ข้อมูลผู้ใช้รั่วซ้ำซาก ความผิดพลาดไม่รู้จบ หรือใกล้ถึงวันอวสานของเฟซบุ๊ก

ช่วงเย็นของวันศุกร์ที่ 28 กันยายนที่ผ่านมา ตามเวลาประเทศไทย ผู้ใช้เฟซบุ๊กจำนวนไม่น้อยโดยเฉพาะในไทยประสบปัญหาถูกแจ้งให้ล็อกอินเข้าบัญชีใหม่ จนหลายคนอดเลิกคิ้วพลางสงสัยไม่ได้ว่าเกิดอะไรขึ้นกับเฟซบุ๊กของตัวเอง

ต่อมาในช่วงกลางดึกคืนวันเดียวกัน (ตรงกับเวลาท้องถิ่นสหรัฐอเมริกาในช่วงเช้า) สำนักข่าวหลายแห่งในสหรัฐฯ ก็กระพือข่าวในประเด็นที่ผู้ใช้ 50 ล้านรายถูกเข้าถึงข้อมูลบนแพลตฟอร์ม ส่งผลให้โซเชียลมีเดียในเวลานั้นเดือดจนปรอทแตก ทุกคนต่างกังวลว่าข้อมูลของตัวเองจะถูกโจรกรรมไปแล้วหรือยัง

50 ล้านจาก 2,000 ล้านของบัญชีผู้ใช้เฟซบุ๊กทั้งหมดคือจำนวนตัวเลขผู้ใช้ที่ถูกเข้าถึงข้อมูลโดยอาชญากรไซเบอร์ ถ้าคิดเป็นสัดส่วนก็จะอยู่ที่ราว 2.5% ถามว่าเยอะไหมก็ไม่ขนาดนั้น แต่เพราะเฟซบุ๊กถูกตีตราว่าเป็นแพลตฟอร์มโซเชียลมีเดียอันดับ 1 แล้วปัญหาการถูกเข้าถึงข้อมูลส่วนตัวก็เป็นเรื่องที่ละเอียดอ่อนมาก ฉะนั้นแค่ผู้ใช้เพียง ‘คนเดียว’ ที่ได้รับผลกระทบจากปัญหานี้ก็ถือเป็นเรื่องใหญ่ระดับโลกแล้ว

ความผิดที่เกิดขึ้นยิ่งทวีคูณความรุนแรงขึ้นไปอีกขั้น เพราะไม่ใช่ครั้งแรกที่เฟซบุ๊กต้องเผชิญปัญหาทำนองนี้ ต้นปีที่ผ่านมาก็มีกรณีกับ Cambridge Analytica ที่ข้อมูลส่วนตัวผู้ใช้กว่า 87 ล้านรายหลุดไปยังหน่วยงานดังกล่าวจนเฟซบุ๊กและมาร์ก ซักเคอร์เบิร์ก ถูกกระหน่ำสาดเสียเทเสียจนตั้งรับแทบไม่ทัน เท่ากับว่ายิ่งเวลาผ่านไป เราในฐานะผู้ใช้ก็ต้องทนเห็นปัญหาเช่นนี้เกิดขึ้นอีกเรื่อยๆ?

50 ล้านรายกับข้อมูลที่หลุดออกไปในครั้งนี้ เกิดอะไรขึ้น

ถ้ายึดตามเวลาที่สื่อตีข่าวข้อมูลผู้ใช้ 50 ล้านรายหลุดออกไปคือช่วงเช้าวันศุกร์ ตามเวลาท้องถิ่น แต่ถ้านับจากวันและเวลาที่เกิดขึ้นจริง เฟซบุ๊กออกมาระบุผ่านหน้าเว็บไซต์ของตัวเองว่าเหตุการณ์ดังกล่าวเกิดขึ้นเมื่อช่วงบ่ายของวันอังคารที่ 25 กันยายน

เฟซบุ๊กระบุว่าทีมวิศวกรของบริษัทได้ตรวจพบปัญหาด้านความปลอดภัยของข้อมูลที่ทำให้ผู้ใช้กว่า 50 ล้านรายได้รับผลกระทบ และบริษัทเองก็ไม่ได้นิ่งนอนใจ จึงอยากจะแจ้งเตือนทุกคนให้ทราบปัญหา (รอเกือบ 1 สัปดาห์เต็มหลังทราบเรื่อง ก่อนจะประกาศข่าว) และกำลังสอบสวนเรื่องราวที่เกิดขึ้นอย่างละเอียด

ช่องโหว่ในครั้งนี้เกิดขึ้นจากความพยายามของนักโจมตีที่เจาะเข้ามาทางฟีเจอร์ View As ที่ใช้ตรวจเช็กว่าหน้าตาโปรไฟล์ของเราเป็นอย่างไรในมุมมองของผู้ใช้คนอื่นๆ หรือเพื่อนในเฟซบุ๊ก ผลที่ตามมาคือกลุ่มคนที่โจมตีสามารถขโมยโทเคนที่ใช้เข้าถึงเฟซบุ๊ก (Access Tokens) ซึ่งสามารถใช้เจาะบัญชีผู้ใช้รายอื่นๆ รวมถึงข้อมูลบัญชีของแอปฯ อื่นๆ ในระบบนิเวศของบริษัท เช่น อินสตาแกรม เป็นต้น

เฟซบุ๊กอธิบายว่าโทเคนตัวนี้มีฐานะเทียบเท่าดิจิทัลคีย์ หรือ ‘กุญแจเข้าบ้าน’ ที่ช่วยลดขั้นตอนซ้ำซ้อนให้ผู้ใช้ไม่ต้องล็อกอินเข้าบัญชีตัวเองใหม่ทุกครั้งที่ใช้แอปฯ แถมล่าสุดฟีเจอร์นี้ก็ถูกปิดใช้งานไปแล้วชั่วคราว โดยวิธีแก้ไขปัญหาฉุกเฉินเบื้องต้นคือรีเซตโทเคนผู้ใช้กว่า 50 ล้านรายที่คาดว่าน่าจะได้รับผลกระทบ บวกกับอีก 40 ล้านรายที่เคยใช้ฟีเจอร์นี้เมื่อปีที่แล้ว รวมทั้งหมดเป็น 90 ล้านราย (คือสาเหตุที่ทำให้ผู้ใช้เฟซบุ๊กบางรายต้องล็อกอินบัญชีอีกครั้ง แต่ย้ำว่าไม่จำเป็นต้องเปลี่ยนรหัสเข้าบัญชีใหม่)

จากข้อมูลอัปเดตล่าสุดเมื่อช่วงบ่ายวันศุกร์ที่ 28 กันยายน ตามเวลาท้องถิ่นสหรัฐฯ เฟซบุ๊กยังไม่สามารถระบุตัวตนผู้ที่อยู่เบื้องหลังเหตุการณ์ในครั้งนี้ได้ และถ้าหากมีเหตุการณ์ในทำนองใกล้เคียงกันนี้เกิดขึ้นอีกก็จะแจ้งผู้ใช้ที่คาดว่าจะได้รับผลกระทบและทำการรีเซตโทเคนใหม่ทั้งหมด

กาย โรเซน รองประธานฝ่ายจัดการฝั่งผลิตภัณฑ์ของเฟซบุ๊ก ระบุว่า “เรายังไม่สามารถระบุได้ว่าข้อมูลของผู้ใช้เหล่านี้จะถูกนำไปใช้ในทางที่ไม่เหมาะสมหรือไม่ หรือมีการเข้าถึงข้อมูลผู้ใช้ในส่วนใดหรือเปล่า เช่นเดียวกัน เรายังไม่ทราบว่าใครอยู่เบื้องหลังเหตุการณ์ในครั้งนี้ หรือพวกเขาเป็นใครอยู่ที่ไหน”

ด้านมาร์กพูดในระหว่างประชุมทางไกลกับกลุ่มผู้ถือหุ้นว่านี่คือปัญหาด้านความปลอดภัยที่บริษัทจะต้องจริงจังและควรเร่งดำเนินการโดยทันที

ปัญหาซ้ำซากและบทเรียนไม่รู้จบของเฟซบุ๊ก ทำไมข้อมูลยังรั่วอีก

แม้เฟซบุ๊กจะบอกว่าปัญหาครั้งนี้ไม่ใช่เรื่องน่ากังวล ข้อมูลที่หลุดเป็นแค่โทเคนเท่านั้น ไม่ได้เกี่ยวข้องกับข้อมูลส่วนตัวอย่างบัตรเครดิตหรือบทสนทนาส่วนตัว แต่เมื่อมีผู้ใช้กว่า 90 ล้านรายมาเกี่ยวข้อง นี่ไม่ใช่เรื่องเล่นๆ อีกต่อไป

มีนาคมที่ผ่านมา เฟซบุ๊กเคยถูกเปิดโปงกรณีพลาดปล่อยข้อมูลส่วนตัวผู้ใช้กว่า 87 ล้านรายเล็ดลอดออกไปยังทีมวิจัยและผู้พัฒนาแอปฯ เกมทายใจโดย Cambridge Analytica ซึ่งคาดกันว่าถูกนำไปใช้แสวงหาประโยชน์กับเกมการเมืองในกรณีเลือกตั้งสหรัฐอเมริกาและโหวต Brexit

ครั้งนั้นเฟซบุ๊กยอมรับเหตุการณ์ความผิดพลาดที่เกิดขึ้นอย่างตรงไปตรงมา แม้ว่าอาจจะปล่อยให้เวลาผ่านมาล่วงเลยไปนานแล้วก็ตาม (รายงานระบุว่าเฟซบุ๊กทราบปัญหาตั้งแต่ปี 2015 จากการให้ข้อมูลของนักข่าวจาก The Guardian) ผลที่ตามมาหลังจากนั้นคือหุ้นบริษัทรูดถอยลงอย่างต่อเนื่อง จนช่วงกลางปีมีรายงานว่าหุ้นเฟซบุ๊กตกลงไปมากกว่า 20% หรือราว 1.2 แสนล้านเหรียญสหรัฐ เนื่องจากยอดผู้ใช้ส่วนหนึ่งไม่โตตามเป้า

เท่านั้นยังไม่พอ มาร์กยังถูกสภาคองเกรสเรียกตัวขึ้นชี้แจงปัญหาต่างๆ บนแพลตฟอร์มที่เกิดขึ้นอย่างต่อเนื่อง จนอาจเรียกได้ว่าช่วงเวลาดังกล่าวถือเป็นหนึ่งในช่วงเวลาที่วิกฤตและเลวร้ายที่สุดตั้งแต่เฟซบุ๊กก่อตั้งมาตั้งแต่ปี 2004 เลยก็ว่าได้

เวลาผ่านไปไม่ถึง 6 เดือน พวกเขาถูกโจมตีในประเด็นปัญหาเดิมและเรื่องเดิมซ้ำสองอีกครั้ง เพียงแต่ครั้งนี้เฟซบุ๊ก ‘ฉลาด’ ตรงที่ไม่ปล่อยให้เวลาผ่านไปนาน โดยรีบออกมาทำทุกอย่างให้โปร่งใสที่สุด แจ้งผู้ใช้ที่ได้รับผลกระทบภายในสัปดาห์ที่เกิดปัญหา และดำเนินการแก้ไขเบื้องต้นโดยรีเซตโทเคนอย่างที่ได้บอกเอาไว้ ด้าน TechCrunch อ้างว่าปัญหานี้เกิดขึ้นมาตั้งแต่ปี 2017 แล้ว เพียงแต่เฟซบุ๊กมาทราบเรื่องใน 1 ปีให้หลัง

เหนือสิ่งอื่นใด ปัญหาก็คือเพิ่งจะพบปัญหาเดียวกันนี้มาได้ไม่นาน เหตุใดจึงยังปล่อยให้มันเกิดซ้ำรอยเดิมในช่วงเวลาไม่ถึง 1 ปีด้วยซ้ำ นี่คือคำถามที่หลายคนตั้งข้อสังเกต

ผู้ใช้ 87 ล้านราย + 90 ล้านราย หรือประมาณ 9% คือสัดส่วนผู้ใช้ที่ได้รับผลกระทบจากผู้ใช้ทั้งหมดที่ราว 2,000 ล้านราย ชี้ให้เห็นว่าการถูกเข้าถึงข้อมูลคือเนื้อร้ายที่เฟซบุ๊กจะต้องเร่งหาวิธีสกัดยาแรงมารักษาให้ได้โดยด่วน

เอพริล ดอสส์ ประธานบริหารบริษัทที่ดูแลด้านความปลอดภัยบนโลกไซเบอร์ Saul Ewing กล่าวว่าเหตุการณ์ที่เกิดขึ้นล่าสุดกับเฟซบุ๊กได้สะท้อนให้เห็นว่าระบบนิเวศในโลกดิจิทัลทุกวันนี้มีความซับซ้อนมากแค่ไหนบนแพลตฟอร์มเพียงแพลตฟอร์มเดียว โดยเฉพาะช่องที่เป็นที่นิยมอย่างเฟซบุ๊ก “ผลกระทบที่ตามมาอาจรุนแรงกว่าสิ่งที่เราสามารถระบุได้ในช่วงการสืบสวนระยะแรกๆ”

ความล้มเหลวที่เฟซบุ๊กต้องเผชิญ

มีรายงานว่าความผิดพลาดในเชิงการป้องกันความปลอดภัยของข้อมูลผู้ใช้ในครั้งนี้อาจเข้าข่ายละเมิดกฎหมาย General Data Protection Regulation (GDPR) ที่เป็นมาตรการคุ้มครองข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกภาพยุโรป และอาจถูกปรับเงินเป็นจำนวน 4% จากรายรับของบริษัททั่วโลก

นั่นหมายความว่าถ้า 40,653 ล้านเหรียญสหรัฐคือตัวเลขรายได้ทั้งหมดของบริษัทในปี 2017 ที่ผ่านมา พวกเขาอาจจะต้องถูกปรับมากถึง 1,626 ล้านเหรียญสหรัฐเลยทีเดียว!

ขณะที่ตอนนี้ทีม FBI และหน่วยงานที่เกี่ยวข้องในยุโรปได้เข้ามาร่วมสอบสวนเหตุการณ์ทั้งหมดที่เกิดขึ้นเป็นที่เรียบร้อยแล้วเพื่อหาต้นตอของปัญหา ผลกระทบที่เกิดขึ้น รวมถึงผู้ที่อยู่เบื้องหลังเรื่องราวทั้งหมด

มาร์ก วอร์เนอร์ หนึ่งในสมาชิกคณะกรรมการข่าวกรองสหรัฐอเมริกา (United States Senate Select Committee on Intelligence) และประธานบริหารร่วมหน่วยงานดูแลความปลอดภัยในโลกไซเบอร์ของรัฐบาล (Cybersecurity Caucus) กล่าวผ่านแถลงการณ์ว่า “การเปิดเผยเหตุการณ์ในครั้งนี้ของเฟซบุ๊กตอกย้ำให้เห็นถึงความอันตรายที่บริษัทอย่างเฟซบุ๊กและหน่วยงานด้านเครดิตบูโร Equifax ได้เก็บข้อมูลส่วนตัวของพลเมืองสหรัฐอเมริกาเป็นจำนวนมากโดยไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม

“นับเป็นสถานการณ์ที่ชี้ให้เห็นว่าสภาคองเกรสจะต้องเร่งดำเนินการอะไรสักอย่างเพื่อป้องกันความเป็นส่วนตัวและความปลอดภัยของผู้ใช้โซเชียลมีเดีย ยุคแห่งความป่าเถื่อนบนโลกโซเชียลได้สิ้นสุดลงแล้ว”

ความป่าเถื่อนบนโลกโซเชียลที่มาร์ก วอร์เนอร์ หมายถึงคือการที่ผู้ให้บริการโซเชียลมีเดียจำนวนมากมีข้อมูลผู้ใช้อยู่ในมือขนาดมหาศาล แต่ไม่สามารถปกป้องข้อมูลที่มีอยู่ได้เลย ซ้ำร้ายนานวันเข้ามันก็จะถูกทรีตให้กลายเป็นเรื่องปกติธรรมดาเมื่อเกิดขึ้นอยู่บ่อยๆ

ความล้มเหลวในการป้องกันผู้ใช้ของเฟซบุ๊กจึงยิ่งตอกย้ำอีกครั้งว่าไม่มีแพลตฟอร์มออนไลน์ใดๆ บนโลกใบนี้ที่ปลอดภัย 100% โดยเฉพาะในสถานะที่พวกเขาถือข้อมูลส่วนตัวของเราไว้ในกำมือ

สิ่งที่สำคัญที่สุดต่อจากนี้คือในเมื่อเราไม่สามารถมั่นใจผู้ให้บริการรายใดได้เลยสักราย เราควรจะปกป้องความเป็นส่วนตัวของเราเองโดยหมั่นเปลี่ยนรหัสล็อกอินเข้าใช้บัญชีบ่อยๆ หลีกเลี่ยงการให้ข้อมูลส่วนตัวมากเกินความจำเป็นกับผู้ให้บริการสักราย หรือพยายามไม่คลิกเข้าไปใช้แอปพลิเคชันที่มีหน้าตาแปลกประหลาด ไม่น่าเชื่อถือ

ถ้าคำพูดของ แคมป์เบล บราวน์ หัวหน้าฝ่ายพันธมิตรข่าวทั่วโลกของเฟซบุ๊กที่เคยเปรียบวงการสื่อเป็นผู้ป่วยใกล้ตายเป็นเรื่องจริง เฟซบุ๊กในเวลานี้ก็ไม่ต่างอะไรจาก ‘โรงพยาบาล’ ที่สภาพทรุดโทรมเต็มทน รอวันที่จะถูกปฏิรูประบบการบริหารงานใหม่ทั้งหมด หรือไม่ก็จนกว่าเราจะได้เห็นโซเชียลมีเดียหน้าใหม่ที่มีศักยภาพเกิดขึ้นมาเป็นคู่แข่งอีกราย

พิสูจน์อักษร: ภาสิณี เพิ่มพันธุ์พงศ์

อ้างอิง: