Facebook เตือนแอพที่ใช้บัญชีเชื่อมกันเสี่ยงโดนแฮ็ก

จากกรณี Facebook ถูกแฮ็ก Token ผ่านฟีเจอร์ View As และนำ Token ดังกล่าวไปควบคุมบัญชีการใช้งานของยูสเซอร์ทั่วไป โดยคาดว่ามีผู้ใช้ 50 ล้านรายได้รับผลกระทบนี้ ซึ่งทางทีมผู้ดูแลได้ทำการแก้ไขเบื้องต้นไปแล้วนั้น

ล่าสุด โซเชียลมีเดียเบอร์หนึ่ง ได้ให้รายละเอียดเพิ่มเติม ผ่านการประชุมสาย conference call ว่าการแฮ็กครั้งนี้อาจส่งผลมากกว่าที่คิด เพราะการที่แฮ็กเกอร์เข้าไปควบคุมบัญชีต่างๆได้ แม้จะแค่ชั่วคราว แต่ก็ทำให้เกิดความเสี่ยงต่อแอพอื่นๆที่เชื่อมโยงบัญชีเหล่านั้นด้วย

อาทิ Instagram, Tinder, Airbnb และ Spotify รวมถึงแอพและเว็บไซต์อื่นๆ ที่อนุญาตให้ผู้ใช้สมัครใช้โดยใช้ข้อมูลรับรองจากบัญชีดังกล่าว แม้ในตอนนี้จะยังไม่มีรายงานการละเมิดใดๆก็ตาม

Guy Rosen รองประธานฝ่ายผลิตภัณฑ์ กล่าวว่า “การเข้าถึง Token ช่วยให้ผู้ใช้ภายนอกสามารถใช้บัญชีได้เหมือนกับว่าเป็นเจ้าของบัญชีเอง และยังอาจหมายความว่าพวกเขาสามารถเข้าถึงแอพพลิเคชันอื่นๆ โดยใช้ Facebook login ได้”

รายงานระบุว่าวิศวกรของบริษัท พบช่องโหว่นี้ ตั้งแต่ 25 ก.ย. ที่ผ่านมา รวมถึงตรวจสอบพบว่ามีแฮกเกอร์ใช้งานช่องโหว่นี้ไปบ้างแล้ว ซี่งทางบริษัทได้แจ้งความกับเจ้าหน้าที่ตำรวจแล้ว แต่ยังไม่สามารถให้รายละเอียดเพิ่มเติมได้ เนื่องจากอยู่ในระหว่างกระบวนการสอบสวน

ขณะเดียวกัน ก็มีรายงานจาก Wall Street Journal ว่าคณะกรรมาธิการคุ้มครองข้อมูล (Data Protection Commission – DPC) ของไอร์แลนด์ ในฐานะตัวแทนสหภาพยุโรป (EU) ได้เข้ามาสอบสวนเกี่ยวกับเรื่องนี้แล้ว

โดยหากพบว่า FB บกพร่องในการปฏิบัติตามระเบียบการคุ้มครองข้อมูลทั่วไป หรือ GDPR ก็มีสิทธิ์ถูกลงโทษด้วยการปรับเงิน 1,630 ล้านดอลลาร์ หรือราว 52,975 ล้านบาท

“เรามีความกังวลเกี่ยวกับข้อเท็จจริงที่ว่าการละเมิดนี้ถูกค้นพบเมื่อวันอังคาร และส่งผลกระทบต่อบัญชีผู้ใช้หลายล้านราย แต่ Facebook ไม่สามารถชี้แจงถึงลักษณะของการละเมิด และความเสี่ยงสำหรับผู้ใช้ได้ ณ จุดนี้” DPC ระบุในแถลงการณ์

ด้าน Pravin Kothari ซีอีโอของ CipherCloud Inc. ชี้ว่าการถูกแฮ็กครั้งนี้อาจเข้าข่ายละเมิดระเบียบ GDPR ของ EU ที่เริ่มบังคับใช้เมื่อเดือน พ.ค.

“ผลกระทบนี้จะเป็นไปอย่างไร? จำนวนคน 50 ล้านคนที่ได้รับผลกระทบ อยู่ในกลุ่ม EU หรือเปล่า? ถ้าเป็นเช่นนั้นมันก็จะตกอยู่ภายใต้ GDPR ทันที แต่ก็ยังต้องถามว่า EU จะดำเนินการอย่างไรต่อ”

“ในตอนนี้เรายังไม่ทราบรายละเอียดทั้งหมดของการละเมิด ว่ามันเกิดขึ้นเมื่อไหร่ ใครเป็นคนทำ ใครได้รับผลกระทบ ใครจะเป็นผู้รับผิดชอบ ฯลฯ ผลที่เป็นไปได้อาจเลวร้ายยิ่งกว่าที่เรารู้ในวันนี้ การคำนวณค่าปรับที่อาจเกิดขึ้นภายใต้กฎ GDPR เป็นเรื่องที่น่าจะเป็นไปได้ เมื่อสิ่งนี้มีผลกระทบต่อผู้ใช้นับล้านๆ คน”

ทั้งนี้ ภายใต้ GDPR บริษัทที่ถูกแฮ็กและพบว่าไม่ได้สร้างการปกป้องผู้ใช้อย่างเพียงพอ จะถูกปรับเงินเริ่มต้นที่ 23 ล้านดอลลาร์ (ราว 748 ล้านบาท) หรือ 4 เปอร์เซ็นต์ของรายได้ประจำปีของบริษัทในปีที่ผ่านมา ในกรณีของ FB จะคำนวณตัวเลขค่าปรับได้ที่ 1,630 ล้านดอลลาร์ (ราว 52,975 ล้านบาท)