ในขณะที่หลายคนกำลังเพลินกับการเล่นน้ำสงกรานต์ 14 เมษายนที่ผ่านมา TrueMove H กลับมีเผือกร้อนอยู่ในมือเพราะข่าวการทำงานผิดพลาดจนทำให้ข้อมูลลูกค้ากว่า 46,000 รายหลุดสู่สาธารณะ ล่าสุดเผือกร้อนนี้มีผู้ยินดีรับไปแล้วคือบริษัท iTruemart ผู้ดูแลเว็บไซต์ iTruemart ที่ปัจจุบันคือ WeMall ซึ่งแม้จะออกจดหมายแถลงและขออภัยกับเหตุการณ์นี้ แต่ชาวโซเชียลจำนวนไม่น้อยคิดในใจว่าเป็นการชี้แจงที่ทำให้ TrueMove H รอด และยังคลางแคลงสงสัยในแถลงการณ์นี้
สิ่งที่บอกชัดว่ามีความสงสัยในแถลงการณ์ของ iTruemart คือการตั้งกระทู้ใน Pantip ถึงข้อข้องใจเกี่ยวกับ iTruemart ว่ามีส่วนทำให้ข้อมูลหลุดจริงหรือไม่ เพราะ iTruemart เป็นเพียงเว็บช็อปปิ้งธรรมดา
ไทม์ไลน์วิกฤติ iTruemart
เว็บไซต์ techtalkthai.com รายงานถึงกรณีที่ Niall Merrigan นักวิจัยด้านความมั่นคงระบุกับเว็บไซต์ certsandprogs.com ว่า TrueMove H ผู้ให้บริการมือถือ 4G รายใหญ่ของประเทศไทย เผลอตั้งค่าระบบคลาวด์ AWS S3 Bucket ไม่รัดกุมพอ ทำให้ข้อมูลรูปบัตรประชาชนของลูกค้ากว่า 46,000 รายรั่วไหลสู่สาธารณะ โดยในข่าวชิ้นแรก ระบุว่า TrueMove H ได้ดำเนินการแก้ไขและปิดสิทธิ์การเข้าถึงจากภายนอกเป็นที่เรียบร้อยแล้ว
“ข้อมูลบัตรประชาชนของลูกค้าถูกเก็บตั้งแต่ปี 2015 ถึง 2018 รวมทั้งสิ้น 32 GB หรือประมาณ 46,000 ราย โดยข้อมูลปี 2016 มีจำนวนมากที่สุด คือ 14.5 GB ในขณะที่ปี 2017 และ 2018 มีข้อมูล 6.6 GB และ 2.2 GB ตามลำดับ” เนื้อหาของ techtalkthai ระบุ โดยบอกว่า Niall Merrigan ได้แจ้งเรื่องไปยัง TrueMove H ตั้งแต่ 8 มีนาคมที่ผ่านมา แต่เมื่อผ่านไป 2 – 3 สัปดาห์แล้วเรื่องกลับไม่คืบหน้า กระทั่ง Merrigan แจ้งทาง TrueMove Care ว่าจะเผยแพร่เรื่องนี้สู่สาธารณะ
เบ็ดเสร็จแล้ว กว่าที่ TrueMove Care จะจัดการปิดสิทธิ์การเข้าถึงภาพบัตรประชาชนเหล่านี้ก็กินระยะเวลานานเกิน 1 เดือน (8 มีนาคม – 12 เมษายน) ทั้งหมดนี้ไม่มีรายละเอียดว่าข้อมูลหลุดถึงมือใครบนความถี่เท่าใด
ถัดมา 2 วัน TrueMove H จึงออกแถลงการณ์ว่าบริษัทไม่ได้นิ่งนอนใจ ได้ดำเนินการแก้ไขเพื่อป้องกันความปลอดภัยของลูกค้าแล้ว โดยคำชี้แจงฉบับเต็มในจดหมายแถลงการณ์มีดังนี้
“จากกรณีที่มีข่าวเรื่องข้อมูลลูกค้าที่ลงทะเบียนใหม่ถูกเปิดเผยในที่สาธารณะนั้น ไอทรูมาร์ทรู้สึกเสียใจและขออภัยลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น ซึ่งทันทีที่ทราบเรื่องดังกล่าว บริษัทฯ ก็มิได้นิ่งนอนใจ ได้ดำเนินการตรวจสอบอย่างละเอียดทันที
ซึ่งกรณีดังกล่าวเกิดขึ้นกับระบบของไอทรูมาร์ท ไม่ส่งผลกระทบกับระบบของทรูมูฟ เอช เป็นการ hack ข้อมูลลูกค้าที่ได้ซื้อมือถือพร้อมแพคเกจบริการทรูมูฟ เอช โดยมีการลงทะเบียนซิมผ่านช่องทาง iTrueMart
โดยล่าสุดทีมงานไอทรูมาร์ท ได้ดำเนินการแก้ไขเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูลลูกค้าแล้ว พร้อมทั้งจะมีการส่งแจ้งเตือนไปยังลูกค้ากลุ่มดังกล่าว เพื่อให้ทราบถึงมาตรการของบริษัทที่จะดำเนินการเพื่อป้องกันความปลอดภัยของข้อมูลลูกค้า หากถูกนำไปใช้ในทางที่ไม่ถูกต้อง
ทีมงานไอทรูมาร์ท ขอยืนยันว่า บริษัทให้ความสำคัญสูงสุด เรื่องการปกป้องและรักษาข้อมูลส่วนบุคคลของลูกค้ามาโดยตลอด และสำหรับกรณีที่เกิดขึ้นนี้ บริษัทฯมิได้นิ่งนอนใจ โดยกำลังทำงานอย่างใกล้ชิดกับองค์กรผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ระดับโลก รวมถึงการดำเนินการทางกฎหมายเพื่อให้มั่นใจได้ว่า ข้อมูลของลูกค้าจะได้รับการดูแลปกป้อง ด้วยมาตรฐานสูงสุดทั้งในด้านเทคโนโลยีและทางกฎหมาย”
บางส่วนยังสงสัย?
สิ่งที่เรานักการตลาดสรุปได้ คือแถลงการณ์นี้พยายามชี้แจงว่า TrueMove H ไม่มีความผิด แต่ความผิดเป็นของ iTrueMart เท่านั้น อย่างไรก็ตาม ผู้บริโภคบางกลุ่มยังสงสัยในคำตอบนี้ สังเกตได้ชัดจากการตั้งกระทู้ของผู้ใช้ Pantip รายหนึ่งที่บอกว่าไม่เคยรู้จัก iTrueMart มาก่อน และเมื่อค้นข้อมูลพบว่า iTrueMart คือเว็บช็อปปิ้ง ทำให้ยิ่งข้องใจ
อย่างไรก็ตาม มีการตอบกระทู้ว่า itruemart (wemall) นั้นไม่ต่างจากร้านขายโทรศัพท์มือถือตามห้าง ที่สามารถซื้อเครื่องพร้อมเปิดเบอร์ได้ ทำให้ต้องเก็บข้อมูลบัตรประชาชนผู้ใช้บริการ
แถลงการณ์นี้ถูกมองว่าไม่ใช่การทำตามตำรา “รับผิดครึ่งเดียว” แต่เป็นการป้องกันไม่ให้ความผิดลุกลามไปทั้งองค์กร ซึ่งถือว่า True จัดการกับวิกฤติได้ดีทีเดียว.