ไม่แน่ใจว่าเกิดจากความบกพร่องของระบบ หรือความไม่รัดกุมในการบริหารจัดการรักษาความปลอดภัยกันแน่ เมื่อมีผู้ค้นพบไฟล์ข้อมูลลูกค้า TrueMove H กว่า 46,000 ราย และยังสามารถดาวน์โหลดรายละเอียดทั้งหมดออกมาได้อีกด้วย
Niall Merrigan ผู้ค้นพบช่องโหว่ในครั้งนี้ ได้โพสต์ข้อมูลผ่านบล็อค certsandprogs.com ระบุว่าในระหว่างที่เขาทดสอบระบบ Amazon S3 buckets เขาได้ค้นพบไฟล์ข้อมูลบางอย่างจำนวน 1,000 ไฟล์ จากนั้นทำการสแกนไฟล์ทั้งหมดพบว่าหนึ่งในนั้นมีชื่อของ TrueMove H รวมอยู่ด้วย เมื่อเขาลองเข้าไปในไฟล์ดังกล่าว พบว่ามีโฟลเดอร์อยู่เป็นจำนวนมาก ประกอบไปด้วยไฟล์ JPGs และ PDFs แต่สิ่งที่น่าสนใจยิ่งกว่านั้นเขาพบข้อมูล truemoveh/idcard ระบุทั้งปี / เดือน / ชื่อ และที่น่าตกใจเมื่อเขาลองเปิดไฟล์อื่นๆ ก็พบอีกว่าเป็นไฟล์บัตรประชาชนของลูกค้า TrueMove H
Niall Merrigan กล่าวต่อไปว่า ข้อมูลลูกค้า TrueMove H ใน S3 bucket นี้ ไม่มีการรักษาความปลอดภัยใดๆ หากผู้อื่นมี URL ก็สามารถดาวน์โหลดข้อมูลทั้งหมดออกไปได้ โดยปริมาณข้อมูลดังกล่าวมีมากกว่า 32GB รวมทั้งหมด 46,000 รายชื่อ ซึ่งจัดเรียงตามรายปี
หลังจากค้นพบแล้วเขาได้ประสานไปยัง TrueMove H ผ่าน Twitter ขอข้อมูลการติดต่อเพื่อแจ้งปัญหาที่ค้นพบไปยังทีมงานที่เกี่ยวข้อง เขาได้ส่งรายละเอียดไปยังฝ่ายที่เกี่ยวข้องตั้งแต่วันเสาร์ที่ 10 มีนาคม 2018 ซึ่งคำตอบที่เขาได้รับค่อนข้างน่าแปลกใจ เมื่อทีมงานที่ประสานงานกับเขายอมรับว่าไม่มีแผนกดูแลความปลอดภัยในเรื่องนี้ และควรติดต่อไปทางสำนักงานใหญ่โดยตรงในเวลาทำการแทน
ด้วยเหตุนี้ Niall Merrigan จึงประสานงานไปยัง Scott Helme ซึ่งก็ได้รับคำแนะนำให้ประสานงานต่อไปยังผู้สื่อข่าว John Leyden จาก The Register เพื่อตีแผ่เรื่องนี้และเป็นการกระตุ้นให้ TrueMove H ออกมาแก้ไขเรื่องที่เกิดขึ้นโดยเร็วที่สุด
Niall Merrigan ยอมรับว่า 2-3 สัปดาห์ หลังจากนั้นเขาไม่ได้รับการติดต่อใดๆ หลังจากส่งเรื่องไปยัง TrueMove H เลย ทำให้ในวันที่ 2 เมษายน 2018 เขาจึงตัดสินใจแจ้งกับ TrueMove H ว่าจะเผยแพร่บทความเรื่องนี้ภายในสัปดาห์ถัดไป และในวันที่ 4 เมษายน 2018 Niall Merrigan และ John Leyden จึงได้รับการติดต่อจาก TrueMove H พร้อมระบุว่าขณะนี้ทีมงานได้รับทราบเรื่องแล้วและกำลังดำเนินการแก้ไขอยู่
เบ็ดเสร็จกว่า TrueMove H แจ้งเรื่องกลับมาว่ากำลังแก้ไข ก็กินเวลาไปเกือบ 1 เดือน
ที่มา Certsandprogs
