ยังไม่ทันจะได้นำทางสู่ประชาธิปไตยอันไกลโพ้น ก็ต้องมีอุปสรรคเสียแล้ว เมื่อมีผู้พบว่า แอพ "ดาวเหนือ" ของสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) มีปัญหาเรื่องการเปิดเผยข้อมูลมากกว่าที่ควรจะเป็น รวมถึงการส่งข้อมูลในแบบที่ไม่ได้เข้ารหัสแต่อย่างใด
ผู้ใช้ทวิตเตอร์ @ipats ระบุว่าตัวแอพมีการเรียกใช้งานข้อมูลผ่าน SOAP โดยอยู่บนโปรโตคอล http ซึ่งไม่มีการเข้ารหัส แต่ที่ดูจะเป็นประเด็นสำคัญกว่าคือเมื่อใส่รหัสบัตรประชาชนเข้าไปแล้ว ข้อมูลที่ส่งกลับมาประกอบด้วย "ที่อยู่ตามทะเบียนบ้านของผู้มีสิทธิเลือกตั้ง" มากเกินกว่าข้อมูลของคูหาหรือสถานที่ใช้สิทธิเลือกตั้งแต่ตามที่แอพระบุว่าทำได้
แม้ตัวแอพไม่ได้แสดงข้อมูลเหล่านี้ให้ผู้ใช้ทราบ แต่หากมีผู้ไม่ประสงค์ดี และทราบเพียงรหัสบัตรประชาชน ก็จะสามารถเข้าถึงข้อมูลสำคัญอย่างที่อยู่ตามทะเบียนบ้านได้ไม่ยาก
แอปของกกต. เรียก soap service ผ่าน http เพลนๆ งี้เลยแฮะ ที่ soap ตอบกลับมา ก็มีเลขที่บ้านพร้อมเลย (แค่ไม่โชว์ในแอป) pic.twitter.com/nneMnCqjTK
— Patinya S. (@ipats) January 21, 2016
@lewcpe ขออนุญาตถมดำจำนวนมาก (HID น่าจะเป็นเลขบ้านตามทะเบียน, HNO คือบ้านเลขที่) pic.twitter.com/yhVOf5NtQy
— Patinya S. (@ipats) January 21, 2016
Comments
"ถ้าไม่ได้ทำอะไรผิด จะกลัวอะไร" ทำไมจู่ๆ นึกถึงวาทกรรมนี้ TT
ขัดผลประโยชน์ผู้อื่น ก็น่าจะนับเป็นการทำผิดด้วยนะครับ เพราะทำให้ผู้อื่นเสียใจ แม้ว่าผู้ที่เสียใจจะเป็นคนไม่ดีก็เถอะ
ก็คือ คนดีก็ทำดีแบบผิดๆ ได้
อันนี้น่ะน่ากลัว เพราะผู้ใช้ทั่วไป (ที่พอจะเป็นโปรแกรมหรือดูซอร์สโค้ดเป็น) สามารถที่จะเอาข้อมูลของบุคคลนั้นๆ ไปทั้งหมดได้เลย มันค่อนข้างจะเข้าถึงข้อมูลส่วนตัวมากเกินไป (มาจากฐานข้อมูลทะเบียนราษฎร์) แตกต่างกับโซเชียลเน็ตเวิร์ค ที่เราจะนำเสนอข้อมูลที่มีให้แค่ที่อยากให้เห็นเท่านั้น
รับทำเว็บไซต์ ออกแบบเว็บไซต์
สอบถามหน่อยครับ ข้อมูลเลขประชาชนถือเป็นข้อมูลปกปิดหรือหลุดไปจะเป็นอันตรายอะไรหรือเปล่าครับ?
ชื่อ-สกุล
ที่อยู่
เบอร์โทร
รายชื่อสกุลญาติ คู่สมรส บุตร
ข้อมูลบริการสิทธิต่าง ๆ ที่ใช้ร่วมกับภาครัฐและเอกชน รหัสประจำตัวผู้เสียภาษี ทะเบียน การขนส่ง ข้อมูลประวัติโรคประจำตัว การศึกษา ส่วนสูง น้ำหนัก กรุ๊ปเลือด ศาสนา คดีความ การสมัครบริการออนไลน์ หมายเลขประจำตัว Passport บัตรเครดิตและบัญชีธนาคาร อินเตอร์เนต เครือข่ายสื่อสารที่ใช้งาน ประวัติการซื้อของออนไลน์
...
ทั้่งหมดนี้คือเท่าที่ผมรู้ว่าโยงกับเลขบัตรปชช.น่ะครับ ว่าถ้าหลุดไปแล้วมีคนเอาไปต่อยอดได้
ถ้าไม่จำเป็นก็ไม่เอาไปเผยแพร่ดีกว่า
ยกตัวอย่างง่ายๆเช่นสมมุติเรา post ลง facebook
แล้วเพื่อนเราอยากได้บัตรประชาชนไปสร้าง id เกมออนไลน์ใหม่พอดี (เดี๋ยวนี้ยังใช้อยู่รึเปล่าหว่า - -)
ทำให้เราใช้เลขบัตรไปสมัครเกมนั้นไม่ได้อีก
ไม่ปกปิด แต่ไม่ควรให้คนรู้กันเยอะครับ
จะปกปิดยังไงครับ ในเมื่อเราต้องแจก (ในรูปของสำเนาบัตรประชาชน) อยู่แทบจะตลอดเวลา
บางบริการเช่นคอลเซ็นเตอร์ของบัตรเครดิต ใช้เลขบัตรประชาชน+วันเดือนปีเกิด+ที่อยู่ ในการ Verify ตัวตนครับ
ตัวหมายเลขเองไม่ใช่ข้อมูลปกปิดครับ เพราะเป็นรหัสระบุตัวตนใช้แทนชื่อเจ้าของเท่านั้น (สำเนาบัตรประชาชนก็เช่นกัน)
แต่ปัญหาคือมันกลับเอาไปหาข้อมูลปกปิดอื่นๆ ได้นี่สิแย่
หมายเลขบัตรประจำตัวประชาชนถือว่าเป็นข้อมูลอ่อนไหว เพราะใช้ในการอ้างอิงกับการทำธุรกรรมทางการเงินได้ ในการทำธุรกรรมทางการเงินมักใช้ข้อมูลสำคัญเช่น หมายเลขบัตรประจำตัวประชาชน, วัน-เดือน-ปี เกิด, ข้อมูลที่อยู่ที่จัดส่งเอกสาร, หมายเลขโทรศัพท์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ยืนยันตัวตนแทนตัวผู้ถือสิทธิ์จริงๆ ได้ ฉะนั้น จึงเป็นข้อมูลที่ไม่ควรเผยแพร่เป็นการทั่วไป
เอาจริงๆ ข้อมูลพวกนั้นเป็นข้อมูลสาธารณะที่บางครั้งเราก็บอกเพื่อนไปง่ายๆ เลยนะครับ น่าเป็นห่วงจริงๆ
มันเป็น sensitive data ที่เราเปิดเผยอย่างไม่คิดอะไรมากกว่าครับ
เราเคยชินกับเรื่องพวกนี้ไงครับ เลยรู้สึกเฉยๆ ทั้งๆ ที่ในความเป็นจริงแล้วมันเป็นข้อมูลสำคัญมากๆ
ขอบคุณครับ เห็นภาพกว้างขึ้นเยอะ แต่จะให้ปกปิดก็คงยากจริงๆนั้นแหละ ขนาดไปอำเภอที่ไฮเทคเอาบัตรเราเสียบอ่านข้อมูลแล้ว แต่สุดท้ายก็เข้าแสกนภาพบัตรแล้วพิมพ์เป็นสำเนาเพื่อจัดเก็บลงแฟ้มอยู่ดี
พอจะเดินไปต่างประเทศก็ถูกเอนเจนซี่ให้ถ่ายรูปพาสสปอตส่งอยู่ดี
ทั้งรั่วทั่งข้อมูลที่ควรปกปิดมันเยอะจนเหนื่อยใจ... 555
องค์กรที่เคยทำงานด้วย มีการสอนเรื่องนี้(Personal Information Protection)ให้กับพนักงานครับ ทุกวันนี้ข้อมูลส่วนใหญ่โดยเฉพาะในต่างประเทศมันจะเชื่อมโยงกันได้หมดครับ ที่เขากลัวกันคือข้อมูลพวกทางการเงินครับ
เลข13หลักมีติดตัวจนตายเลย เปลี่ยนไม่ได้ด้วย ชื่อและนามสกุลยังเปลี่ยนได้ หน้าตาคุณก็ยังเปลี่ยนได้แต่เลข13หลักเปลี่ยนไม่ได้ ที่น่ากลัวเพราะเป็นการยืนยันตัวตนคุณอีกที เวลาคุณทำธุรกรรมทางการเงินเขามักจะถามเลข13หลักเป็นการยืนยันตัวตน ถ้ามีคนรู้เอาไปทำธุรกรรมทางการเงินแทน น่ากลัวไหมครับ
ผู้ว่าจ้างควรให้ความสำคัญกับเรื่องความปลอดภัยมากกว่านี้
พัฒนาโดยบ.Pheonec เพิ่งเปิดตัวก็งานเข้าเลย อยากรู้ว่าใช้งบเท่าไหร่ จำได้ว่ารัฐเปิดเว็บให้ตรวจสอบได้ทุกโครงการแล้ว
บ.นี้เตรียมเจ๊งแน่นอน
นายสมชัย กล่าวว่า กกต.ใช้เวลาประมาณ 1 ปีในการพัฒนาแอพพลิเคชั่นดังกล่าว โดยให้คนของ กกต.และอาสาสมัครองค์กรปกครองส่วนท้องถิ่น ลงไปกำหนดพิกัดที่เป็นหน่วยเลือกตั้งทั้ง 95,000 หน่วย ว่าอยู่ที่ไหนอย่างไร แล้วนำมาจัดสร้างเป็นแอพพลิเคชั่นภายใต้งบประมาณกว่า 150,000 บาท
ตามนี้ครับ ที่มา http://www.thairath.co.th/content/566031
อย่างนี้ไม่น่าจะเรียกว่า พัฒนาแอพนะท่านประธานกกต น่าจะเรียกว่าจัดเก็บข้อมูลเฉยๆ
เพราะคิดว่า 1 ปีที่เสียไปกับเงิน 150,000 บาทคือไปเก็บข้อมูลตำแหน่งมาใส่เท่านั้นแหละ
ปัญหาคือ SOAP ใครเป็นคนพัฒนา เพราะถ้ากรมการปกครองเป็นคนพัฒนาเอง หรือ Pheonec ได้ SOAP แบบนี้มาตั้งแต่แรกโดยไม่ได้ไปยุ่งกับขั้นตอนการพัฒนามันเลย Pheonec ไม่ผิด เพราะมันเป็นแบบนี้ตั้งแต่แรก แต่ถ้า Pheonec เป็นคนพัฒนาเองก็รับเต็มๆ ครับ
ผมว่าได้ Excel จากกรมการปกครองมาแล้วมาทำ SOAP เองมากกว่า จากที่เคยเจอมานะ เพราะกรมการปกครองไม่ให้เชื่อมต่อตรงเข้ากับ Service หลักอยู่แล้ว
ประเด็นคือตัวเว็บมันเป็นของ DOPA เองน่ะสิครับ...
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
ประเด็นที่ว่าใครพัฒนาไม่ใช่ปัญหาครับ มันอยู่ที่ว่า DOPA อนุญาตให้เผยแพร่หรือปล่าว?
ถ้าไม่ใช่ถือว่า บ.ผู้พัฒนาห่วยแตกที่หละหลวม (เท่าที่ทราบคือ DOPA ไม่ได้เปิด public)
วิธีที่ถูกต้องคือ บ. ควรสร้างเว็บเซอร์วิสกลางมาเชื่อมต่อจาก DOPA มากกว่า
แล้วรับส่งเฉพาะข้อมูลที่จำเป็นเท่านั้น พร้อมเข้ารหัสไว้
Pheonec จะปัดความรับผิดชอบเรื่องนี้ไม่ได้หรอก
แต่เจอช่องโหว่ก็ควรแจ้งต้นสังกัดก่อนป่ะคับ ค่อยมา public ถ้าไม่ได้รับความสนใจ
เห็นว่า แสนห้า นะค่าจ้างดำเนินการ ฟังจากข่าวทีวีเมื่อวานนี้
นักพัฒนาแอปมักง่ายจัง แทนที่จะเข้ารหัสหรืออะไรให้แอปอ่านเท่านั้น หรือมีวิธีการที่ดีกว่านั้นนะ
@fb.me/frozenology@
ผมว่าคนทำ SOAP มากกว่า คงจะ select * มาให้ทั้งดุ้น
นักพัฒนาก็คง gen code จาก SOAP อีกที
Report ให้ Google ถอดออกได้ไม๊
Destination host unreachable!!!
ผมว่าบ.นี้ น่าจะสอบตกในเรื่องการทำ App ให้ปลอดภัยนะครับ
ดูสิ Developer ทั่วไทยพร้อมใจกันทดสอบโปรแกรมกันเลยทีเดียว
ลองคิดในแง่ดีว่า service นี้ exposed ให้สาธารณชนใช้อยู่แล้ว ตัว app แค่มาเรียกใช้เท่านั้น
(นี่แง่ดีแล้วเหรอ)
อันตรายนะครับ เพราะรู้แค่เลขบัตรประจำตัวประชาชน เข้าถึงได้ทุกอย่างที่เกี่ยวข้องกับเจ้าของเลขบัตรประชาชนได้
ทั้งข้อมูลที่อยู่ ประวัติ การทำงาน หรือแม้กระทั่งข้อมูลธุรกรรมทางการเงินและข้อมูลทางการแพทย์
เพราะโรงพยาบาลถึงแม้จะไม่มีรหัสโรงพยาบาล (HN) แต่ก็เข้าถึงข้อมูลได้เพียงแค่กรอกข้อมูลรหัสบัตรประจำตัวประชาชน ก็จะบอกทุกอย่างเลย ทั้งประวัติผู้ป่วย, ประวัติการรักษา, ประวัติการใช้ยา หรือข้อมูลลับอื่นๆ ที่ไม่ควรจะออกมาให้สาธารณชนเห็น
ตอนนี้เหมือนจะเอาข้อมูลที่เป็นที่อยู่ส่วนตัวออกไปแล้วนะครับ
เหลือเพียงชื่อเจ้าของเลขบัตรฯ และที่อยู่ของคูหาเลือกตั้ง
แค่นั้นก็เกือบบอกที่อยู่ปัจจุบันได้แล้วครับ
http://www.khonthai.com/Election/Elecenter/interenqabs/index.php
ลองใช้ดูครับ
อยากถามคนที่ลง ตอนลงแอพมีการขออนุญาติในการเข้าถึงข้อมูลจากผู้ใช้หรือเปล่า จะซ่อนหรือแสดงก็ตาม ยังไงก็ต้องขออนุญาติ
ปล.พอดียังไม่ได้ลง ยังไม่ได้ใช้ iOS8 ^ ^"
ต่ายอยากกินไร
เลขบัตรประชาชน เป็นข้อมูลที่คาดเดาได้
ไม่อยากจะนึก มีคนเขียนโปรแกรม วนลูป ใส่เลขที่บัตรปชช.
ไปจนครบ หกสิบล้านคน
ได้ข้อมูล มาทั้งประเทศ TwT
อยากจะเปลี่ยนชื่อแอ๊บจาก
ดาวเหนือ เป็น ดาวซิริเอิส (Sirius) กันเลยทีเดียว
มันช่างส่องสว่างนำทางได้ดีจริง ๆ
bot brute force PID = ทะเบียนราฎร์ย่อยๆ
เมื่อก่อนตอนใกล้ช่วงเลือกตั้งทำไมผมโหลดข้อมูลมาค้นหาได้เลยอ่ะ รู้ได้หมดชื่อญาติพี่น้อง จำไม่ได้ว่าเป็นไฟล์สเปรดชีตหรือป่าว แต่อันนี้มันก็สะดวกกว่าอะนะ
วิธีแก้ไข
ที่มา
.//no coment
ลั่น
แบบ.... ไปจ้างตัวอะไรมาเป็นโปรแกรมเมอร์เหรอ?
ผมว่าโดนสั่งมานะ 55555
แหม ทำไปได้
ทำเป็นขู่ ไปตีความหมายคำว่า "ระบบคอมที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ" ให้ได้ก่อนเถอะ
เปิด http โล่งๆ อย่างนี้เป็นการเฉพาะตรงไหน 555
นี่เค้าขู่คนเขียนข่าวใช่มั๊ย
เห็นละเหนื่อยใจจริงๆ
ปัดโธ่วิธีแก้ง่ายๆอย่างนี้ นี่เอง
รู้สึกอยากเตะอะไรขึ้นมาทันที...อีกครั้ง
แอพนี้ช่างมีพลัง
"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."
เอ๊ะอะอะไร ขู่ก่อน แล้วดริฟ ไปต่อไม่ไหวค่อยยอมแก้
/me แผนผังการแก้ปัญหาของราชการไทยเวลานี้
ดีใจนะที่ Developer บ้านเราช่วยกันตรวจสอบ
..: เรื่อยไป
ไม่เถียงด้วยล่ะ flag as inappropriate ไปละจ้า
ใส่รหัสบัตรประชาชน จริงๆแล้วมันไม่ใช่รหัส น่าจะใช้คำว่าหมายเลขบัตรประชาชน อ่านแล้วเข้าใจง่ายกว่า
จริงๆ ภาษาไทย ในบัตรประชาชน ใบขับขี่ มันก็เรียกว่า เลขประจำตัวประชาชน นะครับ ไม่ได้เรียกว่ารหัส
ที่จริงแล้วกรมการปกครองแหละครับที่ผิด คนปล่อยที่จริงคือ dopa ไม่ใช่คนทำ app