Facebook เผยแอพพลิเคชันอื่นที่ใช้การล็อกอินเชื่อมต่อกับแพลตฟอร์ม มีสิทธิ์โดนแฮ็กไปด้วย ทั้ง Instagram, Tinder, Airbnb และ Spotify ฯลฯ หลังโดนเจาะฐานข้อมูลผู้ใช้กว่า 50 ล้านคน เมื่อสุดสัปดาห์ที่ผ่านมา ขณะที่ EU ก็สั่งเร่งสอบกรณีนี้เป็นการด่วน ว่าขัดต่อกฏ GDPR หรือไม่ ซึ่งหากเป็นจริง ก็อาจมีบทลงโทษสูงถึง 1,630 ล้านดอลลาร์ หรือราว 52,975 ล้านบาท เลยทีเดียว

จากกรณี Facebook ถูกแฮ็ก Token ผ่านฟีเจอร์ View As และนำ Token ดังกล่าวไปควบคุมบัญชีการใช้งานของยูสเซอร์ทั่วไป โดยคาดว่ามีผู้ใช้ 50 ล้านรายได้รับผลกระทบนี้ ซึ่งทางทีมผู้ดูแลได้ทำการแก้ไขเบื้องต้นไปแล้วนั้น

ล่าสุด โซเชียลมีเดียเบอร์หนึ่ง ได้ให้รายละเอียดเพิ่มเติม ผ่านการประชุมสาย conference call ว่าการแฮ็กครั้งนี้อาจส่งผลมากกว่าที่คิด เพราะการที่แฮ็กเกอร์เข้าไปควบคุมบัญชีต่างๆได้ แม้จะแค่ชั่วคราว แต่ก็ทำให้เกิดความเสี่ยงต่อแอพอื่นๆที่เชื่อมโยงบัญชีเหล่านั้นด้วย

อาทิ Instagram, Tinder, Airbnb และ Spotify รวมถึงแอพและเว็บไซต์อื่นๆ ที่อนุญาตให้ผู้ใช้สมัครใช้โดยใช้ข้อมูลรับรองจากบัญชีดังกล่าว แม้ในตอนนี้จะยังไม่มีรายงานการละเมิดใดๆก็ตาม

Guy Rosen รองประธานฝ่ายผลิตภัณฑ์ กล่าวว่า “การเข้าถึง Token ช่วยให้ผู้ใช้ภายนอกสามารถใช้บัญชีได้เหมือนกับว่าเป็นเจ้าของบัญชีเอง และยังอาจหมายความว่าพวกเขาสามารถเข้าถึงแอพพลิเคชันอื่นๆ โดยใช้ Facebook login ได้”

รายงานระบุว่าวิศวกรของบริษัท พบช่องโหว่นี้ ตั้งแต่ 25 ก.ย. ที่ผ่านมา รวมถึงตรวจสอบพบว่ามีแฮกเกอร์ใช้งานช่องโหว่นี้ไปบ้างแล้ว ซี่งทางบริษัทได้แจ้งความกับเจ้าหน้าที่ตำรวจแล้ว แต่ยังไม่สามารถให้รายละเอียดเพิ่มเติมได้ เนื่องจากอยู่ในระหว่างกระบวนการสอบสวน

ขณะเดียวกัน ก็มีรายงานจาก Wall Street Journal ว่าคณะกรรมาธิการคุ้มครองข้อมูล (Data Protection Commission – DPC) ของไอร์แลนด์ ในฐานะตัวแทนสหภาพยุโรป (EU) ได้เข้ามาสอบสวนเกี่ยวกับเรื่องนี้แล้ว

โดยหากพบว่า FB บกพร่องในการปฏิบัติตามระเบียบการคุ้มครองข้อมูลทั่วไป หรือ GDPR ก็มีสิทธิ์ถูกลงโทษด้วยการปรับเงิน 1,630 ล้านดอลลาร์ หรือราว 52,975 ล้านบาท

“เรามีความกังวลเกี่ยวกับข้อเท็จจริงที่ว่าการละเมิดนี้ถูกค้นพบเมื่อวันอังคาร และส่งผลกระทบต่อบัญชีผู้ใช้หลายล้านราย แต่ Facebook ไม่สามารถชี้แจงถึงลักษณะของการละเมิด และความเสี่ยงสำหรับผู้ใช้ได้ ณ จุดนี้” DPC ระบุในแถลงการณ์

ด้าน Pravin Kothari ซีอีโอของ CipherCloud Inc. ชี้ว่าการถูกแฮ็กครั้งนี้อาจเข้าข่ายละเมิดระเบียบ GDPR ของ EU ที่เริ่มบังคับใช้เมื่อเดือน พ.ค.

“ผลกระทบนี้จะเป็นไปอย่างไร? จำนวนคน 50 ล้านคนที่ได้รับผลกระทบ อยู่ในกลุ่ม EU หรือเปล่า? ถ้าเป็นเช่นนั้นมันก็จะตกอยู่ภายใต้ GDPR ทันที แต่ก็ยังต้องถามว่า EU จะดำเนินการอย่างไรต่อ”

“ในตอนนี้เรายังไม่ทราบรายละเอียดทั้งหมดของการละเมิด ว่ามันเกิดขึ้นเมื่อไหร่ ใครเป็นคนทำ ใครได้รับผลกระทบ ใครจะเป็นผู้รับผิดชอบ ฯลฯ ผลที่เป็นไปได้อาจเลวร้ายยิ่งกว่าที่เรารู้ในวันนี้ การคำนวณค่าปรับที่อาจเกิดขึ้นภายใต้กฎ GDPR เป็นเรื่องที่น่าจะเป็นไปได้ เมื่อสิ่งนี้มีผลกระทบต่อผู้ใช้นับล้านๆ คน”

ทั้งนี้ ภายใต้ GDPR บริษัทที่ถูกแฮ็กและพบว่าไม่ได้สร้างการปกป้องผู้ใช้อย่างเพียงพอ จะถูกปรับเงินเริ่มต้นที่ 23 ล้านดอลลาร์ (ราว 748 ล้านบาท) หรือ 4 เปอร์เซ็นต์ของรายได้ประจำปีของบริษัทในปีที่ผ่านมา ในกรณีของ FB จะคำนวณตัวเลขค่าปรับได้ที่ 1,630 ล้านดอลลาร์ (ราว 52,975 ล้านบาท)

 

AHEAD TAKEAWAY

ปัญหาข้อมูลส่วนตัวของผู้บริโภค ดูจะเป็นเรื่องที่ Facebook ยังไม่สามารถการันตีกับยูสเซอร์ได้ 100% ในเรื่องความปลอดภัย

เพราะแม้จะมีการตรวจพบช่องโหว่เรื่อง Token และแก้ไขเบื้องต้นไปแล้ว แต่สุดท้าย ทางบริษัทก็ยังไม่อาจให้คำตอบได้ชัดเจนว่าแอพอื่นๆที่นำมาผูกบัญชีไว้นั้น จะปลอดภัยหรือไม่

คำแนะนำจาก Chester Wisniewski หัวหน้านักวิทยาศาสตร์การวิจัย Sophos Group สำหรับกรณีนี้ ก็คือนี่เป็นโอกาสดีที่ยูสเซอร์ทั้งหลายจะหันกลับมาให้ความสำคัญกับการตั้งค่าความปลอดภัยของตนให้มากขึ้น แทนที่จะหวังพึ่งพาผู้ให้บริการเพียงฝ่ายเดียว

“การโจรกรรม Token เป็นปัญหาอย่างแน่นอน แต่ก็ไม่ได้เป็นความเสี่ยงใหญ่ต่อความเป็นส่วนตัวของผู้ใช้เหมือนการละเมิดข้อมูลอื่นๆ ที่เราเคยได้ยิน หรือเทียบเท่ากับความเสียหายจากเคส Cambridge Analytica”

“ตอนนี้ การออกจากระบบและกลับเข้ามาใหม่เป็นสิ่งที่จำเป็น คนที่เป็นกังวลควรใช้สิ่งนี้เป็นเครื่องย้ำเตือนและเป็นโอกาสในการทบทวนการตั้งค่าความปลอดภัยและความเป็นส่วนตัวทั้งหมดบน Facebook ไปจนถึงแพลตฟอร์มโซเชียลมีเดียอื่นๆ ที่มีการแบ่งปันข้อมูลส่วนตัวเอาไว้ด้วย”

 

เรียบเรียงจาก
FB could face EU fine of up to $1.63B over latest data breach
FB warns that recent hack could have exposed other apps, including Instagram, Tinder, and Spotify

 

เรามักติดภาพของแฮ็คเกอร์เป็นลบเสมอ แต่ในความเป็นจริง ไม่ใช่เสมอไป เพราะยังมีคนอีกกลุ่มที่ใช้ทักษะเหล่านี้ ในการดูแลและป้องกันความสงบสุขในโลกไซเบอร์

AHEAD.ASIA คือสำนักข่าวเจาะลึกด้านนวัตกรรม และธุรกิจ
อย่าลืมกดติดตามเพจและคอมมูนิตี้ของเรา สำหรับเรื่องล้ำๆ และข่าวสารกิจกรรมต่างๆ
เพื่อเราจะได้ก้าวไปข้างหน้าพร้อมๆ กัน