คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) เรียกผู้ให้บริการ Taximail ชี้แจงด่วน! พบช่องโหว่มาตรการรักษาความปลอดภัยการเข้าถึงข้อมูลประชาชน
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เป็นประธานการประชุมหารือมาตรการป้องกันและปราบปราม การใช้อีเมลแอบอ้างหน่วยงานเพื่อหลอกลงทุนสินทรัพย์ดิจิทัล โดยมีหน่วยงานที่เกี่ยวข้องเข้าร่วม
นายไชยชนก กล่าวว่า กรณีที่แฮกเกอร์ ใช้ข้อมูล Username สำหรับเข้าระบบ Taximail ในนาม 4 บริษัท เพื่อนำไปใช้ในการส่งข้อความ Mass e-mail หรือการส่งอีเมลข่าวสาร โปรโมชัน แนบลิงก์หลอกลวงจำนวนมากไปยังประชาชน แต่ไม่ใช่การแฮกระบบของทั้ง 4 บริษัทตามที่เป็นข่าว รวมทั้งไม่มีการแฮกข้อมูลของประชาชน
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี)
จากการตรวจสอบเบื้องต้นพบว่าช่องทางการแฮกข้อมูลนั้น เกิดจากช่องว่างของกระบวนการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) ผ่านอีเมล ซึ่งกำหนดอายุการใช้งานของรหัส OTP นานเกินไป (24 ชั่วโมง) และ รหัส OTP เป็นรหัสตัวเลข 6 หลักซึ่งทำให้สามารถนำไปใช้ในการโจมตีรูปแบบ Brute-Force (การสุ่มรหัสผ่าน) ได้
สำหรับสถานการณ์ในขณะนี้ สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ดำเนินการบล็อกข้อความลิงก์จำนวนประมาณ 100 ลิงก์ที่ถูกใช้สลับในการหลอกลวงทั้งหมดแล้ว
ทั้งนี้ ตนได้มอบหมายให้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC เรียกบริษัทผู้ใช้บริการซึ่งถูกแฮกข้อมูลอีเมลทางการร่วมหารือ เพื่อพิจารณาว่ามีข้อมูลส่วนบุคคลรั่วไหลหรือไม่ มอบหมายให้ สกมช.ร่วมกับ Taximail ตรวจสอบระบบข้อมูลกลาง เพื่อเฝ้าระวังการรั่วไหลของข้อมูลส่วนบุคคล
พร้อมทั้งมอบหมายให้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA แจ้งผู้ให้บริการ Mass email ในประเทศไทย เฝ้าระวังและยกระดับการรักษาความปลอดภัย และดูแลข้อมูลส่วนบุคคลของบริษัทผู้ใช้บริการ พร้อมทั้งให้มีการรวบรวมข้อมูลหลักฐานประกอบ เพื่อส่งให้กับสำนักงานตำรวจแห่งชาติ (สตช.) ดำเนินการตามกฎหมายต่อไป
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี)
นอกจากนี้ตนได้มอบหมายให้หน่วยงานฯ ดำเนินการตรวจสอบ ผลกระทบที่มีต่อประชาชน ซึ่งพบว่ามีการกดลิงก์ จำนวน 3,000 อีเมล และพบความเสียหายจำนวน 1 ราย โดยให้จัดเตรียมมาตรการช่วยเหลือเยียวยา
นายไชยชนก กล่าวว่า “อย่างไรก็ตาม เบื้องต้นได้มีการกำหนดมาตรการ การปรับวิธีการส่ง e-mail แนบลิงก์ ของหน่วยงานราชการ และหน่วยงานอื่น ๆ โดยเฉพาะการขอข้อมูลส่วนบุคคล หรือทำธุรกรรม ซึ่งตนจะนำเรื่องนี้เสนอในที่ประชุมคณะรัฐมนตรี (ครม.) ให้มีการพิจารณาต่อไป”
“พร้อมกันนี้ขอให้ผู้ให้บริการ รวมถึงแพลตฟอร์มอื่นๆ จะต้องยกระดับมาตรฐานมากยิ่งขึ้น โดยจะต้องเป็นมาตรการป้องกันที่อำนวยความสะดวก และมีระบบการรักษาความปลอดภัย ควบคู่กันไป เพื่อความปลอดภัยสูงสุดของประชาชน” นายไชยชนก กล่าว
เรียก “Taximail” แจงด่วน!
ล่าสุด สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เรียก “Taximail” เข้าชี้แจงด่วน หลังพบช่องโหว่ มาตรการรักษาความมั่นคงปลอดภัยการเข้าถึงข้อมูลประชาชน
ที่มา pptvhd36 / วันที่เผยแพร่ 10 พฤศจิกายน 2568
Link https://www.pptvhd36.com/news/ไอที/261178/
