นักวิจัยด้านความปลอดภัยค้นพบฐานข้อมูลการใช้งานอินเทอร์เน็ตบนเครือข่ายของ Advanced Wireless Network หรือ AWN (บริษัทลูกของเอไอเอส) กว่า 8 พันล้านรายการ ถูกเปิดให้เข้าถึงอย่างสาธารณะ
จัสติน เพน นักวิจัยด้านความปลอดภัย เผยแพร่รายงานผ่านบล็อกโพสต์ว่า เมื่อวันที่ 6 พฤษภาคมที่ผ่านมาเขาได้ค้นพบฐานข้อมูล ElasticSearch ที่คาดว่าอยู่ในความดูแลของ AWN ผู้ให้บริการเครือข่ายรายใหญ่ของไทย เปิดให้เข้าถึงได้แบบสาธารณะโดยมิได้ปิดกั้นด้วยรหัสผ่านมาตั้งแต่วันที่ 1 พฤษภาคม
ภายในฐานข้อมูลดังกล่าวเป็นประวัติ (log) การเรียกหาหมายเลขไอพีจากโดเมน (DNS query) ปะปนกับข้อมูลของระบบ NetFlow ซึ่งระบุโปรโตคอล หมายเลขไอพี และพิกัดของเซิร์ฟเวอร์ปลายทาง
ในช่วงเวลาประมาณ 3 สัปดาห์ที่ฐานข้อมูลดังกล่าวถูกเปิดเป็นสาธารณะ ได้มีข้อมูลเพิ่มขึ้นกว่า 200 ล้านรายการทุกๆ 24 ชั่วโมง โดย ณ วันที่ 21 พฤษภาคม 2563 มีข้อมูลรวมกันกว่า 8,336,189,132 รายการ รวมเป็นขนาด 4.7 เทระไบต์
สำหรับข้อมูล DNS query นั้นมีการมอนิเตอร์เก็บไว้เพียง 8 วันแรก หลังจากนั้นไม่พบว่ามีการเก็บ DNS query เพิ่มเติม แต่ยังคงมีการเก็บข้อมูลใหม่ของ NetFlow อยู่ จัสติน เพน ให้ความคิดเห็นว่าอาจจะเป็นเพราะ DNS query นั้นมีจำนวนมากเกินกว่าที่ AWN (หรือผู้ใดก็ตามที่มอนิเตอร์การใช้งานอินเทอร์เน็ตนี้) ต้องการ โดยมีจำนวนมากถึงราว 2,538 รายการต่อวินาที เทียบกับข้อมูลของ NetFlow ที่เพิ่มขึ้น 3,200 รายการต่อวินาที
ข้อมูล DNS query เหล่านี้แม้จะไม่ได้เปิดเผยว่าข้อมูลที่เดินทางไป-กลับเซิร์ฟเวอร์นั้นคืออะไร แต่การเปิดเผยว่ามีการเชื่อมต่อกับเซิร์ฟเวอร์ไหนบ้างก็สามารถทำให้เห็นภาพได้ว่าผู้ใช้ อุปกรณ์ หรือบ้าน ณ หมายเลขไอพีนั้น เข้าเว็บไซต์อะไรบ้าง ใช้ระบบปฏิบัติการใด ใช้แอนตี้ไวรัสใด เป็นต้น เปรียบเทียบได้ว่าสามารถทราบว่าไปโรงพยาบาล ไปโรงเรียน แม้จะไม่รู้ว่าไปกับใครหรือไปเพื่ออะไรก็ตาม
จัสติน เพน ให้ข้อมูลว่า AWN มีการใช้งานแดชบอร์ด ElastiFlow ในการดูข้อมูลที่มอนิเตอร์ไว้ โดยแดชบอร์ดดังกล่าวมีการตั้งฟิลเตอร์เพื่อดูผู้ใช้ที่มีการเข้าใช้งานเฟซบุ๊กด้วย
หลังจากที่ จัสติน เพน ได้ติดต่อ AIS เมื่อวันที่ 13 พฤษภาคมจนถึง 24 พฤษภาคมที่ผ่านมาแต่ไม่รับคำตอบ จึงตัดสินใจติดต่อ ThaiCERT ในวันที่ 21 พฤษภาคม ทำให้ฐานข้อมูลดังกล่าวได้ถูกปิดการเข้าถึงไปเรียบร้อยเมื่อวันที่ 22 พฤษภาคม
ในช่วงเวลาดังกล่าว จัสติน เพน ได้ติดต่อสำนักข่าว TechCrunch ด้วยเช่นกัน โดย TechCrunch ให้ข้อมูลว่าฐานข้อมูลนี้ไม่จำเป็นต้องเป็นของ AIS เท่านั้น โดยอาจเป็นของลูกค้า AIS ที่ขนาดใหญ่พอจะมอนิเตอร์การใช้งานเครือข่ายของลูกค้าตนเองอีกทีก็ได้
นอกจาก พรบ. คอมพิวเตอร์ แล้ว ประเทศไทยยังมี พรบ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่สามารถช่วยคุ้มครองผู้ใช้เมื่อเกิดเหตุการณ์การเปิดเผยข้อมูลระบุตัวตนเช่นนี้ได้ ทั้งนี้ พรบ. ดังกล่าวเพิ่งถูกประกาศเลื่อนการใช้งานไปเมื่อวันที่ 12 พฤษภาคมที่ผ่านมา
AIS ยังไม่มีการเคลื่อนไหวใดต่อสาธารณะถึงเหตุการณ์ในครั้งนี้
แหล่งข้อมูล: Rainbowtabl.es, TechCrunch