พบข้อผิดพลาด แอป “my SSO” ทำให้ข้อมูลผู้ใช้ตกอยู่ในความเสี่ยง มีการเผยจาก Thai Netizen Network หรือกลุ่มพลเมืองที่รวมตัวกันเพื่อสนับสนุนสิทธิพลเมืองออนไลน์ ได้พบแอปประกันสังคม “my SSO” มีการออกแบบที่ผิดพลาด ไม่มีการยืนยันตัวตนในขั้นตอนลงทะเบียนและขั้นตอนเรียกข้อมูลเงินประกันสังคม จึงทำให้ข้อมูลของผู้ประกันตน 14 ล้านคนตกอยู่ในความเสี่ยง
เมื่อค่ำวันที่ 2 ธ.ค. 2559 Thai Netizen Network รายงานว่า ผู้พัฒนาซอฟต์แวร์และนักความมั่นคงปลอดภัยของระบบสารสนเทศหลายรายในระบบอินเตอร์เน็ต ได้แชร์ความเห็นและการวิเคราะห์ข้อผิดพลาดของแอปพลิเคชันบริการประกันสังคม ที่ไม่มีมาตรการป้องกันการเรียกข้อมูลโดยผู้ที่ไม่มีสิทธิเข้าถึงข้อมูล สามารถเข้าไปลงทะเบียนในแอป my SSO เพื่อเข้าถึงข้อมูลของผู้ประกันตนได้อย่างสบายๆ เพียงแค่รู้หมายเลขบัตรประชาชนเท่านั้นค่ะ
จากการเผยแอปประกันสังคม “my SSO” ออกแบบผิดพลาดนั้น เพจ “สอนแฮกเว็บแบบแมวๆ” และบล็อก Somkiat.cc ได้เปิดเผยข้อมูลดังนี้คะ
แอป My SSO ติดต่อกับเซิร์ฟเวอร์แห่งหนึ่งในลักษณะ Web API ซึ่งไม่ได้มีการป้องกันอย่างที่ควร และการลงทะเบียนเข้าใช้บริการก็แสนง่าย เพราะเพียงใช้เลขประจำตัวประชาชน ดังนั้นถ้ามีใครรู้เลขประจำตัวประชาชนของคนอื่น ก็สามารถเอาไปลงทะเบียนได้ทันที เนื่องจากไม่มีการยืนยันตัวตนใดๆ
หากต้องการเรียกข้อมูลส่วนบุคคลของผู้ใช้รายใดก็ตาม ก็เพียงส่ง userId ไปที่เซิร์ฟเวอร์ ก็จะได้ข้อมูลส่วนบุคคลทั้งหมดมา ถ้าบุคคลนั้นยังไม่มี userId ก็สร้างเองได้โดยง่ายจากข้างต้นค่ะ เมื่อลงทะเบียนแล้วหากต้องการเรียกข้อมูลเงินประกันสังคมของผู้ใช้ จะต้องใช้ข้อมูล 2 อย่างประกอบกัน ซึ่งคือ เลขประจำตัวประชาชน (ssoNum) และ เลขประจำตัวผู้ใช้งาน (userId) ซึ่งจะได้หลังจากลงทะเบียนนั่นเองค่ะ จึงทำให้ผู้แอบอ้างสามารถดูข้อมูลของคนทุกคนในระบบได้ เพียงแค่รู้หมายเลขประจำตัวบัตรประชาชนค่ะ
ข้อมูลจาก Google Play Store ได้ระบุว่า แอปดังกล่าวอัปเดตรุ่นล่าสุด 1.1.2 เมื่อวันที่ 8 ส.ค. 2559 และให้บริการโดย CAT Telecom Public Co., Ltd. (กสท โทรคมนาคม) โดยมีผู้ติดตั้งแอปไปแล้วประมาณ 5 แสนถึง 1 ล้านเครื่อง (แต่คนที่ติดตั้งอาจจะยังไม่ได้ลงทะเบียนใช้งาน) โดยล่าสุดในช่วงบ่ายของวันที่ 3 ธ.ค. 2559 พบว่าทีมงานผู้พัฒนาได้ปิดระบบแล้ว และได้แจ้งไปยังเพจและบล็อกต่างๆ ว่ากำลังแก้ไขข้อผิดพลาดอยู่ รวมทั้งขอให้ลบโพสต์ที่รายงานเกี่ยวกับปัญหา ซึ่งบางเพจก็ลบ บางเพจตัดสินใจไม่ลบด้วยเหตุผลว่าเพื่อประโยชน์ของสาธารณะนั่นเองคะ
จากการพบแอปประกันสังคม “my SSO” ออกแบบผิดพลาด ทำให้ข้อมูลของผู้ประกันตนตกอยู่ในความเสี่ยง เนื่องจากผู้ที่ไม่มีสิทธิเข้าถึงข้อมูล สามารถเข้าไปลงทะเบียนในแอป my SSO เพื่อแอบอ้างเข้าถึงข้อมูลของผู้ประกันตนได้อย่างสบายๆ เพียงแค่รู้หมายเลขบัตรประชาชนเท่านั้นค่ะ โดยล่าสุด ทีมงานผู้พัฒนาได้ปิดระบบเพื่อแก้ไขข้อผิดพลาดดังกล่าวแล้วล่ะคะ
โดย..เจ้าน้อย..