ข้อมูลที่รั่วนั้นคือบัตรประชาชนนะ

เมษายน 18, 2018

อ่านข่าวแล้วตกใจ

ไม่กี่วันที่ผ่านมามีข่าวเรื่องข้อมูลบัตรประชาชนรั่วจากบริษัทดังในประเทศ ตอนอ่านข่าวแล้วแบบ “โอ้เอาจริงดิ” ในตอนนั้นคิดว่า บริษัทนั้นคงโดนรัฐถล่มยับแน่นอน แต่พอมานั่งดูข่าวต่อก็ร้องเพลงขึ้นมาเลย

แถมอ่านข่าวต่อๆไปที่ผู้ใหญ่ในบ้านในเมืองออกมาบอกอีกว่าข้อมูลที่หลุดอะแค่หน้าบัตรประชาชนเอง ข้อมูลเชิงลึกอะไม่เป็นไรยังเก็บดี ตอนนั้นนี่เหมือนโดนไม้ฟาดหน้าเข้าไปเต็มๆ โอ้ท่านลองปรึกษาพวกนักวิจัย อาจารย์มหาวิทยาลัย ที่ปรึกษาด้านเทคโนโลยีก่อนไหมครับ คือพลาดแล้วท่านอาจโดนล้อยันอีก 100 ปีได้เลยนะ คือสมัยก่อนข้อมูลหนังสือพิมพ์ถูกเก็บไว้ในไมโครฟิล์มซึ่งคนรุ่นเราสามารถไปขออ่านได้ที่หอสมุดแห่งชาติ แต่สมัยนี้อาจมีฐานข้อมูลเก็บข้อมูลหนังสือพิมพ์ไว้ให้อ่านแล้วก็ได้ ไม่แน่เด็กในปี พ.ศ. 2761 อาจมาอ่านข่าวนี้แล้วทำรายงานเกี่ยวกับความปลอดภัยของข้อมูลเมื่อปี พ.ศ. 2561 แล้วหัวเราะก๊ากได้นะ

ออกตัวก่อนเลยว่าผมไม่ได้เป็น Hacker หรือผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ผมเป็นแค่ Programmer ธรรมดาๆคนหนึ่งเท่านั้นที่ได้มีโอกาสได้เรียนวิชา Computer security (เราเรียกมันว่าคอมสีเขียว) ซึ่งในคาบวิชาอาจารย์ได้สอนให้ตระหนักรู้เกี่ยวกับเรื่องความปลอดภัยของข้อมูล เรื่องที่จะพูดต่อไปนี้เป็นเรื่องพื้นฐานมากๆในวิชานั้น ต่อไปเรามาลองดูดีกว่ามีข้อมูลบัตรประชาชนเราเอาไปทำอะไรได้บ้าง อันแรกเรามาลองอะไรแบบโดนไปก็งั้นๆก่อน

เฮ้ยสมัครเกมส์ไม่ได้ว่ะ มันบอกมีคนใช้เลขบัตรประชาชนไปแล้ว

อันนี้ตอนผมอายุไม่เยอะเป็นเด็กเล่นเกมส์อยู่ เวลาเข้าไปบอร์ดเกมส์ออนไลน์มักจะเห็นคนโพสด่า GM ( ไม่เข้าใจว่าไปด่าทำไม) ว่าเฮ้ยสมัครไอดีไม่ได้ มีคนเอาเลขบัตรประชาชนไปใช้แล้ว ถ้าผมจำไม่ผิดสมัยนั้นมันต้องใช้เลขบัตรประจำตัวประชาชนในการสมัครไอดีเล่นเกมส์ (น่าจะมีปัญหาเรื่องห้ามเล่นเกมหลังสี่ทุ่ม) ซึ่งถ้าสมมุติข้อมูลบัตรประชาชนผมรั่วไป นั่นแปลว่าอาจมีคนเอาเลขบัตรประจำตัวประชาชนผมไปสมัคร Id เกมส์แล้วก็เป็นได้ ซึ่งนั้นแปลว่า ผมอดเล่นเกมส์ออนไลน์เกมนึงไปเลยนะ

ตอนนี้หลายคนอาจคิดว่าไร้สาระน่าแค่เล่นเกมส์ไม่ได้เองนี่นาทำเป็นเรื่องใหญ่ไปได้ “เดี๋ยวเอาเสาค้ำสมุทรทุ่มเข้าให้” แต่รู้ไหมครับคุณกำลังโดนแอบอ้างความเป็นตัวตนของคุณไปแล้ว ใช่คุณอาจไม่เสียอะไรเพราะมันแค่เกมส์ แต่ลองเป็นอะไรที่คอขาดบาดตายดูเช่น สมัครรับตั๋ว BNK48 ได้จับมือน้องเฌอปรางนาน 3 ชั่วโมงไรงี้มันจะเป็นยังไง ถ้ามองในมุมมองแง่ร้ายมากๆหน่อยคือ ไอคนที่เอาบัตรประชาชนคุณไปสมัครเกมส์ พออยู่ในเกมส์มันไปทำอะไรบางอย่างที่รุนแรงมากเช่น ยุยงให้เกิดความแตกแยกในสังคมโดยใช้เกมส์เป็นแหล่งชุมนุมติดต่อแลกเปลี่ยนข่าวสาร หรือเป็นตั้งกลุ่มก่อการร้าย คราวนี้ทางบริษัทเกมส์จับได้ ทีนี้เขาต้องการหาว่าตัวตนคนที่ใช้ไอดีนั้นคือใคร คราวนี้เขาก็สาวหาตัวตนจริงๆด้วยการใช้บัตรประชาชนซึ่งมันเป็นของใครล่ะ “ก็ของคุณไงล่ะ” คราวนี้คุณก็ซวยตำรวจบุกไปถึงบ้านพร้อมพาคุณไปสอบปากคำต่างๆนาๆ ซึ่งคุณไม่ได้ทำอะไรเลย แต่ตำรวจมีหลักฐานสาวตัวมาถึงคุณไงล่ะ คุณอาจจะพ้นผิดแต่สิ่งที่คุณเสียไปคือเวลาที่เอาคืนมาไม่ได้ ต้องเสียสุขภาพจิต ครอบครัวเป็นห่วง และอื่นๆตามแต่คุณจะคิดได้ตอนนี้ อันนี้ผมอาจมโนเพ้อฝันไปเยอะหน่อยแต่มันก็อาจเกิดขึ้นได้นะ

คราวนี้ลองอะไรเป็นจริงเป็นจังหน่อย

หากคุณเริ่มทำงานได้สิ่งหนึ่งที่รัฐต้องการจากผู้มีเงินได้คือภาษี ซึ่งรัฐก็ใจดีครับช่วยให้เราไม่ต้องยุ่งยากไปยื่นภาษีเอง โดยจัดช่องทางให้สามารถยื่นภาษีผ่านออนไลน์ได้ ซึ่งไอตอนยื่นภาษีนี่มันต้องสมัครสมาชิกประเด็นมันอยู่ตรงนี้จ้า ตอนสมัครสมาชิก ท่านสามารถอ่านวิธีสมัครสมาชิกได้ที่นี่ จะเห็นว่ามีให้กรอกข้อมูลมากมายเลยจ้า ซึ่งถ้าคนคนนั้นไม่เคยสมัครสมาชิกก็แปลว่าเขาอาจสวมรอยมาสมัครสมาชิกแล้วก็ได้ แต่อย่าพึ่งตกใจไปมันไม่ได้เลวร้ายขนาดนั้น จะเห็นว่ามันยังต้องกรอกเลขควบคุมหลังบัตรอยู่นะ ซึ่งผมไม่มั่นใจว่าข้อมูลที่หลุดไปมันมีแค่ด้านหน้า หรือมีด้านหลังด้วย ถ้ามีด้านหลังด้วยก็…

แต่อย่าพึ่งดีใจไปนะ

จริงๆมันสามารถไล่กรอกไอเลขหลังบัตรได้นะ ว่าง่ายๆคนที่คิดจะสวมรอยเขาสามารถไล่สุ่มใส่ค่าเลขหลังบัตรได้นะ “ไอบ้าใครมันจะมานั่งใส่ความน่าจะเป็นมีเป็นล้านแบบ” ก็ขอตอบว่าเขาคงไม่บ้าใส่หรอกเองหรอก เขามีโปรแกรมที่สามารถทำอะไรแบบนี้ได้ครับ แค่ตั้งค่าหรือเขียนโปรแกรมนิดหน่อยก็สามารถไล่ใส่ค่าได้แล้ว อันนี้ผมไม่รู้ว่าคนเขียนโปรแกรมนี้ได้เขียนกันไว้ไหมว่า ถ้าใส่ข้อมูลผิดเกินกี่ครั้งแล้วจะต้องพักไปกี่นาที ถ้าโชคดีเขาเขียนกันไว้มันก็ช่วยเพิ่มระยะเวลาในการเดา แต่ถ้าไม่ก็แปลจะโดนสวมรอยเมือไหร่ก็อยู่ที่เวลาแล้วแหละ

สมัครไปแล้วรอดแล้ว

ขอบอกว่าไม่ครับ จริงๆมันตรงส่วนลืมรหัสผ่านอยู่นะซึ่งมันมีให้ใส่ข้อมูลที่อยู่บนบัตรประชาชมและคำถามที่คุณตั้งไว้ ซึ่งคำถามพวกนี้เขาสามารถไปหาข้อมูลได้ไม่อยากผ่านfacebook เช่น สถานที่เกิด สัตว์เลี้ยงที่ชอบ บลาๆ ซึ่งถ้าถูกคุณก็เสีย account นั้นให้คนอื่นไปแล้ว เช่นกันถ้าเขาขี้เกียจเดาเขาขอรหัสผ่านใหม่ สิ่งที่เขาต้องทำคือใส่เลขหลังบัตรซึ่งก็สามารถใช้วิธีเดิมดังที่ผมเคยกล่าวไป อันนี้ก็อยู่ที่ทางผู้พัฒนาโปรแกรมนี่แล้วล่ะครับว่าเขาได้ทำกันเรื่องพวกนี้ไว้ไหม ในมุมมองแบบแง่ร้ายเลยนะ ผมคิดว่าไม่น่ากันเพราะเขาคิดว่า ข้อมูลที่ต้องกรอกคือ ชื่อ นามสกุล วันเดือนปีเกิด เลขบัตรประชาชน คำถาม นี่ ความน่าจะเป็นที่ต้องที่ต้องเดานี่มันแทบจะทำให้สิ้นหวังเลย เขาเลยไม่น่าจะกันไว้ แต่ตอนนี้สถานการณ์มันเปลี่ยนไปเพราะมีข้อมูลหน้าบัตรประชาชนแล้ว ความน่าจะเป็นที่ต้องเดาที่แทบจะสิ้นหวังกลับมีโอกาสทำได้แค่มีเวลา

มีน่ากลัวกว่านั้นอีกนะ

มันมีหน้านึงผมพึ่งโดนไปไม่นานนี้คือหน้าส่งข้อมูลเพิ่มเติมเกี่ยวกับภาษี คือเวลาเรายื่นลดหย่อนเนี่ยทางรัฐเขาก็ไม่เชื่อใจเราร้อยเปอร์เซ็นบางทีเขาก็ขอหลักฐานเพิ่ม ซึ่งไอหน้าขอหลักฐานเพิ่มเนี่ยมันเข้าผ่านหน้านี้ เห็นอะไรไหม แค่มีเลขบัตรประชาชนแล้วก็ชื่อ นามสกุลก็สามารถเข้าได้แล้วจ้า จริงๆถ้าคุณไม่มีข้อมูลอะไรเลย มันเป็นการยากมากที่จะเดาสุ่มเรื่อยๆแล้วเจอ แต่นี่เขามีข้อมูลพร้อมไงครับ มันก็เลยเข้าไปได้แบบสบายๆเลย จริงๆมันก็ไม่มีอะไรนะคือมันแค่ให้ Tracking สถานะว่าการยื่นภาษีของเราไปถึงไหนแล้ว แต่มันพีคของพีคตรงที่ถ้าใครต้องส่งเอกสารเพิ่มมันจะมีลิ้งให้กดหลังกรอกข้อมูลข้างบนถูกเลยครับ (อันนี้ไม่รู้จะแสดงยังไงให้ดูเพราะผมแนบเอกสารไปแล้ว แต่ถ้าใครยังไม่แนบลองทำดูได้) ซึ่งสามารถเข้าไปแนบเอกสารได้เลย ถ้าโชคร้ายมีผู้ไม่หวังดีมาแนบเอกสารแทนผมโดยแนบรูปภาพหมิ่นประมาท หรือ ภาพบางอย่าง เอกสารปลอม ซึ่งแปลว่าอะไรครับ แปลว่าผมอาจโดนเรียกพบ โดนจับ หรือต่างๆนาๆซึ่งผมไม่ได้ทำเลย และผมต้องหาทางยืนยันความบริสุทธิ์ให้ตัวเองอีกด้วย (ไม่ได้ทำแถมต้องแก้ต่างให้ตัวเองอีกต่างหาก) หรือกรณีโชคดีหน่อยก็ต้องแนบเอกสารใหม่เสียเวลานานขึ้นอีกกว่าจะได้ภาษีคืนแล้วเอาเงินไปซื้อ Photo set ของ BNK48

มีอีกหลาย Service เลยนะที่ใช้ข้อมูลบนบัตรประชาชน

ผมเห็น Service นี้ของประกันสังคมเคยมีพี่ที่ทำงานมาให้ลองเล่น

https://ssoconnect.mywallet.co/

จะเห็นว่าแค่กรอกบัตรประชาชนกับเบอร์มือถือ ซึ่งผมไม่แน่ใจว่าเขาลิ้งข้อมูลกันด้วยรึเปล่าว่า เบอร์โทรศัพท์นั้นต้องเป็นเบอร์ที่ลงทะเบียนโดยคนเดียวกับเลขบัตรประชาชนนั้น แต่ถ้าให้ผมเดาคิดว่าน่าจะไม่นะ เพราะมันคงยุ่งยากระดับนึงกับผู้ใช้เลย หรืออาจจะเป็นเพราะรัฐไม่เปิดการเชื่อมต่อภายในระหว่างประกันสังคมกับฐานข้อมูลซิมที่จดทะเบียน จึงทำให้เช็คไม่ได้ อันนี้ใครเคยลองก็บอกได้นะ และในอนาคตถ้ารัฐเปิด Service ต่างๆให้ประชาชนเข้าใช้งาน ผมเชื่อข้อมูลบนบัตรประชาชนจะเป็นส่วนหนึ่งในการสมัคร ประเด็นมันอยู่ที่คนที่ข้อมูลหลุดไปแล้วจะมีความเสี่ยงโดนสวมรอย ซึ่งอาจยาวนานไปจนถึงเขาตายหรือเขาเปลี่ยนชื่อ นามสกุล

งั้นให้สิทธิพิเศษกับคนพวกนี้สิ

อันนี้ผมว่าก็น่าจะทำไม่ได้นะ เกิดคนพวกนั้นเขาทำผิดจริงๆตั้งใจทำความผิดจริงๆ แต่เขาใช้ข้ออ้างว่าข้อมูลเขารั่วในเหตุการณ์นั้น ไปๆมาๆเขาหลุดคดีเฉยๆทั้งๆที่เขาทำ คือพอมาถึงตรงนี้ผมว่าหลายๆคนคงมองเห็นภาพว่า แม่งเป็นปัญหาจริงๆนะ คือจะบอกว่าเขาบริสุทธ์ก็ไม่กล้าพูดเพราะไม่มีอะไรมายืนยัน จะบอกว่าเขาผิดก็ยากอีกเพราะไม่แน่เขาอาจสวมรอย คราวนี้ก็ต้องวิ่งเต้นหาหลักฐานมาเพื่อตรวจสอบ ซึ่งเราได้ประโยชน์อะไรจากการทำอะไรแบบนี้ แทนที่จะเอาเวลาไปทำอย่างอื่นเช่น ดู Live สดวง BNK48 เปิดช่อง 9 ดูพริตตี้เคียว ออกไปออกกำลังกาย เขียนโปรแกรมดีๆสักโปรแกรม หรือ หากใช้เครื่องในการตรวจสอบก็เสีย CPU GPU ไปกับงานไร้สาระแบบนี้ แทนที่จะเอาคอมไปร่วมโครงการ SETI@home

มีอีกหลายเรื่องที่น่ากลัว

อันนี้คนอาจจะเริ่มรู้แล้ว แต่บางคนอาจจะไม่รู้ ในกรณีนี้คือมีคนทำข้อมูลคุณหลุด แต่มันมีหลายกรณีที่คุณให้ข้อมูลกับคนอื่นเอง ตัวอย่างง่ายๆคือ facebook อันนี้ผมจะไม่พูดถึง APP นะ อันนี้พูดถึงประวัติส่วนตัวเพียวๆเลยคือ เห็นหลายคนบอกวันเกิดตัวเองเลยจ้า คือแบบ โอ้ใจท่านกล้ามากอะ คือวันเดือนปีเกิดมันถูกใช้กับการยืนยันตัวตนบางที่ หรือเป็นรหัสผ่านบางอย่างเลยนะ ตัวอย่างล่าสุดที่ผมเห็นเขาใช้วันเดือนปีเกิดเป็นรหัสผ่านคือ ใบรายงานเกี่ยวกับกองทุนรวมในปัจจุบันอันนี้ใช้วันเดือนปีเกิดเป็นรหัสผ่านเปิดดูไฟล์ PDF เลยนะ หรือ อาจจะเป็นการบอกที่อยู่ บ้านเกิด ของที่ชอบ โรงเรียนแรกทีเรียน คุณคุ้นๆอะไรแบบนี้ไหม ใช่ครับ มันคือคำถามในหน้าลืมรหัสผ่านตอนยื่นภาษีไง และหลายๆที่เขาก็ใช้คำถามแบบนี้ด้วยนะ ถ้าจำไม่ผิด paypal เคยใช้ด้วยมั้ง ซึ่งเท่ากับว่าคุณเปิดเผยข้อมูลของคุณให้ทุกคนรู้เลยจ้า หรือบางคนเปิด public สะแบบ ตามติดชีวิตได้เลย รู้ตั้งแต่เรียนที่ไหน ได้เกรดอะไร พ่อแม่เป็นใคร ต่างๆนาๆซึ่งผมไม่เคยรู้จักเขาเลย ผมว่าแม่งโคตรน่ากลัวเลยนะที่คนอื่นรู้ชีวิตของคุณทั้งๆที่คุณไม่รู้จักเขาเลย

งั้นก็ไม่ให้ข้อมูลอะไรเลย ทำทุกอย่างแบบ Offline ให้หมดเลย

จริงๆมันก็ทำได้นะ แต่คุณจะยอมรับได้เหรอเพราะมันเท่ากับเป็นการตัดความสะดวกสบายในชีวิตคุณไปมากมายมหาศาลเลยนะ คุณอาจจะทำ Internet banking ไม่ได้เพราะมันต้องสมัครด้วย ข้อมูลบนบัตรประชาชน คุณอาจยื่นภาษีออนไลน์ไม่ได้เพราะไม่ได้สมัครสมาชิก คุณคุย Facebook กับเพื่อนไม่ได้เพราะคุณไม่กล้าให้ข้อมูล คุณเล่น tinder หาคู่ไม่ได้เพราะไม่มีบัญชี facebook คุณทำอะไรบน Internet ไม่ได้เพราะคุณไม่ให้ข้อมูลอะไรที่จำเป็นกับ Application นั้น คุณยอมรับมันได้ไหม อาจารย์ท่านหนึ่งเคยให้ข้อสรุปเกี่ยวกับเรื่องพวกนี้กับผมซึ่งคมมาก แต่ผมจำคำพูดนั้นแบบคมๆไม่ได้ละ จำได้ประมาณว่า “คุณต้องเจอมันแน่นอน คุณจึงต้องตระหนักรู้เกี่ยวกับมัน”