By: lew 
on 13 April 2018 - 23:50
Tags:
Topics:
Niall Merrigan นักวิจัยด้านความปลอดภัย เฝ้าการสร้าง bucket สำหรับสตอเรจใน S3 และทดลองสแกน แล้วพบ bucket ที่มีโฟลเดอร์ชื่อว่า truemoveh/idcard อยู่ภายใน พร้อมกับโฟลเดอร์ย่อยตามปีและเดือน
เมื่อทดสอบเปิดไฟล์ขึ้นมา จึงเห็นว่าเป็นไฟล์ภาพบัตรประชาชน โดยไฟล์ตัวอย่างขีดคร่อมไว้ว่า "ใช้เพื่อลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น"
โฟลเดอร์มีข้อมูลรวม 32 กิกะไบต์ เป็นของปี 2016 14.5 กิกะไบต์ ของปี 2017 8.3 กิกะไบต์ และ 2018 อีก 2.2 กิกะไบต์
Merrigan ติดต่อทาง TrueMove H ผ่านทางเฟซบุ๊กวันที่ 8 มีนาคมที่ผ่านมา และได้รับคำตอบว่าให้อีเมลไปทาง truemovecare@truecorp.co.th เมื่ออีเมลมา เจ้าหน้าที่ได้ตอบกลับมาว่าให้โทรเข้าสำนักงานใหญ่ จนกระทั่งวันที่ 4 เมษายนทาง truemovecare จึงได้ตอบกลับอีกครั้งว่ากำลังแก้ไข
Merrigan ตรวจสอบสตอเรจว่าปิดไปแล้วเมื่อวันที่ 12 เมษายนที่ผ่านมา รวมเวลาจากการแจ้งครั้งแรกนานกว่าหนึ่งเดือน
ที่มา - The Register, Niall Merrigan
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
เข้าหน้าที่ >> เจ้าหน้าที่
ดราม่าแน่นอน จะว่าอะไร เอาที่สบายใจเลย จะรออ่าน
ปัญหามันอยู่ตรงการแจ้งอะ มันน่าจะแจ้งได้เลย ไม่ว่าทางไหน ไม่ใช่ไล่ให้ไปแจ้งแบบนี้ หรือไม่ก็ไม่ต้องโยนแบบนี้
ปัญหาคลาสสิคครับ
"ไม่ใช่ปัญหา หรือความรับผิดชอบของตรู"
จริงส่วนหนึ่งครับ แต่ติดตรงที่หน่วยงานหรือแผนกที่ไปแจ้งไม่มีอำนาจ แต่จริงๆ ไม่น่าโยนต่อน่าจะรับเรื่องและส่งต่อให้ ถ้าความผิดล้าช้าผมว่สคนแรกที่โยนอาจโดนเด้ง
เท่าที่อ่านดู เหมือนจะ “ไม่มีแผนกด้านความปลอดภัย” ด้วย แต่จริงๆมันก็ส่งแผนก it ได้แหละ มันต้องสักคนแหละ
ถ้าเป็นผม ผมจะรับเรื่องแล้วส่งเมล์ it all ไปเลย ขนาดเรื่องเล็กน้อยกว่านี้ผมยังเคยส่งมาแล้วเลย
น่าจะเป็นเรื่องความไม่เข้าใจว่าปัญหามันร้ายแรงขนาดไหน แล้วก็ไม่ใส่ใจ เพราะมองว่าไม่ใช่ปัญหาตัวเอง
ยิ่งเป็น post ใน fb มันสามารถที่จะใช้เวลาสอบถามได้ เช่น พี่ครับนี่เขาหมายถึงอะไร ติดต่อใครดี
แต่ไม่แน่นะ เท่าที่ทราบ หลังๆบาง bu ก็มี dev เป็นของตนเองซ้อนเข้าไปอีก มันเลยยิ่งยุ่งวุ่นวายเข้าไปใหญ่
ไอ้นี่แหละน่าเป็นห่วงที่สุด ทั้งๆ ที่ บ. ตัวเองเก็บข้อมูลลูกค้าเอาไว้มากมาย แต่พนักงานขาดสำนึกถึงความรับผิดชอบต่อสิ่งเหล่านั้น
เห็นเลยว่าพนักงานในองค์กรเช้าชามเย็นชาม รอตอกบัตรกลับบ้านใจจดใจจ่อขนาดไหน
ถ้าเป็นบริษัทนี้ ขออนุญาตเตรียมเหยียบซ้ำครับ
ถ้าเป็นคนไทยคงบอกให้เดินทางไปแจ้งเรื่องที่สำนักงานใหญ่ด้วยตัวเอง -..-'
my blog
เป็นต่างชาติก็ให้ไปแจ้งสำนักงานใหญ่เองเหมือนกันครับ T_T
ป่านนี้หลุดไปไหนต่อไหนแล้ว...
โอ้วชิท จบแล้ว ไม่มีของปี2015หรือปีก่อนๆแต่ก็กังวลกับเรื่องความปลอดภัยนี่แหละ
ปี 2015 มีนะครับ มีตั้ง 8.3 GiB (คุณ lew ลืมเขียนปี 2015)
หนึ่งในนั้นเป็นรุปผมแต่คงฟ้องอะไรไม่ได้
+1024 ครับ คงจะมีของผมด้วยเเหละ เพราะเพิ่งย้ายเบอร์เข้าค่ายนี้เมื่อ Oct 17
ของผมช่วงเดียวกัน แต่บัตรหมดอายุไปละ
สิ่งที่เคยคิดไว้มันก็เป็นจริง ไม่ว่างทางไดทางหนึ่ง....
สนุกแน่ๆ
มีของชั้นด้วยแน่นอน แย่เลย
ถึงเวลาดูน้ำยาของหน่วยงานที่เกี่ยวข้องแล้วล่ะ
นี่คือนักวิจัยไง, ถ้าเกิดเปลี่ยนเป็นแฮกเกอร์ล่ะ rip true
ปกป้อง | เฟสบุ๊ก | ทวิตเตอร์
อ่านในบล็อกนักวิจัย เหมือนว่าครั้งแรกจะติดต่อทางทวิตเตอร์นะครับ.
ปกป้อง | เฟสบุ๊ก | ทวิตเตอร์
ฝรั่งยังงงว่าจะเก็บรูปสำเนาบัตรพวกนี้ไว้ทำไม อันนี้คงเป็น better version ของสำเนาบัตรแบบกระดาษในหน่วยงานราชการ คือเก็บเป็นไฟล์ดิจิตัล แต่แย่หน่อยพอหลุดแล้วไปหมดเลยง่ายกว่า “There were lots of driving licences and I think I saw a passport,” said security researcher Scott Helme. “I guess they have to send ID for something and the company is storing the photos in this bucket, which can be viewed by the public.”
เป็นคำสั่ง กสทช. ให้เก็บรูปครับ
แต่ไม่เข้าใจว่าทำไมทรูเก็บไว้บนคลาวด์ ข้อมูลสำคัญแบบนี้
ข้อมูลสำคัญก็เก็บบนคลาวด์ได้ครับ
เอาจริงๆ ถ้า config ถูกต้อง ผมว่า s3 มันปลอดภัยกว่าเก็บใน hdd เสียอีก เพราะเข้ารหัสได้ มีการกำหนดสิทธิ์เข้าถึงได้ ทำการ sign url ให้ load ครั้งเดียวก็ได้ มี access log ด้วย
แต่กรณีนี้คือ เปิดอ้าซ่าหมดเอง
คำถามที่ต้องการตอนนี้ มันโดนใคร download ออกไปหรือยัง ?
ดูปีแล้วเป็นสโตรเรจของฝั่งลงทะเบียนซิม แชะๆๆๆ ละไรเทือกนั้นตามร้านสะดวกซื้อหรือเปล่า ?
สาวกเค้าตอบมาอย่างนี้ครับ "ถ้าหลุดต้องมีคนนำออกไปซึ่งดูแล้วเป็นเฉพาะการ Scan เอกสาร" เพลียใจเลยเจอ comment เเบบนี้ เฮ้อ
เห็น comment นี้ในกลุ่มนั้นทำผมงงไปเลยครับ
โดนซื้อไปแล้วแน่ๆ
ลองไปไล่อ่าน comment ดูสิครับ ใครหมิ่น true โดน admin banned นะครับ
ผมโดนไปเรียบร้อย
รู้สึกว่า Comment คุณโดน Flag ในกลุ่มนั้นใช่ไหมครับ
ตอนนี้ผมไม่เห็น Comment ของคุณเเล้วนะ
ตอนนั้นลงทะเบียนซิมปี 58 โอ้วชิท...... แต่ทำเรื่องเปลี่ยนชื่อ-สกุลไปก่อน+บันทึกประจำวันว่าเปลี่ยนไว้แล้ว
เนี่ยนะ AWS Partner? กระจอกฉิบ
ใครใช้อยู่ก็พิจารณากันไป
อันนี้ไม่โอเค
ปล. แต่ประเทศ บุแลนด์ด้า จะทำอะไรบริษัทนี้ได้ เห้อ
รวมตัวฟ้องแบบกลุ่มได้มั้ยเนี่ย
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
True IDC ได้รับแต่งตั้งเป็น AWS Authorized Training Reseller Partner เปิดอบรมสร้างความเข้าใจในการใช้งาน AWS Cloud
คนสอน implement หรือเปล่า
หรือไม่เคยส่งคนในหน่วยตัวเองไปเรียนเลย
หรือคนทำงาน เรียนแล้วไม่follow best practice s
พีคตรงนี้แหละครับ 555 เจอแบบนี้ใครจะกล้าใช้ AWS ผ่าน True อีก ต้องหาทางกู้หน้ามาให้ไว
ทำไมทำงานกันได้แบบ.....เช่นนี้ล่ะครับ
บริษัทระดับนี้มันไม่ควรจะเกิดเรื่องแบบนี้ แต่ยกเว้นทรูไว้ซักเจ้าแล้วกัน ทำงานกันยังไงก็พอเข้าใจอยู่ (สมัยฝึกงานเคยอยู่ที่ทรู ก็พอจะเห็นระบบการทำงานแบบไทยๆ อยู่)
แต่เรื่องติดต่อแบบโยนกันไปโยนกันมานี่มันพีคจริงๆ จริงๆ ถ้า admin facebook มีความรู้ในเรื่องนี้ เรื่องแบบนี้มันต้องเต้นผ่าวๆ รีบรายงานไปทางผู้ใหญ่แล้ว นี่แสดงว่าไม่ได้ตระหน้กอะไรเลยซักนิด เหมือนไม่มีความรู้ ทำงานไปวันๆ แล้วโยนให้ฝ่ายอื่นต่อ แถมอีเมล truemovecare ก็ยังเป็นด้วยอีกทั้งๆ ที่น่าจะเป็นฝ่ายรับเรื่องได้ดีที่สุด หมดคำพูดกับบริษัทนี้จริงๆ ก็คงจะเห็นกันแล้วว่าบริษัทนี้ทำงานกันยังไง ถ้าไม่เพราะเงินถุงเงินถังมากมายที่ทุ่มลงทุนกับระบบมานี้ก็คงไม่ได้เป็นเบอร์ 2 มาหรอก
น่าจะมีใครใช้ Blockchain ทำระบบเก็บเอกสารสำคัญ แล้วใช้กุญแจอสมมาตรเข้ารหัสขัอมูลไว้ ใครจะขอก็ให้ Public Key เข้าผ่าน API แล้วกำหนดช่วงเวลาใช้งานได้ไปด้วยน่าจะดีกว่านี้นะ แถมรู้ด้วยว่าเคยให้ใครไปบ้าง
เทคโนโลยี blockchain มันมีอะไรที่เหมาะสมกับงานลักษณะแบบนี้เหรอครับ อันนี้ถามด้วยความไม่รู้นะครับ อยากได้ความรู้ครับ
ไม่ต้องถึงขั้น blockchain ก็ได้ครับ ใช้ S3 ให้ถูกวิธีก็พอแล้วไม่ต้องเปิด public แล้วใครจะอ่านไฟล์ไหนค่อยอนุญาตให้เป็นครั้ง ๆ เฉพาะคนเฉพาะไฟล์แล้วกำหนดเวลาที่ให้อ่านได้มี access log ครบทุกอย่าง แค่เค้าไม่คิดทำซักอย่าง
มีกลุ่มคนกำลังทำอยู่ครับ มีแกนนำเป็น ดอกเตอร์ภูมิ
TEDxChiangMai's Youtube
Green lantern's Slack
Github
White paper
ปกติจะมี meetup กันทุกพุธเย็น แต่พุธล่าสุดละครวันสุดท้ายเลยยกเลิกไป
ล้อเล่นไปต่างจังหวัดกันเยอะช่วงวันหยุดยาว
อาจารย์ภูมินี่เอาเปเปอร์ Bitcoin มาให้คลาสผมอ่านตั้งแต่ BTC ละ 400 บาท จบคลาสนั้นไปผมนี่ติดใจเลยครับ
ผมรู้จักบิตคอยครั้งแรกก็ตอนจบใหม่ๆประมาณ5ปีที่แล้ว ยังไม่มีเงินเก็บ อ่านแล้วเข้าใจว่าน่าจะคล้ายๆกับพวกสกุลเงินต่างประเทศ
ก็เลยว่าจะซื้อมาเก็บเก็งกำไรไว้ขำๆสัก1บิตคอย
เปิดเว็บเจอราคา 1บิตคอย = ประมาณ8,000พับโครงการเลยครับ
ยังเสียดายไม่หายเลยครับ
รู้อะไรไม่สู้รู้งี้จริงๆ 555
ตอนนั้นไม่เคยคิดถึงซื้อเลยครับ ยุคนั้นขุดง่ายขนาดใช้ laptop เปิดขำๆ ก็มีโอกาสได้ 50 BTC เน้นๆ ยังแปลกใจที่ผมไม่ขุดเพราะปกติชอบลองเล่นของพวกนี้
แต่ไม่เสียดายขนาดนั้นครับ เรื่องที่ผ่านไปแล้วผมไม่ค่อยคิดมาก กับอีกอย่างคือรู้ตัวดีว่าต่อให้ขุดมาได้ผมก็ขายไปนานมากแล้ว 555
ผมเข้าใจว่า ใน USA ถ้าหลุดแบบ massive อย่างนี้จะต้องมีการสืบสวนสอบสวนใหญ่พอดู แต่นี่เงียบมาก แถมข่าวแรกยังมาจากต่างประเทศอีกด้วย
HELLO WELCOME
จริงๆแปลกตรงคนเปิดสิทธิ์ด้วย ว่าตอนเปิด public นี่คิดไร ไม่มี security team review หรอ?
เพราะ default มัน private นี่นา
"By default, all S3 buckets are private, and can only be accessed by users that have been explicitly granted access."
https://aws.amazon.com/premiumsupport/knowledge-center/secure-s3-resources/
ใช่ครับ Bucket ที่สร้าง ค่าเริ่มต้นคือ private ทุกอัน และเวลาอัปโหลดอะไร จะตั้งค่าไฟล์เป็น private แบบ default ครับ
ป.ล. ใช้อยู่ เลยรู้
Coder | Designer | Thinker | Blogger
หรืออาจจะตั้งใจเปิดเพื่ออะไรซักอย่าง
คนคุมระบบหากมีอำนาจมากไปพวกเขาอาจทำระบบให้เป็นอาณาจักรของตนเอง เปิดปิดความปลอดภัยตามใจชอบเพื่อความสะดวกของตนเอง
แต่ถ้ามองอีกมุมมองหนึ่งอาจเป็นความตั้งใจเปิดข้อมูลก็ได้ เป้าหมายคือขายข้อมูลนั่นล่ะ
ส่วนตัวนะครับ
"มีความเสียหายหรือยัง" ไม่ก็ื "อยู่ระหว่างสอบสวน" ซึ่งผมว่าต่อให้มันผิดระเบียบ กสทช.
ทางเราจะได้อะไรไหมนอกจาก กสทช. ได้ค่าปรับ.......ก็ไม่ :)
จากพวกทรูมันนี้วอลเล็ตและระบบออนไลน์...."ให้คุกกี้มำนายกันว่าจะแจ็คพ็อตอีกเมื่อไหร่"
อ่านคอมเม้นแล้วหน้าชาเลย ประเทศไทย
อันสุดท้ายเนี่ยแหละประเด็นที่ผมเลือกที่ไม่ใช้พวกวอลเล็ตพวกนี้เลย (รวมถึงพวก AirPay, BluePay พวกนี้ ที่ผมเหมารวมเรียกว่า "กระเป๋าเงินจีน")
เรื่องความปลอดภัยของลูกค้าอันนี้คือเรื่องที่ผมกังวลเกี่ยวกับ 3rd party wallet มาก แล้วพอเจอเคสนี้ ทำให้ผมเบรกเรื่องนี้ยาว ๆ เลยครับ
Coder | Designer | Thinker | Blogger
ผมไม่เคยเชื่อใจกระเป๋าเงินออนไลน์ของเจ้าไหนเลย
ไม่ว่าจะในหรือนอก แต่ทำไงได้ยุคนี้
นั่นแหละครับประเด็น ผมไม่ใช้เลยกับพวกนี้ (ที่ใช้จริง ๆ ก็มีแค่ PayPal) ที่เหลือผมไม่ไว้ใจมันนะ โดเฉพาะของในบ้านเรา
Coder | Designer | Thinker | Blogger
เหมือนเจอพวก ^^"
เพราะผมก็ผูกไว้แค่ paypal กับอเมซอน
เว็บไหนไม่น่าไว้ใจ เช่น SSL basic , กดแล้วพาไปอีก link นี่
ส่วนใหญ่ผมออกมาก่อนทุกที
เราอาจต้องไปอยู่ป่าเหมือนที่ข้างล่างว่าไว้ก็ได้นะครับ
ผมนี้เลิกเล่นเน็ตไปเลยกลับไปอยู่ในป่าแล้ว
ในป่าใช้อะไรโพสเหรอครับ
แล้ว?
ผมพอเข้าใจที่คุณจะสื่อนะครับว่าเรื่องความเป็นส่วนตัวมันหายตั้งแต่เข้าบนโลกอินเทอร์เน็ต แต่เรื่องธุรกรรมทางการเงินมันซีเรียสมากกว่าความเป็นส่วนตัวนะครับ ความเป็นส่วนตัว มันกันได้อยู่แล้ว แต่ถ้าเงินหาย คุณจะทำยังไง?
ส่วนตัวผม ถ้ามีบัญชีอะไรต่าง ๆ ผม opt-out การเก็บข้อมูลทุกอัน และจะพยายามไม่ใช้ของที่มีการล่วงล้ำข้อมูลส่วนตัว อย่างของกูเกิล ผมไม่ค่อยไว้ใจมัน เลย opt-out ทุกอย่างที่สามารถสืบเรื่องข้อมูลส่วนตัวได้ และพยายามลดการใช้งานให้น้อยที่สุด ผลิตภัณฑ์บางตัว ถ้าไม่จำเป็นจะไม่ใช้เลยอย่าง Google Photos ผมไม่ใช้เลย และไม่ได้ใช้ Google Drive เป็นหลักด้วย
แต่เรื่องเงินเนี่ย เราฝากบัตร ฝากบัญชีธนาคาร ฝากเงิน (ที่หลายที่ถอนแล้วเสียค่าธรรมเนียมแพงกว่าฝากเข้า) ส่วนตัว ผมไม่ไว้ใจพวกนั้น ประเด็นอยู่ตรงนั้นครับ
Coder | Designer | Thinker | Blogger
เม้าท์ไม่ดีขออภัย
โดนไปเรียบร้อยครับ 555 (ในเลข 5 มีน้ำตาซ่อนอยู่)
ในต้นทางมีบอกวิธีการด้วย
เคยทำงานที่ Truecorp อยู่ 2 ปีกว่า
บอกเลยว่า ไม่แปลกเลย ธรรมดามาก
เรื่องความผิดพลาด ความรัดกุม ความปลอดภัย หลวมมาก
วัฒนธรรมของคนในองค์กร มันเป็นแบบนี้
จริงๆครับ หน้าช๊อปนี้เป็นด่านแรกที่เก็บข้อมูลลูกค้า ถ่ายเอกสารวางกันเกลื่อนกระจาย แม่บ้านเอาไปทิ้งโดยไม่ฉีกทำลาย ไม่ทราบว่าตอนนี้ปรับปรุงหรือยัง
คิดเล่นๆ คนในจงใจให้หลุดเพื่อขายข้อมูลหรือเปล่า พอมีคนแจ้ง bug เลยเฉยๆไปก่อน
มันสามารถทราบได้มั้ยครับว่า มีคนเข้าไปดู/เข้าไปโหลด ออกมา ข้อมูลหลุดในประเทศที่สวมรอยบัตรประชาชนกันเป็นเรื่องปกติ กลัวครับกลัวอยู่ดีๆจะมีหนี้สินที่ตัวเองไม่ได้ก่อมาถึงบ้าน
เอาข้อมูลที่หลุดไปสมัคร TruemoveH เพิ่มได้มั้ยครับ
แค่ตอนนี้บางคนก็มีเบอร์ทรูเพิ่มเข้ามา งง ๆ ทีละ 2-3 เบอร์แล้วครับ ช่วย ๆ กันหน่อยครับเป้าหมายคือ 40ล้านเลขหมายจะได้เป็นเบอร์ 1 จริง ๆ ซักที //หลังจากที่เป็นแค่ที่ 1 ในใจคุณมาหลายปี 555555555
https://www.blognone.com/node/85461
AIS ก็เคยเหตุการณ์แบบนี้ สุดท้ายก็แค่ไล่พนักงานออก แต่ไม่เห็นมีอะไรคืบหน้า เคสนี้คงไม่ต่าง
ถ้าเป็นเช่นนั้นจริงแสดงว่าคนที่แย่ที่สุดคงเป็นกสทช. ครับ เป็นหน่วยงานกำกับดูแลโดยตรง (แถมเรื่องเก็บบัตรประชาชนนี่ก็สั่งเอง)
lewcpe.com, @wasonliw
รอดูอยู่ครับว่าเขาจะทำการอย่างไร กับเคสนี้
คนละเรื่องเลยครับ อันนั้นหลวมที่ระบบภายในพนักงานก็อบข้อมูลออกไปขาย มันยังเกิดภายในองค์กร
แต่ออันนี้ผิดที่ระบบตรวจสอบทั้งหมดเปิด Public ของ S3 คนภายนอกเข้าถึงได้หมด ความผิดมันคนล่ะสเกลเลยครับ
AIS นี่คนมีเส้นสายเข้าถึงได้แต่คนจนๆ ก็อดนะครับ ทรูให้ความเสมอภาคด้วยการไม่เกี่ยงว่าคนต้องการเข้าถึงจะเป็นคนจนหรือคนรวยเลยนะ #ใช่เหรอ
ไม่ต้องคิดหาความรับผิดชอบ ของ บ นี้ ธรรมภิบาลตำ่เตี้ย
กฎหมายจทำไรได้ไหม พ่อมันไหญ่
ทรูควรจะแจ้งผู้ใช้งานทุกคนที่ภาพบัตรประชาชนหลุดออกไปไหม??
ถ้าตามปรกติก็ใช่.....แต่ถามว่าทำไปแล้วทรูได้อะไรนอกจากโดนด่า
เปลืองทรัพยากรคน เวลา เงิน ฯลฯ เอาเวลาไปเขียนคำถ้อยแถลง กสทช.
เท่ๆดีกว่าอีก
คิดว่าน่าจะมีของตูด้วย อะไรว๊า
..: เรื่อยไป
มีวิธีการอย่างไรบ้างครับ ว่าข้อมูลที่หลุดไป มีข้อมูลของเราหรือไม่
ขอถามเป็นความรู้ครับข้อมูลบัตรประชาชนที่หลุดไป
ถ้ามิจฉาชีพได้ไป จะสามารถเอาไปทำอะไรทำอะไรได้บ้างครับ
ที่อาจมีผลเสียต่อเจ้าของบัตร