ข้อมูลผู้สมัคร TCAS 23,000 รายการ ทั้งชื่อ นามสกุล เลขบัตรประชาชน ถูกประกาศขายในตลาดมืด ด้าน ทปอ.แจงหลุดจริง เป็นข้อมูล TCAS 64 ในรอบที่ 3 ยันไม่ใช่ข้อมูลส่วนตัว
จากกรณีเมื่อวันที่ 2 กุมภาพันธ์ 2565 เกิดการตีแผ่ถึงกรณี ชื่อ นามสกุล เลขบัตรประจำตัวประชาชน ของผู้สมัครสอบผ่านเว็บไซต์ Mytcas กว่า 23,000 รายการ ถูกวางขายบนฟอรั่มเดียวกันกับชุดข้อมูลของโรงพยาบาลเพชรบูรณ์ที่ถูกแฮกไปก่อนหน้านี้ สร้างความตื่นตระหนกและความกังวลแก่ผู้สมัคร เนื่องจากเป็นข้อมูลเหล่านี้ถือว่าสำคัญมาก
ความคืบหน้าเรื่องนี้ วันที่ 3 กุมภาพันธ์ 2565 มีการเปิดเผย ประกาศที่ประชุมอธิการบดีแห่งประเทศไทย เหตุภัยคุกคามทางไซเบอร์ระบบการคัดเลือกกลางบุคคลเข้าศึกษาต่อในสถาบันอุดมศึกษา (TCAS) ระบุว่า
ด้วยวันที่ 1 กุมภาพันธ์ 2565 ปรากฏข้อมูลข่าวสารการประกาศจําหน่ายข้อมูลในอินเทอร์เน็ตจํานวน 23,000 รายการ ถูกกล่าวอ้างว่า เป็นข้อมูลส่วนบุคคลของระบบการคัดเลือกกลางบุคคลเข้าศึกษาในสถาบันอุดมศึกษา (TCAS) จากเว็บไซต์ mytcas.com ทั้งนี้ ได้มีการแสดงข้อมูลตัวอย่าง เช่น ชื่อ นามสกุล เลขที่บัตรประจําตัว ประชาชน ผลคะแนนตามเกณฑ์การคัดเลือกของสาขาวิชาที่สมัคร เป็นต้น
ขณะนี้ ทาง ทปอ. ได้ตรวจสอบทั้งหมดในไฟล์ตัวอย่างแล้ว พบว่า เป็นข้อมูลของระบบ TCAS64 ในรอบที่ 3 ซึ่งไม่ใช่ข้อมูลส่วนบุคคลทั้งหมดของผู้สมัคร และเป็นข้อมูลในรูปแบบ CSV ที่เจ้าหน้าที่ที่ได้รับมอบหมายของแต่ละสถาบันอุดมศึกษาดึงออกจากระบบเพื่อประมวลผลคัดเลือกของแต่ละสาขาวิชาที่เปิดรับในสถาบันฯ
โดยเจ้าหน้าที่สามารถเข้าถึงได้เฉพาะข้อมูลผู้สมัครใน รอบ 3 ของสถาบันนั้น ๆ ซึ่งข้อมูลในรอบ 3 ของระบบ TCAS64 มีทั้งหมด 826,250 รายการ แต่ที่ผู้ขายข้อมูลกล่าวอ้างนั้น มีเพียง 23,000 รายการ โดยคาดว่าเป็นไฟล์ที่สร้างขึ้นในช่วงเดือนพฤษภาคม 2564 ที่เจ้าหน้าที่ของสถาบันอุดมศึกษาดึงข้อมูลคะแนนไปจัดเรียงลําดับผู้สมัคร (Ranking) ตามเกณฑ์คัดเลือกของแต่ละสาขาวิชา ซึ่งข้อมูลที่นําเสนอขายไม่มีผลการจัดเรียงลําดับ Ranking ของผู้สมัคร
ปัจจุบัน ทปอ. ได้ปิดระบบ TCAS64 ไปแล้วตั้งแต่เดือนธันวาคม 2564 และ สําหรับระบบ TCAS65 มีการเปลี่ยนระบบเป็นรูปแบบใหม่ และเว็บไซต์ที่พัฒนาขึ้นใหม่ในปีนี้มีการจัดเก็บไฟล์ข้อมูลที่มีความอ่อนไหวในรูปแบบ Private ที่ไม่สามารถเข้าถึงโดยตรงได้ การที่จะเข้าถึงไฟล์ข้อมูลได้นั้น ผู้ใช้งานระบบต้องได้รับการอนุญาตจาก ระบบ (presigned URL) ที่มีอายุในเวลาที่กําหนดเท่านั้น ซึ่งผู้ใช้งานระบบสามารถเข้าถึงข้อมูลได้ชั่วคราว พร้อม ระบบบันทึกการใช้งานอย่างละเอียด
อย่างไรก็ตาม ทปอ. ขออภัยอย่างสูงสําหรับผลกระทบที่เกิดขึ้นกับข้อมูลส่วนบุคคลที่ถูกกล่าวอ้าง ตลอด จนตระหนักถึงการรักษาความมั่นคงปลอดภัยในระบบคอมพิวเตอร์ จากเหตุการณ์ดังกล่าวจึงได้มีการตรวจสอบ ระบบและกระบวนการทํางานอย่างละเอียด ซึ่งได้รับการสนับสนุนจากสํานักงานคณะกรรมการการรักษาความ มั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และอยู่ระหว่างการรวบรวมพยานหลักฐานที่เกี่ยวข้องเพื่อดําเนินการแจ้ง ความร้องทุกข์ต่อเจ้าหน้าที่ตํารวจ และแจ้งเหตุไปยังสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อรับทราบสถานการณ์ต่อไป
ทปอ. ขอยืนยันว่า ระบบ TCAS65 มีความปลอดภัยในการใช้งาน และ มีการเฝ้าระวังสิ่งผิดปกติ ร่วมกับ กองบัญชาการตํารวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) และ สํานักงานคณะกรรมการการ รักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) อย่างใกล้ชิด เพื่อให้คงไว้ซึ่งความน่าเชื่อถือในระบบและกระบวนการคัดเลือกต่อไป
ทวิตเตอร์ผุดแฮชแทก #แบนทปอ
หลังมีการตีแผ่เหตุการณ์ดังกล่าว ปรากฏว่าในโลกออนไลน์อย่างทวิตเตอร์ มีการผุดแฮชแทก #แบนทปอ โดยพบว่าส่วนหนึ่งมีการวิจารณ์ถึงปัญหาของ ทปอ. และ TCAS อยู่ก่อนแล้ว ทั้งเรื่องระบบการสอบ หรือการชี้แจงต่าง ๆ ที่ไม่ชัดเจน การตอบคำถามของแอดมินเพจ mytcas ที่สร้างความโมโหให้กับคนสอบถาม เป็นต้น
ทั้งนี้บางส่วนแสดงความกังวลว่าอาจจะตกเป็นเหยื่อถูกขายข้อมูลในครั้งนี้หรือไม่ พร้อมเรียกร้องให้ ทปอ. ออกมาแสดงความรับผิดชอบกับกรณีข้อมูลผู้สมัครรั่วไหลในครั้งนี้
