By: lew 
on 17 April 2018 - 20:19
Tags:
Topics:
วันนี้ทางทรูมูฟเข้าชี้แจงต่อกสทช. นายสืบสกล สกลสัตยาทร ผู้จัดการทั่วไปของบริษัท Ascend Commerce ผู้ให้บริการเว็บ iTrueMart (ปัจจุบันคือ WeMall) ก็ชี้แจงข้อมูลที่หลุดออกมา
ข้อความแถลงดังนี้ (พยายามตรงคำต่อคำ มีไม่ชัดเจนบ้างดูเพิ่มเติมในที่มา) "ถ้าไม่ใช่ผู้เชี่ยวชาญ ไม่สามารถเข้าถึงได้ ในกรณีนี้ผู้เชี่ยวชาญความจริงเขาไม่มีสิทธิ์ในการที่จะเข้าถึงสตอเรจตัวนี้ ได้ใช้เครื่องมือพิเศษ ซึ่งในบล็อกของเขาเองก็เขียนไว้ชัดเจนว่าตัวทูลเพิ่งสามารถใช้งานได้เมื่อต้นปีที่ผ่านมานี่เอง ทูลตัวนี้ทำให้ข้อมูลบน S3 ทั้งที่เป็นข้อมูลปกปิดกลับถูกเปิดเผยได้ทั้งหมด ต้องใช้ทูลถึง 3 ตัวถึงจะเข้าถึงข้อมูลได้ทั้งหมด ซึ่งข้อมูลที่เข้าถึงเป็นข้อมูลของลูกค้าทรูมูฟเอชที่สมัครหรือซื้อซิมพร้อมเครื่องมือถือผ่านช่องทาง iTrueMart เท่านั้น ในโฟลเดอร์มีเฉพาะไฟล์ที่เป็นสำเนาบัตรประชาชนของลูกค้าจำนวนทั้งหมด 11,400 ราย ในแง่ของข้อมูลอื่นๆ ที่ถูกแฮกไปไม่มีนอกจากนี้ มีเฉพาะสำเนาบัตร ไม่มีกระทั่งว่าเขาใช้เบอร์มือถืออะไร ซึ่งข้อมูลทั้งหมดตรงนี้ได้ถูก เ่ออ. อย่างที่เราทราบเรื่องเมื่อวันที่ 11 เมษายนที่ผ่านมา และทีมงานได้ปิดรูโหว่ตรงนี้ทันทีอย่างที่นาย Merrigan แจ้งในบล็อกของเขาก็คือวันที่ 12 เมษายนรูโหว่ได้ถูกปิดไปเมื่อเวลาหนึ่งทุ่ม เรายังไม่ได้นิ่งนอนใจแค่นั้น เรายังเพิ่มมาตรการต่างๆ ในการที่จะรักษาความปลอดภัยตรงนี้ให้แข็งแรงขึ้น เพราะต้องยอมรับว่า Cyber Security ในโลกยุคปัจจุบันก้าวหน้าอย่างรวดเร็วมาก มีทูล มีเครื่องมือใหม่ๆ ให้แฮกเกอร์ ให้คนที่เป็นพวก security agency ทั้งหลายใช้อย่างรวดเร็ว อันนี้ก็เป็นบทเรียนนึง อันนี้เป็นช่องทางของ iTureMart เท่านั้น"
ที่มา - SeeMe
ต่อจากนี้คือความเห็นและข้อมูลเพิ่มเติมของผม (lew ผู้เขียนข่าว)
ผมไม่ทราบว่าการชี้แจงของคุณสืบสกล เป็นการจงใจเบี่ยงประเด็นเพื่อลดความเสียหาย หรือถูกวิศวกรในบริษัทชี้แจงมาเช่นนี้จริงๆ และคุณสืบสกลก็เชื่อตามนั้น อย่างไรก็ตาม คำชี้แจงดูจะชี้นำให้ประชาชนเข้าใจผิดได้
ประเด็นแรกเครื่องมือทั้งสามตัวที่กล่าวถึงนั้นไม่ใช่เครื่องมือที่ทำให้ข้อมูลปิดลับสามารถอ่านได้แต่อย่างใด เครื่องมือเหล่านั้นเป็นเครื่องมือค้นหา AWS S3 bucket และลองตรวจสอบดูว่าคนทั่วไปสามารถอ่านข้อมูลภายในได้หรือไม่ แม้ว่าเครื่องมือที่สแกนแบบใช้งานง่ายเช่นนี้จะเพิ่งมีขึ้นมาในช่วงต้นปีที่ผ่านมา แต่การที่วิศวกรทำงานผิดพลาด เผลอเปิดข้อมูลออกสู่สาธารณะนั้นมีรายงานมาตั้งแต่ปี 2013 โดย Rapid7
วิศวกรจำนวนหนึ่งอาจจะเข้าใจผิดว่าการตั้งชื่อ bucket ให้แปลกเข้าไว้ คงไม่มีใครมาเห็น อย่างไรก็ตามความปลอดภัยก็น่าจะใกล้เคียงกับผู้ใช้ที่อยากคุยเรื่องส่วนตัวแล้วไปตอบกันในเว็บบอร์ดร้างๆ ที่ไม่ค่อยมีใครใช้ ที่สุดท้ายก็ข้อมูลหลุดได้อยู่ดี
ประเด็นที่สอง กระบวนการเข้าถึงข้อมูลทั้งหมดที่มีรายงานออกมาไม่ใช่การแฮก คุณ Merrigan แจ้ง bucket ที่เปิดสู่สาธารณะเท่านั้น คลาวด์สตอเรจทุกเจ้าล้วนเปิดให้ตั้งค่าปิดข้อมูลสำหรับผู้ใช้ที่ได้รับอนุญาตเท่านั้น (อ่าน FAQ เพิ่มเติมโดยคุณ Merrigan)
ประเด็นที่สาม ปัญหาไม่ใช่เครื่องมือที่พัฒนาไปรวดเร็ว แต่เป็นแนวทางทำงานภายในที่ต้องแก้ไข เครื่องมืออาจจะทำให้ปัญหามองเห็นในวงกว้างได้มากขึ้น หลังจากนี้คนไทยก็อาจจะใช้เครื่องมือเหล่านี้ตรวจสอบว่ามีการเปิดเผยข้อมูลของบริษัทในไทยบ้างหรือไม่ ชื่อบริษัทไทยอาจจะถูกกรองคำสำคัญเพื่อตรวจหา bucket กันมากขึ้น จากเดิมที่คุณ Merrigan มาพบ bucket ของ iTrueMart เพียงเพราะจำนวนไฟล์มากผิดสังเกต
สิ่งที่ Ascend ควรตอบคำถามคือเหตุใด bucket นี้จึงถูกตั้งค่าเป็นสาธารณะ มันถูกตั้งมาตั้งแต่เมื่อใด ด้วยเหตุผลอะไร นอกจากนี้ที่บริษัทอ้างว่ามีข้อมูลหลุดออกมาเพียง 11,400 รายการโดยไม่มีข้อมูลอื่น ก็ควรชี้แจงว่าไฟล์ใน bucket ทั้งหมด 45,736 นั้นเป็นไฟล์ประเภทใดบ้าง
Get latest news from Blognone
Follow @twitterapi
Comments
ผู้บริหารบริษัทของไทยยังต้องทำความเข้าใจเรื่อง security กันอีกเยอะ
ระบบ security ที่ดีจริงๆแล้วมันคือ ไม่ว่า tool ตัวไหนหรือใครจะทำอะไร จะซับซ้อนแค่ไหน ง่ายหรือยาก ก็ไม่ควรที่จะสามารถเข้าถึงข้อมูลได้ทั้งนั้น
พูดมาแบบนี้ security audit หน้าหงายกันหมด
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
เอาให้เต็มที่นะครับอย่าลืมออกหมายจับนักวิจัยคนนี้ละ ล่าให้เหมือนทักกี้เลยผมอยากรู้ว่าวงการ Security จะตอบโต้ยังไง...
แทนที่จะขอโทษไปตรง ๆ กลับหาข้ออ้างบ่ายเบี่ยงไปวัน ๆ ทำงานแบบเอาตัวรอดไว้ก่อน สามัญสำนึกความรับผิดชอบต่อปัญหาที่เกิดขึ้นไม่มี
That is the way things are.
+1
+1
+1 คำว่าขอโทษนี้มันพูดยากขนาดนั้นเลยหรอครับ?????
Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ
ผมว่ามันต้องเริ่มจากการยอมรับปัญหาหก่อนครับ แตอ่านไปเหมือนแถว่า "ผมเอาลวดเหล็กคล้องประตูไว้แล้วแต่แต่มีคนมาชี้บอกว่า เฮ้ๆเอาสายคล้องงี้ไม่ปลอดภัยนะ แล้วพยายามจะฟ้องเค้าด้วยข้อหาบุกรุก"
เคสนี้เทียบแบบนี้ก็ไม่ถูกครับ ผมว่าต้องเทียบว่าเปิดประตูบ้านทิ้งไว้เลย
เปิดประตูบ้านแล้ววางของมีค่าทิ้งไว้ที่หน้าประตู แล้วหวังว่าจะไม่มีใครผ่านมาเห็นประตู
ถ้าแถไปแบบนี้ มีผลดีอย่างคือภาพลักษณ์ต่อแบรนด์ไม่พังลงทั้งหมด
สูตรนี้เหมือนใช้กันเยอะ คิดว่าคงอยู่ในตำรารับสถานะการ์ณพวกนี้ไปแล้ว
มันคงต้องเลือกระหว่างลอกสีที่ทาไว้ทั้งหมดออกแล้วทาใหม่ หรือ ทาสีโปะแล้วทำเป็นลืมๆว่าเคยถลอก เหอๆ
...............
แน่นอนเคสนี้ทรูเลือกทาสีโปะส่วนที่ถลอก คนตาดีจำได้ย่อมรู้ว่ามันเคยถลอก
แต่ถ้าแถทั้งที่ผิดเอง มันติดลบในใจลูกค้ามากๆเลยนะครับ เห็นมาเยอะ สู้รับผิดไปตรงๆ ยอมรับและปรับปรุง แบรนด์พังจริง แต่มันได้ใจลูกค้ามากกว่า
ในสายตา developer ที่เป็น potential candidate ตอนนี้แบรนด์มันพังไม่เหลืออะไรแล้วครับ คนก็จะพูดต่อ ๆ กันไปเรื่อย ๆ ว่าผู้บริหารที่นี่ไร้น้ำยา ไร้ความรู้ความสามารถ ได้แต่พูดมั่ว ๆ เอาตัวรอดไปวัน ๆ และเป็นวิธีไต่เต้าขึ้นมาเป็นผู้บริหาร ซึ่งกลายเป็นว่าภาพลักษณ์ของที่นี่คือคนที่มีความสามารถไม่มีทางเป็นใหญ่เป็นโตได้
ข้างบนนี่ผมไม่ได้เป็นคนคิดนะ อันนี้ฟังมาอีกที
+1 ครับ
อ่านคำชี้แจงแล้วรู้สึกแย่จริงๆ
อ่านข่าวแล้วได้แต่ถอนหายใจ
เดี๋ยวนี้การออกมาพูด/แถลงแก้ตัวแบบน้ำขุ่นๆมีมากขึ้นกว่าเมื่อก่อนเยอะมากจริงๆ
คิดจะพูดอะไรก็พูด ดูถูกผู้รับฟังเป็นอย่างมาก
ผมว่าเขาขอโทษและน่ะ แต่ก็ตามมาด้วยข้อความตามข่าว
ทรู ชื่อนี้การันตีคุณภาพ ตั้งแต่หัวยันหาง
ทำแบบนี้ได้ในเฉพาะประเทศด้อยพัฒนาอย่างเรา
ทำไมเป็นแบบนี้...
แนวคิดแบบนี้คือ security through obscurity ครับ คือคิดว่าความปลอดภัยรักษาได้ด้วยการปิดการทำงานภายในเป็นความลับ (ในที่นี้คือรหัส S3 bucket ซึ่งไม่ได้หายากอะไรเลย) ซึ่งเป็นแนวคิดที่ไม่ถูกต้อง
วิธีที่ถูกต้องคือ ต้องกำหนดสิทธิ์การเข้าถึงให้ถูกต้อง แม้จะรู้การทำงานภายในทั้งหมด ก็จะต้องไม่สามารถเข้าถึงข้อมูลได้ครับ
+1
เป็นวิธีที่ไม่ควรใช้เป็นวิธีหลักครับ ควรใช้เป็นวิธีร่วมกับวิธีอื่นที่มีความแข็งแรง
คนแรกบอกข้อมูลที่หลุดเป็นแค่ภาพหน้าบัตร ข้อมูลเชิงลึกยังอยู่
คนที่สองบอกว่าถูกแฮก โดยการที่มีคนเปิด public แล้วดั้นมีคนไปเจอโดยเครื่องมีที่เค้ามีใช้กันอยู่แล้ว
มาดูกันว่าพรุ่งนี้จะมีตัวละครไหนมาเล่นปาหี่ให้ดูอีก
ดูถูกสติปัญญากันเสียฉิป
#คุณก็รู้ที่นี่ประเทศไทย
ซึ่งข้อมูลทั้งหมดตรงนี้ได้ถูก เ่ออ. อย่างที่เราทราบ
ถูก เ่ออ. ???
ไม่มืออาชีพเลย
แถ แถด แถด แถด
เเถจนสีข้างถลอกจนเห็นกระดูก
ใช่ๆ คิดว่าคนอื่นเขาไม่รู้หรอ ไม่รู้ทำไมถึงออกมาพุดแบบนี้
จะฟ้องตนออกมาบอกช่องโหว่ Thailand Only
นี่มันกล้าขนาดไหนที่จะดูถูกสติปัญญาลูกค้าตัวเองเนี่ย...
อืม เห็นอีกข่าวกำลังพิจารณาว่าจะฟ้องนักวิจัยที่ให้ข้อมูลไหม เดาถูกจริงๆ แบบนี้เรียกว่าการแก้ปัญหาแบบไทยๆมาก
ถ้าเป็นหน่วยงานรัฐคงใช้ม.44 จับไปแล้วมั๊ง เฮ้อ....
ช่างกล้าโดยแท้
รวมกับโพสต์ก่อนหน้าที่ว่า กสทช.จะตั้งศูนย์ข้อมูลเอง แล้วน้ำตาจะไหล
นอกจากดูถูกสติปัญญาของเหล่า Dev/SysOp/DevOp ที่ทำงานและตามข่าวอยู่แล้ว
ยังประเมินความสามารถของตัวเองสูงเกินไปอีกด้วย
เสียดายที่ CloudTrial ไม่ฟรี และไม่เปิดเป็น Default สำหรับ management option ไม่งั้นการจะ track ว่าใครไปเปลี่ยน ACL นั้นคงง่ายขึ้นมาก
+1
ผมไปทำงานที่ TXX IDC ทุกวัน เห็น Amazon AWS มาอบรมพนักงาน TXX IDC บ่อยมาก แล้วต่อจากนี้จะเป็นยังไงต่อไป 5555555555555
ภาษาไทยวันละคำ
"แฮก"
1. การเข้าถึงข้อมูลจากภายนอกโดยผู้ดูแลทำการตั้งค่าเป็น Public
2. เจ้าของบัญชีทำการ Log in account ค้างไว้แล้วมีคนมาใช้ต่อ
ความรู้สึกในใจก็เหมือนกับเจ้าของคลิปนี้กล่าวไว้ ณ นาทีที่ 3:47
https://youtu.be/rlf-DJLwvRI?t=3m40s
แฮก..........
ถ้าเกิดเป็นคนไทยหาข้อมูลตรงนี้เจอ จะโดนฟ้อง พรบ คอมไหมครับแบบนี้
ถ้าเป็นคนไทยป่านนี้นอนคุกไปแล้ว
ดีใจที่ไม่เคยคิดใช้ทรู
นี่ก็คือหน้าตาเครื่องมือพิเศษที่เจาะเข้าไปในหัวของแอดมินเพื่อสั่งให้เปิดประตูบ้านครับ
"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."
พุดแบบนี้ อเมซอน จะเสีย เอานะ คนจะมองว่า อมเซอนมันแฮกงายแบบที่ว่าทรูว่าเอา ซึ่งอมเซอน ให้บริการทั่วโลก แฮ็กได้ง่ายๆขนาดนั้นเลย
มีคนไหนในหมื่นกว่าราย ได้รับการแจ้งเตือนบ้างรึยังครับ
ผมเป็นหนึ่งในหมื่นกว่ารายแน่นอนครับ เพราะเปิดเบอร์กับ iTruemart
บนเอกสารผมกำกับไว้ด้วยว่าใช้เพื่อเปิดเบอร์ 081-XXX-XXXX การที่บอกว่าหลุดแค่หน้าบัตร ไม่ได้หลุดเบอร์โทร ตรงนี้มั่วละครับ อย่างน้อยผมก็คนนึงที่เขียนเบอร์ไว้ในเอกสารก่อนอัพโหลดขึ้นไปใน iTruemart
และผมยังไม่ได้รับการแจ้งเตือนจาก iTruemart ว่าข้อมูลหลุดครับ
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
https://th.jobsdb.com/th/en/job/senior-security-engineer-300003001614056?sr=1
น่าจะมีคนโดนสังเวยไปแล้วนะครับ
คนจะรับงานนี้ต้องคิดหนักเลย ไม่รู้ต้องตามอุดรูรั่วอีกกี่รู
จริงๆมันอาจจะไม่มีรูรั่วอะไรก็ได้ครับ เพราะ Default ของ S3 Bucket มันเป็น Private อยู่แล้ว
Dark joke สินะ
หรืออาจจะไม่เคยมี
TRUE NOOB
GGWP
The Last Wizard Of Century.
ถ้าคิดว่าเป็นการแฮ็ก ขอเชียร์ให้แจ้ง Interpol ตามรวบตัวในเมอร์ริแกนเลยครับ!
อยากเห็น
เครื่องผม ip 127.0.0.1 มาแฮ๊กได้เลยครับ ไม่กลัวอยู่แล้ว
เห็นข่าวเรื่องนี้แล้วรู้สึกเจ็บปวดใจกับบ้านเรามากๆ จะไป Thailand 4.0 ? เรื่องแค่นี้ยังไม่เข้าใจกันอีกเลย
นึกถึงตอนสมัยก่อน ทำงานให้หน่วยงานรัฐหน่วยงานนึง แล้วดันไปเจอโปรแกรมนึงที่เขาเขียนด้วย VB.NET แล้วดันเอารหัสผ่านฐานข้อมูลใส่ไว้ใน settings ของ project มันเลยเก็บอยู่ในไฟล์ xml ธรรมดาเนี่ยแหละ พอลอง connect ไปดู ผลคือเชื่อมต่อได้ และก็พบกับฐานข้อมูลของโปรแกรมอื่นๆ อีกจำนวนมาก (คงจะใช้รหัสผ่านเดียวกันทุกระบบ) รวมถึงฐานข้อมูลบุคลากร เงินเดือน ฯลฯ
ผมคิดว่ามันเป็นเรื่องสำคัญ จึงพยายามแจ้งไปยังผู้พัฒนาโปรแกรม กว่าจะหาทางติดต่อได้ สุดท้ายก็โดนกล่าวหาว่าเราไป Hack ข้อมูลของเขา พยายามจะอธิบายอะไร ก็ไม่มีใครเข้าใจ จนต้องยอมรับและสัญญาว่าจะไม่ทำอีก (ไม่ Hack อีก)
จะตั้งใจเรียน เก็บเงิน แล้วไปอยู่ต่างประเทศดีกว่า เทคโนโลยีบ้านเราจะดันขึ้นไปทำไม่ไหวจริงๆ
4.0 เป็นแค่การสร้างภาพลักษณ์เฉยๆ ครับ คล้ายๆกับคำที่พูดเอาเท่ พูดแล้วดูเจ๋ง แต่จริงๆกลวงโบ๋
เหมือนบอกว่า "ให้ทุกคนสร้างบ้านสวยๆนะ ออกแบบให้ดีเยี่ยมทันสมัย เราไม่รู้ว่าคุณสร้างกันอย่างไร แต่คุณต้องสร้างให้สวยนะ เราเป็นกำลังใจอยู่ห่างๆอย่างห่วงๆ"
4.0 ผมพยายามทำความเข้าใจอยู่พักใหญ่ๆก็ยังไม่เข้าใจ เข้าใจได้แค่ว่ามันคือวาทกรรมสวยๆที่เอาไว้พูดอวดตามสไตล์ราชการ
แต่ของจริงคืออะไรตอนนี้คนที่ริเริ่มยังตอบในเชิง implementation ไม่ได้เลยมั้งครับ
เพราะที่สื่อสารออกมามันมีแต่ภาพในอุดมคติซึ่งหลายๆเรื่องไม่สามารถทำให้เป็นจริงได้ หรือทำได้ยากมากด้วยซ้ำ
เราทราบเรื่องเมื่อวันที่ 11 เมษายนที่ผ่านมา >>> เค้าแจ้งตั้งแต่เดือนมีนาแล้วนี่
อ่านข่าวแล้วหงุดหงิด ออกมาให้ข่าวดูถูกคนไทยชะมัด รู้สึกดีที่ย้ายค่ายตั้งแต่ธันวาคม
คือต้นเหตุมันก็คงอยู่ที่หน่วยงานที่กำกับจริงๆล่ะครับ ที่ปล่อยให้ผู้ประกอบการที่ทำผิดพลาด ออกมาพูด สื่อสารหรือทำอะไรที่มันดูไร้เหตุผลได้อยู่เรื่อยไป เง้อ มันเป็นมาตรฐานที่แย่ๆของบ้านเราสินะ
..: เรื่อยไป
พูดแบบนี้ อย่าพูดเลยดีกว่า เสียชื่อวงการ Security หมด สิ้นคิดจริงๆ
ส่วน กสทช. จะมีไว้ทำไม ทำอะไรก็ไม่เป็นชิ้นเป็นอัน เสียดายงบประมาณเปล่าๆ ควบคุมอะไรก็ไม่ได้ ไม่เคยเรียนรู้ อย่ามีเลยดีกว่า
ส่วนเราก็ทำได้แค่บ่นด่ากันไป ถ้าไม่มาแสดงออกอย่างจริงจังเสียที บริษัทก็ยังจะเป็นแบบนี้ต่อไปเรื่อยๆ ไม่รู้จบ
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
อยากพูดสามคำให้ true แต่กลัวโดนแบน
เทหุ้นทรูทิ้งครับ.
เทเลยครับ ดอยทั้งชาติ ขาดทุนทุกปี
มีใครแจ้ง AWS รึยัง
เพราะทรูบอกว่าระบบเขาไม่ปลอดภัยมีการ "แฮก" เข้าไปได้โดยใช้ "เครื่องมือพิเศษ"
ผมอยากให้ True IDC โดนถอดสถานะ partner ออกมากเลยแต่ก็รู้ว่าในทางกฎหมายมันถือว่าไม่เกี่ยวอะไรกัน แต่ในมุมมองคนข้างนอกทั่ว ๆ เค้าก็คิดว่าคือ True นั่นแหละ เป็น partner ออกมาพูดว่า AWS โดนแฮกน่าจะจริง
การที่เค้ามาแถแบบนี้ เราว่ามันทำให้ AWS เสียชื่อในเมืองไทยมากเลยนะ โดยเฉพาะกับคนที่ไม่ได้เชี่ยวชาญเทคโนโลยีเท่าไหร่ เช่นมือใหม่หรือเด็กๆนักเรียนนักศึกษาที่กำลังตัดสินใจว่าจะลองใช้ดีไหม ไหนจะพวกคนอนุมัติอีก ลองคิดว่าถ้าตอนนี้จะตัดสินใจใช้ AWS ในบริษัท แล้วหัวหน้าหรือผู้จัดการเชื่อคำแถลงของทรูแบบนี้ เค้าก็คงไม่กล้าอนุมัติให้ใช้ แล้วแบบนี้จะบอกว่าเป็น Partner ได้ยังไง ถึงจะคนละบริษัทก็เหอะ
ถ้าแฮ็คจริงต้องแจ้งความ แต่นี่เงียบๆแสดงว่า...
ดีใจมากที่ไม่มีอะไรในชีวิตเกี่ยวข้องกับ บ. นีั
ถึงแม้จะไม่ได้เกี่ยวข้องทางตรง แต่ผมว่าในชีวิตคุณต้องมีอะไรสักอย่างที่ต้องไปเกี่ยวข้องในทางอ้อมไม่มากก็น้อย
แต่บ.ร่วมเครือนี่โอกาสหนีรอดมีน้อยมากเลย
ผมพยายามเลี่ยงเหมือนกัน แต่สุดท้ายก็มีจังหวะต้องเดินเข้า 7-11 บ้างเมื่อหาร้านสะดวกซื้ออื่นไม่ได้
ได้เอา เสียไม่ยอม
นี่แหละคือปรัชญาการทำงานของพวกพ่อค้าไก่