'ลอรี่ 'จี้ 'พรรคส้ม' รับผิดชอบทำข้อมูลสมาชิกรั่ว ยุ 8 หมื่นราย รวมตัวฟ้องคดีแบบกลุ่ม

13 มี.ค. 2569 - นายพงศ์พล ยอดเมืองเจริญ หรือ ลอรี่ อดีตผู้สมัครสส.กทม.พรรคภูมิใจไทย โพสต์ข้อความผ่านเฟซบุ๊ก ว่า

รั่วกว่า กกต.? "พรรคประชาชน" ทำข้อมูลสมาชิก หลุดยกแผง!

สมาชิก82,450คน เสี่ยงโดนรูดหมดตัว
แนะลงบันทึกประจำวัน-ฟ้องคดีแบบกลุ่ม
ในฐานะนักการเมืองเพื่อนบ้านที่เฝ้ามองอยู่ห่างๆ อย่างห่วงๆ ผมอดรนทนไม่ได้จริงๆ ครับที่เห็นความ "เลินเล่อ" ระดับมือสมัครเล่นแบบนี้ ล่าสุดมีลูกบ้านสวนหลวงที่เป็นสมาชิกพรรคหนึ่งมาร้องเรียนผม เรื่อง ภาพถ่ายคู่บัตรประชาชน (KYC) ของสมาชิกกว่า 82,450 คน รั่วไหลสู่สาธารณะ!
ในภาษาวงการเทคต้องเรียกว่า "อ่อนหัด" การปล่อยให้ URL ภาพส่วนตัวเป็นลิงก์ถาวร (Static Link) ที่ใครกดก็เห็นเนี่ย มันคือความผิดพลาดพื้นฐานที่สาย Cybersecurity ไม่ควรตายน้ำตื้นครับ
.
[ทำไม "URL รั่ว" ถึงเป็นเรื่องใหญ่]
การที่ URL หลุดออกมา แปลว่าระบบคุณไม่มี Privacy by Design ครับ:
ขาดการยืนยันตัวตน (Broken Object Level Authorization - BOLA): หาก URL นั้นเป็นลิงก์ถาวรที่ใครมีลิงก์ก็กดดูได้เลย (Publicly Accessible) โดยไม่ต้องล็อกอินเข้าสู่ระบบก่อน นั่นคือความผิดพลาดมหันต์
เดารูปแบบ URL ได้ (Insecure Direct Object Reference - IDOR): หาก URL มีลักษณะเป็นแพทเทิร์น เช่น .../images/member_001_card.jpg มิจฉาชีพแค่เปลี่ยนเลขเป็น 002, 003 ก็สามารถไล่สูบข้อมูล (Scraping) ได้ทั้งฐานข้อมูลครับ
ไม่ได้ใช้ Presigned URL: มาตรฐานที่ควรจะเป็นคือรูปภาพต้องถูกเก็บใน "ถัง" ที่ล็อคไว้ (Private Bucket) และระบบจะสร้าง "ลิงก์ชั่วคราว" ที่มีอายุการใช้งานเพียงไม่กี่นาทีให้เฉพาะผู้ที่มีสิทธิ์ดูเท่านั้น
.
[ Laser ID คือกุญแจดอกสุดท้าย]
ที่มิจฉาชีพจะเอาไปเปิดบัญชีม้าหรือแอปฯ ThaID ได้แบบเนียนๆ โดยที่คุณไม่รู้ตัว ข้อมูลนี้เปลี่ยนไม่ได้จนกว่าจะทำบัตรใหม่นะครับ!
แนวทาง "ทางเลือก" ที่ดีที่สุดสำหรับพรรคการเมือง
แทนที่จะเก็บภาพบัตรประชาชนเอง พรรคการเมืองควรใช้ระบบ Digital ID ของรัฐ (เช่น ThaID) ในการยืนยันตัวตนสมาชิกครับ
ข้อดี: พรรคไม่ต้องเก็บภาพบัตรประชาชนหรือ Laser ID ไว้ในเซิร์ฟเวอร์ตัวเองเลย เก็บแค่ "Token" ยืนยันว่าบุคคลนี้ผ่านการตรวจสอบจากรัฐแล้ว
ความปลอดภัย: ลดความเสี่ยง (Risk) ของพรรคลงเกือบทั้งหมด เพราะไม่มีข้อมูลอ่อนไหวให้รั่วตั้งแต่แรกครับ
.
[ ความรับผิดชอบ ]
ผมขอให้พรรคการเมืองมีความรับผิดชอบแก่การกระทำเลินเล่อนี้ ในเมื่อผู้บริหารหลายท่านเคยอ้างว่าเป็นบุคลากรสายเทค แต่กลับผิดพลาดง่าย ราวกับเห็นข้อมูลสำคัญของปชช. เป็นผักปลา กฎหมายที่ผิดได้แก่:
PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล): แพ่ง: ต้องชดใช้ค่าเสียหายจริง + ค่าเสียหายทางจิตใจ และศาลสั่งจ่าย "ค่าเสียหายเชิงลงโทษ" ได้อีก 2 เท่า ถ้าพิสูจน์ได้ว่าประมาทเลินเล่ออย่างร้ายแรง
ปกครอง: โทษปรับสูงสุด 5 ล้านบาท ฐานไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม (Security Measures)
พ.ร.ป. พรรคการเมือง: มาตรา 25 ระบุชัดว่าต้องจัดทำทะเบียนสมาชิกให้ "ปลอดภัย" หากบกพร่องวงกว้าง กกต. อาจเข้ามาสอบวินัยทางการเมืองได้
รัฐธรรมนูญ มาตรา 32: ละเมิดสิทธิในความเป็นส่วนตัวอย่างรุนแรง ใช้เป็นฐานฟ้องแพ่งได้ทันที
.
[ แอคชั่นต่อไป ]
หากคุณคือ 1 ใน 8 หมื่นคนที่ได้รับจดหมายแจ้งเหตุ
แคปหน้าจอจดหมาย ไว้เป็นหลักฐานด่วน ไปลงบันทึกประจำวัน เพื่อยันกับธนาคารหรือตำรวจหากเกิดธุรกรรมประหลาด
รีบอายัดเลข Laser ID หรือ ทำบัตรประชาชนใหม่ อย่าปล่อยให้ข้อมูลปชช.อย่างท่านตกอยู่ในความอันตรายครับ
รวมตัวฟ้องคดีแบบกลุ่ม (Class Action) เพื่อสร้างบรรทัดฐานความรับผิดชอบ ให้เป็นบรรทัดฐาน
หากประชาชนทั่วไปสงสัยความเลินเล่อ สามารถส่งหนังสือร้องเรียนส่งไปยัง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อจี้ให้มีการตรวจสอบระบบหลังบ้านพรรคอย่างเป็นทางการ เพื่อความปลอดภัยทุกฝ่ายครับ