ข้อมูลรั่วไหลจากความสะเพร่าของผู้ให้บริการ รู้ตัวอีกทีก็มีเบอร์แปลกๆ โทรเข้ามาหาจนรับไม่ไหว ต้องทำอย่างไรดี!?
หากใครที่ติดตามข่าวบนหน้า Facebook Feed ในช่วงนี้ก็คงจะเห็นข่าวเกี่ยวกับข้อมูลของผู้ใช้งาน LINE ที่มีรายงานเตือนจาก Nikkei Asia ว่า “มีข้อมูลส่วนตัว 400,000 รายการที่รั่วไหลจากมัลแวร์ที่อยู่ในคอมพิวเตอร์ของพนักงานในเกาหลีใต้” และข้อมูลเหล่านั้นเป็นข้อมูลชื่อ อีเมลของลูกค้า พนักงานของบริษัทและพันธมิตรธุรกิจอีกด้วย
ข่าวนี้เป็นประเด็นร้อนในทั้งญี่ปุ่นและเกาหลีจนทำให้ทาง LY Corporation บริษัทแม่ในญี่ปุ่นของ LINE ต้องออกมายอมรับว่าข้อมูลของผู้ใช้งานที่รั่วไหลออกมาถึง 400,000 รายนั้นเป็นความจริง และเปิดเผยว่ากว่าครึ่งของข้อมูลที่รั่วไหลนั้นเป็นของผู้ใช้งานชาวญี่ปุ่น แต่อย่างไรก็ตามยังไม่มีการเปิดเผยว่าข้อมูลส่วนตัวของผู้ใช้งานในประเทศที่นิยมใช้ LINE อย่างเกาหลีใต้ ไต้หวัน และประเทศไทยนั้นมีการรั่วไหลออกมาหรือไม่และรั่วไหลทั้งหมดกี่ราย
สำหรับคนไทยแล้ว ข่าวนี้กลับเป็นข่าวที่คนไทยไม่ได้ตื่นตัวมากนักถ้าเทียบกับข่าวอื่นๆ ที่ส่งผลกระทบโดยตรงกับเรา ส่วนหนึ่งอาจจะเป็นเพราะว่านี่ไม่ใช่ครั้งแรกที่มีผู้ให้บริการทำข้อมูลส่วนบุคคลรั่วไหล ถ้าลองมองข่าวในช่วง 6 ปีมานี้จะพบว่าผู้ให้บริการในไทยเองก็มีการทำข้อมูลรั่วไหลเป็นจำนวนหลายครั้งด้วยเช่นกัน ไม่ว่าจะเป็นที่ว่าการอำเภอถลางที่ใช้กระดาษรียูสจากสำเนาใบมรณบัตร, ข้อมูลส่วนตัวของนักเรียนที่สอบ TCAS รั่วไหลในปี 2564 และล่าสุดกับเหตุการณ์ที่ 9Near ประกาศขายข้อมูลส่วนตัวของคนไทยจำนวน 55 ล้านคนจากหน่วยงานรัฐในเดือนมีนาคม 2566
แฮกเกอร์และความหละหลวม สาเหตุของข้อมูลรั่วไหล
นอกจากข่าวเรื่องข้อมูลรั่วไหลที่กล่าวมาข้างต้นแลว เมื่อวันที่ 21 พฤศจิกายน 2566 นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ก็ได้ออกมาให้ข้อมูลที่น่าสนใจอีกว่า “ความจริงแล้วมีหน่วยงานที่ทำข้อมูลรั่วไหลมากกว่าที่เราคิด” โดยเผยว่ามีทั้งหมด 1,158 หน่วยงานที่พบข้อมูลประชาชนรั่ว และมีอีก 21 หน่วยงานมีความเสี่ยงระดับสูง ซึ่งระบุในตอนท้ายว่าหน่วยงานมีการปล่อยปละละเลยให้ข้อมูลรั่ว อีกทั้งยังมีการเปิดเผยข้อมูลที่ไม่เหมาะสม อีกทั้งระบบ Cybersecurity ของหน่วยงานต่างๆ โดยเฉพาะหน่วยงานของรัฐก็ยังมีรอยรั่วอยู่อีกด้วย
ซึ่งสอดคล้องกับข้อมูลจาก PDPA Thailand ที่ได้ให้ข้อมูลเกี่ยวกับสาเหตุหลักของการรั่วไหลของข้อมูลไว้ว่ามาจาก 2 สาเหตุหลักด้วยกันคือ จากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ และจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม จนทำให้เจ้าของข้อมูลต่างพบกับความเสี่ยงบนโลกออนไลน์ไม่ว่าจะเป็น การถูกขโมยตัวตนเพื่อไปทำเรื่องผิดกฎหมายการนำข้อมูลไปใช้โฆษณาทางการตลาดโดยที่ไม่ยินยอม รวมถึงการถูกรบกวนจาก SMS และสายโทรเข้ามายังโทรศัพท์มือถือ หรือที่เป็นที่รู้จักกันในชื่อของ “แก๊งคอลเซ็นเตอร์”
สิ่งที่ควรทำหลังจากทราบว่าข้อมูลของเรารั่วไหลจากผู้ให้บริการ
แน่นอนว่าไม่มีใครที่ต้องการให้ข้อมูลส่วนบุคคลของตัวเองอย่างชื่อ นามสกุล เบอร์โทรหรือเลขด้านหลังบัตรประจำตัวประชาชนถูกนำไปใช้ประโยชน์โดยบุคคลที่ 3 แต่การที่ข้อมูลส่วนบุคคลรั่วไหลจากความสะเพร่าของผู้ให้บริการเป็นสิ่งที่เราไม่สามารถควบคุมได้ แล้วเราควรทำอะไร เพื่อป้องกันความเสียหายที่ตามมา?
ทางด้าน TB-CERT หรือสมาคมธนาคารไทยก็ออกมาให้คำแนะนำเกี่ยวกับวิธีรับมือที่น่าสนใจและค่อนข้างครอบคลุมไว้ซึ่งเราก็นำมาสรุปเป็น 5 ข้อหลักด้วยกันคือ
1. ตรวจสอบข้อมูลที่รั่วไหลจากผู้ให้บริการรายนั้นๆ ว่ามีข้อมูลอะไรที่รั่วไหลออกไปบ้างและสามารถก่อให้เกิดความเสี่ยงอะไร
2. เปลี่ยนรหัสผ่านที่ใช้ในระบบผู้ให้บริการรายนั้น ไม่ว่าจะเป็นอีเมล บัญชีโซเชียลมีเดีย รหัสผ่านแอปพลิเคชันของธนาคาร
3. หากรหัสผ่านเก่าของเราเป็นข้อมูลส่วนตัว เช่น ใช้เบอร์โทร วันเดือนปีเกิดเป็นรหัสผ่าน ให้เปลี่ยนรหัสผ่านนั้นทันที
4. หากใช้รหัสผ่านเดียวในระบบอื่นๆ ที่มีความเสี่ยงในการถูกเข้าถึงได้ก็ควรเปลี่ยนรหัสผ่านนั้นด้วย อย่างเช่นเมื่อข้อมูลใน LINE รั่วก็ควรเปลี่ยนรหัสผ่าน Facebook หรืออีเมลที่ใช้รหัสผ่านเดียวกัน
5. ระมัดระวังการให้ข้อมูลส่วนตัวกับผู้ให้บริการผ่านทางโทรศัพท์ซึ่งเป็นช่องทางที่มักจะถูกโจรกรรมข้อมูลได้มากที่สุด อย่าลืมตรวจสอบความน่าเชื่อถือกับเจ้าหน้าที่ที่เกี่ยวข้องโดยตรงทุกครั้ง
ข้อมูลของเรารั่วไหล สามารถฟ้องผู้ให้บริการได้หรือไม่?
เมื่อมีข่าวการรั่วไหลของข้อมูลจากผู้ให้บริการเกิดขึ้น คำถามที่หลายคนมักจะสงสัยก็คือ “เราจะสามารถฟ้องร้องผู้ให้บริการได้หรือไม่” ซึ่งคำตอบก็คือ “ได้” ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเราสามารถเข้าไปที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคศ.) ได้
แต่อย่างไรก็ตาม ในกฎหมายก็มีการระบุไว้ว่า การร้องเรียนนี้จะเปิดให้ร้องเรียนเป็นรายบุคคลไป ไม่ใช่การร้องเรียนแบบกลุ่ม แต่ถ้าหากผู้เสียหายต้องการฟ้องร้องแบบกลุ่มกฎหมายก็ยังมีช่องทางให้เข้าไปฟ้องอาญาและฟ้องแพ่งเป็นคดีผู้บริโภคได้
และสุดท้าย ไม่ว่าผู้ให้บริการจะมีความหละหลวมหรือมีระบบป้องกันที่ไม่รัดกุมพอ แต่เมื่อข้อมูลเกิดการรั่วไหลขึ้น ผู้ที่ได้รับผลกระทบก็ยังคงเป็นผู้บริโภคและส่งผลต่อความเชื่อมั่นของผู้ให้บริการอีกด้วย ผู้ให้บริการจึงควรเห็นความสำคัญ มีการอบรมเรื่องความปลอดภัยไซเบอร์อย่างจริงจัง เพื่อให้ข้อมูลของผู้บริโภคซึ่งถึงเป็นสมบัติที่ล้ำค่าในยุคของ Big Data ไม่รั่วไหลจนนำมาซึ่งความเสียหายที่ยากที่จะแก้ในอนาคต
อ้างอิง
– ข้อมูลส่วนตัวถูกแฮก รั่วไหล ทำยังไง : bolttech – https://bit.ly/49X3r2x
– 6 สิ่งที่ต้องทำ เมื่อข้อมูลส่วนตัวรั่วไหลจากผู้ให้บริการ : สมาคมธนาคารไทย – https://bit.ly/3QUZvXD
– สรุปเหตุการณ์ข้อมูลรั่วไหล 2561-2566 : PDPA Thailand – https://bit.ly/3QX98F9
– LINE operator says 400,000 personal data items possibly leaked : Nikkei Asia – https://s.nikkei.com/3usZqCM
– Notice and apology regarding information leakage due to unauthorized access : LY Corporation – https://bit.ly/3R2bFOa
#trend
#Data
#PDPA
#missiontothemoon
#missiontothemoonpodcast
