- 18 Jun 20
-
1402
-
กรณีศึกษา NHS ของอังกฤษส่งผลตรวจ COVID-19 ผิดเบอร์ ส่งผลให้ข้อมูลส่วนตัวรั่วไหล
หน่วยงานบริการสาธารณสุขแห่งชาติของสหราชอาณาจักร (National Health Service หรือ NHS) ได้พัฒนาระบบติดตามการสัมผัสเชื้อ COVID-19 ในชื่อ Test & Trace โดยระบบดังกล่าวได้เปิดให้ผู้ที่สนใจสามารถลงทะเบียนเพื่อรับผลตรวจเชื้อผ่านทาง SMS ได้ เมื่อวันที่ 17 มิถุนายน 2563 มีรายงานว่าระบบดังกล่าวได้ส่ง SMS แจ้งผลตรวจผิดเบอร์ ซึ่งอาจก่อให้เกิดปัญหาข้อมูลส่วนบุคคลรั่วไหล
ใน SMS ที่ทาง NHS ส่งแจ้งผลการตรวจเชื้อ COVID-19 นั้นมีข้อมูลส่วนบุคคล ประกอบด้วยชื่อ วันเดือนปีเกิด และผลการตรวจ ซึ่งถือเป็นข้อมูลที่มีความอ่อนไหว การที่ข้อมูลเหล่านี้ถูกส่งไปยังผู้ที่ไม่ใช่เจ้าของข้อมูลนั้นอาจก่อให้เกิดความเสียหายตามมาได้ ทั้งนี้ยังไม่มีคำชี้แจงว่าความผิดพลาดดังกล่าวเกิดขึ้นได้อย่างไร แต่มีผู้ตั้งข้อสังเกตว่าตอนที่เปิดให้ลงทะเบียนเพื่อใช้งานระบบดังกล่าวนั้นมีช่องให้กรอกข้อมูลหมายเลขโทรศัพท์ แต่ตัวระบบไม่มีขั้นตอนในการยืนยันความถูกต้องของข้อมูลดังกล่าว ทำให้ผู้สมัครอาจกรอกหมายเลขโทรศัพท์ผิดจนเป็นเหตุให้ระบบส่ง SMS ไปยังเลขหมายของผู้อื่น
กรณีศึกษานี้เป็นตัวอย่างที่ดีของการออกแบบระบบเพื่อรักษาความเป็นส่วนตัว โดยหากระบบนั้นจำเป็นต้องส่งข้อมูลที่มีความอ่อนไหว ควรมีการตรวจสอบและยืนยันว่าช่องทางที่จะส่งข้อมูลออกไปนั้นเป็นผู้รับตัวจริง เช่น ในขั้นตอนการกรอกหมายเลขโทรศัพท์เพื่อลงทะเบียนควรมีการส่งรหัสยืนยันไปทาง SMS เพื่อให้แน่ใจว่าผู้สมัครใช้หมายเลขโทรศัพท์ดังกล่าวจริงและสามารถใช้ช่องทางดังกล่าวเพื่อรับข้อความได้จริง รวมทั้งควรมีช่องทางให้ผู้ที่ได้รับข้อมูลผิดพลาดสามารถแจ้งไปยังผู้ให้บริการเพื่อขอให้ตรวจสอบและแก้ไขข้อมูลให้ถูกต้องได้
ที่มา: Graham Cluley