email Webmasster contact's email   phone to ETDA  0-2123-1234
TH | EN


เผยแพร่ 09.10.2018 (3 เดือนที่ผ่านมา) | แก้ไขล่าสุด 20.01.2019 | อ่าน 1927

รู้เท่าทัน พร้อมป้องกัน การถูกขโมยข้อมูลส่วนตัวบนโซเชียลมีเดียชื่อดัง


มั่นใจได้อย่างไรว่าผู้ใช้งานกว่า 50 ล้านรายที่ถูกแฮกข้อมูลจากระบบของเฟซบุ๊ก จะไม่มีเราเป็นหนึ่งในผู้เสียหาย แล้วเราควรทำอย่างไรเพื่อรับมือต่อการถูกโจมตีนี้ 

วันนี้ เรื่องราวและตัวตนของเรา ไม่ใช่เพียงพ่อแม่ ญาติมิตร หรือคนรอบตัวที่สนิทที่รู้ แต่กลับเป็นเทคโนโลยีอย่างอินเทอร์เน็ตแพลตฟอร์ม โซเชียลมีเดีย ที่เราใช้บริการอยู่ในทุกวัน ซึ่งเรียนรู้จากข้อมูลที่เราเปิดเผยเองบนแพลตฟอร์มนั้น ๆ จนสามารถรู้ถึงไลฟ์สไตล์และความต้องการด้านต่าง ๆ ของเราอย่างที่เราก็ไม่คาดคิด

แล้วเราควรทำอย่างไร ให้ข้อมูลของเราบนโซเชียลมีเดียไม่ถูกนำไปใช้ประโยชน์ทางที่ผิด

นี่ไม่ใช่ครั้งแรกที่ข้อมูลของผู้ใช้งาน FACEBOOK ถูกขโมย
ครั้งล่าสุดนี้มีผู้ใช้งานกว่า 50 ล้านราย ถูกแฮกข้อมูลไปได้สำเร็จ
ซึ่งก่อนหน้านี้ก็เคยถูกขโมยไปแล้วกว่า 87 ล้านราย 

เมื่อวันที่ 28 กันยายน พ.ศ.2561 มีแถลงการณ์จากเฟซบุ๊ก (https://newsroom.fb.com/news/2018/09/security-update/) กรณีตรวจพบการรั่วไหลของข้อมูลผู้ใช้งานกว่า 50 ล้านรายทั่วโลก ซึ่งถูกแฮกเกอร์เจาะระบบผ่านช่องโหว่ของแพลตฟอร์มเมื่อวันที่ 25 กันยายนที่ผ่านมา ทำให้เฟซบุ๊กต้องทำการรีเซตระบบ Access Tokens ของผู้ใช้งานเพื่อป้องกันผลกระทบที่อาจเกิดขึ้น ส่งผลให้ผู้ใช้งานกว่า 90 ล้านบัญชี ถูกบังคับให้ออกจากระบบเพื่อให้เข้าสู่ระบบใหม่อีกครั้ง


(ภาพจาก https://www.facebook.com/zuck/posts/10105274505136221)

นำไปสู่การตั้งคำถามถึง ‘มาตรการด้านความมั่นคงปลอดภัยของ FACEBOOK’

นี่ไม่ใช่ครั้งแรกที่เฟซบุ๊กถูกแฮกระบบครั้งใหญ่ เพราะก่อนหน้านี้ ข้อมูลผู้ใช้งานกว่า 87 ล้านราย ได้รั่วไหลออกไปในปี 2559 ซึ่งข้อมูลที่หลุดรั่วออกไปนั้นได้ถูกส่งต่อไปยัง บริษัท เคมบริดจ์ อะนาลีติกา (Cambridge Analytica) บริษัทวิเคราะห์ข้อมูลในการจัดทำแคมเปญหาเสียงเลือกตั้งของประธานาธิบดีโดนัลด์ ทรัมป์ ได้นำข้อมูลไปใช้งานโดยที่ไม่ได้รับอนุญาตหรือความยินยอม จากเหตุการณ์ที่เกิดขึ้นทำให้ มาร์ก ซักเคอร์เบิร์ก (Mark Zuckerberg) CEO ของเฟซบุ๊ก ต้องเข้ารับการชี้แจงต่อวุฒิสภาสหรัฐอเมริกา เมื่อวันที่ 10–11 เมษายน ที่ผ่านมา ถึงมาตรการในการดูแลข้อมูลส่วนบุคคลของผู้ใช้งาน

FACEBOOK อาจจะถูกปรับสูงถึง 5 หมื่นล้านบาท (1.63 พันล้านดอลลาร์)
กับกรณีการรั่วไหลของข้อมูลครั้งล่าสุด ตามระเบียบ GDPR ของสหภาพยุโรป

สิ่งที่ตามมานอกจากคำถามเรื่องมาตรการความมั่นคงปลอดภัยของผู้ใช้งาน ก็คงหนีไม่พ้นค่าปรับที่เฟซบุ๊กอาจต้องจ่ายตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation หรือ GDPR) สำหรับกรณีที่เฟซบุ๊กไม่ปฏิบัติตามกฎระเบียบ จนเป็นเหตุให้มีข้อมูลผู้ใช้งานรั่วไหลออกไป ซึ่งขณะนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไอร์แลนด์ ได้ประสานขอข้อมูลเพิ่มเติมจากเฟซบุ๊ก เพื่อทำการสอบสวนว่ามีข้อมูลของประชากรยุโรปได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้นอย่างไร ซึ่งหากเฟซบุ๊กถูกตัดสินว่ามีความผิดจริง อาจได้รับโทษปรับสูงถึง 5 หมื่นล้านบาท

‘ข้อมูลส่วนบุคคล’ ความลับ (?) ที่ไม่ลับ

ข้อมูลส่วนบุคคล ไม่ใช่เพียง ชื่อ-นามสกุล ที่อยู่ เลขบัตรประชาชน หรือ เบอร์โทรศัพท์ เท่านั้น แต่รวมไปถึงข้อมูลทุกชนิดที่สามารถระบุถึงตัวบุคคลนั้น ๆ ได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ข้อมูลสถานที่ตั้ง พฤติกรรมความชอบ พฤติกรรมการบริโภคสินค้าและบริการ เป็นต้น ซึ่งข้อมูลเหล่านี้มีความสำคัญเป็นอย่างยิ่งไม่เพียงแต่ความเสี่ยงที่อาจถูกฉ้อโกงทางธุรกรรมจากผู้ไม่หวังดีเท่านั้น แต่ข้อมูลทั้งหมดสามารถนำไปวิเคราะห์เพื่อผลประโยชน์การโฆษณา การเมือง การทำธุรกิจหรือการตลาดบนโลกออกไลน์ได้อย่างที่เราไม่คาดคิด

คนไทยชอบเล่นโซเชียลมีเดีย ชอบเล่น FACEBOOK ชอบบอกเล่าเรื่องราวในนั้น
แต่ยังขาดความรู้เรื่องการใช้อินเทอร์เน็ตอย่างสร้างสรรค์และมั่นคงปลอดภัย

สิ่งสำคัญคือ ‘ความตระหนักรู้’ ว่า เมื่อเราโพสต์หรือกดไลก์สิ่งต่าง ๆ บนเฟซบุ๊ก ข้อมูลเหล่านั้นจะได้รับการจัดเก็บเป็น data เพื่อจัดการประมวลผลและนำเสนอเรื่องที่เราสนใจกลับมาให้เรา ซึ่งก็อาจเป็นเรื่องที่ดีที่เราได้รับข้อมูลต่าง ๆ ที่เราสนใจและต้องการได้โดยไม่ต้องค้นหาเอง แต่หากข้อมูลเหล่านี้หลุดรั่วออกไปก็เปรียบเหมือนดาบสองคมได้เช่นกัน

แม้เฟซบุ๊ก มีมาตรการด้านความมั่นคงปลอดภัยและช่วยดูแลผู้ใช้งาน แต่ก็ปฏิเสธไม่ได้ว่าทุกแพลตฟอร์มบนโลกออนไลน์ต่างก็มีช่องโหว่ใหม่ ๆ เกิดขึ้นเสมอ นอกจากความช่วยเหลือจากผู้ดูแลระบบแล้ว ตัวผู้ใช้งานเองก็มีส่วนสำคัญที่จะช่วยปกป้องดูแลข้อมูลส่วนบุคคล และป้องกันไม่ได้เกิดเหตุการณ์โจรกรรมข้อมูลได้เช่นกัน 

‘ฟีเจอร์และแอปพลิเคชัน บน FACEBOOK’ ช่องทางเจาะระบบยอดฮิตของแฮกเกอร์

การถูกโจมตีทั้ง 2 ครั้งใหญ่ของเฟซบุ๊ก เกิดขึ้นจากการที่แฮกเกอร์อาศัยช่องโหว่ด้านความมั่นคงปลอดภัยของผู้ดูแลระบบ ควบคู่ไปกับพฤติกรรมเสี่ยงของผู้ใช้บริการที่ขาดความเข้าใจและความตระหนักรู้ในการใช้งานโซเชียลมีเดีย เป็นเหตุให้บ่อยครั้งมีการยินยอมให้บุคคลที่ 3 เข้าถึงข้อมูลส่วนบุคคลอย่างรู้เท่าไม่ถึงการณ์

เหตุการณ์ครั้งล่าสุด ที่เฟซบุ๊กออกมาเปิดเผยเมื่อวันที่ 28 กันยายน ที่ผ่านมา เป็นการถูกขโมยข้อมูลผู้ใช้งานผ่านการเจาะระบบช่องโหว่ 3 รายการ ได้แก่

  1. ช่องโหว่ของ ฟีเจอร์ ‘View As’ ที่ใช้ช่วยแสดงให้เราเห็นว่าผู้ใช้งานคนอื่นในเฟซบุ๊ก เห็นโปรไฟล์ของเราเป็นเช่นไร  
  2. ช่องโหว่ของ ‘ตัวช่วยอัปโหลดวิดีโอ’ ที่สร้าง Access Token ที่ไม่ถูกต้อง ในการช่วยให้แฮกเกอร์ได้สิทธิล็อคอินเข้า Mobile App ของเฟซบุ๊กได้
  3. ช่องโหว่ของ ‘Access Token ที่ถูกสร้างขึ้น’ ที่ช่วยให้แฮกเกอร์สามารถขโมยกุญแจในการเข้าถึงบัญชีของผู้ใช้งานได้

แฮกเกอร์สามารถขโมย Access Token ลับ ของผู้ใช้งานกว่า 50 ล้านราย
ส่งผลให้สามารถเข้าถึงและควบคุมบัญชีได้โดยไม่ต้องทราบ Password

สำหรับกรณีก่อนหน้านี้ที่มีการรั่วไหลข้อมูลผู้ใช้งาน กว่า 87 ล้านราย ก็มีที่มาจากการใช้งาน ‘แอปพลิเคชันทายใจ’ บนเฟซบุ๊ก อย่าง ‘thisisyourdigitallife’ ของ อเล็กซานเดอร์ โคแกน อาจารย์มหาวิทยาลัย Cambridge ซึ่งเป็นแอปพลิเคชันทดสอบบุคลิกภาพ ที่มีผู้ใช้งานกว่า 270,000 ราย ยินยอมมอบข้อมูลส่วนตัวบนแพลตฟอร์มเพื่อให้สามารถเข้าใช้งานแอพพลิเคชั่นนี้ได้

แอพพลิเคชั่นนี้ ไม่เพียงแต่เก็บข้อมูลผู้ใช้งานเท่านั้น แต่ได้อาศัยช่องโหว่ของระบบทำการดึงข้อมูลของเพื่อนผู้ใช้งานที่ไม่ได้ให้คำยินยอมในการมอบข้อมูลไปด้วย จนทำให้มีข้อมูลของผู้ใช้งานเฟซบุ๊กถูกขโมยไปกว่า 87 ล้านราย ถือเป็นหนึ่งในการขโมยข้อมูลส่วนบุคคลครั้งใหญ่ที่สุดในโลก

เล่น FACEBOOK อย่างไร? ให้ปลอดภัย สบายใจ

วิธีการป้องกันและตรวจสอบว่าเฟซบุ๊กของเรา เข้าข่ายเสี่ยงถูกแฮกโดยผู้ไม่หวังดีหรือไม่ สามารถทำได้ตามขั้นตอนดังนี้

  1. ตั้ง Password ให้ยาก จำให้ได้ ไม่แชร์ใคร
  2. ไม่ใช้งาน แอปพลิเคชัน สุ่มเสี่ยง  เช่น Quiz ทายใจ (ควรอ่านข้อตกลงในการใช้งานหรือ permission ให้ชัดเจน)
  3. ตรวจสอบ Active Session โดยตรวจสอบที่การตั้งค่า “Account Settings → Security and Login → Where You’re Logged In” เพื่อดูรายชื่อของอุปกรณ์และสถานที่ที่มีการเข้าถึงบัญชีเฟซบุ๊กของเรา หากพบว่ามีการ Log in ผ่านอุปกรณ์และสถานที่ที่เราไม่คุ้นเคย อาจเป็นไปได้ว่าบัญชีผู้ใช้งานของเราโดนแฮก
  4. ใช้งาน ระบบ Two-factor authentication (ระบบยืนยันตัวตนสองขั้น) โดยตั้งค่าระบบให้ถามหารหัสยืนยันตัวตนเพิ่มเติม เมื่อพบการล็อกอินผ่านอุปกรณ์ที่ไม่คุ้นเคย หรือไม่เคยใช้ล็อกอินมาก่อน ซึ่งจะทำให้เราได้รับรหัสยืนยันตัวตนทางโทรศัพท์มือถือ ในกรณีที่มีผู้พยายามล็อกอินแต่ไม่ใช่เจ้าของบัญชีจะไม่สามารถล็อกอินได้
  5. Log out ทุกครั้งเมื่อเลิกใช้งาน และเปลี่ยน Password ทันทีเมื่อเกิดเหตุพยายามล็อกอินเช้าบัญชี

ติดตามทุกสาระความรู้ของ DPKC ได้ที่ https://www.etda.or.th/dpkc

ที่มา: