การประชุมส่วนตัวที่ไม่ส่วนตัว เมื่อ Zoom โดนแฮกเกอร์จู่โจมหนักจนหลายภาคส่วนต้องออกมาแบน

Agenda
13 Apr 2020
เรื่องโดย:

สุธามาส ทวินันท์

เมื่อการ ‘ปิดเมือง’ เป็นมาตรการหนึ่งที่หลายประเทศเลือกใช้เพื่อควบคุมการแพร่ระบาดของโรค COVID-19 กิจกรรมในชีวิตประจำวันที่เคยอยู่นอกบ้านอย่างการทำงาน การเรียนหนังสือ หรือเรื่องเบาๆ อย่างการสังสรรค์กับเพื่อน จึงย้ายมาอยู่ที่บ้านแทน และมีโปรแกรม Video Conference ทำหน้าที่เชื่อมความไกลให้ขยับเข้ามาใกล้กัน

       นาทีนี้ไม่มีผู้ให้บริการรายไหนที่เนื้อหอมเท่า ‘Zoom’ อีกแล้ว เรียกว่าเติบโตอย่างก้าวกระโดดในช่วงที่ธุรกิจอื่นอยู่ในขาลง เพราะเมื่อเทียบกับปลายปี 2019 ที่ผ่านมา Zoom มีผู้ใช้งานปกติอยู่แค่ 10 ล้านคนต่อวัน แต่ปัจจุบันพุ่งสูงถึง 200 ล้านคนต่อวัน 

       อย่างไรก็ตาม ความสำเร็จที่ดูหอมหวานก็มีอันต้องเจอขวากหนามใหญ่เข้ามาขวาง หลังจากผู้ใช้งานจำนวนมากโจมตีอย่างหนักถึงระบบรักษาความปลอดภัยที่ต่ำจนทำให้การประชุมที่ควรจะเป็นส่วนตัวสามารถถูกแฮกเกอร์เข้าไปป่วนได้อย่างง่ายดาย ซึ่งทุกคนเรียกปรากฏการณ์นี้ว่า ‘Zoom Bombing’ 

       ช่องโหว่ด้านความปลอดภัยของ Zoom เป็นปัญหาใหญ่ที่ถูกหยิบขึ้นมาพูดถึงไม่เว้นวัน ตั้งแต่เรื่องมีแฮกเกอร์เข้ามาป่วนการประชุม, การส่งข้อมูลผู้ใช้งานให้เฟซบุ๊ก, มีบั๊กที่ทำให้ถูกขโมยรหัสผ่านวินโดว์สได้  ไปจนถึงมีนักล่ารางวัล แข่งขันกันหา Zero Day หรือช่องโหว่ด้านซอฟต์แวร์และฮาร์ดแวร์ที่ Zoom ไม่เคยรู้มาก่อนว่ามีไปขายในตลาดมืดและกอบโกยผลประโยชน์จากช่องโหว่นั้นตั้งแต่ราคา 5,000-30,000 ดอลลาร์สหรัฐฯ 

       ปัญหายังไม่หมดอยู่แค่นั้น เมื่อ The Washington Post รายงานว่ามีคลิปวิดีโอจาก Zoom นับพันๆ คลิปกระจายไปตาม Youtube และ Vimeo ซึ่งวิดีโอเหล่านั้นล้วนเกี่ยวข้องกับความปลอดภัยของผู้ใช้งานทั้งสิ้น ไม่ว่าจะเป็นคลาสการบำบัดส่วนบุคคล, การประชุมของภาคธุรกิจที่เกี่ยวข้องการเงิน, คลาสเรียนออนไลน์  ไปจนถึงข้อมูลส่วนตัวที่ใช้ในยืนยันตัวตน สถานที่อยู่อาศัย บทสนทนาต่างๆ รวมไปถึงภาพโป๊เปลือย

 

Zoom Bombing

 

       เหตุที่วิดีโอเหล่านั้นหลุดออกไป เป็นเพราะวิดีโอจำนวนมากถูกบันทึกไว้ในซอฟต์แวร์ของ Zoom และในพื้นที่จัดเก็บไฟล์ออนไลน์โดยไม่มีรหัสป้องกัน ทั้งยังมีวิธีตั้งชื่อไฟล์วิดีโอที่เหมือนๆ กัน จึงง่ายต่อการที่ทุกคนจะค้นหาเจอในออนไลน์แบบทีเดียวพร้อมกันหมด และสามารถเข้าดูหรือดาวน์โหลดได้เลย 

       นอกจากนี้ แม้ว่าค่าเริ่มต้นของ Zoom จะไม่ทำการบันทึกวิดีโอโดยอัตโนมัติ แต่มีฟังก์ชันที่ Host สามารถเลือกที่จะบันทึกลงในเซิร์ฟเวอร์ Zoom หรือคอมพิวเตอร์ของตัวเองได้ โดยไม่ต้องขอความยินยอมจากผู้เข้าร่วม ซึ่งก็เป็นอีกช่องโหว่หนึ่งที่ทำให้ทั้งความเป็นส่วนตัว (Privacy) และความปลอดภัย (Security) ของ Zoom ติดลบ

       เมื่อเกิดปัญหามากเข้า หลายประเทศจึงออกโรงเตือนประชาชนให้ระงับการใช้ Zoom ติดต่อสื่อสารระหว่างกัน เริ่มด้วยไต้หวัน รัฐบาลแรกที่ออกมาสั่งห้ามหน่วยงานรัฐประชุมผ่าน Zoom เพราะกังวลว่าข้อมูลราชการอาจรั่วไหลได้ ส่วนในสหรัฐฯ แม้จะไม่ได้มีการห้ามอย่างเป็นทางการ แต่สำนักงาน FBI ในเมืองบอสตัน ได้ออกมาเตือนให้ผู้ใช้งาน Zoom ระมัดระวังการโดนคุกคาม หลังได้รับรายงานหลายครั้งว่าการประชุมถูกรบกวนด้วยการเผยแพร่ภาพลามกหรือภาพที่แสดงถึงความเกลียดชัง และส่งต่อข้อความประเภทประทุษวาจา หรือ hate speech ซึ่งไม่เพียงแค่ในเมืองบอสตัน แต่ยังมีเหตุการณ์ที่คล้ายกันนี้เกิดขึ้นหลายแห่งทั่วทั้งสหรัฐอเมริกา 

       นักศึกษาปริญญาเอกที่ California State University, Long Beach ให้สัมภาษณ์กับสำนักข่าว NPR ว่าเขาใช้ Zoom พรีเซนต์วิทยานิพนธ์ของตัวเอง โดยมีคนในครอบครัว เพื่อนร่วมชั้น และคณะอาจารย์กว่า 40 คนเข้าร่วมฟัง แต่ระหว่างที่กำลังพูดอยู่นั้น อยู่ๆ ก็มีเสียงใครไม่รู้พูดแทรกขึ้นมาพร้อมโชว์อวัยวะเพศของตัวเอง ทั้งยังแสดงความคิดเห็นเหยียดเชื้อชาติผู้เข้าร่วมประชุมทุกคน แม้เขาจะตกใจแต่ก็สามารถพรีเซนต์ต่อได้จนจบ แต่บรรยากาศที่ถูกทำลายลงก็ทำให้ความรู้สึกที่ควรยินดีว่าตัวเองได้เป็นดอกเตอร์แล้วลดลงไป 

       ล่าสุดสิงคโปร์ก็เจอ Zoom Bombing ในทำนองเดียวกัน จนกระทรวงศึกษาธิการต้องออกมาประกาศให้ระงับการเรียนการสอนผ่าน Zoom และระบุว่านี่เป็น ‘เหตุการณ์ร้ายแรง’ หลังคลาสเรียนวิชาภูมิศาสตร์ของโรงเรียนแห่งหนึ่ง มีชายแปลกหน้าโผล่เข้ามาก่อกวนด้วยการแสดงภาพลามกอนาจาร (อีกแล้ว) พร้อมแสดงความคิดเห็นที่เข้าข่ายล่วงละเมิดทางเพศต่อเด็กนักเรียนผู้หญิง 

       ด้านบริษัทเอกชน อีลอน มัสก์ (Elon Musk) ประกาศห้ามพนักงานบริษัท SpaceX ประชุมผ่าน Zoom โดยเด็ดขาด เพราะมีความเป็นไปได้สูงที่ Zoom จะเป็นอันตรายต่อข้อมูลของบริษัท ขณะที่ Google ก็ห้ามพนักงานใช้ Zoom บนคอมพิวเตอร์โน้ตบุ๊ก เพราะกังวลเรื่องข้อมูลของบริษัทเช่นกัน แต่ยังคงอนุญาตให้ใช้ Zoom ผ่านแอพพลิเคชันและเบราว์เซอร์บนมือถือได้

 

Zoom Bombing

 

       ท่ามกลางชื่อเสียที่ออกมาไม่เว้นวัน เอริก หยวน (Eric Yuan) ซีอีโอของ Zoom จึงออกมายอมรับกรณีข้อผิดพลาดในด้านการรักษาความปลอดภัยของตน และกล่าวว่าทีมงานของบริษัทกำลังพยายามแก้ไขสถานการณ์นี้อยู่ โดยจะพยายามหาต้นตอของสาเหตุ และเพิ่มมาตรการรักษาความปลอดภัยที่ดีขึ้น แต่ยังไม่ทิ้งเรื่องความง่ายในการใช้งานที่เป็นตัวชูโรงหลักของบริษัทไป พร้อมให้สัมภาษณ์กับ The Wall Street Journal ว่า ‘หากบริษัทพลาดอีกครั้ง อนาคตของ Zoom คงดับวูบอย่างถาวร’   

       เดิมทีทีมงานของบริษัท Zoom กำลังเริ่งพัฒนาฟีเจอร์ใหม่ แต่หลังเกิดเหตุการณ์นี้ขึ้นจนกลายเป็นปัญหาใหญ่ระดับชาติ และมีผู้ใช้งานหลายรายยื่นฟ้องร้องต่อศาลเรียบร้อยแล้ว Zoom จึงพักงานส่วนนั้นไว้ และมาเร่งแก้ไขข้อผิดพลาดด้านความปลอดภัยและความเป็นส่วนตัวแทน พร้อมตั้งเป้าให้แล้วเสร็จภายใน 90 วัน อีกทั้งยังได้ อเล็กซ์ สเตโมส (Alex Stamos) อดีตหัวหน้ารักษาความปลอดภัยของเฟซบุ๊กมาร่วมงานในฐานะที่ปรึกษาด้วย 

       ปัจจุบันถ้าใครอัพเดต Zoom อยู่เรื่อยๆ จะเห็นว่าเครื่องไม้เครื่องมือสำหรับป้องกันความปลอดภัยเริ่มเพิ่มเข้ามาแล้ว ซึ่งเบื้องต้นผู้ใช้งานเองก็ไม่ควรแชร์ลิงก์สำหรับเข้าร่วมประชุมลงในโซเชียลมีเดีย หรือพื้นที่สาธารณะ นอกจากนั้นก็ควรตั้งรหัสในการเข้าร่วมประชุม และล็อกห้องประชุมเมื่อผู้เข้าประชุมมากันครบถ้วน 

 


ที่มา:

แบ่งปันเรื่องราวนี้:
เรื่องโดย

สุธามาส ทวินันท์

อินโทรเวิร์ตที่ผ่อนคลายชีวิตด้วยแสงอาทิตย์ยามเย็น