หลังจาก เมื่อเช้านี้มีรายงานถึงข้อมูล dashboard การจัดการทราฟิกของ AIS หลุดสู่อินเทอร์เน็ต ตอนนี้ทาง AIS ออกแถลงข่าวนี้ระบุว่าไม่มีข้อมูลส่วนบุคคลของลูกค้าแต่อย่างใด โดยแถลงฉบับเต็มมีดังนี้
เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลตามที่เป็นข่าว
25 พฤษภาคม 2563 : นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”
ทั้งนี้ขอเรียนว่า เอไอเอสให้ความสำคัญอย่างยิ่งกับการปกป้องข้อมูลส่วนบุคคลของลูกค้า ที่ผ่านมา เรามีการปฏิบัติตามและทบทวนขั้นตอนการรักษาความปลอดภัยขั้นสูงสุดตามมาตรฐานระดับสากล อย่างต่อเนื่อง อย่างไรก็ตาม บริษัทฯ ต้องขออภัยที่อาจทำให้ลูกค้าเป็นกังวลใจจากสถานการณ์ที่เกิดขึ้น ซึ่งขณะนี้เอไอเอสได้แก้ไขปรับปรุงขั้นตอนการใช้ข้อมูลเพื่อทดสอบบริการเรียบร้อยแล้ว โดยท้ายที่สุดนี้ ขอให้ลูกค้าและประชาชนโปรดมั่นใจและเชื่อมั่นในมาตรฐานการรักษาความปลอดภัยที่บริษัทฯดำเนินการมาโดยตลอด”
Comments
ผมเข้าใจว่า IP มันหลุดออกมา ซึ่งมันคือข้อมูลส่วนบุคคล (ตาม: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en ) เพราะฉะนั้นคือมันก็มีข้อมูลส่วนบุคคลหลุดออกมาใช่ไหมครับ? หรือผมเข้าใจศัพท์ตรงนี้ผิด
ผมไม่แน่ใจว่า AIS เก็บข้อมูลยังไง แต่ข้อมูลเป็น ip ที่ถูก NAT มาแล้วแต่ไม่แน่ว่าอาจมีการเก็บ Mapping ip กับ ค่าอะไรสักอย่างที่ยืนยันตัวตนจริงได้ ก็อาจเป็นไปได้
มือใหม่!! ใหม่จริงๆนะ
จริงๆ มีคำถามกับ IPv6 ด้วยครับ เพราะน่าจะไม่ได้ NAT
lewcpe.com , @wasonliw
เชรด?? แย่เลย
มือใหม่!! ใหม่จริงๆนะ
นั่นสิ IP ก็เป็นข้อมูลส่วนบุคคล ทำไมตอบแบบนี้นะ
แล้วคือ GDPR ด้วยนะ แล้วบริษัทที่ต้องทำตาม compliance ฝั่ง EU เค้าจะว่าไงเนี่ย
อันนี้สงสัยเรื่อง ip address เพราะเข้าใจว่า มันน่าจะเป็น dynamic ip คือ เกาะแต่ละครั้ง หมายเลข ip ก็จะเปลี่ยนไปเรื่อยๆ ไม่น่าจะระบุตัวตนของบุคลลจริงๆได้ป่ะครับ?
จะ dynamic หรือ static ก็มีโอกาศระบุตัวตนบุคคลได้ครับ ใช้ร่วมกับข้อมูลอื่น เช่น ข้อมูลเวลาที่ IP นี้ connected ไปยัง node ของ ISP เป็นต้น
ยังไง? ก็สมมุติคุณเป็นหน่วยงานรัฐมีแค่ IP อันเดียว อยากรู้ว่าเป็นใคร ก็นำ IP ไปถาม ISP ว่ามีการ connected เข้ามาเวลาใดบ้าง ซึ่งกฏหมายไทยบังคับ ISP ต้องเก็บ log = ISP ควรจะรู้ว่า IP ต่อมากี่ครั้ง เข้ามาตอนไหน ในระยะ N วันที่ผ่านมา (ขึ้นอยู่กับความระเอียดของ logs ที่เก็บ) มี meta data ใดบ้างที่ชี้ตัวลูกค้าได้ไหม เอาไปค้นในฐานข้อมูลลูกค้าตรงรายชื่อใดบ้าง ฯลฯ
ดังนั้น ตอบซ้ำอีกรอบว่า แค่ IP addr ไม่ว่า dynamic หรือ static อาจสามารถย้อนไประบุอุปกรณ์ของบุคคลนั้นๆได้ครับ ข้อมูลที่มีโอกาศให้สามารถสาวข้อมูลย้อนหลังไปหาตัวบุคคลได้แบบนี้ใน GDPR หรือ CCPA เขานับให้เป็นข้อมูลที่ต้องป้องกัน เรียกว่า PII (Personally identifiable information)
IPv4 อาจติด LSNAT แต่ IPv6 ไม่ใช่นะ มันวิ่งตรงถึง device เลยครับ ผมเคย ping device ในบ้านตัวเองที่ได้ IPv6 แล้วเจอการตอบกลับจาก device ตรงๆ ไม่ต้องทำ NAT อะไรเพิ่มเติม
IPv6 ได้ครับ เพราะมันไม่เปลี่ยนเลยนะถ้ายังใช้ Prefix ชุดเดิม จะนานแค่ไหน IPv6 ก็เลขเดิมครับผมเช็คมาตลอดตั้งแต่ใช้งานมาแล้ว 1 ปี หรือ 2ปี ก็ไม่เปลี่ยน
IPv6 ต้องเปิด Privacy Extension ด้วยครับถึงจะเป็นค่าสุ่ม ไม่งั้นปกติถ้าไม่มี Stable private addr หรือ privacy ext ละก็ SLAAC จะเอา mac address ไปใส่ไอพีเลย
เท่าที่ผมลอง linux distro นิยมๆผู้ใช้ต้องเปิด priv ext เองหมดเลย เว้นแต่ใช้ NetworkManager อันนั้นจะ enable by default / แต่ยังดีใน Windows 10 เปิด priv ext by default
IPv4 มี NAT ระบุยากเพราะมีคนใช้ร่วมเยอะไม่น่ามีปัญหาแต่ IPv6 นี่ต่อเครื่องโดยตรงว่าง่ายๆวิ่งมาหาได้ตรงๆครับ นั่นคือความอันตราย แต่ปกติถ้าเข้ามาจะติด firewall ของ OS หรือของ anti virus ในเครื่องนั้นๆ อีกที ถ้าเจ้าของอุปกรณ์ไม่ไปปิดมันอ่ะนะ
ถ้าสมมติว่า AIS พลาดไปจริง ๆ จะตอบยังไงให้สวย ๆ จบสวย ๆ โดยไม่มีเรื่องราวเกินไปกว่าข่าวข้อมูลที่หลุดนะ
ขอโทษอย่างสุดซึ้ง พร้อมยืนยันว่าข้อมูล ไม่ว่าจะ Sensitive Data หรือไม่ มันเป็นสิ่งสำคัญต่อองค์กรมากๆ แต่โชคดีที่ข้อมูลที่หลุดออกไปนี้ไม่สามารถไปถึงผู้ใช้งานได้และไม่ก่อเกิดความเสียหายทางด้านการเงินแก่ผู้ใช้งาน ทั้งนี้ทีมงานจะดำเนินการปรับปรุงระบบทุกตัว ตรวจสอบความปลอดภัยทุก Service และจะรับผิดชอบกับข้อมูลที่หลุดออกไปถ้าเกิดถูกนำไปใช้ให้เกิดความเสียหาย จบสวยๆ ด้วยการขออภัยอีกสักครั้ง พร้อมสร้างความเชื่อมั่นด้วยการยืนยันอีกรอบรับผิดชอบ และเพิ่มความตั้งมั่นอีกหน พร้อมลงท้ายจดหมายด้วยขอโปรดจงเชื่อมั่นในตัวเราที่เราให้บริการด้วยใจตลอดมา
ผมได้ sms มาแบบนี้ด้วยครับ
"กลุ่มบริษัทAIS ให้คุณมั่นใจในการดูแลข้อมูลของคุณอย่างต่อเนื่อง โดยได้ปรับปรุงข้อตกลงเงื่อนไขการให้บริการฯ เพิ่มเติมสิทธิหน้าที่ของบริษัทและผู้ใช้บริการตาม"พรบ.คุ้มครองข้อมูลส่วนบุคคล"เรียบร้อยแล้ว เพราะข้อมูลของคุณสำคัญ ขอให้มั่นใจเราดูแลดีที่สุดเพื่อคุณ ais.co.th/PDPA"
template การแจ้งข้อมูลรั่วนี่เหตุการณ์ทั้งหลายแทบจะมาตรฐานครับ
lewcpe.com , @wasonliw
กสทช เรียก 'เอไอเอส' ชี้แจงกรณีข้อมูลการใช้บริการรั่ว
ผมวางยังไงก็มีข้อมูลส่วนบุคคลอยู่ จะปฎิเสธทำไม ไม่กล้ารับความจริงเหรอ ในเมื่อหลักฐานมันฟ้อง จะแถเหมือน True หรือไง คราวก่อน AIS ข้อมูลหลุด ยังไม่เข็ดอีกเหรอ
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
นี่มันข้อมูลส่วนบุคคลล้วนๆ ก็ยังจะแถกันไปได้
ip ไม่ใช่ข้อมูลส่วนบุคคล ว้าว มาตรฐานใหม่
+1175 +1148 เลยทีเดียว
แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที
ถ้าส่งข้อมูลให้ตำรวจตามตัว ตำรวจก็ตามเจอนะ 555AIS แถเล็กๆ
ตอนขึ้นศาลเอาไปเป็นหลักฐานมัดตัวคนได้ ตอนหลุดบอกไม่ใช่ข้อมูลส่วนบุคคล
เกี่ยวกับ พรบ ที่เลื่อนไหมครับ
หลุดก่อนมีประกาศเลื่อนครับ
เมื่อข้อมูลส่วนบุคคลหลุดออกไปแล้ว ก็จะไม่ใช่ข้อมูลส่วนบุคคลอีกต่อไป
เป็นข้อมูลสาธารณะละ . . .
+555
ตึ่งโป๊ะ
ถ้าบอกว่าเป็นข้อมูลระบุตัวตนได้ยาก จะหล่อกว่านี้
ก็ถ้าระดับตาสีตาสาอ่านก็คงโล่งใจ ชื่อ ที่อยู่ เบอร์โทร เลขบัตรประชาชนเราไม่ได้หลุดไปนี่เอง ปลอดภัยละ