ศาลอาญาสั่งปิดเว็บไซต์ 9near.org หลังระบุมีข้อมูลคนไทย 55 ล้านรายชื่อ เตรียมเผยแพร่ ชี้เป็นการบิดเบือน เนื้อหาเข้าข่ายผิดตาม พ.ร.บ.คอมพิวเตอร์ฯ สร้างความเสียหายต่อการรักษาความมั่นคงของประเทศ
สำนักข่าวอิศรา (www.isranews.org) รายงานว่า จากกรณีที่กลุ่มแฮกเกอร์ 9Near ประกาศจะเปิดเผยข้อมูลส่วนตัวของคนไทย 55 ล้านคน ซึ่งมีทั้งเลขบัตรประชาชน 13 หลัก, วันเดือนปีเกิด, ที่อยู่, เบอร์มือถือ โดยอ้างว่า ได้มาจากหน่วยงานรัฐหน่วยงานหนึ่งในประเทศไทย และจะประกาศว่าข้อมูลรั่วมาจากไหน หากองค์กรรัฐที่คิดว่าเป็นต้นทางข้อมูลรั่วไหลไม่ติดต่อมาก่อนวันที่ 5 เม.ย.นี้
ความคืบหน้าล่าสุด เมื่อวันที่ 3 เม.ย. 2566 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) ได้ยื่นคำร้องต่อศาลอาญา เป็นคดีหมายเลขดำ พศ.77/2566 ขอให้ไต่สวนโดยฉุกเฉิน และมีคำสั่งให้ระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ที่มีเนื้อหาอันเข้าข่ายเป็นความผิดตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 จำนวน 1 โดเมนเนม ออกจากระบบคอมพิวเตอร์เป็นการด่วน และข้อมูลคอมพิวเตอร์ที่มีเนื้อหาซึ่งศาลได้มีคำสั่งในคดีนี้ให้ระงับการแพร่หลายหรือลบออกจากระบบคอมพิวเตอร์แล้วแต่มีการนำเข้าสู่ระบบคอมพิวเตอร์และเผยแพร่ในระบบคอมพิวเตอร์ซ้ำอึก ก็ให้ระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ดังกล่าวด้วย
กรณีดังกล่าวสืบเนื่องจาก เมื่อวันที่ 31 มี.ค.2566 กระทรวงดิจิทัลฯ ตรวจพบเว็บไซต์ 9near โพสต์คลิปวิดีโอชื่อ "55 ล้านชื่อหลุด" กระทั่งมีการนำเสนอข่าวเป็นวงกว้างถึงการกระทำที่มีลักษณะประกาศขายข้อมูลส่วนตัวคนไทย
ซึ่งศาลอาญา มีคำสั่งรับคำร้องไว้ไต่สวน และได้ไต่สวนพยานผู้ร้องเสร็จสิ้น 1 ปาก
โดยศาลอาญา มีคำสั่งว่า พิเคราะห์พยานบุคคล พยานเอกสาร และวัตถุพยานที่ผู้ร้องนำสืบในชั้นไต่สวนแล้ว สามารถรับฟังข้อเท็จจริงได้ว่า กระทรวงดิจิทัลฯ ตรวจสอบพบว่ามีข้อมูลในอินเทอร์เน็ตและสื่อสังคมออนไลน์ มีเนื้อหาเข้าข่ายเป็นความผิดตาม พ.ร.บ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ฯ จำนวน 1 โดเมนเนม ได้แก่ 9near.org ซึ่งข้อมูลที่ปรากฏในโดเมนเนม ดังกล่าวข้างต้นมีเนื้อหาเป็นการนำเข้าสู่ระบบคอมพิวเตอร์โดยทุจริตหรือโดยหลอกลวง ซึ่งข้อมูลคอมพิวเตอร์ที่บิดเบือนหรือปลอมไม่ว่าทั้งหมด หรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ประชาชน อันมิใช่การกระทำความผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา และเข้าข่ายเป็นการนำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จโดยประการที่น่าจะเกิดความเสียหายต่อการรักษาความมั่นคงปลอดภัยของประเทศ หรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน ซึ่งเป็นความผิดตามมาตรา 14 (1)(2) พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 และที่แก้ไขเพิ่มเติม
จึงอาศัยอำนาจตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ มาตรา 14 (1)(2) ประกอบมาตรา 20 จึงมีคำสั่งให้ระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ จำนวน 1 โดเมนเนม ได้แก่ เว็บไซต์ 9near.org ดังกล่าวออกจากระบบคอมพิวเตอร์
ทั้งนี้ภายหลังหากมีการนำข้อมูลคอมพิวเตอร์ ที่มีเนื้อหาดังกล่าวเข้าสู่ระบบคอมพิวเตอร์ และมีการทำให้แพร่หลายซ้ำอีก ก็ให้ระงับการทำให้ แพร่หลายหรือลบข้อมูลคอมพิวเตอร์นั้นออกจากระบบคอมพิวเตอร์ด้วย
รู้ตัว 9near แล้ว! คาดเป็นคนในประเทศ 'ชัยวุฒิ'รับหลายหน่วยงานรัฐระบบมีช่องโหว่
อนึ่งก่อนหน้านี้ นายชัยวุฒิ ธนาคมานุสรณ์. รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า ขณะนี้ใกล้ได้ตัวคนร้ายแล้ว คาดว่าทางตำรวจไซเบอร์จะแถลงข่าวการจับกุมเร็วๆนี้ ซึ่งแฮกเกอร์ตั้งใจดิสเครดิต หน่วยงานรัฐ และเป็นคนไทย ส่วนหน่วยงานรัฐที่ทำข้อมูลหลุดกำลังอยู่ระหว่างการตรวจสอบเส้นทาง
เนื่องจากข้อมูลที่หลุดเป็นข้อมูลที่หลายหน่วยงานมีได้ โดยเฉพาะหน่วยงานที่ให้ประชาชนลงทะเบียน และประกาศรายชื่อบนเว็บไซต์ ซึ่งเป็นระบบที่ทำขึ้นมาใหม่จนกลายเป็นช่องโหว่ให้แฮคเกอร์เข้าไปดึงข้อมูลออกมา ดังนั้นจึงต้องรอจับแฮคเกอร์มาสอบสวนก่อนว่าแฮคมาจากหน่วยงานไหน
อย่างไรก็ตาม ก็มีหน่วยงานรัฐที่สงสัยว่าเป็นหน่วยงานที่ทำข้อมูลหลุดมาแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งต้องรอตรวจสอบก่อน ยังไม่สามารถสรุปได้
กระทรวงดิจิทัลฯ ได้ประชุมกับหน่วยงานภาครัฐทุกกระทรวง ว่าให้ดำเนินการตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) และพ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) พบว่า ทุกหน่วยงานที่มีข้อมูลสารสนเทศ มีกระบวนการทำตามกฎหมาย แต่หลายหน่วยงานมีการเก็บข้อมูลที่อาจมีช่องโหว่ ที่คนร้ายเจาะเข้าไปได้ แต่บางทีอาจไม่ใช่ช่องโหว่ เพราะหลายหน่วยงานให้ประชาชนมาลงทะเบียน ให้ชื่อ ที่อยู่ เบอร์โทรศัพท์ และการลงทะเบียนได้รับผลประโยชน์จากรัฐ ตามด้วยสิทธิประโยชน์บางอย่าง ซึ่งหน่วยงานมีการแจ้งเปิดเผยข้อมูลให้ประชาชนทราบว่า ระบบลงทะเบียนเสร็จแล้ว ทำให้มีการเผยแพร่ข้อมูลประชาชนออกไปในระบบ
ทั้งนี้ การเผยแพร่ข้อมูลแบบนี้ก็ไม่ถูกต้อง ไม่เหมาะสม จึงมีการปรับการทำงาน การลงทะเบียน การแจ้งข้อมูลให้ประชาชน ต้องระวังจะละเมิดกฎหมาย PDPA อย่างไรก็ตาม ขอเรียนประชาชนว่า อย่าวิตกกังวลอย่างการเลือกตั้งมีข้อมูลของเราที่อยู่กับ กกต. เช่น การแจ้งลงทะเบียนเลือกตั้ง การเลือกตั้งล่วงหน้า ซึ่งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ลงไปร่วมกับกกต. เพื่อไม่ให้มีช่องโหว่
“ส่วนกรณี 9Near เรื่องการแพร่ข้อมูลรั่ว 55 ล้านชื่อ ต้องขอบคุณสำนักงานตำรวจแห่งชาติ ซึ่งกำลังสอบสวนข้อมูล และจะได้ข้อมูลเร็วๆนี้ ขอให้ไม่ต้องกังวล เรากำลังรวบรวมอยู่ หน่วยงานพอรู้ว่า มีหลายหน่วยงานที่จะหลุด แต่ยังคอนเฟิร์มไม่ได้ จนกว่าจะจับคนร้ายได้ เพราะข้อมูลมีหลายหน่วยงานคล้ายๆกันหมด แต่เบื้องต้นพอจะทราบว่า มีใครเป็นคนร้าย เรากำลังล็อกเป้า น่าจะทำเป็นกระบวนการ ซึ่งรอเจ้าหน้าที่ตำรวจแถลงเรื่องนี้ต่อไป” นายชัยวุฒิ กล่าว
ผู้สื่อข่าวถามว่าหน่วยงานไหนที่มีช่องโหว่ นายชัยวัฒน์ กล่าวว่า ที่แน่ๆไม่ใช่กระทรวงดิจิทัลฯ เพราะเราไม่มีข้อมูลพวกนี้ เรามีหน้าที่กำกับ ประสานงาน ให้หน่วยงานต่างๆทำตามมาตรการกำหนด แต่อาจมีช่องโหว่ในเรื่องการเก็บข้อมูลที่อาจให้เข้าง่าย ลงทะเบียนง่าย จึงทำให้เจาะได้ ซึ่งต่อไปต้องปรับปรุงให้เข้ามาลงทะเบียน เข้ามาใช้งานยากขึ้น เพื่อให้มีระบบป้องกันมากขึ้น รวมทั้งการแจ้งรายชื่อให้ประชาชนทราบก็ต้องยากขึ้น เช่น แจ้งรายชื่อว่าได้รับสิทธินี้สิทธินี้ เป็นต้น
เมื่อถามอีกว่า ข้อมูล 55 ล้านคนที่หลุดออกไปเข้าข่ายหน่วยงานไหน กระทรวงสาธารณสุข หรือหมอพร้อม หรือไม่ นายชัยวุฒิ กล่าวว่า จากการตรวจสอบไม่มีหน่วยงานไหนมีข้อมูลเยอะขนาดนี้ ยกเว้นกรมการปกคครองเพราะมีบัตรประชาชน แต่ไม่ใช่กรมการปกครอง เพราะเป็นระบบปิด ส่วนใหญ่ระบบรั่วก็จะเป็นการลงทะเบียน มีข้อมูลประชาชนเยอะ เป็นระบบให้ลงทะเบียนกันมาก เมื่อคนร้ายลงทะเบียนก็จะเจาะเข้าไปได้ ดังนั้น ทุกหน่วยงานจึงต้องระวัง ตอนนี้ขอยืนยันเป็นทางการก่อนจึงจะบอกว่า หน่วยงานใด ขอคณะกรรมการตรวจสอบข้อเท็จจริงก่อน
เมื่อถามว่าความผิดของกฎหมาย PDPA จะมีโทษอย่างไร นายชัยวุฒิ กล่าวอีกว่า โทษอาญา จำคุก 1 ปี ต่อ 1 ความผิดหรือ 1 ข้อมูลที่รั่ว ค่าปรับ 1-5 ล้านบาท และจะมีการเยียวยาต่อไป ซึ่งกรณีนี้จะเป็นเคสแรกๆ ตรงนี้เป็นข้อดีที่มีกฎหมาย PDPA
ผู้สื่อข่าวถามว่าข้อมูลคนร้ายเป็นคนไทย หรือมีต่างชาติ นายชัยวุฒิ กล่าวว่า ยังไม่อยากตอบ รอตำรวจแถลง แต่จากการพิจารณาเหมือนการทำครั้งนี้เป็นการดิสเครดิตมากกว่า ไม่ได้มีการเรียกค่าไถ่ ซึ่งประเด็นคือ ต้องการให้รู้ว่าระบบข้อมูลส่วนบุคคลเรามีปัญหา อย่างไรก็ตาม เวลาขอข้อมูลการยืนยันตัวตนจำเป็นต้องทำ แต่เราพยายามทำดิจิทัลไอดี เพื่อให้ปลอดภัยมากขึ้น
ทางด้าน นายวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธานการประชุม “การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของหน่วยงานรัฐ” โดยได้เชิญหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลขนาดใหญ่หรือมีจำนวนมากหารือ อาทิ กระทรวงมหาดไทย กระทรวงสาธารณสุข กระทรวงการคลัง กระทรวงแรงงาน กระทรวงพัฒนาสังคมและความมั่นคงของมนุษย์ สำนักงานตำรวจแห่งชาติ และ สำนักงาน กกต. เป็นต้น รวมทั้งผู้ที่เกี่ยวข้องได้แก่ ธนาคารแห่งประเทศไทย สำนักงาน กสทช. สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (สกมช.) และ สคส.
1. ระบบเทคโนโลยีสารสนเทศรวมทั้งฐานข้อมูลของหน่วยงานเป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลที่เกี่ยวข้องหรือไม่ มีการตรวจสอบเพื่อป้องกันและแก้ไขช่องโหว่ของระบบที่อาจเกิดขึ้นหรือไม่ ผลเป็นอย่างไรในการประชุม ได้มีการ หารือประเด็นสำคัญดังนี้
โดยนายศิวรักษ์ ศิวโมกษธรรม เลขาธิการ สคส. ได้รายงานในที่ประชุมว่า จากการสุ่มตรวจของ สคส. ได้พบการเผยแพร่ข้อมูลส่วนบุคคลที่ไม่เหมาะสมของหน่วยงานของรัฐ และได้ทำการแจ้งเตือนไปแล้ว ที่ผ่านมาก็ได้รับความร่วมมือปรับปรุงตามคำแนะนำ
ขณะที่พลอากาศตรี อมร ชมเชย เลขาธิการสกมช.ให้ข้อมูลว่า THAICERT ของ สกมช ตรวจพบว่าระบบเทคโนโลยีสารสนเทศ ของหน่วยงานรัฐหลายหน่วยงานถูกโจมตี และยังมีการหลุดรั่วของข้อมูล ซึ่งได้ประสานงาน เร่งแก้ปัญหาและป้องกันปัญหาอย่างต่อเนื่อง
2. แนวปฏิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลในหน่วยงานของรัฐ อาทิ พรบ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 และ (ฉบับที่ 2) พ.ศ. 2560 พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 และ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
ทั้งนี้ หากหน่วยงานทำข้อมูลรั่ว โดยเฉพาะข้อมูลที่มีความอ่อนไหว ต้องรีบแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้เสียหาย รวมถึงควรทำการเยียวยาผู้เสียหายด้วย
3. การช่วยเหลือสนับสนุนของสคส. ,สกมช. และกระทรวงดีอีเอส ต่อหน่วยงานต่างๆ ในเรื่อง ระบบเทคโนโลยีสารสนเทศและการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน รวมทั้งแนวทางการทำงานร่วมกันในเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
นอกจากนี้ ได้หารือถึงแนวทางเร่งรัดการใช้ Digital ID เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน ซึ่งในเรื่องนี้ กระทรวงดีอีเอส ได้จัดทำ พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ. 2565 (Digital ID) ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 ธันวาคม 2565 และ ผลักดันการพัฒนาระบบยืนยันตัวตน National Digital ID ของกระทรวงมหาดไทย ซึ่งจะมีประโยชน์ในการป้องกันข้อมูลรั่วไหล และยืนยันตัวตนได้อย่างมั่นใจมาขึ้นอีกระดับหนึ่ง ซึ่งการยืนยันตัวตนด้วย Digital ID จะช่วยป้องกันการถูกขโมยข้อมูล รวมทั้งการป้องกันการหลอกลวงประชาชนจากการทำธุรกรรมออนไลน์
นายวิศิษฏ์ กล่าวว่า การหาข้อเท็จจริงเรื่องที่อ้างว่าข้อมูลขนาดใหญ่รั่วมาจากหน่วยงานภาครัฐ ยังดำเนินการอยู่ กรณีที่มีข้อมูลรั่ว หรือระบบเทคโนโลยีสารสนเทศมีช่องโหว่ หน่วยงานต้องเร่งปรับปรุงแก้ไข ในขณะเดียวกันได้ทำการซักซ้อม แนวปฎิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงขอความร่วมมือหน่วยงาน ยกระดับความมั่นคงปลอดภัยข้อมูล และช่วยผลักดันการใช้ Digital ID
9near ยุติปฏิบัติการ เหตุขัดแย้งกับสปอนเซอร์ ชี้ไม่อยากทำร้ายคนไทย
เมื่อวันที่ 2 เม.ย. 2566 แฮกเกอร์ 9Near ได้ประกาศว่าจะยุติปฏิบัติการแล้ว หลังเกิดความขัดแย้งกับผู้สนับสนุน ทั้งยังชี้แจงว่าไม่อยากทำร้ายคนไทย
โดยทางหน้าเว็บของแฮกเกอร์ระบุว่า ถึงทุกคน ข่าวดีคือเรายุติปฏิบัติการแล้ว เพราะมีข้อขัดแย้งกับสปอนเซอร์
เราไม่ต้องการทำให้พวกคุณเจ็บปวด และเราไม่เห็นด้วยกับการเมืองที่สกปรก เพราะว่าแผนการของพวกเขานั้นสกปรกเกินไป ดังนั้นเราจึงไม่มีเหตุผลที่จะต้องเปิดเผยข้อมูลนี้ต่อไป อย่างน้อยในช่วงไม่กี่วันที่ผ่านมา เราได้เห็นว่ารัฐบาลวิตกกังวลต่อความเป็นส่วนตัวและความปลอดภัยของข้อมูลประชาชนอย่างไรแล้ว
โดยแฮกเกอร์ระบุว่า ทาง 9Near ไม่ได้ซื้อข้อมูลมาจากราชการ ไม่ใช่แก็งค์คอลเซนเตอร์ หรือสแกมเมอร์ และไม่เคยขายข้อมูลให้ใคร
ดังนั้นเขาจึงยังมีอำนาจต่อรองอยู่ แต่ข้อมูลที่เขามี ก็มีไว้สำหรับการเคลื่อนไหว ไม่ใช่เพื่อเงิน
แฮกเกอร์ ระบุถึงสปอนเซอร์ที่ไม่เปิดเผยชื่ออีกว่า พวก จากการคุยกันครั้งล่าสุด แผนการของคุณไม่ตรงกับวัตถุประสงค์ของเรา แต่มันเป็นเพื่อตัวคุณเอง ไม่ใช่เพื่อประชาชน คุณเห็นแต่ผลทางการเมืองของคุณ คุณคิดว่าเจอกันลับๆ แล้วสิ่งที่คุยกันจะลับตามนั้นหรือ? เรารู้ว่าคุณคือใคร และคุณอยู่ข้างใด และเราคิดว่าคนไทยก็รู้
“นับถอยหลังเหมือนเดิม จบการต่อรองนี้ก่อนที่บางอย่างจะเริ่มต้นขึ้น”
นอกจากนี้ แฮกเกอร์ ยังระบุอีกว่า เราตั้งรหัสในคลาวด์ทุกๆ 7 วัน มานาน 10 ปีแล้ว เราได้ลบคีย์ทิ้งเรียบร้อย มันจะเข้าถึงข้อมูลผ่าน API เท่านั้น มีเพียงเราเท่านั้นที่จะรีเซ็ทรหัสได้ผ่าน API เท่านั้น เพื่อหยุดความหายนะครั้งนี้ คุณรู้ดีถึงผลกระทบที่จะเกิดขึ้น
เมื่อแกะรหัสได้อันหนึ่ง เขาก็จะเริ่มตั้งรหัสใหม่ ดังนั้นอยู่ในที่ของคุณเถอะ อย่าปลุกเราให้ตื่นขึ้นมา ไม่เช่นนั้นเราจะกลับมา