ความเป็นส่วนตัวคืออะไร เมื่อเว็บไซต์ยอดนิยมแอบตามความเคลื่อนไหวของผู้ใช้ตลอด

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Princeton University ออกมาแจ้งเตือนผู้ใช้ถึงการละเมิดความเป็นส่วนบุคคลแบบเนียนๆ ชี้พบ 482 เว็บไซต์จาก 50,000 เว็บไซต์ยอดนิยมที่จัดอันดับโดย Alexa มีการบันทึกความเคลื่อนไหวของผู้ใช้ตลอดเวลา ไม่ว่าจะเป็นข้อมูลการพิมพ์หรือการเลื่อนเมาส์ เพื่อนำไปวิเคราะห์พฤติกรรมเชิงลึก

Credit: ShutterStock.com

ในธุรกิจการทำ Analytics นั้น การเก็บข้อมูลความเคลื่อนไหวของผู้ใช้แบบนี้ถูกเรียกว่า Session Replay ซึ่งผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายฝ่ายออกมาแสดงความกังวัลว่า แฮ็กเกอร์อาจสามารถดักฟังข้อมูลที่ส่งกลับไปยังไซต์ต้นทาง หรือขโมยข้อมูลออกมาจากระบบ Analytics ที่ไม่มั่นคงปลอดภัย เพื่อดึงข้อมูลความลับของผู้ใช้ออกมาได้ เรียกการโจมตีเหล่านี้ว่า Session-replay Attack

ทีมนักวิจัยระบุว่า ปัจจุบันมีผู้ให้บริการการบันทึกข้อมูลเซสชันของผู้ใช้มากมาย โดยสามารถเก็บข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต หมายเลขโทรศัพท์ เลขบัตรประชาชน วันเกิด และข้อมูลอื่นๆ ได้ ซึ่งบางผู้ให้บริการเก็บข้อมูลเหล่านี้บนแบบฟอร์มก่อนที่จะกดปุ่ม Submit เสียอีก หรือถ้าเลวร้ายสุดๆ ก็คือเก็บบันทึกความเคลื่อนไหวทุกครั้งหลังมีการเลื่อนเมาส์หรือกดแป้มพิมพ์ ยกตัวอย่างบริการ Analytics ที่พร้อมใช้ในรูปแบบสคริปต์ ได้แก่ FullStory, Hotjar, Yandex และ Smartlook

ความเสี่ยงที่เกิดขึ้นกับการเก็บข้อมูลผู้ใช้ที่มากจนเกินไปนี้คือ ถ้าแฮ็กเกอร์สามารถเข้าถึงบัญชีที่ใช้เก็บข้อมูลเหล่านี้ของเว็บไซต์ได้ ก็จะทำให้ได้ข้อมูลส่วนบุคคล รวมไปถึงรหัสผ่านและหมายเลขบัตรเครดิตของผู้ใช้ทันที นอกจากนี้บริการ Analytics หลายรายการยังส่งข้อมูลในรูป HTTP ซึ่งไม่มีการเข้ารหัส ส่งผลให้แฮ็กเกอร์สามารถดักฟังและขโมยข้อมูลไปได้ง่าย

ตัวอย่างเว็บไซต์ที่ใช้สคริปต์ในการบันทึกข้อมูลเซสชันของผู้ใช้ ได้แก่ Yandex, Microsoft, Adobe, GoDaddy, Spotify, WordPress, Reuters, Comcast, TMZ และอื่นๆ ผู้ที่สนใจสามารถดูรายชื่อทั้ง 482 เว็บไซต์ได้ที่ https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html

ที่มา: https://www.bleepingcomputer.com/news/technology/popular-websites-are-recording-your-every-move/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NIST อัปเดต Cybersecurity Framework เวอร์ชัน 1.1

ภายในงาน RSA Conference 2018 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐฯ (NIST) ประกาศเปิดตัว Cybersecurity Framework 1.1 เวอร์ชันใหม่ล่าสุด อัปเดตเนื้อหาให้สอดคล้องกับภัยคุกคามไซเบอร์ในปัจจุบัน องค์กรทุกระดับสามารถดาวน์โหลดไปใช้ได้ฟรี

พบมัลแวร์ Ad Blockers บน Chrome Store ผู้ใช้กว่า 20 ล้านคนเสี่ยงถูกแฮ็ก

Andrey Meshkov นักวิจัยด้านความมั่นคงปลอดภัยและผู้ก่อตั้ง Adguard ออกมาแจ้งเตือนถึงมัลแวร์ Ad Blockers จำนวน 5 รายการบน Chrome Store ซึ่งขณะนี้มีผู้ใช้กว่า 20 ล้านคนโหลดไปใช้งาน …