ข้อมูลหนังสือเดินทางและบัตรประชาชนเกือบหนึ่งล้านไฟล์เปิดเ…

การรั่วไหลของข้อมูลส่วนบุคคลระดับโลกเผยให้เห็นว่ามี เกือบหนึ่งล้าน หนังสือเดินทางและบัตรประจำตัวประชาชนของบุคคลทั่วไปถูกจัดเก็บไว้ใน URL สาธารณะโดยไม่มีการป้องกันใด ๆ ทั้งสิ้น ผู้ใช้อินเทอร์เน็ตสามารถเข้าถึงเอกสารเหล่านี้ได้เพียงพิมพ์ที่อยู่เว็บเท่านั้น เรื่องนี้เป็นสัญญาณเตือนสำคัญเกี่ยวกับการจัดการข้อมูลส่วนบุคคลของบริษัทเทคโนโลยีในอุตสาหกรรมกัญชา

Overview

การเปิดเผยข้อมูลดังกล่าวมาจากระบบของ Cannabis Club Systems (CCS) ซึ่งเป็นผู้ให้บริการโซลูชันดิจิทัลแก่คลับกัญชาในยุโรป ระบบหลักที่เกี่ยวข้องคือแพลตฟอร์ม Nefos และแอปพลิเคชัน PuffPal ตามรายงานของ *The Verge* เอกสารส่วนใหญ่เป็นสำเนาหนังสือเดินทางและบัตรขับขี่ของผู้ใช้บริการคลับเหล่านี้ ทั้งจากเยอรมนี สเปน และประเทศอื่น ๆ ที่เข้าร่วมโครงการ

How the breach happened

ข้อมูลถูกเก็บไว้ในคลังเก็บไฟล์บนคลาวด์ที่ไม่มีการตั้งค่าการควบคุมการเข้าถึง (access control) ผู้ตรวจสอบพบว่าที่อยู่ URL ของไฟล์เหล่านี้สามารถเข้าถึงได้โดยตรงโดยไม่มีการตรวจสอบสิทธิ์ใด ๆ แม้แต่การค้นหาโดยใช้คีย์เวิร์ดง่าย ๆ ก็ทำให้พบไฟล์เอกสารหลายร้อยฉบับได้ทันที การตั้งค่าที่ไม่เหมาะสมนี้มักเกิดจากการกำหนดค่าเริ่มต้นของผู้ให้บริการคลาวด์ที่ไม่ได้รับการปรับแก้ให้ปลอดภัยตามมาตรฐาน

Scope of exposed data

การตรวจสอบเบื้องต้นระบุว่ามี เกือบหนึ่งล้าน เอกสารที่ถูกเปิดเผย ได้แก่

• หนังสือเดินทางของผู้ใช้จากหลายประเทศ
• บัตรขับขี่และบัตรประจำตัวประชาชน
• รูปถ่ายของเจ้าของเอกสาร

เอกสารเหล่านี้มักมีข้อมูลส่วนบุคคลครบถ้วน เช่น ชื่อเต็ม, วันที่ออก, หมายเลขหนังสือเดินทางและรูปถ่ายหน้าตา ซึ่งเป็นข้อมูลที่นักอาชญากรรมไซเบอร์สามารถนำไปใช้ในการทำการปลอมแปลงหรือขายต่อในตลาดมืดได้

Company response

เมื่อถูกสอบถาม Sammy Azdoufal เจ้าหน้าที่ระดับผู้จัดการของ CCS กล่าวว่า “We have to do something about it as fast as possible, because people will find this and resell it. It will do damage” (เราต้องทำอะไรบางอย่างให้เร็วที่สุด เพราะคนอื่นจะค้นพบและขายต่อข้อมูลนี้ ซึ่งจะทำให้เกิดความเสียหาย) บริษัทได้ดำเนินการปิด URL สาธารณะและเริ่มตรวจสอบระบบทั้งหมดเพื่อปรับปรุงการตั้งค่าความปลอดภัย อย่างไรก็ตาม รายละเอียดเกี่ยวกับการแจ้งเตือนผู้ที่ได้รับผลกระทบยังไม่ได้ถูกเปิดเผยอย่างเป็นทางการ

Legal and regulatory implications

การเปิดเผยข้อมูลส่วนบุคคลในระดับนี้ขัดต่อข้อกำหนดของ GDPR ซึ่งบังคับใช้กับองค์กรที่จัดการข้อมูลของพลเมืองยุโรป หากพบว่าบริษัทไม่ได้ดำเนินการปกป้องข้อมูลอย่างเพียงพอ อาจเผชิญกับการปรับค่าปรับสูงถึง 4% ของยอดขายโลกต่อปีหรือสูงสุด 2 พันล้านยูโร นอกจากนี้ การรั่วไหลนี้อาจกระตุ้นให้หน่วยงานคุ้มครองข้อมูลของแต่ละประเทศเริ่มตรวจสอบและสั่งการตรวจสอบความปลอดภัยของระบบคลาวด์ที่ใช้ในอุตสาหกรรมกัญชาโดยเฉพาะ

Impact and analysis

จากมุมมองของนักวิเคราะห์ความปลอดภัย การรั่วไหลเช่นนี้ส่งผลกระทบต่อหลายด้าน ทั้งต่อความเชื่อมั่นของผู้บริโภคต่อบริการดิจิทัลในอุตสาหกรรมกัญชาและต่อภาพลักษณ์ของผู้ให้บริการคลาวด์ที่ไม่ได้กำหนดค่าให้ปลอดภัยโดยอัตโนมัติ การใช้ข้อมูลส่วนบุคคลเพื่อการปลอมแปลงเอกสารหรือการฉ้อโกงทางการเงินอาจเพิ่มจำนวนกรณีโจรกรรมตัวตนในอนาคต อีกทั้งยังเปิดโอกาสให้คู่แข่งหรือผู้ไม่ประสงค์ดีนำข้อมูลไปใช้ในกิจกรรมที่ก่อให้เกิดความเสียหายต่อระบบสาธารณะและธุรกิจโดยรวม

Summary

การรั่วไหลของ เกือบหนึ่งล้าน หนังสือเดินทางและบัตรประจำตัวจากระบบของ Cannabis Club Systems แสดงให้เห็นถึงความเสี่ยงจากการตั้งค่าความปลอดภัยคลาวด์ที่ไม่เหมาะสม บริษัทได้ตอบสนองโดยปิด URL สาธารณะและกำลังปรับปรุงระบบ แต่การละเมิดนี้อาจทำให้เกิดการปรับตาม GDPR และเพิ่มความกังวลเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคลในอุตสาหกรรมดิจิทัลโดยรวม.