เป็นบททดสอบสำคัญของระบบดิจิทัลภาครัฐไทย ว่าจะสามารถสร้างความเชื่อมั่นให้กับประชาชนได้เพียงใด ในวันที่ "ข้อมูล" กลายเป็นทรัพยากรที่มีมูลค่ามหาศาล และความเสียหายจากการรั่วไหลอาจไม่ได้สิ้นสุดลงเมื่อช่องโหว่ถูกปิด
