สองสามวันมานี้ หลายคนน่าจะได้เห็นข่าว T-Mobile ผู้ให้บริการเครือข่ายมือถือค่ายใหญ่ในสหรัฐอเมริกาที่ทำข้อมูลลูกค้าหลุดมากกว่า 53 ล้านรายการ จนเริ่มกลายเป็นปัญหาบานปลายที่ลูกค้าเริ่มฟ้องร้อง เพราะทางบริษัทไม่ได้ชี้แจงปัญหาให้เคลียร์พอครับ
ส่วนหนึ่งของปัญหานี้ เกิดขึ้นจากข้อบกพร่องเล็ก ๆ น้อย ๆ ของ Human Error ครับ เนื่องจากแฮ็กเกอร์ใช้ประโยชน์จากความเป็นส่วนตัวของพนักงานและความปลอดภัยของระบบของผู้ใช้ที่อ่อนแอลง อันเนื่องมาจากนโยบายการทำงานจากที่บ้านนับตั้งแต่เริ่มมีการระบาดของไวรัสโคโรน่า ซึ่งจุดนี้ ระบบป้องกันภายในอาจไม่สามารถป้องกันภัยได้ หากพนักงานใช้งานอุปกรณ์หรือเครือข่ายที่ไม่ปลอดภัยครับ
ข้อมูลลูกค้าที่หลุดไป มีทั้งชื่อ นามสกุล วันเกิด หมายเลขประกันสังคม หมายเลขไอดีการ์ด และข้อมูลใบขับขี่ ซึ่งนี่เป็นสถานการณ์ที่เลวร้ายที่สุด เพราะหากแฮกเกอร์ต้องการจะสลับซิม และสามารถไปร้องขอทำซิมใหม่กับผู้ให้บริการ โดยใช้ข้อมูลที่หลุดออกไป ปัญหาอาจบานปลายมากขึ้นอีก
ปัจจุบัน ระบบป้องกันความปลอดภัยจะใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย หรือ 2 factor authentication เพื่อใช้ยืนยันการทำธุรกรรมต่าง ๆ ซึ่งส่วนใหญ่จะเป็นการส่ง SMS OTP (One time Password) หรือรหัสที่ใช้เพียงครั้งเข้าไปที่เบอร์มือถือเพื่อใช้การยืนยันตัวตนครับ แต่หากแฮกเกอร์สามารถขอซิมใหม่ได้ นั่นแปลว่าพวกเขาสามารถ Access เข้าระบบหรือแอปต่าง ๆ เช่น แอปธนาคาร แอปซื้อสินค้าหรืออื่น ๆ ได้ง่ายเลย
ล่าสุด T-Mobile ออกมายอมรับว่ามีข้อมูลหลุดไปจริง แต่เป็นข้อมูลที่เกี่ยวข้องกับ ชื่อ ที่อยู่ หมายเลขโทรศัพท์ แต่ข้อมูลสำคัญอื่น ๆ เช่น ข้อมูลทางการเงินหรือการชำระเงินส่วนบุคคล ข้อมูลบัตรเครดิต/เดบิต หมายเลขบัญชี หรือรหัสผ่านบัญชี ไม่ได้หลุดออกไป พร้อมกับให้คำแนะนำเกี่ยวกับการทำให้บัญชีปลอดภัยเพิ่มเติมครับ
แน่นอนว่ามันไม่ได้ทำให้ลูกค้าของ T-Mobile ส่วนใหญ่เชื่อเลย เพราะหากยึดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDRP ของยุโรป) แล้ว บริษัทที่ทำข้อมูลหลุด (T-Mobile) จะต้องมีการแจ้งลูกค้าทุกคนทันทีที่ทราบมีการขโมยข้อมูลออกไป แต่บริษัททำเพียงแจ้งผ่านสื่อเท่านั้น ซึ่งไม่ได้ลงรายละเอียดใด ๆ เกี่ยวกับข้อมูลที่หลุดไปมากนัก
และในปัจจุบัน ลูกค้าของ T-Mobile ยังไม่ได้รับการสื่อสารใดๆ จากบริษัทเกี่ยวกับการละเมิดข้อมูลเลย นั่นแปลว่าลูกค้าทุกคนไม่มีทางรู้ได้เลยว่า ข้อมูลของเราหลุดไปบ้างหรือเปล่าครับ ซึ่งสิ่งที่ T-Mobile สื่อสารออกมานั้น เหมือนกับแจ้งว่า ลูกค้าทุกคนต้องตรวจสอบข้อมูล เพราะไม่มีการแจ้งโดยตรงจากบริษัท
สำหรับบริษัทที่เราให้ข้อมูลแก่เขาในฐานะที่เราเป็นลูกค้า แน่นอนครับว่าเราคาดหวังให้พวกเขาปกป้องข้อมูลนั้นให้ดีที่สุด แต่เคสของ T-Mobile นั้นไม่สมเหตุสมผลเลย เพราะหากมีคนขโมยข้อมูลของเราไป บริษัทเหล่านี้ควรจะเปิดเผยข้อมูลอย่างตรงไปตรงมาและโปร่งใสเกี่ยวกับสิ่งที่เกิดขึ้น ไม่ว่าจะเป็นสิ่งที่พวกเขากำลังทำเกี่ยวกับข้อมูลนั้น รวมทั้งขั้นตอนที่เราต้องทำเพื่อปกป้องข้อมูลเรา หากบริษัทไม่สามารถปกป้องข้อมูลของเราได้ อย่างน้อยก็บอกเราว่าเราต้องทำอะไรเพื่อปกป้องตัวเองได้บ้าง ทันทีรู้ว่าข้อมูลหลุดออกไป
ล่าสุด T-Mobile ได้เพิ่มหน้าบนเว็บไซต์ซึ่งลูกค้าสามารถค้นหาข้อมูลและทางลัดเพื่อเปลี่ยน PIN และรหัสผ่านได้ แต่ยังไม่มีการแจ้งลูกค้าโดยตรงว่ามีข้อมูลของใครหลุดไปบ้าง นั่นแปลว่าลูกค้าทุกคนนั้นมีความเสี่ยง และต้องทำการเปลี่ยนรหัสครับ
แม้ในประเทศไทยเอง ยังไม่มีกรณีดังกล่าวเกิดขึ้น แต่นี่ถือเป็นเคสตัวอย่างชั้นดี หากมีบริษัทใด ๆ ทำข้อมูลลูกค้าอย่างเราหลุด เราจะต้องช่วยเหลือตัวเองยังไง เพื่อไม่ให้แฮกเกอร์นำข้อมูลดังกล่าวไปใช้ได้ครับ
1. เปลี่ยนรหัสผ่านและ Pin โดยด่วน
หากเรามีการล็อกอินใช้งานระบบของบริษัทที่ทำข้อมูลเราหลุด ให้รีบเปลี่ยนรหัสผ่านด่วน ไม่ว่าจะเป็นรหัสผ่านที่ใช้ในการ Login หรือรหัสผ่านอีเมล (กรณีที่ใช้ Password เดียวกัน)
2. ระงับบัตรเครดิต
ผมเชื่อว่าบริษัททุกแห่งที่ทำข้อมูลหลุด ไม่ได้บอกเราทั้งหมดหลอกว่ามีข้อมูลอะไรหลุดไปบ้าง (หรืออาจจะโกหกด้วยซ้ำ) ซึ่งข้อมูลการเงินนั้นสำคัญมทาก หากเราเคยให้ข้อมูลบัตรเครดิต หรือเดบิตไว้กับบริษัทดังกล่าว ควรโทรไประงับชั่วคราวหรือขอบัตรใหม่ไปเลย (เพื่อที่จะบัตรใหม่ที่ไม่ใช่เลขเดิม)
แหล่งข้อมูล
https://www.t-mobile.com/brand/data-breach-2021?cmpid=MGPO_SS_C_SVCMSG_4U4RU6SQ5MF7PTD66964
https://www.reuters.com/technology/t-mobile-says-hackers-accessed-data-another-53-mln-subscribers-2021-08-20/
https://www.washingtonpost.com/technology/2021/08/19/t-mobile-data-breach-what-to-do/
https://www.inc.com/jason-aten/t-mobile-data-breach-50-million-accounts-how-to-protect-yourself.html
