ในงาน MiSS Day ที่ผ่านมามีการบรรยายถึงตู้ออกซิมการ์ดอัตโนมัติ (ในงานไม่ได้ระบุผู้ให้บริการแต่คุณ @FordAntitrust พบภายหลังว่าเป็น Service Vending ของ AIS) ที่สามารถออกซิมใหม่ได้ในกรณีที่ต้องการเปลี่ยนขนาดซิม, ซิมเสียหาย, หรือซิมหาย ทำให้มีความกังวลว่าอาจจะเป็นช่องทางในการปลอมแปลงตัวในกรณีที่บัตรประชาชนสูญหายไปก็สามารถนำไปออกซิมใหม่ได้
ผมสอบถามไปยัง AIS ได้คำตอบระบุว่านอกจากบัตรประชาชนแล้ว ผู้ขอซิมยังต้องระบุหมายเลขโทรศัพท์มือถือให้ตรงกับในระบบ จึงสามารถออกซิมใหม่ได้ และในกรณีของ OTP ของธนาคารนั้นก็ยังมีรหัสผ่านของธนาคารอยู่อีกชั้นหนึ่ง
โดยทั่วไปผมยังคิดว่ากระบวนการออกซิมเช่นนี้ยังมีการตรวจสอบน้อยเกินไป ถ้าใครมีการผูกการรักษาความปลอดภัยบัญชีไว้ก็ต้องระวังกันสักหน่อยว่าหมายเลขยังใช้งานได้อยู่หรือไม่
ที่มา - ThaiCyberpoint, จดหมายจาก AIS
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
น่ากลัว คนที่ต้องการจะ hack น่าจะทราบข้อมูลส่วนตัวเบื้องต้นอยู่แล้ว ขนาดลักเอาบัตรประชาชนมาได้ แค่เลขเบอร์โทร ก็น่าจะเอามาได้เช่นกัน
แต่ในอีกแง่ บัตร ID ควรจะปฎิบัติและรักษาด้วยความระมัดระวังเทียบเท่าบัตรสำคัญอื่นๆเช่น บัตรเครดิต
ปัญหาคือบัตรเครดิตถ้าหาย อายัดแล้วเค้าก็เอาไปใช้อะไรไม่ได้ แต่ถ้าบัตร ปชช หาย แจ้งอายัดไปก็เท่านั้นน่ะสิคัรบ
ไปแจ้งความให้เจ้าพนักงานเป็นพยานได้ครับ แต่ก็ดูยุ่งยากไป
บัตรประชาชนมันอายัดไม่ได้ครับ อายัดหรือแจ้งความแต่มันยังเอาไปเสียบใช้ได้ต่อนะครับ
แบบนี้น่ากลัวคนรอบข้าง hack เองนั่นแหละ
/>o</
กำ อันตรายโคด
เวลาเข้าอาคารก็ต้องเอาบัตรประชาชนทิ้งไว้กับเจ้าหน้าที่
ข้อมูลเบอร์โทรนี่มันหาได้ทั่วไปเลยด้วยซ้ำ
hacker แค่ยัดเงินให้ รปภ หน่อยก็เอาบัตรออกไปใช้ได้เลย ยังไงคนเข้าตึกคงไม่กลับออกมาภายใน 10 นาทีหรอกมั้ง
สงสัยว่ามันต้องแสกนลายนิ้วมือมั้ย เพราะที่เคยใช้ระบบของราชการระบบหนึ่ง มันต้องเอาบัตรจิ้มแล้วแสกนลายนิ้วมือจึงจะเข้าใช้ได้ แถมต้องเอาบัตรของคนที่ได้รับอนุมัติให้ใช้งานมาจิ้มเท่านั้นครับ
ตู้สะดวกดีแล้ว แต่ควรให้เป็นพนักงานกดให้ดีกว่า อย่างน้อย ๆ ก็ดูบัตรปชช. ว่าตรงกับเจ้าตัวหรือเปล่าในเมื่อ บัตร ปชช. เราเป็น Smartcard แต่เอาความ Smart ออกมาไม่ได้ก็ต้องลูกทุ่งกันไป
อันนี้ผมอ้างอิงจากระบบของซิมเพนกวิน เขาก็ให้ทำออนไลน์ได้นะครับ แต่ให้ถ่ายรูปเซลฟี่ยืนยันการทำรายการ
กรณีแบบนี้ถ้าตู้มีกล้อง มีการยืนยันใบหน้าคนกดกับรูปถ่าย มีการเทียบรูปถ่ายจากในบัตรกับรูปถ่ายก่อนหน้า แบบนั้นต่อให้ผู้ใช้กระทำเหมือนเดิม สะดวกเท่าเดิม ความกังวลก็น่าจะต่ำพอ
lewcpe.com, @wasonliw
ตู้นี่เมื่อไหร่จะทำให้ทอนเงินได้
ผมว่าเก็บเป็นเครดิตไว้สำหรับจ่ายครั้งต่อไปก็ยังพอโอเคนะครับ แต่เดียวนี้ผมกดจ่ายด้วยบัตรเครดิตเอาละ ใช้เลข kbank ได้
สำหรับบางคนเงินยี่สิบบาทก็มีค่านะครับ ผมถึงคิดว่าน่าทอนเงินให้ด้วย
ถ้าอยากจ่ายแบบพอดีแนะนำไปหาเจ้าหน้าที่แล้วแจ้งความประสงค์จะจ่ายพอดีก่อนชำระเงินครับ จะมีคนคอยทอนเงินให้ครับ ถ้าคุณซีเรียสขนาดนั้น เพราะกลไกลการทอนเงินมันไม่ค่อยเวิร์คและเสียหายบ่อยครับเพิ่มต้นทุนแถมถ้ามันทอนได้แล้วไม่ทอนลูกค้าโว้ยวายอีก ทอนให้แล้วแต่ไปบอกว่าไม่ทอนให้ปวดหัวอีก เขาก็เลยเอาพนักงานมาบริการดีกว่าครับ
ผมไม่ซีเรียสหรอกครับ เพราะจ่ายผ่านบัตรเครดิต แต่ก็อยากออกความเห็นในฐานะลูกค้าคนนึง
ผมเข้าใจครับแต่คือผมชวนคิดว่าทำไมเขาถึงไม่ทำนะครับ ผมก็อยากมีนะครับบางทีก็อยากได้ตังทอนไปใช้นั่งรถเมล์กลับบ้าน
ผมไปไต้หวันบ่อยเพราะแฟนอยู่นั่นไปอยู่ทีเป็นอาทิตย์อย่างตำ่ตู้ที่นั่นขนาดกดนํ้าธรรมดาตามสวนสาธารณะยังทอนเป็นแบงค์ได้เลยครับ
ปล.ลองคิดดูสิครับถ้าค่าใช้าบริการร้อยเดียวแต่ลูกค้าจ่ายแบงค์พัน ต้องทอนอย่างน้อย แบงค์ร้อย 4 ใบ และแบงค์ 5 ร้อย 1 ใบ แต่ถ้าแบงค์ร้อยหมดต้องทอนแบงค์ร้อย 9 ใบ แถมเลขไม่ตรงตัวอีกครับเขาต้องเก็บเหรียญบาท 2 บาท 5 บาท 10 บาท เหรียญ 25,50 สตางค์ในเครื่อง แบงค์ 20,50 บาท เพื่อทอนเงินลูกค้า วันละกี่ท่าน ATM ยังเก็บเริ่มต้นที่ 100 บาทเลยครับ นี้แค่ตู้รับชำระเงินมันจะต้องเก็บขนาดไหน โต๊ะปิงปองโต๊ะหนึ่งเพื่อบริการเงินทอนลูกค้าในหนึ่งวัน? โหดนะครับ
ปัญหาคือมันไม่เก็บไว้ด้วยนะสิครับ
เก็บนะครับ มีแจ้งในใบเสร็จด้วยครับ สามบาทห้าบาทเก็บให้หมด แล้วค่อยมาหักในรอบบิลถัดไป
ตู้จ่ายเงินนี่ผมชอบของ True มากเลยนะครับ ใช้งานได้ดีมาก ดีจนนึกดูถูกคนที่พัฒนาเครื่องของ AIS ว่าสร้างมาได้ยังไง อยากให้มาดูงานเครื่อง True เลย
ส่วน DTAC นะรึ หึหึหึ
อย่างไรหรือครับ อยากทราบ ส่วนตัวเคยใช้แต่ของ True ผมว่าก็ยังมีติดๆขัดๆ (ไม่ได้ใช้นานแล้ว) ส่วน AIS/dtac ไม่เคยใช้ เพราะใช้ตัดผ่านบัตรอัตโนมัติเอา
ขอบคุณสำหรับคำตอบที่รวดเร็วครับ
อ่านแล้วตัดสินใจกันเองครับ ผมกระตุกปัญหาที่อาจจะเกิดขึ้นได้ รอมีเคสจังๆ คงแก้แหละครับ แต่ใครจะเป็นผู้โชคดี ....
บัตรประชาชนไม่ข้อมูลไว้verify ว่าเป็นบัตรแท้หรือครับถึงกังวลว่าตรวจสอบด้วยบัตรมันเสี่ยงไป???
บัตรแท้ที่ไม่ถูกระบบอายัดด้วยนะ...
ตู้ AIS มีช่องเสียบ Smart Card อยู่แล้วนี่ครับ ทำไมให้ keyin ได้ ไม่บังคับอ่าน Smart Card
เพิ่งอ่านเห็นว่า ถ้าบัตรประชาชนหาย
บัตรประชาชนไม่มี API ในการยืนยันตัวตนแบบนั้นนี่ครับ
lewcpe.com, @wasonliw
คนละเรื่องเดียวกัน
dtac และ AIS โวยวิธีย้ายค่ายไป Truemove H ผ่าน 7-Eleven อาจผิดหลักเกณฑ์ - Droidsans
เรื่องเดียวกันยังไงครับ
lewcpe.com, @wasonliw
ผมอาจจะใช้คำผิดครับ
คือก่อนหน้านี้ AIS เคยออกมาโวยเรื่อง Truemove H ย้ายค่ายที่ 7-11 แล้ว (อาจจะ) ไม่มีการลงนามในเอกสาร มีเพียงแค่การเสียบบัตรเท่านั้น ซึงพอกรณีตู้ออกซิมของ AIS ก็ดันทำแบบเดียวกันกับข้างบน ที่ตัวเองเคยออกมาโวยครับ
คือเจตนาที่ออกมาโวยกรณีย้ายค่าย ผมคิดว่า AIS ออกมาโวยเพื่อป้องกันกรณีที่คนที่ไม่ใช่เจ้าของ เอาบัตรประชาชนคนอื่นไปย้ายค่าย ซึ่งกรณ๊ตู้ออกซิมก็ดันทำเหมือนกัน คือไม่ได้มีการตรวจสอบเลยว่าใช่เจ้าของตัวจริงรึเปล่า หรือมีการลงนามในเอกสารเพื่อตรวจสอบ
ที่เขาโวยวายเพราะมันผิดกฎกสทช.หรือเปล่าครับ
อีกไม่นาน ก็จะมีตู้เปิดบัญชีธนาคารส่วนบุคคลอัตโนมัติ แค่ยืนยันใบหน้า, ID card, เบอร์โทรศัพท์มือถือ และสมุดทะเบียนบ้าน รวมเงินฝากขั้นต้นหรือค่าบัตรเครดิต/เดบิต ก็ได้สมุดบัญชีพร้อมใช้แล้ว แถมบัตรหากสมัครใช้บริการ รวมใบเสร็จและสำเนาเอกสารการเปิดบัญชีด้วย ไม่ต้องไปธนาคาร ติดได้ทุกที่ เป็น Automatic Banking เต็มตัว
Get ready to work from now on.
ธนาคารต่างประเทศหลายๆ ทีเขาไม่มีสมุดนานแล้วครับมีแค่บัตร ATM อย่างเดียว เวลาหายที่ก็เอาเอกสารไปยืนยันเอา
ผมอยากให้เป็นแบบนี้ ทุกวันนี้ไม่รู้จะมีสมุดบัญชีไว้ทำไม แถมยุ่งยากอีก แต่ที่ต่างประเทศที่เคยใช้เปิดบัญชีปุ๊บ ได้บัตร ATM กับกระดาษเขียนเลขบัญชี แล้วก็สมุดเช็ค 1 เล่ม ไม่เสียค่าธรรมเนียมอะไรด้วย เจ้าบัตรเนี่ย เมืองไทยเก็บยิบย่อยมากๆๆๆ
ติดกฎหมายครับ เจ้าของบัญชี ต้องไปแสดงตัวที่ธนาคาร
ไม่งั้น ME เปิดเองได้แล้วครับ
ตู้นี้ที่เซ็นทรัลลาดพร้าวมีนานแล้วนะครับ ผมเคยไปเปลี่ยนขนาดซิมอยู่ แต่พนักงานกดตู้ให้ ไม่เคยใช้กรณีซิมหาย
อคติทำให้คนรับเหตุผลด้านเดียว
เหมือนจะมีมาสักพักใหญ่ ๆ แล้วนะครับ ผมเห็นที่ Serenade Paradise
คือประเด็นบรรดาระบบธนาคารในไทย มันดันไปใช้ OTP ส่งรหัสยืนยันธุรกรรมออนไลน์ผ่านโทรศัพท์มือถือ
ประเด็นคือ ถ้ามันออกซิมใหม่ง่ายดาย เร็วเท่ากระพริบตา แบบนี้แล้วได้แต่หวังว่ารอให้มีใครถูกหวยเป็นข่าวหน้าหนึ่งก่อนกระมังครับ ถึงได้รู้ตัวว่ามันมีจุดอ่อนกันมากขนาดนี้ แค่ไปประชุมที่ตึก ระหว่างประชุมมือถือใช้งานไม่ได้ พอออกตึกเงินหายเกลี้ยงจากบัญชี
แล้วยังต้องไปนั่งยืนยันตัวเองว่าไม่ได้เป็นคนทำธุรกรรม กว่าจะดำเนินเรื่องเอาเงินคืน ธนาคารก็คงดึงยื้อสุดชีวิต ใครโดนเข้าคงจะขำกันไม่ออกละครับ
OTP ผ่านมือถือไม่ใช่เรื่องแปลกหรือไม่ปลอดภัยครับ ข้อกำหนด PCI DSS 3.1 ตัวเกือบล่าสุด (ล่าสุดคือ 3.2 ออกมาไม่ถึงดือน)
ยอมให้ SMS (Short Messaging Service) อยู่ใน end-user messaging technology ครับ
แต่เรื่องส่ง SMS ผมนี่คิดถึงเคสอากงเลยครับ
อันที่ผมว่าแค่จน อันนี้สูญอิสระภาพกันเลยทีเดียว
ตู้แบบนี้เหมือนเห็นใน Telewiz นะครับ ที่เห็นเขียนว่าไม่สามารถทอนเงินได้ ใช่ตู้เดียวกันหรือเปล่า
เห็นมีพนักงานคอยคุมอยู่คนนึง ซึ่งผมแปลกใจตรงที่ ถ้าให้มีพนักงานคอยคุม จะทำตู้อัตโนมัติไปทำไม
และถ้าจะออกซิมโดย verify แค่นี้ ผมไม่โอเคครับ
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
หนึ่งคนคุมคนก็มาต่อแถวไปครับบางคนชำระด้วยบัตรไม่ต้องทอน ไม่ต้องไปต่อคิว ไม่ต้องไปแย่งคนทำธุรกรรมอื่น คนใช้เป็นก็กดตุ๊ดๆๆ ไม่ถึง 30 วินาทีครับ ผมไม่เกิน 20 วินาทีด้วยซ้ำ แต่ถ้าจ่ายเงินต้องไปรอกับคนทำธุรกรรมื่น แจ็กพ็อตครึ่งชม.ครับเสียเวลามาก ตู้อัตโนมัติสำหรับจ่ายเดงินถูกต้องวแล้ว แต่สำหรับ Verify ก็น่าจะให้พนังานเป็นคนรับทำให้จะปลอดภัยขึ้น
มาแอบโฆณาดีกว่า
1.ใครทำ project .net เกี่ยวกับอ่านหน้าบัตรประชาชน เชิญครับ แจกฟรี https://github.com/chakphanu/ThaiNationalIDCard
2.ใครทำ project python เกี่ยวกับอ่านหน้าบัตรประชาชน เชิญครับ แจกฟรี https://jane.in.th/blog/2015/11/thailand-smartcard-python/
ปกติธนาคารสามารถ verify ข้อมูลกับกรมการปกครองได้ทันทีนะครับ ว่าบัตรประชาชนใบนี้ valid จริงรึเปล่า
ถ้าเจ้าของไปทำบัตรใหม่แล้ว บัตรใบเดิมจะ invalid ทางธนาคารจะปฎิเสธการเปิดบัญชีได้เลยทันที แต่ก็ต้องใช้คนในการตรวจสอบดูอยู่ดี
แต่ตู้นี้แบบ Auto เลย ดูไม่น่าไว้วางใจชอบกลแฮะ