หลุด! ข้อมูลส่วนบุคคล ลูกค้าสายการบินอินเดีย
#PDPACase | นักวิจัยด้านความปลอดภัย ตรวจพบข้อมูลส่วนบุคคล ของสายการบินพาณิชย์อินเดียรั่วไหล
เมื่อวันที่ 30 ส.ค ที่ผ่านมา The Hacker News ได้ออกมาเปิดเผยรายงานว่า นักวิจัยด้านความปลอดภัย Ashutosh Barot ได้ค้นพบข้อมูลลูกค้า ทั้ง ชื่อ เพศ ที่อยู่ อีเมล และหมายเลขโทรศัพท์ ของสายการบิน Akasa Air ซึ่งเป็นสายการบินพาณิชย์ของอินเดีย หลุดออกไปสู่โลกภายนอก ผ่านช่องทางการลงทะเบียนบัญชี
กรณีดังกล่าว ทำให้ทาง Akasa Air ถูกตรวจสอบย้อนหลังไปถึงวันแรกที่ทำการเปิดให้บริการ คือ เมื่อวันที่ 7 ส.ค. 2565 ซึ่งพบว่า มีข้อมูลมากมายที่รั่วไหลออกไปจากระบบ อย่างไรก็ดีทางสายการบินแจ้งว่า ได้ปิดระบบบางส่วนชั่วคราวเพื่อทำการสืบหาต้นตอของการรั่วไหลแล้ว และจะทำการปรับปรุงระบบโดยเร็วที่สุด นอกจากนี้ยังได้รายงานเหตุการณ์ดังกล่าวไปยัง ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของอินเดีย (CERT-In) เรียบร้อยแล้ว
ทั้งนี้ Akasa Air เน้นย้ำว่า ไม่มีข้อมูลที่เกี่ยวข้องกับการเดินทาง หรือ รายละเอียดการชำระเงินเหลือให้เข้าถึงได้ และไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้งานอีก
จากกรณีนี้จะเห็นได้ว่า ไม่ว่าใครก็สามารถตกเป็นเป้าหมายการโจมตีทางไซเบอร์ได้ง่าย ๆ เนื่องด้วยระบบมีการเก็บรวบรวมข้อมูลส่วนตัวมากมาย ซึ่งหากเป็นประเทศที่มีการประกาศบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็อาจทำให้โดนโทษปรับจำนวนมาก
ขณะที่ในประเทศไทยเอง ด้วยมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA เป็นกฎหมายคุ้มครอง ดังนั้น หากเกิดการละเมิดข้อมูลส่วนบุคคลในลักษณะนี้ ผู้ควบคุมข้อมุลส่วนบุคคลก็อาจโดนปรับได้มากถึง 5 ล้านบาทเลยทีเดียว
ที่มา : thehackernews, CERT-In
#AkasaAir #DataBreaches #PDPA #GDPR #Securitypitch
