ทปอ.ยืนยันข้อมูลหลุดจริงหลังพบแฮกเกอร์ประกาศขายข้อมูลส่วนตัวผู้สมัครสอบ TCAS ปี 2564 กว่า 23,000 รายการ
เมื่อวันที่ 1 กพ.ที่ผ่านมามีคนพบการประกาศขายข้อมูลที่อ้างว่าเป็น ข้อมูลส่วนบุคคลของระบบการคัดเลือกกลางบุคคลเข้าศึกษาในอุดมศึกษา จากเว็บ mtycas.com จำนวน 23,000 รายการผ่านทางอินเทอน์เน็ต พร้อมโชว์ตัวอย่างของชื่อ นามสกุล เลขบัตรประชาชนและผลคะแนน หลังจากที่ทปอ.ได้ทำการตรวจสอบไฟล์ข้อมูลดังกล่าวแล้วพบว่า เป็นข้อมูลจริงที่หลุดออกมาจากข้อมูลของระบบ TCAS64 ในรอบที่ 3
แต่ไม่ใช่ข้อมูลส่วนบุคคลทั้งหมดของผู้สมัคร หากอยู่ในรูปแบบของ CSV ซึ่งเจ้าหน้าที่ที่ได้รับมอบหมายของแต่ละสถาบันอุดมศึกษาดึงออกจากระบบเพื่อประมวลผลคัดเลือกของแต่ละสาขาวิชาที่เปิดรับในสถาบันฯ โดยเจ้าหน้าที่สามารถเข้าถึงได้เฉพาะข้อมูลผู้สมัครในรอบ 3 ของสถาบันนั้น ๆ ซึ่งข้อมูลในรอบ 3 ของระบบ TCAS64 มีทั้งหมด 826,250 รายการ แต่ที่ผู้ขายข้อมูลกล่าวอ้างนั้น มี 23,000 รายการ โดยคาดว่าเป็นไฟล์ที่สร้างขึ้นในช่วงเดือนพฤษภาคม 2564 ที่เจ้าหน้าที่ของสถาบันอุดมศึกษาดึงข้อมูลคะแนนไปจัดเรียงลำดับผู้สมัคร (Ranking) ตามเกณฑ์คัดเลือกของแต่ละสาขาวิชา ซึ่งข้อมูลที่นำเสนอขายไม่มีผลการจัดเรียงลำดับ Ranking ของผู้สมัคร
ทาง ทปอ. แจ้งว่าได้ปิดระบบ TCAS64 ไปแล้วตั้งแต่เดือนธันวาคม 2564 ส่วนระบบ TCAS65 จะเปลี่ยนระบบใหม่ เริ่มใช้เว็บไซต์ที่พัฒนาขึ้นใหม่ในปีนี้ รวมถึงการจัดเก็บไฟล์ข้อมูลที่มีความอ่อนไหวในรูปแบบ Private ที่ไม่สามารถเข้าถึงโดยตรงได้ การที่จะเข้าถึงไฟล์ข้อมูลได้นั้น ผู้ใช้งานระบบต้องได้รับการอนุญาตจากระบบ (presigned URL) ที่มีอายุในเวลาที่กำหนดเท่านั้น ซึ่งผู้ใช้งานระบบสามารถเข้าถึงข้อมูลได้ชั่วคราว พร้อมระบบบันทึกการใช้งานอย่างละเอียด ในส่วนของข้อมูลที่หลุดออกมานั้นก็เร่งตรวจสอบอย่างละเอียดว่าหลุดมาจากไหนโดยประสานหน่วยงานที่เกี่ยวข้อง
ที่มา ทปอ.
