By: lew 
on 19 April 2018 - 13:30
Tags:
Topics:
ลูกค้า TrueMove H ที่ได้รับผลกระทบจากข้อมูลหลุดผ่าน iTrueMart เริ่มได้รับ SMS กันบ้างแล้วตามที่ทาง TrueMove H ได้ประกาศหลังเข้าพบกสทช. เมื่อวันอังคารที่ผ่านมา
น่าสนใจว่าข้อความไม่มีส่วนใดระบุยืนยันว่า "ท่านคือผู้ได้รับผลกระทบ" แต่อย่างใด ระบุเพียง "ขออภัยลูกค้าที่อาจได้รับผลกระทบ" เท่านั้น และข้อความยืนยันว่าเป็นเหตุการณ์เข้าถึงข้อมูลโดยไม่ชอบด้วยกฎหมาย พร้อมกับขอให้ไว้ใจว่าข้อมูลของลูกค้าได้รับการดูแลปกป้องด้วยมาตรฐานสูงสุด
ต่อจากนี้คือคำแนะนำต่อ TrueMove H / iTrueMart จากผู้เขียนข่าว
บริษัทควรละอายต่อการส่งข้อความแจ้งเตือนลูกค้าที่ทำให้เกิดความสับสนเช่นนี้ ข้อความแจ้งเตือนข้อมูลหลุดควรมีเป้าหมายเพื่อแจ้งให้ลูกค้ารู้ตัวได้อย่างทันท่วงที ไม่ใช่ข้อความโฆษณามาตรฐานระดับสูงสุดอะไร (เพราะถัามันสูงสุดมันคงไม่หลุดแต่แรกแล้ว)
ถ้าไม่สามารถร่างข้อความได้ ผมเสนอร่างข้อความแจ้งเตือนลูกค้าดังนี้
เรียนลูกค้า [ชื่อลูกค้า] ผู้ใช้หมายเลข [เลขโทรศัพท์ที่ใช้ลงทะเบียน] ตามที่ท่านได้ส่งข้อมูลลงทะเบียนหมาย [เลขโทรศัพท์] เมื่อวันที่ [วันที่ลงทะเบียน] นั้น บริษัทพบว่าระบบลงทะเบียนเปิดให้บุคคลที่ไม่เกี่ยวข้องเข้าถึงภาพและข้อมูลบัตรประชาชนของท่านได้ จนกระทั่งมีผู้แจ้งเตือนและบริษัทได้ปิดการเข้าถึงไปเมื่อวันที่ 12 เมษายน 2561 ที่ผ่านมา ทำให้ข้อมูลของท่านอาจถูกมิจฉาชีพนำไปใช้งาน ความผิดพลาดนี้เป็นความผิดพลาดของบริษัทและขออภัยเป็นอย่างสูงไว้ ณ ที่นี้
บริษัทกำลังลงบันทึกประจำวันเหตุการณ์ข้อมูลหลุดนี้ ณ สถานีตำรวจ [ระบุชื่อสถานที่] ภายในวันที่ [ระบุวันที่] โดยท่านสามารถขอสำเนาบันทึกประจำวันนี้ได้ทาง [บอกช่องทาง] หรือหากต้องการสอบถามข้อมูลเพิ่มเติมสามารถสอบถามได้ทาง [ช่องทาง]
?สำหรับคนที่อยากรู้ว่าตัวเองคือผู้เสียหายหรือไม่ ถ้าได้รับsms คุณคือ #ผู้เสียหายที่แท้ทรู เราคือหนึ่งในนั้นที่อยากรู้ว่าทรูจะรับผิดชอบเรื่องนี้ยังไง!!!#ทรู #ทรูมูฟ #ทรูมูฟเอช #true #truemove #truemoveh #iTrueMart pic.twitter.com/blCTYrorCG
— KTooN (@toonFcYA) April 18, 2018
Get latest news from Blognone
Follow @twitterapi
Comments
มาตรฐานสูงพอๆ กับยอดเขา Everest กลับหัวสินะ
ร่องสมุทร Mariana ต่างหาก
ผมเชื่อว่าทรูรู้ตัวนะ ว่าเขาไม่ได้ Hack
แต่มองในมุมธุรกิจ ถ้าออกมายอมรับว่าตัวเองเปิดไฟล์สาธารณะเอง คงเสียหายมากกว่า
ทั้งด้านความน่าเชื่อถือจากผู้บริโภค (ทั่วไป) และด้านกฎหมาย
มาทางนี้แล้วก็ต้องไปให้สุด
เป็น mindset ที่เห็นได้บ่อยในไทยคือไม่กล้ายอมรับความผิด ใช้การกล่าวโทษคนอื่นน้ำขุ่นๆเพื่อเบี่ยงประเด็น
ทังๆที่ถ้ายอมรับและขอโทษแบบจริงใจเหมือนที่ญี่ปุ่น/เกาหลีทำบ่อยๆอาจจะได้ผลดีกว่าก็ได้
ในแง่รู้ว่าไม่ได้โดนแฮคแต่ไปแจ้งความว่าแฮคนี่มันจะเป็นแจ้งความเท็จหรือเปล่า ปล. ผมไม่รู้เนื้อหาแจ้งความจริงๆ นะแต่อ่านจากข่าวเข้าใจว่าแบบนั้น
ออกข้อสอบจับใจความได้เลยนะ ผู้เขียนเมสเซจต้องการสื่อถึงอะไร
มาตราฐานสูงเกิน จนทรูไม่สามารถไปถึงมาตราฐานนั้นได้ ขอให้ลูกค้าเชื่อใจในมาตราฐานสูงสุด (แต่กับทรูเชื่ออะไรไม่ได้แล้ว เชื่อได้แต่มาตราฐานสูงสุด)
แถให้ถึงที่สุด
ให้ตายยังไงก็ยังไม่ยอมรับว่าเป็นความสะเพร่าของตัวเองสินะ
ทำบันทึกประจำวัน => ลงบันทึกประจำวัน
ถัา => ถ้า
ไม่มีทางยอม เพราะพวกที่เข้าใจความอ่อนไหวพวกนี้ มีแต่พวกที่ทำงาน IT เท่านั้น
ไม่ได้ข้อความแปลว่ารอด?
May the Force Close be with you. || @nuttyi
เหมือนอ่านข้อความจากนักการเมืองผู้ถูกกระทำใส่ร้าย แท้ทรูทำตัวเอง เต็มๆ เขาเตือนไม่ฟัง เขาเอาไปออกข่าวถึงแก้ไข
เขารอจนทรูแก้ครับ แล้วค่อยโพส
มั่นใจว่าข้อมูลที่หลุดไปจะไม่สูญหายอย่างแน่นอน
เยี่ยมจริง ๆ ๆ ๆ
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ทรูเอง ไม่รู้ด้วยซ้ำ ว่านอกจาก White-hat ที่แจ้งเฉยๆไม่เอาไปใช้แล้ว
ในเคสนี้ ตลอดเดือนนึงในระยะแจ้ง (และจริงๆอาจจะเปิดมาก่อนหน้านั้นเป็นหลังปีนึง) มี Black-hat อีกมากแค่ไหนที่เอาข้อมูลไปใช้ประโยชน์
ยิ่งเขียนแบบนี้ ยิ่งแสดงให้เห็นถึงความ "ต่ำ" ของมาตรฐาน (คือคิดว่าตัวเองมาตรฐานสูง และยังเชื่อ/หรือยังไม่รู้ตัวด้วยว่าจริงๆตัวเองมาตรฐานต่ำมากแค่ไหนเทียบกับมาตรฐานในวงการนี้ในระดับโลก ..)
ในวินาทีแรกที่รู้เรื่อง จัดการ ออกแถลงการณ์ ออกคำขอโทษ ออก Incident Response Procedure อะไรพวกนีั มันจะได้ใจ ได้ความโปรในแกนอื่นๆไปด้วยเพิ่มขึ้น
กลายเป็นว่า
- การจัดเก็บข้อมูลไม่โปร (เลือกรูปแบบเป็น Public แทนที่จะใช้ Access Credential อื่น)
- การรับรู้ปัญหาไม่โปร (ปัญหา Security เป็นเรื่องใหญ่ และต้องได้รับการตอบสนองโดยเร็ว แต่นี้จากแจ้งจนถึงปลายทางใช้เวลายาวนานเป็นเดือน)
- การแก้ไขเบื้องต้นไม่โปร (หลังจากมีปัญหา และรับทราบ เรื่องพวกนี้ควรแก้ในระดับ "ชั่วโมง" ด้วยซ้ำ นี่พอถึงฝ่าย Security แล้วกว่าจะปิดยังกินเวลาไปอีกหลายวันกว่าจะปิด public)
- การตอบข้อมูลไม่โปร (พยายามเลี่ยงบาลีสารพัดรูปแบบ ทั้งที่ IT Security Expert แนะนำมากมาย ทั้งตอบต่อลูกค้า และต่อหน่วยงานราชการ ... การเลี่ยงบาลีนั้นทำโดยเชื่อว่าผู้ฟังไม่รู้เรื่องอีก เป็นการดูถูกบุคลากรสายนี้มาก)
- จริยธรรมต่อธุรกิจ และลูกค้า ไม่โปร (เพราะจนถึงจุดนี้ยังไม่ยอมรับว่าสิ่งที่ตัวเองทำ ผิดพลาดเลย แถมยังอ้างเอาว่ามาตรฐานสูงส่งอีก)
- แนวการแก้ไขปัญหาในระยะกลาง-ยาว ไม่โปร (เพราะจริงๆคุณต้องทำ Self service portal สำหรับตรวจสอบ และแจ้งอย่างตรงไปตรงมา เพราะยังปิดความเสี่ยงไม่ได้)
ยิ่งทำ ยิ่งไม่โปร ยิ่งไม่น่ามั่นใจมากขึ้นไปอีก
เพราะไอสเต็ปพวกที่เลือกจะไม่ทำทั้งหลายนั่นล่ะ ที่เค้าใช้เรียกความมั่นใจ (ว่าใส่ใจ และรู้วิธีแก้)
จริงๆ True ต้องเอากระเช้าไปกราบขอบคุณฝรั่งที่ออกมาเปิดโปงเรื่องนี้ ถ้าไม่งั้นก็ปล่อยรูให้มันรั่วต่อไป...
ถ้าสูงสุดได้แค่นี้..
ต่ำตมไม่หยุด...
ขว้างงูไม่พ้นคอหรอก
เฮ้อ...
..: เรื่อยไป
ดีแทคอยู่เฉยๆ กลับกลายเป็นเบอร์ 2 เหมือนเดิมโดยไม่ได้ทำอะไร 555
แอบงง iTrueMart มันไม่มีแล้วเปลี่ยนเป็น WeMall ทำไมถึงยังไปใช้คำว่า iTrueMart อีก
https://brandinside.asia/who-is-itruemart-truemove-h-case/
รักษาชื่อแบรนด์ใหม่ไว้ไงครับ ชื่อเก่าไม่จำเป็นต้องรักษาอะไรแล้ว เลยโบ้ยไปหาคนตาย
+1
ต้องไปให้สุดทางสินะ
มาตรฐานอ่ะสูง แต่บุคลากรอ่ะคุณภาพต่ำ
มาตรฐานอ่ะสูง แต่ทุยอ่ะคุณภาพต่ำ
วัฒนธรรมไม่ยอมรับผิดนี่แหละคือวัฒนธรรมไทยที่แท้จริง
เราจะเห็นได้ว่า ตั้งแต่คนระดับล่าง ไปยันชนชั้นกลางจนถึงระดับผู้นำประเทศ จะยากดีมีจน จะหาเช้ากินค่ำหรือเจ้าสัวหมื่นล้าน จะเอกชนหรือข้าราชการ ก็ทำเหมือนกันคือไม่ยอมรับท่าเดียว ฉันไม่ผิด ไม่เคยผิด
คงเพราะเราไม่มีระบบอะไรที่ทำให้การยอมรับข้อผิดพลาดมันคุ้มค่ากว่าการสู้หัวชนฝา
สปิริตสื่อ ผู้ประกาศช่อง 7 ก้มกราบขอโทษ หลังขึ้นภาพกราฟฟิกประกอบข่าวผิด
เห็นข่าวนี้แล้วมีความหวังขึ้นมาเล็กน้อย
https://www.blognone.com/node/76898
ยอมใจเรื่องการแถเลย
ต่อไปนี้จะแนะนำไม่ให้ใครใช้ค่ายนี้ เกินเยียวยา
เอาจริง ๆ ทรูก็ใช่ว่าจะไม่มีบทเรียนนะครับ
ธ.กสิกรไทยรับผิดชอบ คืนเงินหนุ่มประดับยนต์เกือบล้าน ส่วนทรูยังเงียบ - https://m.pantip.com/topic/35512518?
เหตุการณ์ครั้งนี้ทำให้รู้วัฒนธรรมองค์กรในภาพรวมเลย
ผมว่าเรื่องนี้คนในวงการไอทีประเทศเราไม่ควรจะให้มันผ่านไปนะครับ
วงการนี้มันแคบ
ข่าวเรื่องนี้มีความคืบหน้าทุกครั้งรู้สึกเดือดทุกครั้ง
ไม่ได้ใช้ทรูอะไรแล้ว ยกเว้น 7-11, CP, Makro, ...
คือว่า ผมอยาก รู้ว่า admin เขายังอยูาหรือเปล่า และ ทรู จ้าง admin ใหม่ยัง อัน อยากรู้แบบชาวบ้านๆ เลยครับ
ในนี้มีใครทำงานด้าน IT ในทรูไหมครับ ผมว่าน่าจะมีนะ
แล้วข้างในเค้าปั่นป่วนกันแค่ไหนนะอยากรู้จริงๆ
ผมมีพี่ที่รู้จักทำแอปทรูวอลเล็ตกับไอเซอร์วิสอยู่แอสเซนครับ เดี๋ยวแอบถามมาให้
ฝากบอกให้ช่วยทำแอพ iService ให้เสถียรหน่อยได้มั้ยครับ จะเติมเงินใส่เบอร์ตัวเอง (ตัดบัตร) ต้องวัดดวง มีปัญหา 50/50 ตลอด กดเติมแล้วไม่ผ่านดื้อๆ เลย (แต่ยังไม่มั่นใจนะครับว่าเป็นที่แอพหรือตัวระบบ iservice ทั้งยวง)