บทวิเคราะห์ : เฟซบุ๊กกับช่วงเวลาอันแสนโหดร้ายแห่งปี

จิตต์สุภา ฉินFacebook.com/JitsupaChin

เกิดเรื่องปั่นป่วนขึ้นกับเฟซบุ๊กอีกระลอก หลังจากที่ผู้ใช้ทั่วโลกพากันแตกตื่นว่าจู่ๆ ตัวเองก็ถูกเตะเด้งออกจากระบบ

และต้องกรอกรหัสผ่านเพื่อล็อกอินกลับเข้าไปใหม่ชนิดไม่มีปี่ไม่มีขลุ่ย

หลายคนเกิดความระแวงจนต้องรีบเปลี่ยนรหัสผ่านใหม่เพราะนึกว่าบัญชีถูกแฮ็กเกอร์จู่โจมเข้าเสียแล้ว

งงกันเป็นไก่ตาแตก จนกระทั่งเฟซบุ๊กยอมออกมาแถลงว่าบริษัทตรวจจับได้ว่ามีช่องโหว่บนเฟซบุ๊กที่ทำให้ชื่อบัญชีผู้ใช้งานกว่า 50 ล้านบัญชีเข้าข่ายเสี่ยงที่จะถูกโจมตีและเข้าควบคุม ทางเฟซบุ๊กจึงรีบดำเนินมาตรการขั้นเด็ดขาดด้วยการรีเซ็ตยกเข่ง

บังคับให้บัญชีผู้ใช้เด้งออกจากระบบและต้องกรอกรหัสผ่านเพื่อเข้าไปใช้งานใหม่

ซึ่งซู่ชิงก็เป็นหนึ่งในคนที่ถูกระบบเตะออกเหมือนกันค่ะ ยิ่งชวนให้กระวนกระวายมากไปกว่านั้นอีกเมื่อได้รู้ว่าผู้ก่อตั้งบริษัทอย่างมาร์ก ซักเคอร์เบิร์ก และผู้บริหารหญิงคู่ใจ เชอริล แซนด์เบิร์กเองก็ไม่รอด ถูกเด้งออกมาด้วยเหมือนกัน

การจะเข้าใจว่าช่องโหว่เกิดขึ้นได้อย่างไร เราต้องทำความรู้จัก 2 สิ่งก่อนค่ะ ซึ่งก็คือ

1. ฟีเจอร์ที่มีชื่อว่า View As

และ 2. สิ่งที่เรียกว่า Access Token

 

View As คือฟีเจอร์ด้านความปลอดภัย เวลาเราใช้เฟซบุ๊ก หลายๆ คนก็คงจะตั้งค่าให้เพื่อนแต่ละคนเห็นสิ่งที่เราโพสต์แตกต่างกันใช่ไหมคะ

บางครั้งเราก็โพสต์เป็นสาธารณะให้คนแปลกหน้าอ่านได้ แต่ในบางเรื่องก็เลือกโพสต์ให้เฉพาะเพื่อนกันได้อ่านเท่านั้น

หรือเพื่อนบางคนเราตั้งค่าให้เป็นคนรู้จักห่างๆ ที่เห็นได้แค่บางโพสต์ที่เรากำหนด

ในขณะที่เพื่อนสนิทจะเห็นทุกโพสต์และดูประวัติเราได้หมด

ซึ่งการที่จะรู้ว่าเพื่อนแต่ละคนเห็นทุกอย่างตามที่เราตั้งค่าเอาไว้และไม่เห็นอะไรเกินเลยไปกว่านั้น ก็จะต้องตรวจสอบด้วยฟีเจอร์ View As นี่แหละค่ะ

เพราะฟีเจอร์นี้เราสามารถเลือกจิ้มชื่อเพื่อนได้ อย่างเช่น ซู่ชิงจิ้มว่าจะขอลองเป็นนาย ก. เพื่อลองดูซิว่า นาย ก.เห็นอะไรบนหน้าเฟซบุ๊กของซู่ชิงบ้าง

ส่วน Access Token ก็คือรหัสเฉพาะที่เปิดทางให้แอพพลิเคชั่นอื่นเชื่อมต่อกับบัญชีเฟซบุ๊กของเราได้

หน้าที่ของมันคือการอำนวยความสะดวกให้เราในหลายด้าน

ลองคิดถึงเวลาที่เราจะไปใช้บริการเว็บไซต์บางแห่งที่เราไม่เคยลงทะเบียนมาก่อน แล้วเว็บไซต์นั้นถามเราว่า “จะล็อกอินเข้าใช้งานโดยใช้บัญชีเฟซบุ๊ก” หรือไม่ ถ้าเรากดล็อกอิน (ซึ่งคนส่วนใหญ่ก็กดกันทั้งนั้นแหละค่ะเพราะมันง่าย) ก็จะเป็นการอนุญาตให้แอพพ์นั้นเรียกข้อมูลบางอย่างของเราจากเฟซบุ๊กได้

คล้ายๆ กับกุญแจที่หยิบยื่นให้เราใช้ไขประตูได้เฉพาะบานที่เราร้องขอไปเท่านั้น ซึ่ง token นี่แหละค่ะที่ทำให้เราสามารถล็อกอินเฟซบุ๊กค้างไว้โดยที่ไม่ต้องพิมพ์รหัสผ่านใหม่ทุกครั้ง

จนเราลืมไปเลยว่ารหัสผ่านเราคืออะไร

 

คราวนี้กลับมาที่ช่องโหว่ของเฟซบุ๊กคราวนี้ค่ะ

ฟีเจอร์ View As ที่ควรต้องดูได้เฉยๆ ดูแต่ตามืออย่าต้อง และไม่ควรมีกรอบหรือกล่องให้เขียนโพสต์ตามปกติ แต่จู่ๆ ก็มีกล่องแบบเดียวกับที่ใช้เขียนอวยพรวันเกิดบนหน้าวอลล์เพื่อนได้โผล่ขึ้นมา

แถมยังเปิดให้อัพโหลดวิดีโอได้อีก ซึ่งตัวอัพโหลดวิดีโอนี้ก็ทะลึ่งไปสร้าง Access Token ที่ว่าขึ้นมา ทั้งที่ไม่มีความจำเป็นต้องสร้างเลย

ความน่ากลัวของการสร้าง access token ขึ้นมาก็คือมันไม่ได้สร้างให้ตัวเรา

แต่มันสร้างให้สำหรับ นาย ก.ที่ซู่ชิงยกตัวอย่างไปข้างต้น

นาย ก.ที่ไม่ได้รู้เรื่องรู้ราวอะไรกับเขาเลยและอาจจะกำลังนอนผึ่งพุงดูทีวีอยู่ที่บ้านเฉยๆ ก็ตกอยู่ภายใต้ความเสี่ยงของการถูกโจมตีทางไซเบอร์ไปทันที

ซึ่งตัว Token ที่สร้างขึ้นมานี้ไม่ใช่ว่าคนทั่วๆ ไปจะหยิบมาใช้ได้เลยนะคะ แต่ต้องเป็นคนที่มีพื้นฐานความรู้เรื่องคอมพิวเตอร์มากพอที่จะหยิบเอาความผิดพลาดนี้มาใช้สร้างความเสียหายได้

หรือพูดง่ายๆ ก็คือ มันเป็นการเอาขนมวางใส่จานไว้รอให้แฮ็กเกอร์มาหยิบใส่เข้าปากนั่นแหละค่ะ

เมื่อแฮ็กเกอร์เจาะเข้าไปได้แล้วจะเกิดอะไรขึ้นอีก แฮ็กเกอร์ก็จะสามารถเข้าไปควบคุมบัญชีของเหยื่อได้

โดยอาจจะเป็นในรูปแบบของการโพสต์ในชื่อของเจ้าของบัญชี ไปกดไลก์ ไปตอบคอมเมนต์ เห็นข้อมูลสำคัญๆ ที่มีแต่เจ้าตัวเท่านั้นที่เห็นได้

แต่ที่น่ากลัวคูณสองเข้าไปอีกก็คือ แฮ็กเกอร์สามารถไปใช้ฟีเจอร์ View As เดียวกันนี้ ในการขอ Access Token ของเหยื่อคนถัดๆ ไปได้แบบไม่รู้จบ

แค่คิดก็สยองแล้ว

 

ทันทีที่เฟซบุ๊กล่วงรู้ถึงช่องโหว่นี้ก็รีบอุดมันด้วยการรีเซ็ต Token ใหม่ทั้งหมด ไม่ใช่แค่ 50 ล้านบัญชีที่เข้าข่าย แต่ยังบวกเพิ่มอีก 40 ล้านบัญชีที่เคยถูกนำชื่อไปใส่ไว้ในช่อง View As ของคนอื่นมาแล้วด้วย ทั้ง 90 ล้านบัญชีนี้จะต้องป้อนรหัสเพื่อล็อกอินกลับเข้ามาใหม่อีกครั้ง

แต่เนื่องจากการได้ Token ไปไม่ได้แปลว่าแฮ็กเกอร์ได้รหัสผ่านไปด้วย ดังนั้น จึงไม่จำเป็นต้องเปลี่ยนรหัสผ่านใหม่แต่ประการใด พร้อมกันนี้ก็ยังปิดฟีเจอร์ View As ไปก่อน และขอตรวจสอบกันเป็นการภายในอย่างละเอียดอีกครั้ง

ถ้าหากคุณผู้อ่านไม่ได้เป็นหนึ่งในคนที่ถูกเตะออกจากระบบ แต่ก็ไม่ได้นิ่งนอนใจและอยากชัวร์ว่าตัวเองปลอดภัย ก็อาจจะเข้าไปลองตรวจสอบประวัติการล็อกอินจากอุปกรณ์ต่างๆ ซึ่งสามารถตรวจสอบได้บนเฟซบุ๊กเลยค่ะ

ถ้าหากตรวจเจอการล็อกอินที่ดูไม่เข้ารูปเข้ารอยก็ให้สงสัยไว้ก่อนเลยว่าบัญชีเราอาจจะถูกเจาะเข้ามาได้แล้ว ก็ให้รีบเปลี่ยนรหัสผ่านทันที แต่ถึงแม้ว่าจะไม่มีเหตุการณ์สุ่มเสี่ยงครั้งนี้เกิดขึ้น

การตรวจสอบอุปกรณ์ที่ล็อกอินและการเปลี่ยนรหัสผ่านก็เป็นสิ่งที่ควรทำอย่างสม่ำเสมออยู่แล้ว

 

ปีสองปีมานี้เฟซบุ๊กถูกเล่นงานจนอ่วมติดๆ กันหลายรอบ โดยที่หลักๆ จะถูกเพ่งเล็งในเรื่องการรักษาความปลอดภัยของข้อมูลที่ล้มเหลวจนทำให้ข้อมูลผู้ใช้ตกอยู่ภายใต้ความเสี่ยงหรือหลุดรอดออกไปให้บุคคลที่สามฉกฉวยไปใช้ประโยชน์ คนจำนวนไม่น้อยเริ่มเบื่อหน่ายกับการที่จะต้องรับมือกับปัญหาหลายระลอกที่ถาโถมเข้ามาไม่หยุดหย่อนจนหันไปสิงอยู่บนโซเชียลมีเดียแห่งอื่นๆ แทน แต่ไม่ว่าจะอย่างไรเฟซบุ๊กก็ยังเป็นแหล่งรวมพลคนออนไลน์ที่มีขนาดใหญ่ที่สุด และดูท่าจะไม่เสียตำแหน่งนี้ไปเร็วๆ นี้

ในฐานะผู้ใช้ เราไม่มีทางล่วงรู้ได้ว่าช่องโหว่จะเกิดขึ้นที่ไหนเป็นลำดับต่อไป และบริษัทไหนจะทำข้อมูลของเราหลุดไปอีก การป้องกันตัวเองที่ดีที่สุดก็น่าจะเป็นการกระจายความเสี่ยง ไม่เอาข้อมูลสำคัญๆ ไปกระจุกอยู่ในที่เดียว หรือถ้าจะให้ดีก็จำกัดข้อมูลส่วนตัวที่เราจะป้อนเข้าไปในโซเชียลมีเดีย อะไรที่สุ่มเสี่ยง ถ้ายังไม่ทำก็อย่าทำ หรือถ้าทำแล้วก็ลบๆ ไปบ้าง

มองโซเชียลมีเดียด้วยแนวคิดแบบพุทธๆ ก็ได้ค่ะ กายก็ดี ข้อมูลส่วนตัวบนโซเชียลมีเดียก็ดี ล้วนไม่ใช่ของเราทั้งสิ้น

เราจะได้เตรียมตัวเตรียมใจไว้สำหรับเหตุการณ์ที่เราควบคุมไม่ได้ และระมัดระวังมากขึ้นในสิ่งที่ควบคุมได้ค่ะ

บทความก่อนหน้านี้รู้จักเข้าใจ ความทรงจำที่ไม่เสื่อมคลายของ “กองทัพปากีสถาน” : คุยกับทูต ‘พันเอกราซา อุล ฮัซเนน’
บทความถัดไป‘บิ๊กตู่’ มอบเสื้อเป็นของขวัญ ฟุตบอลเยาวชนประเทศกลุ่มลุ่มน้ำโขง-ญี่ปุ่น