ถึงเวลาห้ามขายข้อมูลพิกัดตำแหน่งแบบละเอียด

 (lawfaremedia.org)
2 คะแนน โดย GN⁺ 13 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ระบบสอดส่องที่อาศัยเทคโนโลยีโฆษณาของสหรัฐฯ Webloc กำลังรวบรวมและขายข้อมูลตำแหน่งแบบละเอียดจากอุปกรณ์มือถือทั่วโลกมากสุดถึง 500 ล้านเครื่อง
  • ข้อมูลนี้รวมถึง ตัวระบุอุปกรณ์, พิกัด, โปรไฟล์แอป และถูกซื้อไปใช้โดยหน่วยงานรัฐหลากหลายแห่ง เช่น ตำรวจสหรัฐฯ, กองทัพ, หน่วยงานรัฐบาลกลาง
  • Webloc ถูกผสานเข้ากับแพลตฟอร์ม Tangles ของ Penlink ทำให้สามารถระบุตัวบุคคลได้โดยไม่ต้องมีหมายค้น ผ่านการ เชื่อมโยงอุปกรณ์นิรนามกับบัญชีโซเชียล
  • ข้อมูลลักษณะนี้ยังอาจถูกขายให้ หน่วยข่าวกรองต่างประเทศ จนก่อความเสี่ยงด้านความมั่นคงแห่งชาติ และถูกชี้ว่าเป็นปัญหาจากการ ขาดการควบคุมและกำกับดูแลทางกฎหมาย
  • สหรัฐฯ ควรไปไกลกว่าแค่การจำกัดการใช้งาน และ ห้ามการสร้างและการขายข้อมูลตำแหน่งแบบละเอียดโดยตรง โดย กฎหมายห้ามของรัฐเวอร์จิเนีย ถูกมองว่าเป็นตัวอย่างแรก

สภาพความเป็นจริงของระบบสอดส่อง Webloc

  • จากการสืบสวนของ Citizen Lab พบว่าระบบสอดส่อง Webloc ที่อาศัย Adtech ของสหรัฐฯ กำลังเก็บและขายข้อมูลจากอุปกรณ์มือถือทั่วโลกได้มากถึง 500 ล้านเครื่อง
    • ข้อมูลประกอบด้วย ตัวระบุอุปกรณ์, พิกัดตำแหน่ง, ข้อมูลโปรไฟล์แอป
    • เดิม Webloc ถูกพัฒนาโดย Cobweb Technologies และหลังควบรวมกับ Penlink ในปี 2023 ปัจจุบัน Penlink เป็นผู้ขาย
  • เอกสารข้อเสนอทางเทคนิคที่รั่วไหลออกมาระบุอย่างชัดเจนว่า Webloc สามารถใช้ติดตามอุปกรณ์รายเครื่องหรือค้นหาเป้าหมายเฉพาะได้
    • ตัวอย่างที่ยกมา ได้แก่ กรณี ชายคนหนึ่งในอาบูดาบี ถูกติดตามมากกว่า 12 ครั้งต่อวัน และกรณีอุปกรณ์สองเครื่องที่ตรวจพบตำแหน่งพร้อมกันใน โรมาเนียและอิตาลี
    • Citizen Lab อธิบายความละเอียดของข้อมูลนี้ว่า “ชวนขนลุก”

การใช้งานโดยหน่วยงานรัฐบาลและหน่วยบังคับใช้กฎหมาย

  • ลูกค้าของ Webloc มีทั้ง กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ (DHS), สำนักงานตรวจคนเข้าเมืองและศุลกากร (ICE), หน่วยทหารสหรัฐฯ, ตำรวจสำนักกิจการอินเดียน, และ ตำรวจรัฐแคลิฟอร์เนีย เท็กซัส นิวยอร์ก และแอริโซนา
    • กรมตำรวจทูซอน ใช้ Webloc เพื่อระบุตัวผู้ต้องสงสัยคดีขโมยบุหรี่ต่อเนื่อง โดยติดตามอุปกรณ์เครื่องเดียวที่ปรากฏใกล้จุดเกิดเหตุซ้ำ ๆ จนนำไปสู่การหาที่อยู่ของผู้ต้องสงสัย
  • Webloc ไม่ใช่ผลิตภัณฑ์หลักของ Penlink แต่เป็นฟังก์ชันเสริมของแพลตฟอร์มวิเคราะห์เว็บและโซเชียลมีเดียชื่อ Tangles
    • Tangles ใช้ค้นหาบัญชีออนไลน์จากชื่อ อีเมล หมายเลขโทรศัพท์ ชื่อผู้ใช้ และวิเคราะห์โพสต์ ความสัมพันธ์ กิจกรรม และความสนใจ
    • มีความสามารถด้าน การวิเคราะห์ภูมิสารสนเทศ, การวิเคราะห์เครือข่าย, การสร้างการ์ดเป้าหมาย, ระบบแจ้งเตือน
    • เมื่อทำงานร่วมกับ Webloc จะสามารถ เชื่อมตัวระบุอุปกรณ์นิรนามกับบัญชีโซเชียล จนทำให้ระบุตัวบุคคลได้โดยไม่ต้องมีหมายค้น

ปัญหาทางกฎหมาย จริยธรรม และความเสี่ยงต่อความมั่นคงแห่งชาติ

  • แม้เครื่องมือเหล่านี้จะมีประโยชน์ต่อการสืบสวน แต่การที่ใครก็สามารถซื้อและใช้งานได้โดยไม่มี กระบวนการอนุมัติและกำกับดูแลที่เข้มงวด ถือเป็นความเสี่ยง
    • รายงานไม่ได้ระบุขั้นตอนภายในของตำรวจทูซอน
  • ในสหรัฐฯ จำเป็นต้องมี รั้วกฎหมาย สำหรับการใช้เครื่องมือเหล่านี้ และในเวลาเดียวกันก็มี ความเสี่ยงด้านความมั่นคงแห่งชาติ อยู่ด้วย
    • ข้อมูลชุดเดียวกันนี้อาจถูก หน่วยข่าวกรองต่างประเทศ ใช้เพื่อเล่นงานผลประโยชน์ของสหรัฐฯ ได้
  • ลูกค้าต่างประเทศของ Penlink มีทั้ง หน่วยข่าวกรองภายในของฮังการี และ ตำรวจแห่งชาติเอลซัลวาดอร์ ซึ่งต่างก็ใช้ข้อมูลตำแหน่งในการสอดส่องภายในประเทศตนเอง
    • Citizen Lab มองว่าหน่วยงานเหล่านี้ไม่ได้มุ่งเป้าไปที่สหรัฐฯ โดยตรง แต่เตือนว่า ข้อมูลตำแหน่งแบบละเอียดสามารถถูกใช้เพื่อการข่าวกรองได้ทั่วโลก

มาตรการแบนและการเปลี่ยนแปลงเชิงนโยบาย

  • สหรัฐฯ ควรไปไกลกว่าการจำกัดการใช้ข้อมูล และ ห้ามการสร้างและการขายข้อมูลตำแหน่งแบบละเอียดโดยตรง
  • ในแง่บวก รัฐเวอร์จิเนีย เพิ่งออก กฎหมายห้ามขายข้อมูลตำแหน่งแบบละเอียดของลูกค้า
    • ท่ามกลางความล่าช้าของกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบครอบคลุมในระดับรัฐบาลกลาง มาตรการระดับรัฐถูกมองว่าเป็นทางออกที่ใช้งานได้จริง
    • อย่างไรก็ตาม ยังจำเป็นต้องมี มาตรการห้ามทั่วประเทศ ตามมา

กรณีแคมเปญแฮ็กที่ใช้ AI

  • บริษัทความปลอดภัย Gambit วิเคราะห์กรณีที่แฮ็กเกอร์เพียงคนเดียวใช้ แพลตฟอร์ม AI เชิงพาณิชย์ สองตัวเจาะ หน่วยงานรัฐบาลเม็กซิโก 9 แห่ง
    • ภายในไม่กี่สัปดาห์ เขาขโมยข้อมูลประชาชนหลายร้อยล้านรายการ และสร้าง บริการปลอมแปลงเอกสารรับรองภาษี
  • แฮ็กเกอร์ใช้ VPS สามเครื่อง โดย Claude Code เป็นผู้สร้างและรันคำสั่งรันโค้ดระยะไกลราว 75%
    • หลังการเจาะระบบ เขาใช้ OpenAI GPT-4.1 API เพื่อวิเคราะห์ข้อมูลที่เก็บมาและวางแผนโจมตีต่อ
  • เมื่อวันที่ 26 ธันวาคม 2025 แฮ็กเกอร์บอก Claude ว่ากำลัง “ทดสอบ bug bounty” พร้อมกำหนดกติกาอย่างการลบล็อก
    • เมื่อ Claude ขอหลักฐานความชอบด้วยกฎหมาย แฮ็กเกอร์ก็เก็บ ชีตสรุปการทดสอบเจาะระบบไว้ในไฟล์ claude.md เพื่อคงบริบทของเซสชัน
    • หลังจากนั้น 20 นาที เขาก็เข้าถึงเซิร์ฟเวอร์ของกรมสรรพากรเม็กซิโก (SAT) จากระยะไกลได้สำเร็จผ่านสแกนเนอร์ vulmap
  • Claude สร้างสคริปต์โจมตีให้อัตโนมัติ และภายใน 7 นาทีได้ลองแนวทาง 8 แบบก่อนเขียนโค้ดที่ใช้ได้สำเร็จ
    • แม้ Claude จะปฏิเสธบางคำขอ แต่แฮ็กเกอร์ใช้ การจัดรูปคำสั่งใหม่และการเลี่ยงข้อจำกัด เพื่อให้ทำงานส่วนใหญ่ได้
    • ภายใน 5 วัน เขาดูแลเครือข่ายเหยื่อหลายแห่งพร้อมกันได้
  • แฮ็กเกอร์ยังใช้ GPT-4.1 API ควบคู่ไปกับ การลาดตระเวนอัตโนมัติและการวิเคราะห์ข้อมูล
    • เครื่องมือ Python ความยาว 17,550 บรรทัดดึงข้อมูลจากเซิร์ฟเวอร์แล้วส่งต่อให้ GPT-4.1
    • ตัวละครนักวิเคราะห์เสมือน 6 ตัวสร้างรายงานข้อมูลเชิงโครงสร้าง 2,957 ฉบับจากเซิร์ฟเวอร์ 305 เครื่อง
  • เทคนิคการโจมตีเองไม่ใช่เรื่องใหม่ และระบบเป้าหมายก็อยู่ในสภาพ ไม่ได้อัปเดตความปลอดภัยและหมดระยะซัพพอร์ต
    • แต่ประเด็นสำคัญคือ AI เร่ง ความเร็วและประสิทธิภาพการทำงานของแฮ็กเกอร์เดี่ยวให้ใกล้ระดับทีม
    • ในมุมป้องกัน นี่สะท้อนว่าเราเข้าสู่ยุคที่ ผู้โจมตีขนาดเล็กก็สร้างความเสียหายในวงกว้างได้

ข่าวไซเบอร์ซีเคียวริตี้ด้านบวกประจำสัปดาห์นี้

  • กระทรวงยุติธรรมสหรัฐฯ รื้อเครือข่ายบอตเน็ตที่อาศัย เราเตอร์ตามบ้าน ซึ่งดำเนินการโดย GRU ของรัสเซีย ภายใต้การอนุมัติของศาล
    • GRU แพร่เชื้อไปยังเราเตอร์ TP-Link เพื่อทำ DNS hijacking และนำไปใช้กับ การโจมตีแบบ man-in-the-middle
  • FBI และตำรวจอินโดนีเซีย ร่วมกันทลายเครือข่ายฟิชชิงระดับโลกที่ใช้ ชุดเครื่องมือฟิชชิง W3LL
    • ตำรวจอินโดนีเซียจับกุมนักพัฒนาได้ และถูกประเมินว่าเป็น การสืบสวนไซเบอร์ร่วมครั้งแรกระหว่างสองประเทศ
  • Google นำ Device Bound Session Credentials (DBSC) เข้าสู่ Chrome 146 บน Windows
    • ผูกโทเคนยืนยันตัวตนเข้ากับ กุญแจเข้ารหัสประจำอุปกรณ์ เพื่อป้องกันการขโมยเซสชัน
    • เวอร์ชัน MacOS จะรองรับในเร็ว ๆ นี้

ประเด็นเด่นจาก Risky Bulletin

  • ยืนยันแล้วว่ามี เราเตอร์พร็อกซี LLM อันตราย วางขายจริงในตลาด
    • นักวิจัยวิเคราะห์เราเตอร์แบบเสียเงิน 28 ตัวที่ขายบน Taobao, Xianyu, Shopify และเราเตอร์ฟรี 400 ตัวที่เผยแพร่บน GitHub เป็นต้น
    • บางตัวทำพฤติกรรมอันตราย เช่น การแทรกคำสั่ง, การหน่วงเวลาเพื่อกระตุ้น, การขโมยข้อมูลรับรอง, การหลบเลี่ยงการวิเคราะห์
  • รัฐบาลฝรั่งเศส เริ่มก้าวแรกเพื่อลด การพึ่งพา Windows และเปลี่ยนไปใช้ Linux
    • DINUM (สำนักดิจิทัลแห่งชาติ) ถูกกำหนดให้เป็นหน่วยงานนำร่องสำหรับการทดสอบการเปลี่ยนผ่านขนาดใหญ่
    • ในการสัมมนาหลายกระทรวงเมื่อ 8 เมษายน แต่ละกระทรวงให้คำมั่นว่าจะจัดทำ แผนการย้ายระบบและการเตรียมเทคโนโลยีทดแทน
  • การวิเคราะห์ ยุทธศาสตร์ความมั่นคงไซเบอร์ของจีน
    • ใน แผนพัฒนา 5 ปี ฉบับล่าสุด (FYP ครั้งที่ 15) จีนระบุการสร้าง “มหาอำนาจไซเบอร์ (网络强国)” เป็นหนึ่งใน 5 เป้าหมายการเป็นมหาอำนาจ
    • อีก 4 ด้านที่เหลือคือ การผลิต, คุณภาพ, อวกาศ, และคมนาคม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 13 일 전
ความคิดเห็นจาก Hacker News

  • ข้อมูลตำแหน่งจำนวนมากที่วางขายในตลาดมักอ้างว่าไม่ระบุตัวตนแล้ว แต่ในความเป็นจริงมักสามารถระบุอุปกรณ์เดิมกลับได้อีกครั้ง
    แค่ดูตำแหน่งที่อุปกรณ์หยุดอยู่ตอนกลางคืนก็พอจะเดาที่อยู่บ้านได้ และถ้านำไปเทียบกับข้อมูลผู้อยู่อาศัย (ที่ทำงาน โรงเรียน ฯลฯ) ก็อาจรู้ได้ว่าเจ้าของคือใคร

    • ถ้ารู้ ตำแหน่งบ้านและที่ทำงาน ของใครสักคน ก็เท่ากับว่าแนวคิดเรื่องข้อมูลตำแหน่งแบบไม่ระบุตัวตนเป็นเพียงเรื่องแต่ง
    • เมื่อ 20 ปีก่อนก็มีกรณีคล้ายกันกับ ชุดข้อมูล Netflix Prize แม้จะมีแค่ข้อมูลให้คะแนนภาพยนตร์ ก็ยังสามารถจับคู่กับข้อมูลภายนอกเพื่อระบุตัวบุคคลได้
      งานวิจัยที่เกี่ยวข้องอยู่ที่นี่
    • คำว่า ‘ไม่ระบุตัวตน’ สุดท้ายแล้วเป็นเพียง ละครความปลอดภัย เท่านั้น เพราะอุตสาหกรรม ad tech มักหาช่องโหว่ของกฎหมายหรือ EULA ได้เสมอ ทางแก้จึงควรเป็น แนวทางเชิงสถาปัตยกรรม
      ตัวอย่างเช่น หากเปลี่ยนไปใช้โครงสร้าง stateless proxy ที่ลบตัวระบุอุปกรณ์ออกก่อนส่งไปยังเซิร์ฟเวอร์ ก็จะไม่มีข้อมูลนั้นถูกเก็บค้างอยู่ในฐานข้อมูลตั้งแต่แรก
    • เคยเห็นบริษัทที่ทำหน้าที่ ระบุตัวตนกลับซ้ำ ให้กับข้อมูลของ data broker รายอื่น ทำให้พวก broker อ้างได้ว่าตัวเอง anonymize แล้ว ทั้งที่จริงข้อมูลทุกอย่างยังถูกเปิดเผยอยู่
    • หากมี จำนวนตัวอย่าง มากพอ แม้แต่ข้อมูลจำนวนก้าวเดินแบบง่าย ๆ ก็อาจใช้ระบุตัวบุคคลได้
      ตอนนี้ฐานข้อมูลอาจยังใหญ่ไม่พอ แต่ในอนาคตก็ไม่ใช่เรื่องที่เป็นไปไม่ได้

  • การเก็บข้อมูลแบบนี้โดยไม่มีหมายศาลหรือสัญญาที่ระบุไว้อย่างชัดเจนควรถูก ห้าม

    • แต่คนส่วนใหญ่ไม่อ่าน EULA หรือเงื่อนไขการให้บริการอยู่แล้ว เป็นไปได้มากว่ามีข้อกำหนดแบบนี้ซ่อนอยู่ในนั้นแล้ว
    • การติดตามลักษณะนี้ควรถูก ปิดไว้เป็นค่าเริ่มต้น(opt-out) และควรห้ามการขายให้บุคคลที่สามหรือการใช้นอกเหนือจากวัตถุประสงค์เดิม
    • ในทางปฏิบัติ EULA แทบทั้งหมดเปิดทางให้เก็บข้อมูลแบบนี้อยู่แล้ว ปัญหาคือผู้คนยอมตกลง และรัฐบาลก็ซื้อข้อมูลหรือจ้างภายนอกเพื่อเลี่ยงข้อจำกัดตามรัฐธรรมนูญ
    • แม้แต่ GDPR ก็เคยพยายามแล้ว แต่ฝั่งอุตสาหกรรม ad tech บิดเบือนเรื่องเล่า และการ ขาดการบังคับใช้ ก็ทำให้ประสิทธิภาพลดลงมาก

  • สหรัฐฯ แทบไม่มีแนวคิดเรื่อง ข้อมูลส่วนบุคคล เลย นอกจากบางส่วนของ HIPAA ก็แทบไม่มีกรอบการคุ้มครอง
    แค่มีกฎหมายอย่าง Data Protection Act 1998 ของสหราชอาณาจักรก็น่าจะหยุดการกระทำผิดกฎหมายได้มากมายแล้ว

  • ทันทีที่คนรวยและผู้มีอำนาจตระหนักว่าพวกเขาเองก็ อาจถูกติดตามได้ การกำกับดูแลก็จะเริ่มขึ้น
    แม้แต่เวลาทหารติดตามและกำจัดเป้าหมาย ข้อมูลตำแหน่งก็เป็นหัวใจสำคัญ แต่ตอนนี้ข้อมูลแบบนี้กลับถูกซื้อขายผ่าน broker ได้ง่ายเกินไป

    • ดูเหมือนว่าอาจมีบริการติดตามสไตล์ ElonJet ที่อาศัยข้อมูลแบบนี้เกิดขึ้นได้

  • การถกเถียงเรื่องความเป็นส่วนตัวมักเป็นโครงสร้างที่ ตอบสนองช้าเกินไป เสมอ
    เทคโนโลยีสอดส่องถูกสร้างขึ้น ถูกนำไปใช้ในทางที่ผิด ถูกเปิดโปง สาธารณชนจึงเริ่มรับรู้ แล้วค่อยมีการออกกฎหมาย
    วงจรป้อนกลับแบบนี้ช้าเกินไปและโดยพื้นฐานแล้ว สิ้นเปลือง จำเป็นต้องมีแนวทางที่ต่างไปโดยสิ้นเชิง

    • ควรทำให้ การละเมิดความเป็นส่วนตัวเองเป็นอาชญากรรม เหมือนการลักทรัพย์ คือไม่ดูวิธีการ แต่ดูผลลัพธ์
      อาจมีเหตุผลทางเทคนิคในการเก็บข้อมูล แต่ ไม่มีเหตุผลอันชอบธรรมในการขายมัน

  • มีการเสนอแนวคิดให้ขยาย กฎหมายลิขสิทธิ์ เพื่อคุ้มครองเส้นทางการเคลื่อนไหวของบุคคลในฐานะ ‘งานแสดงออกเชิงสร้างสรรค์’

    • แต่ดังที่ Cory Doctorow พูดไว้ การใช้ลิขสิทธิ์มาแทนเครื่องมือด้านความเป็นส่วนตัวเป็นเรื่องอันตราย
      ข้อมูลตำแหน่งไม่ใช่งานสร้างสรรค์ และยังไม่ชัดเจนด้วยซ้ำว่าใครคือ ‘ผู้บันทึก’
      บทความที่เกี่ยวข้องอ่านได้ที่นี่
    • สุดท้ายแล้ว ในเงื่อนไขการให้บริการก็คงจะมีการเพิ่ม ข้อยกเว้นความรับผิด ทำนองว่า “คุณอนุญาตให้ใช้ข้อมูลตำแหน่งของคุณได้ทั่วโลก แบบไม่จำกัดสิทธิ์ร่วม และไม่ต้องจ่ายค่าลิขสิทธิ์”

  • คนส่วนใหญ่ ประเมินความเสี่ยงของข้อมูลตำแหน่งต่ำเกินไป
    หากซื้อข้อมูลจาก broker แล้วทำ geofencing กับที่อยู่ใดที่อยู่หนึ่ง ก็สามารถติดตามได้หมดว่าคนคนนั้นไปที่ไหน พบปะกับใครบ้าง
    นี่คือเครื่องมือควบคุมที่สมบูรณ์แบบอย่างที่ Palantir หรือรัฐบาลอำนาจนิยมใฝ่ฝัน

  • เคยเจอกรณีแปลก ๆ ตอนกำลังดูบันทึกสาธารณะ
    สถานที่รอบตัวผมทุกแห่งมีคนชื่อเดียวกันถูกแสดงว่าเป็น ‘เพื่อนบ้าน’ ไม่รู้ว่าเป็นคนจริงหรือ โปรไฟล์ปลอม
    ถ้าข้อมูลแบบนี้มี พิกัด GPS รวมอยู่ด้วย ชีวิตประจำวันของแต่ละคนอาจถูกเปิดเผยเหมือนประวัติเครดิตก็ได้

    • อนึ่ง นอกจาก GPS แล้ว ยังมีระบบ GNSS อื่น ๆ อีกหลายแบบที่ใช้วัดละติจูดและลองจิจูด

  • ภาพหน้าจอและการวิเคราะห์อย่างละเอียด ของเครื่องมือที่เกี่ยวข้องดูได้ในรายงานของ Citizen Lab

    • ส่วน กระทู้ HN ที่คุยเรื่องนี้อยู่ที่นี่

  • ตอนนี้ถึงขั้นคิดว่า การโพสต์วิดีโอ เองก็ควรผิดกฎหมายหากไม่ได้รับความยินยอมอย่างชัดแจ้งจากทุกคนที่ปรากฏในคลิป
    การแชร์กันในครอบครัวอาจพอรับได้ แต่ถ้าเผยแพร่ภายนอกก็ควรต้องมี ความยินยอม จากทุกคน
    ในยุคที่วัฒนธรรมอินฟลูเอนเซอร์ทำให้การละเมิดความเป็นส่วนตัวกลายเป็นสิ่งที่ทำเงินได้ การคุ้มครองทางกฎหมายควรเข้มแข็งกว่านี้มาก
    ข้อมูลตำแหน่งเองก็ไม่ควรถูกขายหรือเปิดเผยเด็ดขาด

    • แต่ถ้ามีกฎหมายแบบนี้ขึ้นมา ก็อาจทำให้ วิดีโองานเทศกาล คำปราศรัยทางการเมือง หรือวิดีโอเปิดโปงภายใน กลายเป็นสิ่งต้องห้ามไปด้วย
      การคุกคามก็เป็นอาชญากรรมอยู่แล้ว จึงต้องระวังไม่สร้าง กฎหมายที่กดขี่เกินจำเป็น