"9near" ประกาศยุติ เปิดเผยข้อมูลคนไทย 55 ล้านคน อ้างขัดแย้งสปอนเซอร์

3 เมษายน 2566 เป็นประเด็นที่สร้างความวิตกกังวล ให้กับคนไทยเป็นอย่างมาก กับกรณี กลุ่มแฮกเกอร์  "9Near" ประกาศจะเปิดเผยข้อมูลส่วนตัว ของคนไทย 55 ล้านคน ซึ่งมีทั้งเลขบัตรประชาชน 13 หลัก, วันเดือนปีเกิด, ที่อยู่, เบอร์มือถือ โดยอ้างว่า ได้มาจากหน่วยงานรัฐ หน่วยงานหนึ่งในประเทศไทย และจะประกาศว่า ข้อมูลรั่วมาจากไหน หากองค์กรรัฐที่คิดว่า เป็นต้นทางข้อมูลรั่วไหล ไม่ติดต่อมาก่อนวันที่ 5 เม.ย. นี้ 

ข่าวที่เกี่ยวข้อง : 

• ผบช.ไซเบอร์ เร่งหาต้นตอ “55 ล้านชื่อคนไทย” โพสต์ขายออนไลน์
• รองเลขาฯ เพื่อไทย จี้รัฐเร่งจัดการ “แฮกเกอร์” ขู่ปล่อยข้อมูลคนไทย
• ถูกแฮก 55 ล้านราย! ดีอีเอส รับยังปิดเว็บไม่ได้ แนะเหยื่อเข้าแจ้งความ

ล่าสุด สำนักข่าวอิศรา (www.isranews.org) รายงานว่า เมื่อวันที่ 2 เม.ย. ที่ผ่านมา กลุ่มแฮกเกอร์ "9Near" ประกาศ จะยุติปฏิบัติการ แหลังเกิดความขัดแย้งกับผู้สนับสนุน พร้อมทั้งยังอ้างว่า ไม่อยากทำร้ายคนไทย 

รายงานระบุว่า ทางหน้าเว็บของ "9Near" ระบุว่า ถึงทุกคน ข่าวดีคือเรายุติปฏิบัติการแล้ว เพราะมีข้อขัดแย้งกับสปอนเซอร์

เราไม่ต้องการทำให้พวกคุณเจ็บปวด และเราไม่เห็นด้วย กับการเมืองที่สกปรก เพราะว่าแผนการของพวกเขานั้นสกปรกเกินไป ดังนั้นเราจึงไม่มีเหตุผล ที่จะต้องเปิดเผยข้อมูลนี้ต่อไป อย่างน้อยในช่วงไม่กี่วันที่ผ่านมา เราได้เห็นว่า รัฐบาลวิตกกังวลต่อความเป็นส่วนตัว และความปลอดภัยของข้อมูลประชาชนอย่างไรแล้ว

"9Near" ไม่ได้ซื้อข้อมูลมาจากราชการ ไม่ใช่แก็งค์คอลเซนเตอร์ หรือสแกมเมอร์ และไม่เคยขายข้อมูลให้ใคร ดังนั้นจึงยังมีอำนาจต่อรองอยู่ แต่ข้อมูลที่มี ก็มีไว้สำหรับการเคลื่อนไหว ไม่ใช่เพื่อเงิน

ทั้งนี้ กลุ่ม "9Near" ยังระบุถึงสปอนเซอร์ ที่ไม่เปิดเผยชื่ออีกว่า พวก จากการคุยกันครั้งล่าสุด แผนการของคุณไม่ตรงกับวัตถุประสงค์ของเรา แต่มันเป็นเพื่อตัวคุณเอง ไม่ใช่เพื่อประชาชน คุณเห็นแต่ผลทางการเมืองของคุณ คุณคิดว่าเจอกันลับ ๆ แล้วสิ่งที่คุยกันจะลับตามนั้นหรือ? เรารู้ว่าคุณคือใคร และคุณอยู่ข้างใด และเราคิดว่าคนไทยก็รู้

“นับถอยหลังเหมือนเดิม จบการต่อรองนี้ก่อนที่บางอย่างจะเริ่มต้นขึ้น”

 

และยังระบุอีกว่า เราตั้งรหัสในคลาวด์ทุก ๆ 7 วัน มานาน 10 ปีแล้ว เราได้ลบคีย์ทิ้งเรียบร้อย มันจะเข้าถึงข้อมูลผ่าน API เท่านั้น มีเพียงเราเท่านั้น ที่จะรีเซ็ทรหัสได้ผ่าน API เท่านั้น เพื่อหยุดความหายนะครั้งนี้ คุณรู้ดีถึงผลกระทบที่จะเกิดขึ้น

เมื่อแกะรหัสได้อันหนึ่ง เขาก็จะเริ่มตั้งรหัสใหม่ ดังนั้นอยู่ในที่ของคุณเถอะ อย่าปลุกเราให้ตื่นขึ้นมา ไม่เช่นนั้นเราจะกลับมา


ดีอีเอสเผยรู้ตัว 9near เป็นคนไทย เตรียมแถลงการจับกุมเร็วๆนี้ 

นายชัยวุฒิ ธนาคมานุสรณ์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส ระบุว่า กรณีของกลุ่มแฮกเกอร์ “9near” นั้น ขณะนี้ทางดีอีเอสใกล้ได้ตัวคนร้ายแล้ว คาดว่าทางตำรวจไซเบอร์จะแถลงข่าวการจับกุมเร็ว ๆ นี้ ซึ่งแฮกเกอร์ตั้งใจดิสเครดิต หน่วยงานรัฐ และเป็นคนไทย ส่วนหน่วยงานรัฐที่ทำข้อมูลหลุด กำลังอยู่ระหว่างการตรวจสอบเส้นทาง 

เนื่องจากข้อมูลที่หลุดเป็นข้อมูล ที่หลายหน่วยงานมีได้ โดยเฉพาะหน่วยงานที่ให้ประชาชนลงทะเบียน และประกาศรายชื่อบนเว็บไซต์ ซึ่งเป็นระบบที่ทำขึ้นมาใหม่ จนกลายเป็นช่องโหว่ให้แฮกเกอร์เข้าไปดึงข้อมูลออกมา ดังนั้นจึงต้องรอจับแฮกเกอร์มาสอบสวนก่อนว่า แฮกมาจากหน่วยงานไหน อย่างไรก็ตาม ก็มีหน่วยงานรัฐที่สงสัยว่า เป็นหน่วยงานที่ทำข้อมูลหลุด มาแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งต้องรอตรวจสอบก่อน ยังไม่สามารถสรุปได้ 

ส่วนกรณีที่ “9near” ออกมาประกาศว่า ขอหยุดการเผยแพร่ข้อมูลส่วนบุคคล และขอให้รัฐบาลอย่าจับตัวเองนั้น นายชัยวุฒิ กล่าวว่า เป็นไปไม่ได้ เพราะความผิดได้สำเร็จแล้ว โดยกรณีนี้จะเป็นคดีแรกของ สคส. ที่ได้บังคับใช้ตามกฎหมาย ซึ่งหน่วยงานที่ปล่อยข้อมูลรั่วต้องได้รับโทษจำคุก 1 ปี ปรับไม่เกิน 5 ล้านบาท และ ต้องมีการเยียวยาผู้เสียหาย ซึ่งล่าสุดมีผู้ได้รับเอสเอ็มเอสขู่ 200 ราย โดยดีอีเอสได้ประสานกับผู้ให้บริการโทรศัพท์มือถือ ในการบล็อกเอสเอ็มเอสแล้ว

นายชัยวุฒิ กล่าวว่า นอกจากการเร่งหาหลักฐาน และตัวคนร้ายแล้ว ได้มอบหมายให้ นายวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดีอีเอส ประสานงานกับผู้เกี่ยวข้องเร่งหาข้อเท็จจริง ดูแลผู้เสียหายจาก "9near" ตลอดจนเร่งรัดการใช้ Digital ID และยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
 

ขณะที่วันนี้ (3 เม.ย.) นายวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดีอีเอส ได้เป็นประธานการประชุม “การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของหน่วยงานรัฐ” มีการได้เชิญหน่วยงานรัฐ ที่มีข้อมูลส่วนบุคคลขนาดใหญ่ หรือมีจำนวนมากหารือ อาทิ กระทรวงมหาดไทย กระทรวงสาธารณสุข กระทรวงการคลัง กระทรวงแรงงาน กระทรวงพัฒนาสังคมและความมั่นคงของมนุษย์ สำนักงานตำรวจแห่งชาติ และ สำนักงาน กกต. เป็นต้น รวมทั้งผู้ที่เกี่ยวข้องได้แก่ ธนาคารแห่งประเทศไทย สำนักงาน กสทช. สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (สกมช.) และ สคส.

ในการประชุม ได้มีการ หารือประเด็นสำคัญดังนี้

1. ระบบเทคโนโลยีสารสนเทศรวมทั้งฐานข้อมูลของหน่วยงานเป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลที่เกี่ยวข้องหรือไม่ มีการตรวจสอบเพื่อป้องกันและแก้ไขช่องโหว่ของระบบที่อาจเกิดขึ้นหรือไม่ ผลเป็นอย่างไร

โดย นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการ สคส. ได้รายงานในที่ประชุมว่า จากการสุ่มตรวจของ สคส. ได้พบการเผยแพร่ข้อมูลส่วนบุคคลที่ไม่เหมาะสมของหน่วยงานของรัฐ และได้ทำการแจ้งเตือนไปแล้ว ที่ผ่านมาก็ได้รับความร่วมมือปรับปรุงตามคำแนะนำ 

ขณะที่ พลอากาศตรี อมร ชมเชย เลขาธิการ สกมช. ให้ข้อมูลว่า THAICERT ของ สกมช. ตรวจพบว่าระบบเทคโนโลยีสารสนเทศ ของหน่วยงานรัฐหลายหน่วยงานถูกโจมตี และยังมีการหลุดรั่วของข้อมูล ซึ่งได้ประสานงาน เร่งแก้ปัญหาและป้องกันปัญหาอย่างต่อเนื่อง       

2. แนวปฏิบัติและกฎหมายที่เกี่ยวข้อง กับการรักษาความมั่นคงปลอดภัย ของข้อมูลในหน่วยงานของรัฐ อาทิ พรบ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 และ (ฉบับที่ 2) พ.ศ. 2560 พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 และ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

ทั้งนี้ หากหน่วยงานทำข้อมูลรั่ว โดยเฉพาะข้อมูลที่มีความอ่อนไหว ต้องรีบแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้เสียหาย รวมถึงควรทำการเยียวยาผู้เสียหายด้วย

3. การช่วยเหลือสนับสนุนของ สคส. ,สกมช. และกระทรวงดีอีเอส ต่อหน่วยงานต่าง ๆ  ในเรื่อง ระบบเทคโนโลยีสารสนเทศ และการรักษาความมั่นคงปลอดภัย ของข้อมูลของหน่วยงาน รวมทั้งแนวทางการทำงานร่วมกัน ในเรื่องการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคล

นอกจากนี้ ได้หารือถึงแนวทางเร่งรัดการใช้ Digital ID เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน ซึ่งในเรื่องนี้ กระทรวงดีอีเอส ได้จัดทำ พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการ เกี่ยวกับระบบการพิสูจน์ และยืนยันตัวตนทางดิจิทัล ที่ต้องได้รับใบอนุญาต พ.ศ. 2565 (Digital ID) ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 ธ.ค. 65

และ ผลักดันการพัฒนาระบบยืนยันตัวตน National Digital ID ของกระทรวงมหาดไทย ซึ่งจะมีประโยชน์ในการป้องกันข้อมูลรั่วไหล และยืนยันตัวตนได้อย่างมั่นใจ มากขึ้นอีกระดับหนึ่ง ซึ่งการยืนยันตัวตนด้วย Digital ID จะช่วยป้องกันการถูกขโมยข้อมูล รวมทั้งการป้องกันการหลอกลวงประชาชน จากการทำธุรกรรมออนไลน์ 

ปลัดดีอีเอส กล่าวว่า การหาข้อเท็จจริงเรื่องที่อ้างว่า ข้อมูลขนาดใหญ่รั่วมาจากหน่วยงานภาครัฐ ยังดำเนินการอยู่ กรณีที่มีข้อมูลรั่ว หรือระบบเทคโนโลยีสารสนเทศมีช่องโหว่ หน่วยงานต้องเร่งปรับปรุงแก้ไข ในขณะเดียวกันได้ทำการซักซ้อม แนวปฎิบัติและกฎหมาย ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงขอความร่วมมือหน่วยงาน ยกระดับความมั่นคงปลอดภัยข้อมูล และช่วยผลักดันการใช้ Digital ID