หลังจากเว็ปไซต์ theregister.co.uk ตีแผ่รายงานนักวิจัยด้านความปลอดภัย ที่ตรวจสอบพบว่า “ทรูมูฟเอช" เลินเล่อเปิดให้เข้าถึงข้อมูลสำเนาบัตรประชาชน พาสปอร์ต และใบขับขี่ ของผู้ใช้งานเครือข่ายที่เก็บไว้บน Amazon S3 ซึ่งเป็นบริการฝากข้อมูลบนระบบคลาวน์ (Cloud) โดยไม่มีการเข้ารหัสป้องกัน ทำให้ข้อมูลลูกค้าผู้ใช้บริการกว่า 4.6 หมื่นรายที่ลงทะเบียนตั้งแต่ปี 2557-61 (2014-2018) หลุดออกมาสู่สาธารณะ ก่อนที่ บริษัทจะอ้างว่าทางบริษัท “ไอทรูมาร์ท” ซึ่งเป็นบริษัทในกลุ่มที่ขายเครื่องและรับลงทะเบียนซิมการ์ดเผลอทำหลุดไปนั้น แหล่งข่าวในวงการโทรคมนาคมเปิดเผยว่าภายหลังการชี้แจงของกลุ่มทรู สื่อสังคมออนไลน์ที่เกาะติดกรณีดังกล่าวต่างพากันแสดงความเห็นในทำนองไม่เชื่อถือข้อมูลที่ทรูมูฟแถลงและเรียกร้องให้ กสทช.เร่งเข้ามาตรวจสอบให้เกิดความกระจ่างแทนที่จะไปหยิบยกเอาเรื่อง SMS ดูดเงินหรือเอสเอ็มเอสขยะมากลบเกลื่อนและมองว่าถ้อยแถลงของทรูมูฟดังกล่าวเป็นความพยายามปัดความรับผิดชอบของบริษัทและหา “แพะ”เข้ามารับผิดชอบแทน เพราะการดึงบริษัท ไอทรูมาร์ท (itruemart) ที่เป็นบริษัทลูกเข้ามารับผิดชอบนั้นก็เนื่องจากไม่ได้เป็นผู้รับใบอนุญาตจาก กสทช.ทำให้เป็นเรื่องยากที่ กสทช. จะลงโทษบริษัทโดยตรงทำได้แค่การแจ้งเตือนไปยังเรียลมูฟในฐานะผู้รับใบอนุญาตเท่านั้น
แหล่งข่าวกล่าวว่าหากตรวจสอบกระบวนการจัดเก็บข้อมูลส่วนบุคคลจะพบว่าข้อมูลที่หลุดออกมานั้น ได้หลุดพ้นขั้นตอนการซื้อเครื่องและลงทะเบียนซิมการ์ดไปแล้ว และถือเป็นขั้นตอนของการจัดเก็บข้อมูลหลังบ้านที่อยู่ในความรับผิดชอบของบริษัทเรียลมูฟหรือทรูมูฟ เอช โดยตรง โดยกระบวนการจัดเก็บข้อมูลตามประกาศ กสทช.ที่ได้พัฒนา “โปรแกรม 2 แชะ” เพื่อให้ผู้รับใบอนุญาตหรือตัวแทนจำหน่ายนำเข้าข้อมูลในอดีตก่อนจะพัฒนามาเป็น“2 แชะอัตลักษณ์” ซึ่งในส่วนของผู้รับไปอนุญาต แต่ละรายมักจะมีการพัฒนาโปรแกรมที่จะใช้กับตัวแทนจำหน่ายโดยตรงเพื่อความสะดวกในการใช้งานแต่จะต้องสอดคล้องกับประกาศของ กสทช. ซึ่งเมื่อตัวแทนจำหน่ายได้ขายเครื่องและทำการลงทะเบียนซิมไปแล้ว ข้อมูลลูกค้าเหล่านี้จะถูกส่งผ่านไปยังทรูมูฟเอชของเรียลมูลผู้รับใยอนุญาตเพื่อจัดเก็บไว้ตามประกาศ กสทช.
“ไม่มีทางเป็นไปได้เลยว่าไอทรูมาร์ท จะนำข้อมูลส่วนบุคคลที่ได้ลงทะเบียนซื้อซิมไว้นี้ไปเก็บไว้ในคราวของ AWS ในต่าวประเทศได้เอง เนื่องจากประกาศ กสทช. ระบุชัดเจนว่าภาระในการจัดเก็บข้อมูลเป็นหน้าที่โดยตรงของผู้รับใบอนุญาต ดังนั้นผู้ที่ต้องทำการเชื่อมต่อข้อมูลจากโปรแกรมดังกล่าวต้องเป็นผู้รับใบอนุญาตโดยตรงจาก กสทช.เท่านั้นนั่นคือบริษัทเรียลมูฟหรือ TUC ไม่มีทางที่ไอทรูมาร์ทจะเชื่อมต่อข้อมูลเองโดยตรงไปยังคราวด์ของ AWS ได้ ดังนั้น กสทช. ต้องหาความจริง ไม่ใช่จ้องแต่จะฟอกจาวให้โดยหาเรื่องอื่นมากลบเกลื่อน”
นอกจากนี้ การที่บริษัทนำข้อมูลส่วนบุคคลไปจัดเก็บไว้กับคราวด์ AWS ในต่างประเทศนั้นยังจ่อจะผิดหลักเกณฑ์ตามประกาศ กสทช.อีกด้วย เพราะตามประกาศกสทช.นั้นกำหนดให้ผู้ใช้บริการต้องจัดส่งข้อมูลดังกล่าวให้สำนักงาน กสทช.ก่อน และให้จัดเก็บข้อมูลที่เป็นดาต้าเหล่านี้ไว้ในประเทศ หากจะนำส่งข้อมูลออกไปต่างประเทศจะต้องได้รับอนุญาตจากกสทช.กำหนด ซึ่งเป็นเครื่องแสดงให้เห็นว่าที่ผ่านมาทรูมูฟเอชมีการจัดเก็บข้อมูลบนคราวด์ AWS1 ที่ไม่เป็นไปตามประกาศ กสทช.
“ตอนนี้กำลังพยายามจะนำเอาเรื่องเอสเอ็มเอสดูดเงินเข้ามากลบเกลื่อนเรื่องอื้อฉาวที่บริษัท
มือถือทำข้อมูลลูกค้าหลุดในโลกโซเชียลอย่างชัดเจน เพราะกรณีข้อความ SMS หรือเมล์ขยะดูดเงินนั้นมีหลักเกณฑ์ของ กสทช.กำหนดเอาไว้อยู่แล้ว ลูกค้าสามารถร้องเรียน ลงโทษผู้ให้บริการได้อยู่แล้ว แต่กรณีปล่อยข้อมูลลูกค้าหลุดดังกล่าวถือเป็นเรื่องร้ายแรงยิ่งกว่ากรณีจ้าพ่อเฟซบุ๊คมาร์ค ซัคเคอร์เบอร์ก เสียอีก”
ที่มา : http://www.komchadluek.net/news/economic/321816#.Wta7boOwvlI.lineme
