วันที่ 13 มีนาคม 2569 นายพงศ์พล ยอดเมืองเจริญ หรือ ลอรี่ อดีตผู้สมัครสส.กทม.พรรคภูมิใจไทย โพสต์ข้อความผ่านเฟซบุ๊ก ว่า รั่วกว่า กกต.? "พรรคประชาชน"ทำข้อมูลสมาชิก หลุดยกแผง!
สมาชิก82,450คน เสี่ยงโดนรูดหมดตัว แนะลงบันทึกประจำวัน-ฟ้องคดีแบบกลุ่ม ในฐานะนักการเมืองเพื่อนบ้านที่เฝ้ามองอยู่ห่างๆ อย่างห่วงๆ ผมอดรนทนไม่ได้จริงๆ ครับที่เห็นความ "เลินเล่อ" ระดับมือสมัครเล่นแบบนี้ ล่าสุดมีลูกบ้านสวนหลวงที่เป็นสมาชิกพรรคหนึ่งมาร้องเรียนผม เรื่อง ภาพถ่ายคู่บัตรประชาชน (KYC) ของสมาชิกกว่า 82,450 คน รั่วไหลสู่สาธารณะ!
ในภาษาวงการเทคต้องเรียกว่า "อ่อนหัด" การปล่อยให้ URL ภาพส่วนตัวเป็นลิงก์ถาวร (Static Link) ที่ใครกดก็เห็นเนี่ย มันคือความผิดพลาดพื้นฐานที่สาย Cybersecurity ไม่ควรตายน้ำตื้นครับ

ทำไม "URL รั่ว" ถึงเป็นเรื่องใหญ่

การที่ URL หลุดออกมา แปลว่าระบบคุณไม่มี Privacy by Design ครับ:

ขาดการยืนยันตัวตน (Broken Object Level Authorization - BOLA): หาก URL นั้นเป็นลิงก์ถาวรที่ใครมีลิงก์ก็กดดูได้เลย (Publicly Accessible) โดยไม่ต้องล็อกอินเข้าสู่ระบบก่อน นั่นคือความผิดพลาดมหันต์

เดารูปแบบ URL ได้ (Insecure Direct Object Reference - IDOR): หาก URL มีลักษณะเป็นแพทเทิร์น เช่น .../images/member_001_card.jpg มิจฉาชีพแค่เปลี่ยนเลขเป็น 002, 003 ก็สามารถไล่สูบข้อมูล (Scraping) ได้ทั้งฐานข้อมูลครับ

ไม่ได้ใช้ Presigned URL: มาตรฐานที่ควรจะเป็นคือรูปภาพต้องถูกเก็บใน "ถัง" ที่ล็อคไว้ (Private Bucket) และระบบจะสร้าง "ลิงก์ชั่วคราว" ที่มีอายุการใช้งานเพียงไม่กี่นาทีให้เฉพาะผู้ที่มีสิทธิ์ดูเท่านั้น

Laser ID คือกุญแจดอกสุดท้าย

ที่มิจฉาชีพจะเอาไปเปิดบัญชีม้าหรือแอปฯ ThaID ได้แบบเนียนๆ โดยที่คุณไม่รู้ตัว ข้อมูลนี้เปลี่ยนไม่ได้จนกว่าจะทำบัตรใหม่นะครับ!

แนวทาง "ทางเลือก" ที่ดีที่สุดสำหรับพรรคการเมือง

แทนที่จะเก็บภาพบัตรประชาชนเอง พรรคการเมืองควรใช้ระบบ Digital ID ของรัฐ (เช่น ThaID) ในการยืนยันตัวตนสมาชิกครับ

ข้อดี: พรรคไม่ต้องเก็บภาพบัตรประชาชนหรือ Laser ID ไว้ในเซิร์ฟเวอร์ตัวเองเลย เก็บแค่ "Token" ยืนยันว่าบุคคลนี้ผ่านการตรวจสอบจากรัฐแล้ว

ความปลอดภัย: ลดความเสี่ยง (Risk) ของพรรคลงเกือบทั้งหมด เพราะไม่มีข้อมูลอ่อนไหวให้รั่วตั้งแต่แรกครับ

ความรับผิดชอบ

ผมขอให้พรรคการเมืองมีความรับผิดชอบแก่การกระทำเลินเล่อนี้ ในเมื่อผู้บริหารหลายท่านเคยอ้างว่าเป็นบุคลากรสายเทค แต่กลับผิดพลาดง่าย ราวกับเห็นข้อมูลสำคัญของปชช. เป็นผักปลา กฎหมายที่ผิดได้แก่:

PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล): แพ่ง: ต้องชดใช้ค่าเสียหายจริง + ค่าเสียหายทางจิตใจ และศาลสั่งจ่าย "ค่าเสียหายเชิงลงโทษ" ได้อีก 2 เท่า ถ้าพิสูจน์ได้ว่าประมาทเลินเล่ออย่างร้ายแรง

ปกครอง: โทษปรับสูงสุด 5 ล้านบาท ฐานไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม (Security Measures)

พ.ร.ป. พรรคการเมือง: มาตรา 25 ระบุชัดว่าต้องจัดทำทะเบียนสมาชิกให้ "ปลอดภัย" หากบกพร่องวงกว้าง กกต. อาจเข้ามาสอบวินัยทางการเมืองได้

รัฐธรรมนูญ มาตรา 32: ละเมิดสิทธิในความเป็นส่วนตัวอย่างรุนแรง ใช้เป็นฐานฟ้องแพ่งได้ทันที

แอคชั่นต่อไป

หากคุณคือ 1 ใน 8 หมื่นคนที่ได้รับจดหมายแจ้งเหตุ

แคปหน้าจอจดหมาย ไว้เป็นหลักฐานด่วน ไปลงบันทึกประจำวัน เพื่อยันกับธนาคารหรือตำรวจหากเกิดธุรกรรมประหลาด

รีบอายัดเลข Laser ID หรือ ทำบัตรประชาชนใหม่ อย่าปล่อยให้ข้อมูลปชช.อย่างท่านตกอยู่ในความอันตรายครับ

รวมตัวฟ้องคดีแบบกลุ่ม (Class Action) เพื่อสร้างบรรทัดฐานความรับผิดชอบ ให้เป็นบรรทัดฐาน

หากประชาชนทั่วไปสงสัยความเลินเล่อ สามารถส่งหนังสือร้องเรียนส่งไปยัง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อจี้ให้มีการตรวจสอบระบบหลังบ้านพรรคอย่างเป็น

ทางการ เพื่อความปลอดภัยทุกฝ่ายครับ