หลังเหตุการณ์ข้อมูลของ Ascend Commerce (iTrueMart/WeMall) หลุดเป็นสาธารณะ ทางบริษัทก็แถลงว่าจะทำบันทึกประจำวันให้กับผู้เสียหาย ตอนนี้ลูกค้าบางส่วนที่ติดต่อไปยัง iTrueMart/WeMall ก็เริ่มได้ข้อมูลบันทึกประจำวันกลับมาแล้ว โดยบันทึกประจำวันลงวันที่ 19 เมษายน 2561 ที่สถานีตำรวจห้วยขวาง
บันทึกประจำวันอ่านค่อนข้างยาก ผมพยายามแกะข้อความได้ดังนี้
เมื่อประมาณต้นเดือนมีนาคม 2561 ถึงประมาณวันที่ 12 เมษายน 2561 ได้มีบุคคลที่ไม่มีสิทธิ์เข้าถึงระบบคอมพิวเตอร์และข้อมูลในะรบบคอมพิวเตอร์ของบริษัทผู้แจ้ง ซึ่งเป็นระบบคอมพิวเตอร์ที่บริษัทผู้แจ้งใช้ในการเก็บไฟล์ข้อมูลเพื่อการหนึ่งการใดในการกระทำธุรกรรมของบริษัทผู้แจ้ง ซึ่งมีระบบป้องกันโดยกำหนดสิทธิ์เฉพาะให้แก่บุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูลเป็นการเฉพาะ โดยบุคคลที่ไม่มีสิทธิ์ดังกล่าวข้างต้น
บริษัทผู้แจ้งเชื่อว่ามีความเชี่ยวชาญทางอิเล็กทรอนิกส์ได้ กระทำการเพื่อเข้าถึงด้วยการใช้อุปกรณ์ หรือตัวช่วย หรือ tools บางอย่าง ในการช่วยให้เกิดความสะดวกในการมองเห็น แล้วเข้าถึงระบบข้อมูลคอมพิวเตอร์ของบริษัทผู้แจ้งได้ ซึ่งบริษัทผู้แจ้งทราบเหตุดังกล่าว เนื่องจากบุคคลผู้นั้นได้ติดต่อแจ้งให้บริษัทผู้แจ้งรับทราบ และมีการนำข้อมูลไฟล์ดังกล่าว [อ่านไม่ออก] เพียงมาส่วนออกมาเปิดเผยผ่านสื่อสังคมอิเล็กทรอนิกส์ ซึ่งการกระทำ [อ่านไม่ออก] ที่เล่ามาข้างต้นเป็นการที่บุคคลดังกล่าวสามารถเข้าถึง และนำข้อมูลที่มีอยู่ในระบบคอมพิวเตอร์ออกไปโดยไม่ได้รับอนุญาต อาจทั้งหมดหรือแค่บางส่วนของข้อมูลที่ได้จัดเก็บไว้ อันได้แก่ ข้อมูลที่เป็นไฟล์สแกนภาพบัตรประชาชนของลูกค้าที่มีการขีดคร่อม สำหรับใช้การใดอย่างหนึ่งเป็นการเฉพาะ จำนวน 11,400 ราย ซึ่งการกระทำดังกล่าวเป็นเหตุให้ผู้แจ้งได้รับความเสียหาย จึงมาลงบันทึกประจำวันไว้เป็นหลักฐาน
ร.ต.อ.สุจิน พลประภาพรชัย รอง สว.(สอบสวน) ได้รับแจ้งแจ้งไว้แล้ว ให้ลงชื่อไว้
ขอขอบคุณ คุณ Krapalm สำหรับข้อมูลและสำเนาบันทึกประจำวันนี้
Comments
[อ่านไม่ออก]
เห้อ
May the Force Close be with you. || @nuttyi
อยากนี้ผู้เสียหายไปแจ้งความเลยครับ แจ้งว่า Ascend Commerce แจ้งความเท็จ...
ก็ ... นะ
Ascend Commerce คงมีสมองจำกัดที่ดันไปฟ้อง White hat แบบนั้น ... ปล่อยไป เดี่ยวก็กลายเป็นรังผึ้งแบบ sony เอง
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
ถึงจะเป็นแนวทางที่ไม่ดี เอาจริงๆ ผมอยากให้โดนจัดหนักแบบ Sony นะครับบางทีมันก็ต้องใช้ไม้แรง แต่ถ้าไม่โดนก็ไม่จำ
น่าจะโดนอย่างแรง และก็อยากให้โดน
เคราะห์ของเหยื่อ จะไม่ใช่ itruemart นะสิครับ บัตรประชาชนของลูกค้า คือเหยื่อที่แท้ทรู งานนี้คงมีเตรียมจะเยียวยาอย่างเดียว อย่าลืมนะครับ เขาผิดแต่เขาไม่ใช่ผู้ต้องหา แต่เขาจะเป็นผู้ถูกกระทำในเชิงรับ กฏหมายดูเจตนาเสมอ
AWS และคุณ Whitehat คนที่เจอ Exploit คนนั้นต้องแจ้งความทรูเลยครับว่าแจ้งความเท็จ มีตัวแทน AWS ในประเทศไทยไหม ไม่ควรอยู่เฉยนะครับ
+1 เห็นด้วยครับ ต้องเอาให้ถึงที่สุดครับ จะได้เป็นบทเรียนไม่ให้แถหรือปัดปัญหาออกจากตัวแบบนี้อีก
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
+1 ที่งงสุดคือ AWS ทำไมนิ่งจัง หรือว่าเขายังไม่รู้เรื่อง?
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ตัวแทน AWS ที่เป็น partner ใหญ่สุดในไทย ก็ TRUE IDC ซึ่งเป็นบริษัทในเครือของ acsend นั่นละครับ 55แถมเป็น autherize trainer ด้วยนะ ดังนั้นจะต้องมีความเข้าใจใน AWS อย่างแท้จริง
เช้คเด้ พีค ใน พีค
ศิษย์หมายจะฆ่าอาจารย์ มันเป็นเช่นนี้
--ซ้ำ
กำหนดสิทธิ์โพร่ง
ทรูกำลังจะบอกว่า.. มีคนนอกแฮคมาแก้สิทธิ์ให้เป็น public?
ข้ามเรื่องข้อมูลหลุดไปก่อน เห็นลายมือละคิดว่าสน. ไม่มีคอมพิวเตอร์เหรอ
+1 สงสัยเหมือนกัน คือไม่มีระบบคอมพิวเตอร์ในการลงบันทึกประจำวันเหรอครับ? Thailand4.0 ได้แล้ว...
เด๋วโดนแฮกครับ
จริงๆก็มีแต่เคยอ่านตามเว็บต่างๆ มีประเด็นว่ามันป้องกันการแอบแก้ไขแล้วลายมือจะรู้เลยไว้ใครเป็นคนเขียน ในกรณีที่มีปัญหา แต่ถ้าวางระบบให้ดี การ log-in log-out มันจะเก็บ log ได้หมดว่าใครเป็นผู้รับผิดชอบในเคสนั้น
อีกอย่างตำรวจรุ่นเก่าไม่ถนัดใช้คอม
เคยคุยกับที่ สน.ร้อยเวรบอกว่าที่เขียนไปนี่ก็ต้องพิมพ์ลงคอมหมดอยู่ดีครับ แต่ตรงที่เขียนนี่ถือว่าเป็นหลักฐานเลยยังต้องเขียนอยู่ (งงมั้ย งง)
น่าจะพิมพ์ลงคอมแล้วปริ้นท์ออกมาเซ็นกำกับเอาเนอะ (ไม่ได้ดีที่สุด แต่ก็ดีกว่า)
กำหนดสิทธิ์ด้วยการไม่เปิดเผยลิงก์และให้ลิงก์เฉพาะคนมีสิทธิ์?
กำหนดสิทธิ์แบบทรูทรูครับ ต้องเข้าใจ
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
+1
public = กำหนดสิทธิ์เฉพาะให้คนที่ได้รับอนุญาติ สงสัยต้องเริ่มเรียนรู้ใหม่
ถึงกับต้องตั้งคำถามว่า
คือในเคสนี้ AWS เงียบๆ ยอมเป็นแพะสำหรับชาวบ้านแบบนี้เหรอ .. จัดว่าน่าสนใจทีเดียว เหมือนยังไม่เห็นอะไรจากทางฝั่ง AWS เลย คือเอาจริงๆ คนไอทีที่ทำงานให้ AWS, ขาย AWS, แนะนำ AWS ให้กับลูกค้า ต้องไปตอบคำถามแทนสินะว่ามันคือการ Bad Configuration ของบริษัท As.. ไม่ใช่การโดนเจาะ/โดนแฮค
หึหึ แบบนี้เหมือนส่วนตัวแอบรู้สึกว่า พยายามรักษา เนื้อร้าย(ที่จำเป็น) 1 Partner, แล้วทำร้าย Freelancer/Partners รายอื่นๆที่ต้องไปตอบคำถาม ไปชี้แจงเพิ่ม (แทนที่จะทำให้ ลูกค้าของลูกค้าอีกทีเชื่อมั่นในระบบ ก็ปล่อยเลยตามเลยไป) บ้านเรายิ่งทำ IT Transform ยากอยู่ ยิ่งกับลูกค้าในกลุ่ม SME ด้วยยิ่งต้องใช้เวลาอธิบายเยอะ
เอาล่ะ ถ้าเป็นแบบนั้น บางทีก็แค่คิดว่าเมื่อไรที่คู่แข่ง(หรือคู่ค้า) ของท่านคือบริษัท As.... แค่ถามย้ำว่า Public คือการจำกัดสิทธิ์เพียงบางส่วน ใช่หรือไม่ แล้วในกรณีที่ท่านเป็นคู่แข่งกับ Ascend โดยตรง โปรดถามลูกค้าว่าท่านยินดีที่จะให้บริษัทที่เข้าใจและนำเสนอว่า Public = "ข้อมูลสาธารณะ" คือข้อมูลที่มีการจำกัดสิทธิ์ให้เข้าถึงเฉพาะคนที่อนุญาต (คืออนุญาตทุกคนที่รู้ Address ด้วยวิธีการปกติ) เข้ามาดูแลงานของท่านจริงหรือ
ไม่แปลกใจเลย
** เนื่องจากถือว่า Ascend เป็นบริษัทแม่/ร่วมทุน ของ Ascend Commerce ก็ต้องมีภาระรับผิดชอบชื่อร่วมกันอยู๋ดี จะบอกว่าบริษัทลูกไม่รู้เรื่อง แต่บริษัทแม่รู้เรื่อง ก็คงอ้างได้ไม่เต็มปากนัก
เห้อ เมื่อไรจะออกหนังสือเป็นทางการยอมรับข้อผิดพลาดของตัวเอง
** อ่านข้างบนแล้วก็นึกถึง Sony ... ไม่รู้เรื่องจะบานปลายได้แค่ไหน สังคม Hacker เนี่ย ถึงจะเป็น Black Hat เค้าก็โปรเทคคนที่ทำหน้าที่ White hat กันนะ ... ยิ่งชี้ว่า white hat ทำผิดแบบนี้นะ เรื่องเป็นคดี หรือถึงหูฝั่ง Black เข้านะ ไม่อยากคิดเลยว่าบริษัทไทยแบบนี้จะผ่าน pen test / pen จริงๆ ไปได้สักกี่อัน
...11,400 ราย [ซึ่งการกระทำ]ดังกล่าวเป็นเหตุ...
ถอดความช่วยครับ (และแก้ไขให้ถูกต้อง)
แก้ไขตามทั้งอันนี้และคุณ Holy ข้างล่างแล้วครับ ขอบคุณครับ
lewcpe.com , @wasonliw
ช่วยแกะบางส่วนครับ ใส่ไว้ใน " "
อ่านแล้วก็ได้แต่เฮ้อ...
เมื่อสองเดือนที่แล้ว ระบบของ ookbee ก็สามารถเข้าถึงข้อมูลส่วนบุคคลของนักเขียนได้ โดยที่ผมเคยสมัครขายอีบุ๊ค และได้ตรวจสอบหน้าบัญชีและหน้าบัตรที่้คยอัปโหลดไป พอคลิกก็ปรากฏว่าเปิดออกมาเป็นหน้า xml มีลิ้งค์รูปภาพขึ้นต้นด้วย ookbeewriter.s3.amazonaws.com/..../.../.jpg เมื่อนำลิ้งค์ไปเปิดใน เบราเซอร์ที่มิได้ล็อกอิน ก็สามารถเปิดได้ ผมจึงได้แจ้งไปยัง ookbee ใช้เวลาทำการอยู่ 3-4 วันจึงปิดได้
ไม่นึกว่าจะเล่นไม้นี้ อย่างที่แซวไว้จริงๆ แก้ปัญหาแบบไทยๆ
คือถึงจะตีมึนแค่ไหนแทนที่จะอ้างว่าโดน hack โดยใครไม่รู้ ดันไปกล่าวหา คนที่แจ้งช่องโหว่ว่าเป็นคน hack แบบนี้มันกลายเป็นหาเรื่องผิดคน
For those who may be unable to read Thai, I roughly translated the police filing.
Ascend Commerce, the TrueMove H's partner who stored customers' data on public S3 bucket ( The Register ) filed a report to police. Mr. Niall Merrigan was mentioned in the report as "an unauthorized person". His name was never mentioned in the report itself.
This report itself unlikely to pursue a criminal charge to Mr. Merrigan. (Don't trust me, I'm not a lawyer.) The report was copied and sent to TrueMove H's customers whose data was in the bucket.
lewcpe.com , @wasonliw
เหตุเกิดเมื่อ private == anyone with link ทำไมมักง่ายแบบนี้กันนะ
แก้ไข
ะรบบ => ระบบ
Amazon รบกวนตอบโต้ด้วยครับ 555
ก็ไม่แปลกเป็น partner (Priority ค่อนข้างเยอะ) เห็นไปอบรบที่ TRUE IDC บ่อยมาก ผมว่าหลังบ้านคุยกันมาเรียบร้อยหมดแล้วแหละ AWS+TRUE เอาจริงๆนะ ต่างชาติที่เข้ามาทำธุรกิจในไทยเขารู้นะต้องวางตัวยังไง (ฉลาด) จะไปในทิศทางแบบไหน กับประเทศไสตล์แบบไหน (ขาว-ดำ-เทา) ผมทำกับ Partner พวก อินเดีย-ยุโรป-ญี่ปุ่นมานาน เวลาเป็นเรื่องธุรกิจ ให้เป็นประเทศที่เส้นตรงขนาดไหน บิดเบี้ยวได้หมดแหละ 5555 เคสนี้อยู่ที่ AWS วางตัวล้วนๆ ไม่พูดอะไรปล่อยเงียบ (เดี่ยวก็เรื่องเงียบ) กับอีกแบบออกมาบอกความจริงกับปกป้องตัวเอง (แต่อาจจะเสีย partner ไปเลย) ... ฝรั่งเขาฉลาดครับ เชื่อผม.
งั้นแสดงว่าตัว AWS มีธรรมาภิบาลเท่ากับทรุยหรือน้อยกว่าสำหรับผมเองคงจะไม่ไปใช้แล้วครับ บริษัทระดับนี้เขาควรยืนข้างผู้ที่ข้อมูลและ White hat มากกว่า partner กระจอกงอกง่อยขนาดนี้ Enterprise ในไทยผมว่าไม่ azure ก็ IBM แล้วละไปไหนผมก็เห็นเขายี้แบนAWS เลยอะ ทั้งที่รู้ดีว่าเกิดจากอะไร แต่การยอมเพื่อ partner แจ่ไม่สน customer คงไม่ทีใครกล้าเอาชีวิตไปฝาก
ก็เพราะ aws รู้ว่าทรูไม่กระจอกครับจากอิทธิพลที่ผ่านก็พอทำให้เห็นภาพได้อยู่
เก่งมาจากไหน ก็แพ้แบงค์เทาจากเธออ ~♫
ผมว่ามันติดสินใจยากแหล่ะคือยังไง AWS ก็ใช้ B/W อยู่บนทรู แล้วตัว Ascend เองก็จัดเป็น Direct Connect Solution Provider ด้วย (Technology and Consulting Partners)
โดนปรับราคา หรืออะไรงี้มันจะกระทบกว้าง กระทบลูกค้าไปทั่ว
แต่ไม่พูดอะไรเลยก็เกินไป
คือในมุมนึง การที่คนไอทีออกมาปกป้อง AWS (เรื่อง Security) มันทำให้ทาง AWS เงียบ(ลอยตัว)ได้ไง แต่ถ้าเงียบแบบไม่มีปกป้องคู่ค้ารายอื่นขนาดนั้น คราวหน้า เราๆท่านๆก็ไม่ควรต้องปกป้องป่าว คือให้ AWS รับแผลว่าโดน Hack ไปแบบนั้น แล้วก็ถ้าคนส่วนใหญ่จะเชื่อแบบนั้นก็ให้เค้าเชื่อไป
แล้วถ้าขายยากนักก็ยังมี Google Cloud และ Azure รอทำตลาดอยู่
สำนักงานตำรวจน่าจะมีให้ร้อยเวรทุกคนอบรมการคัดรายมือนะครับ ไม่ก็เปลี่ยนไปให้คอมพิวเตอร์พิมพ์เอายิ่งกว่านั่งอ่านพงศวดารอีก
เห็นด้วยที่ต้องใช้คอมพิมพ์ จะว่าตำรวจลายมือห่วยก็ไม่ใช่ ลองเป็นคุณเขียนเนื้อหายาวๆแบบนี้สิ เมื่อยมือจะตาย ผมมีเพื่อนเป็นตำรวจลายมือสวยมากแต่พอแจ้งความลายมือก็เป็นแบบนี้เคยถามว่าทำไมไม่เขียนให้สวยมันบอก เมื่อยมือ
การพูดว่าโดน Hack คือการ discredit security team ของ AWS
มาช้าไปมั้ยน้อออ… ลองแกะ + แก้ typo บางส่วนครับ ?
suksit.com
บันทึกประจำวันควรทำเป็นแบบฟอร์มดิจิตอลได้แล้วล่ะ สน.แทบจะทุกสน อ่านลายมือโคตรยากเลย /รองจากหมอ
ลายมือโปรแกรมเมอร์แถวนี้ก็... (แล้วจะไถใส่หน้าตัวเองทำไม ?)
คนรับแจ้งความส่วนมากใช้คอมยังไม่เป็นมั้ง รอปรับองค์กรกันต่อไป คนซวยคือปชช.
จริงๆ ให้มันโปร่งใสก็ทำได้ ในต่างประเทศเค้าก็ทำกันไปเยอะแล้ว แต่ถ้าหัวไม่สั่งหางก็ไม่กระดิกหรอก
เค้าอยู่เฉยก็ดีอยู่แล้ว
จะเอาเข้าคอมให้ลำบากทำไม วุ่นวายจัดอบรมแถมยังตรวจสอบง่าย เอกสารหายก็ไม่ได้ ไม่ได้ประโยชน์อะไร
ผมประชดครับ แต่ก็มีบางคนเค้าคิดแบบนี้จริงๆ นะ
ผมว่าต้องบังคับแล้วหละครับ ฝึกอบรมการใช้งาน Word เสียเวลาหย่อยแต่ช่วยแบ่งเบาภาระได้ มองแป้นพิมพ์ก็ไม่มีปัญหานะ ถ้าคนเก่าๆ ทำไม่ได้ ก็ให้ไปทำแผนกอื่นแล้วหาคนที่เหมาะมาทำ ง่ายกว่าเยอะ
เบื่อที่ต้องมานั่งแกะลายมือเนี่ย บางคำอ่านไม่ออก แถมไม่รู้ว่าเขียนอะไรอีก โดยเฉพาะลายมือแพทย์นี่ตัวดีเลย เละยิ่งกว่าของตำรวจอีก
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
เราเคยเห็น สถานีตำรวจนึงพยายามนำ computer + เครื่องอ่านบัตร ปชช +เครื่องอ่านลายน้ิวมือ มาให้ร้อยเวรใช้แล้วนะ
แต่ไม่ได้ผล. เนื่องจาก "ร้อยเวร รับแจ้งความส่วนใหญ่ไม่ได้เก่งด้านการใช้คอมฯ หรือไม่ก็อายุมากแล้ว"
ดังนั้นจึงเป็นอย่างที่เห็น ต้องใช้เวลาในการปรับองค์การ(ขนาดใหญ่มากกๆๆ) มั้ง!
ต้องดำเนินคดีกับ Hacker ให้ถึงที่สุดครับ งานนี้ แต่อาจจบไม่สวย
[อ่านไม่ออก....] ชอบตรงนี้จัง เคยไปแจ้งความเรื่องอื่นเหมือนกัน จะอ่านได้ไงอ่ะเขียนแบบนี้ อ่านไม่ออกจริงๆ (นอกเรื่องหน่อยนะ...)