“ในปี 2565 เราตรวจพบว่ามีคนไทยอย่างน้อย 35 คน เป็นนักการเมือง นักเคลื่อนไหว นักวิชาการ NGO ถูกเจาะระบบมือถือด้วยสปายแวร์เพกาซัส” คือข้อความจากยิ่งชีพ iLaw
จำสปายแวร์ชื่อ ‘เพกาซัส’ สุดยอดสปายแวร์สอดแนมข้อมูลกันได้ไหม? ที่เมื่อกรกฎาคมปีก่อนเป็นประเด็นที่ถูกหยิบไปอภิปรายกลางสภา หลังมีรายงานจาก iLaw ร่วมกับ DigitalReach และ The Citizen Lab ที่ค้นพบหลักฐานแวดล้อมบ่งชี้ว่า รัฐบาลไทยใช้เพกาซัสสอดแนมประชาชน
รายการข้างระบุว่า ในปี 2563-2564 ซึ่งเป็นช่วงที่มีชุมนุมต่อต้านรัฐบาล พล.อ.ประยุทธ์ จันทร์โอชา มีประชาชนไทยอย่างน้อย 35 คน ถูกสปายแวร์เพกาซัสเจาะล้วงข้อมูลจากมือถือ และช่วงเวลาการเจาะระบบจะเกี่ยวพันกับการนัดหมายชุมนุม
สปายแวร์เพกาซัสถูกคิดค้นโดย NSO Group บริษัทด้านความมั่นคงไซเบอร์จากอิสราเอล ซึ่งบริษัทนั้นระบุว่า จะขายสปายแวร์เพกาซัสให้แก่รัฐบาล–หน่วยงานรัฐเท่านั้น
วันนี้ (20 มิถุนายน) ยิ่งชีพ อัชฌานนท์ ผู้อำนวยการ iLaw และอานนท์ นำภา ทนายความและนักเคลื่อนไหว ในฐานะตัวแทนผู้เสียหาย จึงยื่นฟ้อง 9 หน่วยงานรัฐ ต่อศาลปกครอง เพื่อขอให้ศาลสั่งห้ามรัฐใช้อาวุธสงครามไซเบอร์ชนิดนี้กับประชาชน และเรียกค่าเสียหาย 5,000,000 บาท (คนละ 2,500,000 บาท)
ยิ่งชีพ ให้สัมภาษณ์ว่า สปายแวร์เพกาซัสอันตรายมาก เพราะสามารถโจมตีและดูดข้อมูลทั้งหมดจากมือถือได้โดยไม่รู้ตัว–ป้องกันไม่ได้ ทั้งยังสามารถเข้ามาอยู่ในมือถือได้โดยไม่ต้องคลิก
“เพกาซัสผลิตโดยบริษัท NSO ที่บอกว่าจะขายให้หน่วยงานรัฐเท่านั้น และเมื่อเราพยายามค้นว่าหน่วยงานรัฐไทยไหนที่เป็นผู้ใช้ ก็พบเอกสารสำคัญและหลักฐานทางคอมพิวเตอร์ที่เชื่อมโยงกับหน่วยงานทหาร กอรมน. และสำนักงานตำรวจแห่งชาติ”
“ถ้าดูกฎหมายที่เกี่ยวข้อง ก็มีหลายหน่วยงานที่น่าจะเกี่ยวข้องกับการใช้สปายแวร์สอดแนมประชาชน ซึ่งละเมิดสิทธิการเป็นส่วนตัวที่สุด เลยมาฟ้องเพื่อให้ศาลปกครองสั่งว่าการใช้สปายแวร์เพกาซัสไม่ถูกต้อง และต้องเลิกใช้กับประชาชนทันที” ยิ่งชีพ ระบุ
9 หน่วยงานรัฐที่ถูกฟ้อง ได้แก่
1) สำนักนายกรัฐมนตรี ซึ่งกำกับดูแล กอ.รมน. และสำนักข่าวกรองแห่งชาติ 2)สำนักงานตำรวจแห่งชาติ
3) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
4) กองทัพบก
5) กองทัพเรือ
6) กองทัพอากาศ
7) กรมสอบสวนคดีพิเศษ
8) กระทรวงการคลัง
9) คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์
การฟ้องคดีครั้งนี้ มีเป้าหมายเพื่อเรียกร้องให้ตรวจสอบการละเมิดสิทธิ เรียกร้องคำรับรองว่าสิ่งที่เกิดขึ้นไม่ถูกต้อง รวมถึงการยืนยันว่าจะไม่เกิดขึ้นอีก นอกจากน้ ยังต้องการความรับผิดชอบจากรัฐที่เป็นผู้ละเมิดสิทธิ
เพกาซัสทำอะไรได้บ้าง? สปายแวร์ตัวนี้สามารถเจาะเข้ามาในระบบมือถือทั้ง iOS และแอนดรอยด์ โดยไม่ต้องผ่านการกระทำใดๆ จากเจ้าของเครื่อง สามารถติดตั้งจากทางไกลได้ และเมื่อติดตั้งสำเร็จก็สามารถควบคุมเครื่องได้อย่างสมบูรณ์
เพกาซัสควบคุมโทรศัพท์และเข้าถึงข้อมูลส่วนตัวทุกอย่างด้วยเช่นกัน โดยข้อมูลที่เพกาซัสสามารถเอาไปจากเราได้ คือ ข้อความ รูป อีเมล วิดีโอ รายชื่อผู้ติดต่อ เข้าถึงข้อความจากแอพที่เข้ารหัส (encrypted message) เช่น WhatsApp และ Signal และควบคุมการเปิดกล้องและไมโครโฟนได้
– อ่านรายงาน ปรสิตติดโทรศัพท์ : ข้อค้นพบเมื่อสปายแวร์เพกาซัสถูกใช้ต่อผู้เห็นต่างจากรัฐบาล https://freedom.ilaw.or.th/report-parasite-that-smiles-th?fbclid=IwAR1KdYAe32bOS9bJXzXqGNMUXrEs8L8F5_ZzSr9GwPeJBlUpsZbUn0zhUBw
อ้างอิงจาก
https://twitter.com/iLawFX/status/1671001211863207936
https://thematter.co/quick-bite/pegasus-spyware-info/180733
