ไม่แน่ใจว่าช่วงนี้เป็นฤดูกาลทำข้อมูลหลุดกันหรือยังไงหลังจากที่เพิ่งมีข่าว ข้อมูลผู้ใช้งาน Facebook กว่า 500 ล้านรายการถูกนำไปแจกฟรีอยู่ในเว็บแฮกเกอร์ ล่าสุดเป็นคราวของแอปน้องใหม่ไฟแรงอย่าง Clubhouse กันบ้างแล้ว หลังมีรายงานว่าข้อมูลกว่า 1.3 ล้านรายการหลุดไปอยู่ในเว็บบอร์ดแฮกเกอร์ ก่อนทาง CEO ปฏิเสธ ไม่มีฐานข้อมูลใด ๆ ถูกเจาะ ส่วนข้อมูลเหล่านั้นปล่อยให้เชื่อมต่อได้ฟรีผ่านระบบอยู่แล้ว !
ช่วงวันที่ 10 เมษายน 2564 มีรายงานว่า พบข้อมูลส่วนบุคคลซึ่งระบุที่มาจากฐานข้อมูลของแอปพลิเคชั่นหน้าใหม่ที่เพิ่งผ่านพ้นกระแสมาแรงไฟลุกในไทยไปไม่นานอย่าง Clubhouse ถูกแจกให้เข้าถึงได้อย่างฟรี ๆ อยู่ในเว็บบอร์ดของแฮกเกอร์ โดยมีทั้งหมดราว 1.3 ล้านรายการหรือคิดเป็นฐานข้อมูลหลุดสูงกว่า 10% ของจำนวนผู้ใช้งานทั้งหมดเลยทีเดียว (ปัจจุบัน Clubhouse มียอดผู้ใช้งานสะสม 10 ล้านบัญชี)
โดยข้อมูลของผู้ใช้งาน Clubhouse ที่หลุดออกมา ก็มีทั้งหมดดังนี้
- ชื่อและรหัสประจำตัวผู้ใช้งาน (Name | Username | User ID)
- ลิงค์รูปภาพโปรไฟล์
- บัญชี Social Media อย่าง Twitter | Instagram ที่เชื่อมต่อกับ Clubhouse
- จำนวนผู้ติดตาม
- จำนวนบัญชีที่ผู้ใช้งานติดตามอยู่
- วันเริ่มต้นการใช้งาน
- ชื่อบัญชีผู้ Invite สู่ Clubhouse อีกทอดหนึ่ง
เบื้องต้น ชนิดของข้อมูลที่หลุดทั้งหมดนั้น ยังไม่พบว่าเป็นข้อมูลที่มีความอ่อนไหวสูงอย่างข้อมูลทางการเงิน หรือรหัสการเข้าถึงใด ๆ อย่างไรก็ตาม เราแนะนำว่าเพื่อน ๆ ที่มีบัญชี Clubhouse ควรรีบไปเปลี่ยน Password กันโดยด่วน เพื่อความปลอดภัยนะ
Clubhouse ยืนยัน ไม่มีการทำข้อมูลหลุด ส่วนข้อมูลที่เป็นข่าว เป็นข้อมูลสาธารณะอยู่แล้ว ใครก็เข้าถึงได้ !
งานนี้ Startup น้องใหม่ไฟแรงไม่รอช้า กลัวจะเกิดความเข้าใจผิดจนเสื่อมเสียชื่อเสียง โดย Clubhouse ออกประกาศโต้กลับทันควันผ่านบัญชีทวิตเตอร์อย่างเป็นทางการความว่า “นี่เป็นข้อมูลที่ผิดพลาด Clubhouse ไม่เคยถูกเจาะหรือแฮก ข้อมูลส่วนบุคคลที่กำลังพูดถึงกันตามข่าวนั้นเป็นข้อมูลที่สามารถเข้าถึงได้แบบสาธารณะอยู่แล้ว ใคร ๆ ก็เข้าถึงได้ผ่าน App หรือเชื่อม API ของเรา”
This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API. https://t.co/I1OfPyc0Bo
— Clubhouse (@Clubhouse) April 11, 2021
จากแถลงการณ์ดังกล่าวด้วยความหวังจะดับไฟตั้งแต่ต้นลมของ Clubhouse กลับกลายเป็นว่า การที่ข้อมูลประเภทดังกล่าวทั้งหมดสามารถเข้าถึงได้แบบ Public หรือสามารถเชื่อม API ดึงเอาข้อมูลชุดดังกล่าวไปใช้ได้อย่างอิสระนั้นย่อมแปลว่า ข้อมูลส่วนบุคคลของผู้ใช้งาน Clubhouse ทั้งหมดอาจไม่ได้รับมาตรการดูแลความปลอดภัยที่ดีเพียงพอ เช่นชุดข้อมูลที่ระบุว่า User รายใดมีการเชื่อมต่อกับ Social Media แพลตฟอร์มใดชื่อบัญชีใดเอาไว้บ้าง แค่นี้ก็เพียงพอจะเป็นเชื้อไฟชั้นดีให้มิจฉาชีพออนไลน์นำไปใช้หลอกลวงด้วยวิธี Phishing (ดักเอาข้อมูล) แล้ว
งานนี้อาจกลายเป็นประเด็นใหญ่กว่าที่คิดจากแถลงการณ์แฉความหละหลวมของตัวเองแบบเห็น ๆ ของ Clubhouse ซึ่งถ้ามองจากหลักการทางมาตรการรัฐและกฎหมายด้านไซเบอร์ทั้งในระดับนานาชาติและประเทศไทยเองในปัจจุบัน ต่างก็เน้นย้ำเรื่องความมั่นคงปลอดภัยทางข้อมูลส่วนบุคคลกันมากขึ้นแล้ว ชัดเจนเลยว่า Clubhouse ไม่ได้มีมาตรการความปลอดภัยที่ดีพอในการรักษาข้อมูลส่วนบุคคลเอาไว้เลย เพื่อน ๆ ชาว DroidSans ที่เชื่อมบัญชี Social Media หรือใส่ข้อมูลส่วนบุคคลเอาไว้เยอะ ๆ บน Clubhouse อาจต้องกลับมานั่งสำรวจดูหน่อยแล้วว่า อะไรจำเป็น – ไม่จำเป็นต้องระบุหรือเชื่อมต่อเอาไว้บน Clubhouse เพื่อความปลอดภัยในข้อมูลส่วนบุคคลบนโลกออนไลน์ของเพื่อน ๆ เอง
แอป Clubhouse คืออะไร เล่นยังไง มีดีอะไร สมัครยังไง ทำไมถึงต้องดาวน์โหลดไว้ในเครื่อง?
อ้างอิง: Cybernews | Business Insider
Comment