ดิจิเทรนด์ : กรณีศึกษาแอพพ์ติดตามผู้สัมผัสโควิด-19ของกาตาร์ข้อมูลรั่วไหล
“ไทยเซิร์ต” หรือศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ระบุว่า ในช่วงการระบาดของโควิด-19 นั้นรัฐบาลหลายประเทศได้ใช้แอพพลิเคชั่นติดตามผู้สัมผัสมาช่วย เป็นหนึ่งในมาตรการติดตามและควบคุมโรค โดยหลักการทำงานของแอพพลิเคชั่นดังกล่าวอาจเป็นได้หลายรูปแบบ เช่น การเก็บข้อมูลการเดินทางจากจีพีเอส การเก็บข้อมูลการเข้าใกล้จากบลูทูธ หรือการเก็บบันทึกประวัติการเข้าใช้บริการด้วยการสแกนคิวอาร์โค้ด เป็นต้น
ซึ่งบางแอพพลิเคชั่นอาจมีความสามารถมากกว่าการติดตามโรค อาทิ แสดงข้อมูลประวัติการติดเชื้อหรือข้อมูลความปลอดภัยของร้านค้าและบริการ ทีมวิจัยของ Amnesty International ได้ตรวจสอบความมั่นคงปลอดภัยของแอพพลิเคชั่นติดตามผู้สัมผัสของหลายๆ ประเทศ โดยพบว่าแอพพลิเคชั่น Ehteraz ของประเทศกาตาร์ มีช่องโหว่ที่อาจส่งผลให้เกิดเหตุการณ์ข้อมูลรั่วไหลได้
อ้างอิงจากรายงานของ Amnesty International แอพพลิเคชั่น Ehteraz นั้น รัฐบาลของประเทศกาตาร์ได้กำหนดให้ประชาชนต้องติดตั้งและใช้งาน โดยมียอดดาวน์โหลดไปแล้วกว่า 1 ล้านครั้ง ตัวแอพพลิเคชั่นดังกล่าวใช้ข้อมูลทั้งจีพีเอสและบลูทูธ เพื่อติดตามตำแหน่ง รวมทั้งมีความสามารถในการแสดงคิวอาร์โค้ดบนหน้าจอโทรศัพท์มือถือเพื่อแจ้งให้บุคคลอื่นทราบได้ว่าตัวผู้ใช้นั้นติดเชื้อหรือไม่ เช่น สีเขียวคือสุขภาพดี สีเหลืองคืออยู่ระหว่างกักตัว และสีแดงคือติดเชื้อ
ทางทีมวิจัยของ Amnesty International พบว่าระบบแสดงตัวโดยใช้คิวอาร์โค้ดนั้นจะเรียกข้อมูลจากเซิร์ฟเวอร์กลางโดยใช้แค่เลขประจำตัวประชาชนเพียงอย่างเดียว ไม่ได้มีกระบวนการยืนยันตัวตนใดๆ เพิ่มเติม ทำให้ผู้ไม่หวังดีสามารถเขียนสคริปต์ไล่ลำดับเลขประจำตัวประชาชนเพื่อดึงฐานข้อมูลออกมาได้ โดยนอกจากข้อมูลด้านสุขภาพแล้ว ยังได้ข้อมูลอื่นๆ เช่น ชื่อ และพิกัดที่อยู่ ออกมาด้วย ทั้งนี้ ทาง Amnesty International ได้แจ้งเตือนช่องโหว่ให้กับทางผู้พัฒนาแอพพลิเคชั่นทราบเมื่อวันที่ 21 พฤษภาคม 2563 และได้รับการแก้ไขปัญหาในวันถัดมา
เนื่องจากแอพพลิเคชั่นติดตามผู้สัมผัสนั้นมีการทำงานที่ต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลและข้อมูลที่มีความอ่อนไหว เช่น ข้อมูลพิกัดที่อยู่และข้อมูลด้านสุขภาพ ในการพัฒนาแอพพลิเคชั่นจึงจำเป็นต้องให้ความสำคัญกับเรื่องความมั่นคงปลอดภัยและความเป็นส่วนตัวอย่างรัดกุม
