แอพดาวเหนือของ กกต. เผยข้อมูลส่วนตัว-บ้านเลขที่ ขอแค่รู้เลขประจำตัวประชาชน

ยังไม่ทันจะได้นำทางสู่ประชาธิปไตยอันไกลโพ้น ก็ต้องมีอุปสรรคเสียแล้ว เมื่อมีผู้พบว่า แอพ "ดาวเหนือ" ของสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) มีปัญหาเรื่องการเปิดเผยข้อมูลมากกว่าที่ควรจะเป็น รวมถึงการส่งข้อมูลในแบบที่ไม่ได้เข้ารหัสแต่อย่างใด

ผู้ใช้ทวิตเตอร์ @ipats ระบุว่าตัวแอพมีการเรียกใช้งานข้อมูลผ่าน SOAP โดยอยู่บนโปรโตคอล http ซึ่งไม่มีการเข้ารหัส แต่ที่ดูจะเป็นประเด็นสำคัญกว่าคือเมื่อใส่รหัสบัตรประชาชนเข้าไปแล้ว ข้อมูลที่ส่งกลับมาประกอบด้วย "ที่อยู่ตามทะเบียนบ้านของผู้มีสิทธิเลือกตั้ง" มากเกินกว่าข้อมูลของคูหาหรือสถานที่ใช้สิทธิเลือกตั้งแต่ตามที่แอพระบุว่าทำได้

แม้ตัวแอพไม่ได้แสดงข้อมูลเหล่านี้ให้ผู้ใช้ทราบ แต่หากมีผู้ไม่ประสงค์ดี และทราบเพียงรหัสบัตรประชาชน ก็จะสามารถเข้าถึงข้อมูลสำคัญอย่างที่อยู่ตามทะเบียนบ้านได้ไม่ยาก

ที่มา - @ipats (1, 2, 3)

แอปของกกต. เรียก soap service ผ่าน http เพลนๆ งี้เลยแฮะ ที่ soap ตอบกลับมา ก็มีเลขที่บ้านพร้อมเลย (แค่ไม่โชว์ในแอป) pic.twitter.com/nneMnCqjTK

— Patinya S. (@ipats) January 21, 2016


@lewcpe ขออนุญาตถมดำจำนวนมาก (HID น่าจะเป็นเลขบ้านตามทะเบียน, HNO คือบ้านเลขที่) pic.twitter.com/yhVOf5NtQy

— Patinya S. (@ipats) January 21, 2016
​

Election, Government, Mobile App, Privacy, Thailand