- 28 May 20
-
1323
-
กรณีศึกษา แอปพลิเคชันติดตามผู้สัมผัส COVID-19 ของประเทศกาตาร์ข้อมูลรั่วไหลเพราะไม่มีระบบยืนยันตัวตน
ในช่วงการระบาดของโรค COVID-19 นั้นรัฐบาลหลายประเทศได้ใช้แอปพลิเคชันติดตามผู้สัมผัส หรือ contact tracing มาช่วยเป็นหนึ่งในมาตรการติดตามและควบคุมโรค โดยหลักการทำงานของแอปพลิเคชันดังกล่าวอาจเป็นได้หลายรูปแบบ เช่น เก็บข้อมูลการเดินทางจาก GPS, เก็บข้อมูลการเข้าใกล้จาก Bluetooth, หรือเก็บบันทึกประวัติการเข้าใช้บริการด้วยการสแกน QR code ซึ่งบางแอปพลิเคชันอาจมีความสามารถมากกว่าการติดตามโรค เช่น แสดงข้อมูลประวัติการติดเชื้อหรือข้อมูลความปลอดภัยของร้านค้าและบริการ ทีมวิจัยของ Amnesty International ได้ตรวจสอบความมั่นคงปลอดภัยของแอปพลิเคชันติดตามผู้สัมผัสของหลาย ๆ ประเทศ โดยพบว่าแอปพลิเคชัน Ehteraz ของประเทศกาตาร์นั้นมีช่องโหว่ที่อาจส่งผลให้เกิดเหตุการณ์ข้อมูลรั่วไหลได้
อ้างอิงจากรายงานของ Amnesty International แอปพลิเคชัน Ehteraz นั้นรัฐบาลของประเทศกาตาร์ได้กำหนดให้ประชาชนต้องติดตั้งและใช้งาน โดยมียอดดาวน์โหลดไปแล้วกว่า 1 ล้านครั้ง ตัวแอปพลิเคชันดังกล่าวใช้ข้อมูลทั้ง GPS และ Bluetooth เพื่อติดตามตำแหน่ง รวมทั้งมีความสามารถในการแสดง QR code บนหน้าจอโทรศัพท์มือถือเพื่อแจ้งให้บุคคลอื่นทราบได้ว่าตัวผู้ใช้นั้นติดเชื้อหรือไม่ (เช่น สีเขียวคือสุขภาพดี สีเหลืองคืออยู่ระหว่างกักตัว และสีแดงคือติดเชื้อ)
ทางทีมวิจัยของ Amnesty International พบว่าระบบแสดงตัวโดยใช้ QR code นั้นจะเรียกข้อมูลจากเซิร์ฟเวอร์กลางโดยใช้แค่เลขประจำตัวประชาชนเพียงอย่างเดียว ไม่ได้มีกระบวนการยืนยันตัวตนใด ๆ เพิ่มเติม ทำให้ผู้ไม่หวังดีสามารถเขียนสคริปต์ไล่ลำดับเลขประจำตัวประชาชนเพื่อดึงฐานข้อมูลออกมาได้ โดยนอกจากข้อมูลด้านสุขภาพแล้ว ยังได้ข้อมูลอื่น ๆ เช่น ชื่อ และพิกัดที่อยู่ ออกมาด้วย ทั้งนี้ทาง Amnesty International ได้แจ้งเตือนช่องโหว่ให้กับทางผู้พัฒนาแอปพลิเคชันทราบเมื่อวันที่ 21 พฤษภาคม 2563 และได้รับการแก้ไขปัญหาในวันถัดมา
เนื่องจากแอปพลิเคชันติดตามผู้สัมผัสนั้นมีการทำงานที่ต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลและข้อมูลที่มีความอ่อนไหว เช่น ข้อมูลพิกัดที่อยู่และข้อมูลด้านสุขภาพ ในการพัฒนาแอปพลิเคชันจึงจำเป็นต้องให้ความสำคัญกับเรื่องความมั่นคงปลอดภัยและความเป็นส่วนตัวอย่างรัดกุม ทั้งนี้ไทยเซิร์ตได้มีบทความอธิบายหลักการทำงานของแอปพลิเคชันติดตามผู้สัมผัส รวมถึงข้อแนะนำในการพัฒนาและการใช้งาน ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากบทความ https://www.thaicert.or.th/papers/general/2020/pa2020ge001.html
ที่มา: Amnesty International, Al Jazeera