"ขูดข้อมูล" : คุยกับแฮกเกอร์ผู้เสนอขายข้อมูลผู้ใช้ LinkedIn 700 ล้านคน ในราคา 1.6 แสนบาท

linked in logo

ที่มาของภาพ, NurPhoto

    • Author, โจ ไทดี
    • Role, ผู้สื่อข่าวไซเบอร์

คุณใส่รายละเอียดส่วนตัวของคุณในโปรไฟล์ทางโซเชียลมีเดียมากแค่ไหน

ชื่อ สถานที่ อายุ ตำแหน่งงาน สถานะสมรส รูปหน้า ?

แต่ละคนมีระดับความสบายใจต่างกันต่อชนิดของข้อมูลส่วนตัวที่อยากเปิดเผย

แต่คนส่วนใหญ่ยอมรับว่า ไม่ว่าจะใส่อะไรลงไปในโปรไฟล์สาธารณะของเรา มันก็อยู่ในพื้นที่สาธารณะไปแล้ว

คุณจะรู้สึกอย่างไร ถ้าแฮกเกอร์นำข้อมูลทุกอย่างของคุณไปจัดประเภท และใส่ไว้ในตารางขนาดใหญ่ที่มีข้อมูลของคนนับล้านอยู่เพื่อนำไปขายทางออนไลน์ให้แก่อาชญากรไซเบอร์ที่ยอมจ่ายเงินซื้อในราคาสูง

นั่นคือสิ่งที่แฮกเกอร์ที่เรียกตัวเองว่า "ทอม ไลเนอร์" ทำ "เอามัน" เมื่อเดือนที่แล้ว ตอนที่เขารวบรวมข้อมูลผู้ใช้งาน LinkedIn 700 ล้านคนจากทั่วโลก ตอนนี้เขาเสนอขายข้อมูลเหล่านี้ในราคา 5,000 ดอลลาร์สหรัฐ (ประมาณ 163,000 บาท)

เหตุการณ์นี้ รวมถึงกรณีการ "ขูดข้อมูล" ทางโซเชียลมีเดียอื่น ๆ ที่คล้ายคลึงกัน ทำให้เกิดการถกเถียงกันว่า ข้อมูลพื้นฐานที่เราเปิดเผยต่อสาธารณะบนหน้าโปรไฟล์ของเรา ควรจะได้รับการคุ้มครองให้ดีกว่านี้หรือไม่

08.57 น. ตามเวลาในสหราชอาณาจักร โพสต์ขายข้อมูลดังกล่าวปรากฏขึ้นในเว็บไซต์ฉาวเกี่ยวกับการแฮ็ก

Skip ได้รับความนิยมสูงสุด and continue reading
ได้รับความนิยมสูงสุด

End of ได้รับความนิยมสูงสุด

ถือเป็นเวลาที่ค่อนข้างประหลาดสำหรับแฮกเกอร์ แต่เราไม่รู้ว่าแฮกเกอร์ที่เรียกตัวเองว่า "ทอม ไลเนอร์" คนนี้อยู่ในเขตเวลาไหน

"สวัสดีครับ ผมมีข้อมูล LinkedIn ปี 2021 ของผู้ใช้ 700 ล้านคน" เขาเขียน

นอกจากนี้ยังแปะลิงก์ตัวอย่างข้อมูลของผู้ใช้ 1 ล้านคน ไว้ในโพสต์นั้นด้วย เขาได้เชิญชวนให้แฮกเกอร์รายอื่น ๆ ติดต่อเขาเป็นการส่วนตัวเพื่อเสนอราคาสำหรับซื้อขายฐานข้อมูลนั้น

ลูกค้าพอใจ

เป็นที่เข้าใจได้ว่า การขายข้อมูลนี้เป็นเรื่องที่ค่อนข้างน่าดึงดูดใจในวงการแฮกเกอร์ และทอมบอกผมว่า เขากำลังขายข้อมูลนี้ให้กับลูกค้าที่พึงพอใจ "หลายคน" ในราคา 5,000 ดอลลาร์สหรัฐ (ประมาณ 163,000 บาท)

เขาไม่บอกว่า ใครคือลูกค้าเขาบ้าง หรือทำไมลูกค้าจึงต้องการข้อมูลเหล่านี้ บอกแค่ว่า ข้อมูลนี้น่าจะถูกนำไปใช้ในการประสงค์ร้ายต่อไป

ข่าวนี้ยังทำให้วงการความมั่นคงในโลกไซเบอร์และความเป็นส่วนตัวถกเถียงกันอย่างเผ็ดร้อนว่า เราควรกังวลเกี่ยวกับแนวโน้มการขโมยข้อมูลขนาดใหญ่ที่กำลังขยายตัวขึ้นนี้หรือไม่

ฐานข้อมูลเหล่านี้ไม่ได้เกิดขึ้นจากการบุกรุกเข้าไปในเซิร์ฟเวอร์หรือเว็บไซต์ของเครือข่ายโซเชียล

ส่วนใหญ่มาจากการเก็บข้อมูลที่อยู่บนแพลตฟอร์มที่เปิดให้สาธารณชนเข้าถึง โดยการใช้โปรแกรมอัตโนมัติในการเก็บข้อมูลทุกอย่างที่ผู้ใช้งานเปิดเผย

ตามทฤษฎีแล้ว ข้อมูลส่วนใหญ่ที่ถูกรวบรวมขึ้นมา เราอาจหาได้ด้วยการเข้าไปเอามาจากหน้าโปรไฟล์โซเชียลมีเดียของแต่ละคน แต่แน่นอนว่า คงจะต้องใช้เวลาหลายชั่วชีวิต ในการรวบรวมข้อมูลให้ได้มากเท่ากับที่แฮกเกอร์สามารถทำได้

ในปีนี้ยังมีเหตุการณ์ "ขูดข้อมูล" ขนาดใหญ่เกิดขึ้นอีก 3 ครั้ง :

  • ในเดือน เม.ย. แฮกเกอร์รายหนึ่งได้ขายฐานข้อมูลอีกชุดหนึ่งของผู้ใช้งาน 500 ล้านคนที่ขูดมาจาก LinkedIn
  • ในสัปดาห์เดียวกัน แฮกเกอร์อีกคนได้โพสต์แจกฐานข้อมูลที่ขูดมาจากโปรไฟล์คลับเฮาส์ 1.3 ล้านบัญชี
  • ในเดือน เม.ย. เช่นเดียวกัน มีการรวบรวมข้อมูลรายละเอียดของผู้ใช้งานเฟซบุ๊ก 500 ล้านคน ด้วยการขูดข้อมูลแบบเก่าและแบบใหม่ ก่อนที่จะมีการนำข้อมูลเหล่านี้ไปแจกฟรีในเว็บไซต์ของพวกแฮกเกอร์แลกกับการรับบริจาคเงิน
มาร์ก ซักเคอร์เบิร์ก ผายมือระหว่างการพูดบนเวที

ที่มาของภาพ, Getty Images

คำบรรยายภาพ, เฟซบุ๊กเผชิญกับการขูดข้อมูลเช่นกัน โดยมีข้อมูลผู้ใช้งาน 533 ล้านคน ได้รับผลกระทบ

แฮกเกอร์ที่ขูดฐานข้อมูลของเฟซบุ๊กเป็นฝีมือของ "ทอม ไลเนอร์"

ผมสนทนากับทอมเป็นเวลานานกว่า 3 สัปดาห์ผ่านแอปเทเลแกรม มีการส่งข้อความบางส่วนและการพยายามโทรมาคุยในช่วงกลางดึก และอีกหลายครั้งในช่วงเวลาทำงาน แต่ไม่รู้ว่าเขาอยู่ที่ไหน

เบาะแสเดียวเกี่ยวกับชีวิตปกติของเขาคือ ตอนที่เขาบอกว่า เขาไม่สามารถคุยทางโทรศัพท์ได้ เพราะภรรยาของเขากำลังนอนอยู่ และเขาทำงานในช่วงกลางวัน ส่วนการแฮ็กเป็น "งานอดิเรก" ของเขา

"งานซับซ้อนมาก"

ทอมบอกผมว่า เขาได้สร้างฐานข้อมูลผู้ใช้งาน LinkedIn 700 ล้านคนขึ้นมาโดยการใช้ "เทคนิคเกือบแบบเดียวกันทั้งหมด" ที่เขาใช้ในการสร้างฐานข้อมูลเฟซบุ๊ก

คลับเฮาส์ (Clubhouse)

ที่มาของภาพ, NurPhoto

คำบรรยายภาพ, มีการขูดข้อมูลผู้ใช้งานคลับเฮาส์ 1.3 ล้านคน

"ผมใช้เวลานานหลายเดือนในการทำเรื่องนี้ มันซับซ้อนมาก ผมต้องแฮ็ก API ของ LinkedIn ก่อน จากนั้น ถ้าคุณร้องขอข้อมูลผู้ใช้งานหลายคนมากเกินไปในเวลาเดียวกัน ระบบจะห้ามคุณเข้ามาเป็นการถาวร" เขากล่าว

API ย่อมาจาก Application Programming Interface ซึ่งหมายถึงการเชื่อมต่อจากระบบหนึ่งไปสู่อีกระบบหนึ่ง เพื่อให้ซอฟต์แวร์ภายนอกเข้าถึงและอัปเดตข้อมูลนั้น ๆ ได้ แต่ยังอยู่ในขอบเขตที่ถูกกำหนดไว้ เครือข่ายโซเชียลส่วนใหญ่ขายสิทธิการเป็นหุ้นส่วนใน API เพื่อให้บริษัทอื่น ๆ เข้าถึงข้อมูล เพื่อนำไปสร้างแอปพลิเคชันหรือทำการตลาด เป็นต้น

ไพรเวซี ชาร์ก (Privacy Shark) ซึ่งได้ค้นพบการขายฐานข้อมูลเป็นคนแรก ได้ตรวจสอบตัวอย่างข้อมูลที่มีการแจกฟรี และพบว่า ข้อมูลเหล่านั้นประกอบด้วย ชื่อเต็ม, อีเมล, เพศ, หมายเลขโทรศัพท์ และข้อมูลการทำงาน

"ไม่ใช่การละเมิด"

LinkedIn ระบุว่า จากหลักฐานที่พวกเขามี ระบุว่า ทอม ไลเนอร์ ไม่ได้ใช้ API ของพวกเขา แต่ยืนยันว่า ชุดข้อมูลดังกล่าว "มีข้อมูลที่ขูดจาก LinkedIn รวมถึงข้อมูลที่ได้จากแหล่งอื่น ๆ"

พวกเขาระบุต่อว่า "นี่ไม่ใช่การละเมิดข้อมูลของ LinkedIn และไม่มีข้อมูลส่วนตัวของสมาชิก LinkedIn ถูกเปิดเผย การขูดข้อมูลจาก LinkedIn เป็นการละเมิดเงื่อนไขการใช้บริการของเรา และเรายังทำงานอย่างต่อเนื่องเพื่อให้มั่นใจว่า ความเป็นส่วนตัวของสมาชิกของเราได้รับการคุ้มครอง"

ขณะที่เฟซบุ๊กระบุว่า ความกังวลเรื่องข้อมูลในเดือน เม.ย. เป็นการขูดข้อมูลเก่า

อย่างไรก็ตาม การที่แฮกเกอร์กำลังนำฐานข้อมูลเหล่านี้ไปหากินกำลังสร้างความกังวลใจให้กับผู้เชี่ยวชาญด้านไซเบอร์บางส่วน

"ข้อมูลที่ซับซ้อนถูกขโมย"

อามีร์ ฮัดซีพาซิก ผู้ก่อตั้งและประธานเจ้าหน้าที่บริหารของ เอสโอเอส อินเทลลิเจนซ์ ได้ตรวจสอบเว็บไซต์ของแฮกเกอร์ทั้งวันทั้งคืน เมื่อมีข่าวเกี่ยวกับฐานข้อมูล LinkedIn 700 ล้านคน เขาและทีมงานก็เริ่มวิเคราะห์ข้อมูลนี้

"การรั่วไหลขนาดใหญ่อย่างเรื่องนี้มีความน่ากังวล เมื่อพิจารณาว่ามีข้อมูลที่ซับซ้อนบางส่วนในฐานข้อมูลนี้ อย่างเรื่องที่ตั้งตามภูมิศาสตร์ หรือ หมายเลขโทรศัพท์มือถือส่วนตัว และอีเมล"

เขาบอกว่า "สำหรับคนส่วนใหญ่ อาจจะรู้สึกประหลาดใจที่บริการเสริม API เหล่านี้ครอบครองข้อมูลจำนวนมากไว้"

ทอม ไลเนอร์ บอกว่า เขารู้ว่า ฐานข้อมูลของเขา น่าจะถูกนำไปใช้ในการโจมตีที่ประสงค์ร้าย

เขากล่าวว่า มัน "ทำให้เขารำคาญใจ" แต่เขาไม่ได้บอกว่า ทำไมเขายังคงปฏิบัติการขูดข้อมูลต่อไป

อามีร์ บอกว่า บรรดาแฮกเกอร์ที่กำลังซื้อข้อมูลของ LinkedIn อาจใช้ข้อมูลเหล่านี้ในการแฮ็กอย่างเจาะจงเป้าหมายที่เป็นคนระดับสูงอย่าง ผู้บริหารบริษัท เป็นต้น

เขายังบอกด้วยว่า อีเมลที่ยังมีการใช้งานอยู่จำนวนมากในฐานข้อมูลนี้สามารถถูกนำไปใช้ในการส่งข้อมูลหลอกลวงได้

"ข้อมูลเปิดเผย"

แต่ ทรอย ฮันต์ ผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์ ซึ่งงานส่วนใหญ่ที่เขาทำคือการนำเนื้อหาเกี่ยวกับฐานข้อมูลที่ถูกแฮ็กใส่ลงในเว็บ haveibeenpwned.com ซึ่งเป็นเว็บไซต์ของเขา ระบุว่า เขาไม่ค่อยกังวลเกี่ยวกับเหตุการณ์ขูดข้อมูลที่เกิดขึ้นเมื่อไม่นานนี้นัก และบอกว่า เราจำเป็นต้องยอมรับว่า นี่คือส่วนหนึ่งของการเปิดเผยข้อมูลต่อสาธารณชน

"นี่ไม่ใช่การทำผิด ข้อมูลส่วนใหญ่เปิดเผยอยู่แล้ว"

"แต่คำถามที่ต้องถามในแต่ละกรณีคือ ผู้ใช้งานต้องการให้สาธารณชนเข้าถึงมากน้อยแค่ไหน และคาดว่าสาธารณชนจะเข้าถึงข้อมูลนี้มากน้อยแค่ไหน" ทรอย กล่าว

ทรอยเห็นด้วยกับอามีร์ว่า จำเป็นต้องมีการพัฒนาการควบคุมโปรแกรม API ของเครือข่ายโซเชียล และบอกว่า เราไม่สามารถปฏิเสธเหตุการณ์เหล่านี้ได้

"ผมเห็นด้วยกับท่าทีของเฟซบุ๊กและคนอื่น ๆ แต่ผมรู้สึกว่า การตอบว่า 'นี่ไม่ใช่ปัญหา' ซึ่งอาจจะถูกในทางหลักการ ยังขาดความรู้สึกถึงการเห็นคุณค่าของข้อมูลผู้ใช้งานอยู่ และบางทีอาจจะไม่ได้ให้ความสำคัญกับบทบาทของตัวเองในการสร้างฐานข้อมูลเหล่านี้มากนัก"

การกระทำของทอมน่าจะทำให้เครือข่ายโซเชียลฟ้องร้องเขาได้ฐานขโมยทรัพย์สินทางปัญญา หรือละเมิดลิขสิทธิ์

แต่เมื่อถูกถามว่า เขากังวลเกี่ยวกับการถูกจับกุมตัวหรือไม่ เขาบอกว่า ไม่มีใครสามารถหาตัวเขาพบ และจบการสนทนาด้วยการบอกว่า "ขอให้มีช่วงเวลาที่ดี"