เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลของลูกค้ารั่วไหลตามที่สื่อนอกรายงาน แต่เป็นเพียงข้อมูลการใช้งานอินเทอร์เน็ตในภาพรวมบางส่วน เพื่อวิเคราะห์มาปรับปรุงและพัฒนาคุณภาพโครงข่ายการสื่อสารให้มีประสิทธิภาพยิ่งขึ้นในช่วงเดือนพฤษภาคมที่ผ่านมาเท่านั้น และปัจจุบันภารกิจดังกล่าวได้ดำเนินการเสร็จแล้ว ยืนยันไม่มีลูกค้ารายใดได้ผลกระทบอย่างแน่นอน
นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ
โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”
ขอเรียนว่า เอไอเอสให้ความสำคัญอย่างยิ่งกับการปกป้องข้อมูลส่วนบุคคลของลูกค้า ที่ผ่านมา เรามีการปฏิบัติตามและทบทวนขั้นตอนการรักษาความปลอดภัยขั้นสูงสุดตามมาตรฐานระดับสากล อย่างต่อเนื่อง อย่างไรก็ตาม บริษัทฯ ต้องขออภัยที่อาจทำให้ลูกค้าเป็นกังวลใจจากสถานการณ์ที่เกิดขึ้น ซึ่งขณะนี้เอไอเอสได้แก้ไขปรับปรุงขั้นตอนการใช้ข้อมูลเพื่อทดสอบบริการเรียบร้อยแล้ว โดยท้ายที่สุดนี้ ขอให้ลูกค้าและประชาชนโปรดมั่นใจและเชื่อมั่นในมาตรฐานการรักษาความปลอดภัยที่บริษัทฯดำเนินการมาโดยตลอด”
ทั้งนี้ข่าวข้อมูลการรั่วไหลดังกล่าว เริ่มต้นจากนักวิจัยด้านความปลอดภัยไซเบอร์ ได้ตรวจพบฐานข้อมูล Elasticsearch ที่คาดว่าจะเป็นของเอไอเอสผ่านเว็บค้นหาในช่วงต้นเดือนพฤษภาคมที่ผ่านมา ซึ่งซอฟต์แวร์ Elasticsearch เป็นเครื่องมือการค้นหาและวิเคราะห์ข้อมูลแบบโอเพนซอร์ส ที่ค่าเริ่มต้นการเข้าถึงระบบไม่มีการป้องกันแต่อย่างใด และยังตรวจพบหน้าแดชบอร์ด Kibana ซึ่งเป็นเครื่องมือด้านการแสดงผลแบบ Visualize ที่แสดงผลข้อมูลการใช้ DNS และทราฟฟิกแบบ Netflow กว่า 8,300 ล้านรายการ
โดยนอกจากจะมีรายละเอียดของการเรียกใช้ทราฟฟิก Internet User แบบระบุไอพีแล้ว ยังมีการสร้างแดชบอร์ดที่ระบุข้อมูลการเรียกใช้งานเฟซบุ๊กแบบเฉพาะเจาะจงด้วย แต่กระนั้นข้อมูลทั้งหมดที่ออกมานั้นก็เป็นข้อมูลที่ผ่านการทำ NAT มาแล้ว ทำให้ข้อมูลดังกล่าวอาจจะลดความเฉพาะเจาะจงลงไปได้บ้าง และหากยังจำกันได้ การเข้าถึงของข้อมูลบน Elasticsearch แบบไร้การป้องกันที่เพียงพอเช่นนี้ ก็เคยเกิดขึ้นกับยักษ์ใหญ่ไอทีอย่างไมโครซอฟต์เมื่อช่วงปลายปีที่ผ่านมากันแล้วที่นักวิจัยด้านความปลอดภัยได้เข้าถึงข้อมูลกว่า 250 ล้านรายการ และยังมีอีกหลายๆบริษัทใหญ่ที่มีการรั่วไหลข้อมูลในลักษะดังกล่าวอีกหลายแห่งก่อนหน้า
