ข้อมูลผู้สมัคร TCAS 2.3 หมื่นรายการ โดนแฮก ทปอ.แจงหลุดจริง
ข้อมูลผู้สมัคร TCAS 2.3 หมื่นรายการ โดนแฮก ประกาศขาย ทปอ.แจงหลุดจริงเป็นข้อมูล TCAS 64 ในรอบที่ 3 ไม่ใช่ข้อมูลส่วนบุคคลทั้งหมดของผู้สมัคร
ผู้สื่อข่าวรายงายว่า แฟนเพจ “หมอแล็บแพนด้า” โพสต์ข้อมูลระบุว่า ข้อมูลส่วนตัวของเด็กสอบ TCAS หลุด จำนวน 23,000 รายชื่อ แฮกเกอร์นำไปประกาศขาย มีแฟนเพจเข้าไปคอมเม้นต์แสดงความคิดเห็นจำนวนมากไปในทิศทางเดียวกันเรื่องความปลอดภัยของข้อมูลส่วนตัวของระบบราชการ
ล่าสุดพบ ประกาศที่ประชุมอธิการบดีแห่งประเทศไทย เหตุภัยคุกคามทางไซเบอร์ระบบการคัดเลือกกลางบุคคลเข้าศึกษาต่อในสถาบันอุดมศึกษา (TCAS) โดยระบุว่า ด้วยวันที่ 1 ก.พ. 2565 ปรากฏข้อมูลข่าวสารการประกาศจําหน่ายข้อมูลในอินเตอร์เน็ตจํานวน 23,000 รายการ ถูกกล่าวอ้างว่า เป็นข้อมูลส่วนบุคคลของระบบการคัดเลือกกลางบุคคลเข้าศึกษาในสถาบันอุดมศึกษา (TCAS) จากเว็บไซต์ mytcas.com
ทั้งนี้ ได้มีการแสดงข้อมูลตัวอย่าง เช่น ชื่อ นามสกุล เลขที่บัตรประจําตัว ประชาชน ผลคะแนนตามเกณฑ์การคัดเลือกของสาขาวิชาที่สมัคร เป็นต้น
ขณะนี้ ทาง ทปอ. ได้ตรวจสอบทั้งหมด ในไฟล์ตัวอย่างแล้ว พบว่า เป็นข้อมูลของระบบ TCAS64 ในรอบที่ 3 ซึ่งไม่ใช่ข้อมูลส่วนบุคคลทั้งหมดของผู้สมัคร และเป็นข้อมูลในรูปแบบ CSV ที่เจ้าหน้าที่ที่ได้รับมอบหมายของแต่ละสถาบันอุดมศึกษาดึงออกจากระบบเพื่อ ประมวลผลคัดเลือกของแต่ละสาขาวิชาที่เปิดรับในสถาบันฯ
โดยเจ้าหน้าที่สามารถเข้าถึงได้เฉพาะข้อมูลผู้สมัครใน รอบ 3 ของสถาบันนั้น ๆ ซึ่งข้อมูลในรอบ 3 ของระบบ TCAS64 มีทั้งหมด 826,250 รายการ แต่ที่ผู้ขายข้อมูล กล่าวอ้างนั้น มีเพียง 23,000 รายการ โดยคาดว่าเป็นไฟล์ที่สร้างขึ้นในช่วงเดือนพฤษภาคม 2564 ที่เจ้าหน้าที่ของ สถาบันอุดมศึกษาดึงข้อมูลคะแนนไปจัดเรียงลําดับผู้สมัคร(Ranking) ตามเกณฑ์คัดเลือกของแต่ละสาขาวิชา ซึ่ง ข้อมูลที่นําเสนอขายไม่มีผลการจัดเรียงลําดับ Ranking ของผู้สมัคร
ปัจจุบัน ทปอ. ได้ปิดระบบ TCAS64 ไปแล้วตั้งแต่เดือนธันวาคม 2564 และ สําหรับระบบ TCAS65 มีการ เปลี่ยนระบบเป็นรูปแบบใหม่ และเว็บไซต์ที่พัฒนาขึ้นใหม่ในปีนี้ มีการจัดเก็บไฟล์ข้อมูลที่มีความอ่อนไหวในรูปแบบ Private ที่ไม่สามารถเข้าถึงโดยตรงได้ การที่จะเข้าถึงไฟล์ข้อมูลได้นั้น ผู้ใช้งานระบบต้องได้รับการอนุญาตจาก ระบบ (presigned URL) ที่มีอายุในเวลาที่กําหนดเท่านั้น ซึ่งผู้ใช้งานระบบสามารถเข้าถึงข้อมูลได้ชั่วคราว พร้อม ระบบบันทึกการใช้งานอย่างละเอียด
อย่างไรก็ตาม ทปอ. ขออภัยอย่างสูงสําหรับผลกระทบที่เกิดขึ้นกับข้อมูลส่วนบุคคลที่ถูกกล่าวอ้าง ตลอด จนตระหนักถึงการรักษาความมั่นคงปลอดภัยในระบบคอมพิวเตอร์ จากเหตุการณ์ดังกล่าว จึงได้มีการตรวจสอบ ระบบและกระบวนการทํางานอย่างละเอียด ซึ่งได้รับการสนับสนุนจากสํานักงานคณะกรรมการการรักษาความ มั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และอยู่ระหว่างการรวบรวมพยานหลักฐานที่เกี่ยวข้องเพื่อดําเนินการแจ้ง ความร้องทุกข์ต่อเจ้าหน้าที่ตํารวจ และแจ้งเหตุไปยังสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อรับทราบ สถานการณ์ต่อไป
ทปอ. ขอยืนยันว่า ระบบ TCAS65 มีความปลอดภัยในการใช้งาน และ มีการเฝ้าระวังสิ่งผิดปกติ ร่วมกับ กองบัญชาการตํารวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) และ สํานักงานคณะกรรมการการ รักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) อย่างใกล้ชิด เพื่อให้คงไว้ซึ่งความน่าเชื่อถือในระบบและ กระบวนการคัดเลือกต่อไป
