พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) กล่าวถึงกรณี ตำรวจไซเบอร์ ขยายผลจากการจับเยาวชน อายุ 16 ปี ที่คอยขายข้อมูลส่วนบุคคลให้กับแก๊งโอริโอ้ จนสืบพบมีการนำข้อมูลส่วนบุคคลจากบริษัทขนส่งเอกชนชื่อดังมาขายในระบบว่า  สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ร่วมทำงานอย่างใกล้ชิดกับตำรวจไซเบอร์ พบว่า ข้อมูลที่ถูกนำออกมาขายนั้น เกิดจากระบบส่วนกลางที่เป็นฐานข้อมูลที่อยู่ของลูกค้าใช้ เอพีไอ (แอปพลิเคชัน โปรแกรมมิ่ง อินเทอร์เฟส) เชื่อมต่อไปยังระบบหลังบ้านของสาขาขนส่งทั่วประเทศทั้งบนคอมพิวเตอร์และโทรศัพท์มือถือ ผ่านการเข้ารหัสยูสเซอร์เนม พาสเวิร์ด ด้วยตัวเลข ที่มีความเสี่ยงต่อการถูกแฮก การค้นหาที่อยู่ของผู้ใช้บริการหาโดยง่ายเพียงกรอกเบอร์โทรศัพท์ก็สามารถรู้ที่อยู่บ้านปัจจุบัน นอกจากนี้ระบบยังมีการเปิดเผย ซอร์สโค้ด ให้เห็นได้ง่ายในที่สาธารณะอีกด้วย

“กรณีเยาวชนอายุ 16 นำคีย์ของระบบหลังบ้าน หรือเอพีไอ คีย์  (API Key) มาเขียนโปรแกรมครอบไว้ให้เป็นเหมือนเว็บไซต์ทั่วไป เปิดให้บริการกับกลุ่มคนที่ต้องการข้อมูลที่อยู่ สามารถใช้เบอร์โทรศัพท์เข้าไปค้นหาที่อยู่อาศัยได้ เปรียบเสมือนเป็นหน้าร้านของบริษัทขนส่งชื่อดัง จนเกิดกรณี เครือข่ายแก๊งโอริโอ้ นำเบอร์โทรศัพท์คู่กรณีไปค้นหาบ้านจนทำให้เกิดคดีในที่สุด ซึ่งเรื่องซอร์สโค้ดถูกเปิดเผย น่าจะเกิดขึ้นมากกว่า 2 ปีแล้ว แต่เยาวชนน่าจะเพิ่งทำได้เพียง 2-3 เดือน เรื่องนี้ สกมช.ได้แจ้งไปยังบริษัทขนส่งชื่อดังแล้ว 2-3 สัปดาห์ที่ผ่านมา ให้ตระหนักถึงความปลอดภัยไซเบอร์ และรับทำระบบให้ปลอดภัย รวมถึงประสานไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ให้ดูแลเรื่องนี้ต่อไปด้วย”

พล.อ.ต.อมร ชมเชย

พล.อ.ต.อมร กล่าวต่อว่า แม้ว่ากรณีดังกล่าวได้มีการปิดระบบการเข้าถึงข้อมูลแล้ว แต่เพื่อไม่ให้เกิดปัญหาซ้ำรอย บริษัทขนส่งพัสดุจึงควรเร่งแก้ไขระบบการเข้าถึงข้อมูลรวมถึงการเฝ้าระวังการเข้าถึงข้อมูลที่ผิดปกติ โดยสามารถทำได้ที่ส่วนกลาง ไม่เดือดร้อนหน้าร้านที่มีสาขาทั่วประเทศแต่อย่างใด เนื่องจากระบบนี้เป็นการทำงานจากส่วนกลางและเชื่อมต่อด้วย API ดังนี้  

-ระบบพาสเวิร์ด ต้องคาดเดายาก ควรมีกลไกตรวจสอบการป้อนพาสเวิร์ด หากผิดหลายครั้ง ควรหน่วงเวลาหรือระงับใช้ชั่วคราว

-หลีกเลี่ยงการฝัง ยูสเซอร์เนม พาสเวิร์ด, API key, Token, Secret Key ใน Source Code

-หลีกเลี่ยงการเปิดเผย ซอร์สโค้ด บนแพลตฟอร์มที่เข้าถึงได้โดยสาธารณะ (เช่น Github, Gitlab, Postman, Colab)

-จำกัดเวลา Session Token, Session Cookie ให้มีระยะเวลาที่เหมาะสม

-กำหนดให้มีการเข้ารหัสในการเรียกใช้ API เพื่อป้องกันการดักจับข้อมูล

-กำหนดให้มีกลไกในการตรวจสอบว่า ใครเข้าถึงข้อมูลของประชาชนได้บ้าง (Log การใช้งาน)

-กำหนดให้มีกลไกในการตรวจสอบการเข้าถึงข้อมูลจากผู้ใช้งานบุคคลเดียวกัน เมื่อถูกเรียกใช้งานจำนวนมากในระยะสั้น เช่น ร้านสาขาหนึ่งพบการนำเบอร์โทรศัพท์ของลูกค้าไปค้นหาที่อยู่ 500 คนต่อวัน แต่จำนวนพัสดุที่รับมีเพียง 100 ชิ้นต่อวัน เป็นต้น แสดงว่าต้องมีความผิดปกติและอาจตกเป็นเครื่องมือของมิจฉาชีพในการแฮกเข้าไปค้นหาที่อยู่ ซึ่งส่วนกลางก็ต้องมีการแจ้งเตือน ตรวจสอบ และมีการกำหนดข้อจำกัดในการค้นหาที่อยู่ ที่สำคัญคือ ต้องกำชับเรื่องการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ตาม ในต่างประเทศก็มีตัวอย่างภัยไซเบอร์จากความประมาทของนักพัฒนาหลายกรณี อาทิ โค้ดรั่วไหล กรณี นิสสัน ในปี 2564 ที่มีการตั้งค่าเซิร์ฟเวอร์ผิดพลาด ทำให้ซอร์สโค้ดถูกเปิดเผยต่อสาธารณะ, กรณีรหัสผ่านถูกแฮก ของ อูเบอร์ ในปี 2565 โดยมีการฝังรหัสผ่านในโค้ด ทำให้แฮกเกอร์พบและเข้าถึงระบบได้ และกรณี API Key หลุดของ Twitter หรือ X ในปี 2563 ด้วยการใส่ API Key ไว้ในโค้ด จนแฮกเกอร์นำไปใช้เพื่อโจมตีระบบ เป็นต้น