เมื่อเพื่อนร่วมรุ่นขู่ด้วยข้อหาอาญาร้ายแรง
(miles.land)- นักศึกษาที่ตรวจสอบแอปโซเชียลนิรนาม Fizz ซึ่งกำลังได้รับความนิยมในแคมปัส Stanford ด้วยเจตนาดี พบว่าสามารถเข้าถึงฐานข้อมูลทั้งหมดแบบอ่านและเขียนได้ รวมถึงพบข้อมูลผู้ใช้และโพสต์ที่ไม่ได้ถูกทำให้เป็นนิรนาม
- นักวิจัยส่งรายงานการเปิดเผยช่องโหว่และข้อเสนอแนะในการแก้ไข และยังยอมรับช่วงเวลางดเปิดเผยต่อสาธารณะเพื่อให้ Fizz มีเวลาแก้ไข แต่ภายหลังการตอบสนองกลับกลายเป็น การข่มขู่ทางกฎหมาย
- Fizz อ้างถึงการละเมิดกฎหมายระดับรัฐและรัฐบาลกลาง ความรับผิดทางแพ่งและอาญา รวมถึงความเป็นไปได้ที่จะถูก จำคุก 20 ปี พร้อมเรียกร้องไม่ให้เปิดเผยสิ่งที่ค้นพบ
- นักวิจัยได้รับตัวแทนทางกฎหมายฟรีจาก Kurt Opsahl และ Andrew Crocker แห่ง Electronic Frontier Foundation และไม่ยอมจำนนต่อข้อเรียกร้องให้เงียบ
- แม้เป็นการวิจัยความปลอดภัยโดยสุจริต ก็ควรกำหนดวัตถุประสงค์ ขอบเขต และบันทึกการกระทำไว้ หลีกเลี่ยงการจัดเก็บข้อมูล การรั่วไหลของข้อมูล และการดัดแปลงบัญชี และเมื่อถูกข่มขู่ทางกฎหมายก็ปลอดภัยกว่าที่จะไม่รับมือเพียงลำพัง
ปัญหาความปลอดภัยที่พบใน Fizz
- แอปโซเชียลมีเดียนิรนามของสตาร์ทอัพนักศึกษา Stanford ชื่อ Fizz กำลังได้รับความนิยมในแคมปัส และแอปชูถ้อยคำในทำนองว่าใกล้เคียงกับ “100% secure”
- เนื่องจากเป็นพื้นที่ที่ผู้ใช้โพสต์เรื่องราวละเอียดอ่อน นักศึกษาที่สนใจด้านความปลอดภัยจึงต้องการตรวจสอบว่าข้อมูลดังกล่าวปลอดภัยจริงหรือไม่
- ภายในไม่กี่ชั่วโมง พวกเขาก็สามารถเข้าถึงฐานข้อมูลของ Fizz แบบ อ่านและเขียนได้ทั้งหมด
- ฐานข้อมูลเก็บข้อมูลผู้ใช้และโพสต์ไว้
- ข้อมูลดังกล่าวไม่ได้ถูก ทำให้เป็นนิรนาม อย่างสมบูรณ์
- นักวิจัยสรุปว่า Fizz แทบไม่มีมาตรการป้องกันด้านความปลอดภัย
จากการเปิดเผยอย่างรับผิดชอบสู่การข่มขู่ทางกฎหมาย
- นักวิจัยรวบรวมสิ่งที่ค้นพบเป็น รายงานการเปิดเผยช่องโหว่ แล้วส่งอีเมลให้ Fizz
- รายงานระบุปัญหาที่พบและข้อเสนอแนะในการแก้ไข และนักวิจัยยังตกลงล่วงหน้าว่าจะไม่พูดต่อสาธารณะก่อนวันงดเปิดเผยที่กำหนด เพื่อให้ Fizz มีเวลาแก้ไข
- ในตอนแรก Fizz ตอบกลับว่าขอบคุณสำหรับรายงาน และการแก้ไขปัญหาเป็นเรื่องสำคัญสูงสุด พร้อมส่งอัปเดตบางส่วนมาเป็นเวลาหลายสัปดาห์
- หลังจากนั้นท่าทีเปลี่ยนไป และส่งคำขู่ถึงนักวิจัยโดยอ้างถึงการละเมิดกฎหมายระดับรัฐและรัฐบาลกลาง รวมถึง ความรับผิดทางแพ่งและอาญา
- คำขู่รวมถึงความเป็นไปได้ที่จะถูก จำคุก 20 ปี
- ใจความสำคัญคือเรียกร้องไม่ให้เปิดเผยสิ่งที่ค้นพบ
- โครงสร้างคือ หากยอมเงียบ ก็จะไม่เดินหน้าดำเนินคดีทางกฎหมาย และกำหนดเส้นตายให้ตอบภายใน 5 วัน
- นักวิจัยมองว่านี่เป็นความพยายามข่มขู่เพื่อให้พวกเขาเงียบ
การสนับสนุนทางกฎหมายจาก EFF และการแก้ปัญหา
- นักวิจัยขอความช่วยเหลือจากเครือข่ายของตน และภายในไม่กี่วันก็ได้เชื่อมต่อกับ Kurt Opsahl และ Andrew Crocker จาก Electronic Frontier Foundation
- ทั้งสองตกลงเป็นตัวแทนให้นักวิจัยโดยไม่คิดค่าใช้จ่าย และนักวิจัยได้อธิบายกระบวนการเปิดเผยและเอกสารที่เกี่ยวข้องให้ทนายความฟัง
- หลังได้รับคำแนะนำทางกฎหมาย นักวิจัยตัดสินใจไม่ยอมจำนนต่อคำขู่ของ Fizz
- Kurt และ Andrew จัดทำคำตอบที่จะส่งให้ Fizz และหลังจากนั้นทีม Fizz ก็ขอนัดพบ
- ทั้งสองฝ่ายคลี่คลายสถานการณ์ได้อย่างราบรื่น และนักวิจัยกดดันให้ Fizz เปิดเผยปัญหาต่อผู้ใช้ในเชิงรุก
- ท้ายที่สุด Fizz ก็เปิดเผยปัญหาต่อผู้ใช้
หลักการที่นักวิจัยความปลอดภัยควรปฏิบัติตาม
- ต้องรักษาให้ การวิจัยมีความชอบธรรมและมีเอกสารประกอบ
- ก่อนเริ่มวิจัย ควรกำหนดวัตถุประสงค์ให้ชัดเจน และตรวจสอบว่าไม่ได้ข้ามเส้นจริยธรรม
- นักวิจัยไม่ได้จัดเก็บหรือทำให้ข้อมูลที่เข้าถึงได้รั่วไหล
- ไม่ได้ดัดแปลงบัญชีของผู้อื่น และไม่ได้ก่อความเสียหาย
- บันทึกงานทั้งหมดไว้อย่างละเอียด ซึ่งช่วยทั้งในการจัดทำรายงานการเปิดเผยช่องโหว่และการรับมือทางกฎหมาย
- จำเป็นต้อง ตอบสนองอย่างสุขุม
- แม้ได้รับการข่มขู่ทางกฎหมาย ก็ควรตอบสนองอย่างมืออาชีพ
- เป้าหมายคือแก้ไขสถานการณ์โดยไม่ทำให้ปัญหาบานปลาย
- การตอบอีเมลด้วยอารมณ์อาจทำลายโอกาสในการคลี่คลายอย่างราบรื่น
-
ควรหาทนายความ
- การพยายามจัดการคำขู่ทางกฎหมายด้วยตัวเองอาจเป็นความผิดพลาดครั้งใหญ่
- มองได้ว่า Fizz คาดหวังให้นักวิจัยยอมจำนนต่อคำขู่อย่างไร้เดียงสา
- แม้ไม่ใช่ทุกคนจะได้รับตัวแทนฟรีจาก EFF แต่ทรัพยากรสำหรับนักวิจัยความปลอดภัยโดยสุจริตกำลังเพิ่มขึ้น จึงควรนำมาใช้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ผมไม่ใช่ทนาย แต่ในเชิงอาชีพสนใจพื้นที่แปลก ๆ ของกฎหมายนี้ และดูเหมือนว่าทนายของ EFF จะยกข้อโต้แย้งที่ค่อนข้าง ฝืนไปหน่อย ในกรณีนี้
Fizz เป็นแอปพลิเคชันแบบไคลเอนต์/เซิร์ฟเวอร์ น่าจะเป็นเว็บแอป และสิ่งที่นักวิจัยทดสอบก็คือซอฟต์แวร์ที่รันอยู่บนเซิร์ฟเวอร์ของ Fizz
หลังจากพบช่องโหว่ นักวิจัยใช้กิจกรรมฐานข้อมูลที่ตนเข้าถึงได้เพื่อสร้างบัญชีผู้ดูแลระบบ และพวกเขาไม่เคยได้รับอนุญาตให้ทำการทดสอบนี้
ถ้าข้อเท็จจริงเหล่านี้ถูกต้อง เว้นแต่มีกฎหมายของรัฐ California ที่ผมไม่รู้จัก และถึงมีก็ดูเหมือนจะไม่มีความหมายเพราะกฎหมายรัฐบาลกลางมีอำนาจเหนือกว่า ผมมองว่าพวกเขาละเมิด CFAA ค่อนข้างตรงไปตรงมา ตรงข้ามกับข้ออ้างในคำตอบของ EFF
อย่างไรก็ดี มีอย่างน้อยสามปัจจัยที่ลดความเสี่ยงทางกฎหมายลง: จากสิ่งที่เปิดเผยต่อสาธารณะและพฤติกรรมหลังจากนั้น เห็นได้ชัดว่าเป็นการวิจัยความปลอดภัยโดยสุจริต จึงไม่น่าดึงดูดในฐานะเป้าหมายการฟ้องร้อง, ยังไม่ชัดว่ามีความเสียหายที่มีนัยสำคัญหรือไม่, และ Fizz เป็นบริษัทเล็กและเพิ่งเริ่มต้น จึงดูไม่น่าจะไปไกลถึงขั้นจ้างบริษัทนิติวิทยาศาสตร์ดิจิทัลหรือเคลมประกัน
นอกจากนี้ การที่ทนายของ Fizz ข่มขู่ว่าจะดำเนินคดีอาญาเพื่อพยายามบีบให้นักวิจัยยอมประนีประนอมในสิ่งที่มีค่า ก็เป็นการละเมิดกฎของสมาคมทนายความประจำรัฐตามที่ EFF ชี้ไว้
ในกรณีนี้ดูเหมือนว่าฝ่ายที่ดีจะชนะ แต่ผมระมัดระวังที่จะสรุปบทเรียนกว้างเกินไป ถ้านี่ไม่ใช่ Fizz แต่เป็นฟีเจอร์โซเชียลของ Dunder Mifflin Infinity ผลลัพธ์อาจเลวร้ายกว่านี้มาก
https://www.justice.gov/opa/pr/department-justice-announces-...
ขนาดของ “ความเสียหาย” ไปอยู่ในมือของเหยื่อ และเปิดโอกาสให้ระบบราชการขนาดใหญ่ใช้ทรัพยากรตามอำเภอใจ ซึ่งสำหรับองค์กรใหญ่เป็นเรื่องเล็กน้อยแต่เป็นจำนวนเงินที่มากในเชิงมูลค่าสัมบูรณ์ ก่อให้เกิด แรงจูงใจที่บิดเบือน ให้สิ้นเปลืองทรัพยากรเพื่อเอาผิดอย่างรุนแรงกับผู้กระทำที่ไม่สมบูรณ์แบบซึ่งทำให้ตนเสียหน้า
แม้มาตรการเช่นนั้นจะอยู่ในขอบเขตที่ชอบธรรม การผลักภาระค่าใช้จ่ายไปให้คนที่แจ้งให้ทราบถึงความจำเป็นนั้นก็ไม่เหมาะสมเช่นกัน หากคุณให้บริการสาธารณะโดยมีช่องโหว่ร้ายแรง ก็ควรประเมินความเป็นไปได้ว่าคนอื่นอาจนำไปใช้ในทางที่ผิด ไม่ว่าคนคนนี้จะทำตัวไม่เหมาะสมหรือไม่ก็ตาม
สาเหตุของค่าใช้จ่ายนั้นคือการกระทำของคุณเองที่ให้บริการที่เปราะบาง และแม้คุณจะค้นพบช่องโหว่นั้นเอง หากเป็นหลังจากเปิดให้บริการแล้ว ก็เป็นค่าใช้จ่ายที่คุณควรต้องแบกรับอยู่ดี
ความเสียหายที่ควรลงบัญชีให้จำเลยควรจำกัดอยู่แค่ความเสียหายที่ก่อขึ้นจริง เช่น กรณีใช้สิทธิ์เข้าถึงเพื่อเอาข้อมูลการเงินของลูกค้าแล้วไปทำการฉ้อโกงบัตรเครดิต
ถ้าการตั้งค่าแอปแย่มากจนเพียงแค่ทำตาม Firebase protocol ก็ได้สิทธิ์เขียนฐานข้อมูลแล้ว ก็สามารถโต้แย้งได้ง่ายว่าจริง ๆ แล้วไม่ได้หลบเลี่ยงมาตรการความปลอดภัยใด ๆ เพราะไม่มีมาตรการความปลอดภัยให้หลบเลี่ยงตั้งแต่แรก
ทำให้นึกถึงกรณีที่ AT&T เอาข้อมูลผู้สมัครใช้บริการดาต้า iPad ไปวางไว้บนหน้าเว็บที่ไม่ได้อยู่ในรายการเฉย ๆ ผมจำผลลัพธ์ไม่ได้ แต่เท่าที่รู้ ตอนนั้นฝ่ายที่เกี่ยวข้องพยายามกวาดข้อมูลให้ได้มากที่สุดเท่าที่จะทำได้ ซึ่งต่างจากกรณีนี้
ในบทความต้นฉบับดูเหมือนไม่มี “mea culpa” แต่ถึงโทนบทความจะออกแนวมีม ๆ แบบ “เชื่อไหมว่าคนพวกนี้พยายามทำอะไร?” ก็หวังว่าพวกเขาจะได้บทเรียนแล้ว
เจตนาดูเหมือนจะดี แต่ก็ดูเหมือนว่าพวกเขาละเมิดกฎหมายค่อนข้างชัดเจน
ปีที่แล้ว DOJ ได้อัปเดตนโยบายการฟ้องร้อง CFAA เพื่อไม่ให้ฟ้องร้องผู้ที่ทำ “การวิจัยความปลอดภัยโดยสุจริต” [1]
CFAA มีชื่อเสียในเรื่องขอบเขตที่กว้างมาก ดังนั้นนโยบายของ DOJ ยังห่างไกลจากการแก้กฎหมายให้ทำให้ความชอบด้วยกฎหมายของการวิจัยความปลอดภัยชัดเจนขึ้น
รัฐบาลชุดใหม่อาจเปลี่ยนนโยบายได้ จึงยังมีความเสี่ยงอยู่ แต่ก็เสี่ยงน้อยกว่าก่อนมีการประกาศเป็นทางการ
[1] https://www.justice.gov/opa/pr/department-justice-announces-...
เป็นเรื่องยากที่จะเข้าใจว่าทำไมในสัญญา หรือโดยเฉพาะในการสื่อสารทางกฎหมายที่มีลักษณะข่มขู่ ฝ่ายที่ร่างเอกสารจึงแทบไม่ต้องรับผลลัพธ์ใด ๆ แม้จะไม่ได้เขียนเนื้อหาให้ถูกต้อง
ผมเคยเห็นถ้อยคำในสัญญาจ้างงานทำนองว่า “แม้บางส่วนของสัญญานี้จะเป็นโมฆะ ส่วนที่เหลือจะไม่เป็นโมฆะตามไปด้วย” นายจ้างต้องการบังคับใช้กฎของตนเอง ซึ่งตัวมันเองก็สมเหตุสมผล แต่ต่อให้เขียนสิ่งที่ไม่อนุญาตลงไปก็ไม่มีผลเสียอะไร อย่างมากศาลก็แค่มองว่าข้อนั้นเป็นโมฆะ
ภาระตกอยู่กับผู้อ่าน และโดยทั่วไปผู้อ่านก็มักเป็นฝ่ายที่อ่อนแอกว่ามาก
ในกรณีนี้ก็เช่นกัน อะไรทำให้บริษัทส่งจดหมายข่มขู่ทำนองว่า “นายอาจติด เรือนจำของรัฐบาลกลาง 20 ปี เพราะเรื่องนี้ได้!” ทั้งที่เห็นชัดว่าเป็นเท็จ
ไม่ควรเป็นภาระของผู้เขียนหรือที่จะต้องรับประกันว่าเนื้อหาสมเหตุสมผล ถ้ามันเหลวไหลและพิสูจน์ได้ว่าผิด ก็ควรมีผลเสียที่หนักกว่า “อ้อ งั้นถือว่าไม่เคยเกิดขึ้น” ไม่ใช่หรือ
อะไรคือสิ่งพื้นฐานนั้น ก็อย่างที่คุณว่า ศาลเป็นผู้ตีความ
ในตัวอย่างสัญญาจ้างงาน การแยกส่วนได้กลับปกป้องคุณในฐานะปัจเจกด้วย เพราะแม้บางข้อจะเป็นโมฆะ ข้อตกลงส่วนที่เหลือ รวมถึงข้อที่คุ้มครองคุณ ก็ยังคงมีผลต่อไป
ถ้าสัญญาทั้งฉบับเป็นโมฆะ ก็ต้องเริ่มใหม่จากศูนย์โดยไม่มีอะไรเลย และคุณอาจเสียงานด้วย การมีความคุ้มครองอยู่บ้างย่อมดีกว่าไม่มีเลย
มันช่วยป้องกันไม่ให้ฝ่ายใดฝ่ายหนึ่งหลุดพ้นจากภาระผูกพันทางกฎหมายทั้งหมดด้วยเหตุผลทางเทคนิคเล็กน้อย หรือจงใจใส่ข้อกำหนดพิษที่ไม่น่าผ่านการตรวจสอบทางกฎหมายลงไป
ถ้าบางส่วนของสัญญาเป็นโมฆะ ส่วนนั้นก็ใช้ไม่ได้ หากความเป็นโมฆะของส่วนนั้นเปลี่ยนสัญญาโดยพื้นฐาน สัญญาทั้งฉบับก็เป็นโมฆะ ผมไม่แน่ใจว่าคุณต้องการอะไรไปมากกว่านี้
ฟังดูเหมือนคุณกำลังเสนอให้มีมาตรการลงโทษต่อการร่างสัญญาที่ไม่ดี ซึ่งดูเป็นความคิดที่ค่อนข้างแย่ เพราะอาจสร้างผลยับยั้งต่อการก่อรูปความสัมพันธ์ทางกฎหมายและธุรกิจทุกประเภท
ฝ่ายที่อ่อนแอกว่าซึ่งเข้าถึงผู้ร่างกฎหมายฝีมือดีได้ยาก อาจได้รับผลกระทบหนักกว่าด้วยซ้ำ ถ้าแม้แต่การเจรจาแก้ถ้อยคำในสัญญาก็กลายเป็นทุ่งระเบิดด้านความรับผิดสำหรับผู้เจรจา ภาระความรับผิดจะยิ่งไม่สมดุลกับผู้เล่นรายเล็กที่ต้องเผชิญหน้ากับทีมกฎหมายทั้งทีมไม่ใช่หรือ
ผมมองไม่ค่อยเห็นว่าโลกที่คุณจินตนาการไว้จะไม่สร้างความเสี่ยงที่มากขึ้นแก่คู่สัญญาฝ่ายที่อ่อนแอกว่า เมื่อเทียบกับปัจจุบันได้อย่างไร
ในบริบทที่สุจริต กฎหมายและบรรทัดฐานคดีเปลี่ยนแปลงเร็ว บางครั้งก็ขึ้นอยู่กับความแปรปรวนของผู้พิพากษา และยังมีขอบเขตกฎหมายจำนวนมากที่ไม่มีบรรทัดฐานคดีชัดเจนหรือมีแนวทางคลุมเครือ
ในกรณีเช่นนั้น การแยกส่วนได้ จึงสำคัญ เพื่อไม่ให้ต้องเจรจาสัญญาทั้งฉบับใหม่เพียงเพราะข้อกำหนดเล็ก ๆ ข้อหนึ่งยืนไม่อยู่ในศาล
เช่น ลองนึกถึงสัญญาจ้างงานที่มีข้อห้ามทำงานกับคู่แข่ง บริษัทสามารถใช้สัญญาฉบับเดียวกันได้ในทุกพื้นที่ และในรัฐที่ข้อห้ามทำงานกับคู่แข่งผิดกฎหมาย ข้อกำหนดเรื่องการแยกส่วนได้ก็ช่วยให้ไม่ต้องทำสัญญาแยกสำหรับแต่ละเขตอำนาจศาล
หากรัฐหนึ่งเคยอนุญาตข้อห้ามทำงานกับคู่แข่งในอดีต แล้วต่อมาผ่านกฎหมายห้าม ข้อตกลงจ้างงานทั้งหมดที่มีข้อห้ามทำงานกับคู่แข่งควรกลายเป็นโมฆะทันทีหรือ? แน่นอนว่าไม่ นั่นคือบทบาทของการแยกส่วนได้
ภัยคุกคามในต้นฉบับก็ยากจะรู้บริบท แต่อาจเป็นถ้อยคำทำนองว่า “การเข้าถึงเครือข่ายคอมพิวเตอร์ของเราโดยไม่ได้รับอนุญาตเป็นอาชญากรรมของรัฐบาลกลางภายใต้กฎหมาย XYZ และอาจมีโทษจำคุกสูงสุด 20 ปี”
สำหรับคนทั่วไปมันน่ากลัวมาก แต่ในทางเคร่งครัดก็ไม่ใช่เรื่องเท็จ และทนายส่วนใหญ่คงกลอกตาแล้วมองว่าเป็นเรื่องไร้สาระ แต่ถ้าใส่คำสงวนเงื่อนไขไว้เพียงพอ ก็ยากจะบอกว่าควรขีดเส้นตรงไหน
ท้ายที่สุด เอกสารแบบนี้มักเขียนโดยทนายด้วยภาษากฎหมายที่ไม่ได้ออกแบบมาสำหรับคนทั่วไป การใช้คำข่มขู่แบบนี้กับนักศึกษามหาวิทยาลัยเป็นเรื่องแย่มาก และทนายที่เขียนและส่งจดหมายนี้ในนามบริษัทก็เท่ากับให้คำแนะนำที่เลวร้ายอย่างยิ่งแก่บริษัท
อาจร้องเรียนต่อเนติบัณฑิตยสภาได้ แต่ผมคิดว่าคงยากมากที่จะทำให้สถานการณ์แบบนี้กลายเป็นคดีที่มีน้ำหนักน่าเชื่อถือ
นี่เป็นหนึ่งในเหตุผลที่ การเจรจาต่อรองแบบรวมกลุ่ม สำคัญ สหภาพแรงงานพอจะรับภาระตัวแทนทางกฎหมายเพื่อต่อกรกับทนายบริษัทได้ แต่พนักงานรายบุคคลทำได้ยาก
ระบบแบบอเมริกันใช้แนวทาง “แต่ละฝ่ายรับผิดชอบค่าใช้จ่ายทางกฎหมายของตนเอง” จึงทำให้ผู้เสียหายยื่นฟ้องได้ง่ายขึ้น
ส่วนอังกฤษโดยทั่วไปใช้แนวทาง “ฝ่ายแพ้รับผิดชอบค่าใช้จ่ายทางกฎหมายของทั้งสองฝ่าย” จึงทำให้โจทก์จำนวนมากลังเลที่จะฟ้อง แม้จะได้รับความเสียหายอย่างมากก็ตาม
คุณได้รับความเสียหายอะไรจากจดหมายข่มขู่นั้น และค่าชดเชยที่เหมาะสมคือเท่าไร? ค่าใช้จ่ายในการจ้างทนายฟ้องร้องเพื่อให้ได้ค่าชดเชยคือเท่าไร และโอกาสชนะคดีมีมากแค่ไหน?
ฝ่ายที่ส่งจดหมายข่มขู่ก็คงถามคำถามประเภทเดียวกันกับตัวเองแล้วเช่นกัน
ถ้ารู้สึกว่าไม่ยุติธรรมเพราะอีกฝ่ายมีทรัพยากรมากกว่า นั่นเป็นปัญหาสังคมที่กว้างกว่านี้ การมีเงินมากทำให้เข้าถึงความยุติธรรมทุกรูปแบบได้ดีกว่า
ข้อความนี้เหมือนจะชี้ให้เห็นว่า วิธีจัดการกับ การเปิดเผยช่องโหว่ ในปัจจุบันเปลี่ยนไปในทางบวกโดยรวมแล้ว
ในยุค 90 ทุกบริษัทก็เป็นแบบนี้กันหมด บริษัทต่าง ๆ ขู่จะฟ้องร้อง และการเปิดเผยเองก็ดูเหมือนมีข้อกังขาทางกฎหมายอยู่แล้ว ในฟอรัมหรือ BBS ก็มีการถกกันตั้งแต่แรกว่าการเปิดเผยนั้นปลอดภัยหรือไม่ และมีข้อเสนออย่างเช่นบัญชีอีเมลนิรนามวนเวียนกันไป
แน่นอนว่าตอนนี้บางส่วนก็ยังเหลืออยู่ โดยเฉพาะกับบริษัทแบบเก่าหรือกรณีที่เป็นนักศึกษามหาวิทยาลัยไร้เดียงสาแบบนี้ แต่โดยรวมแล้วมันเปลี่ยนไปอย่างมากในทิศทางที่เอื้อต่อการเปิดเผย
ตอนนี้มีทั้งตัวกลางเฉพาะทางที่ช่วยปกป้องตัวตนของนักวิจัยด้านความปลอดภัย บริษัทใหญ่ที่ส่งเสริมและชื่นชมการเปิดเผย, bug bounty ระดับหกหลัก และแม้แต่กฎหมายที่เปลี่ยนไปเป็นมิตรกับนักวิจัยด้านความปลอดภัยมากขึ้น
สำหรับผู้เขียนคงเป็นเรื่องที่ไม่น่าพอใจนัก แต่ก็เป็น reminder ที่ดีว่าในอดีตสถานการณ์แบบนี้เคยเป็นมาตรฐานหรือแย่กว่านี้ และตอนนี้ก็กลายเป็นเรื่องที่พบได้น้อยลงในระดับหนึ่งแล้ว
เพราะหลายบริษัทเปิดรับ bug bounty และสนับสนุนกิจกรรมแบบนี้กับตนเอง น่าเสียดายที่มันทำให้ “เด็ก ๆ” เรียนรู้ไปว่าการทำแบบนี้ถูกกฎหมาย ถูกต้องทางศีลธรรม และมีจริยธรรมโดยสมบูรณ์
แต่ตามที่เห็นในเรื่องนี้ ความจริงคือมันเหมือนการทอยลูกเต๋า และครั้งนี้แค่จบลงด้วยดีเท่านั้น
ถ้าไม่ได้รับความร่วมมือจากเป้าหมายผ่านโปรแกรม bug bounty ที่ระบุไว้ชัดเจน วิธีอย่างอีเมลนิรนามก็ยังอาจเป็นแนวคิดที่ดีกว่า เพียงแต่มันไม่ช่วยให้นักวิจัยด้านความปลอดภัย “สร้างชื่อ” ได้
โดยพื้นฐานแล้วมันก็เท่ากับยอมรับว่าบุกรุกโดยไม่ได้รับอนุญาต เปรียบเทียบก็เหมือนแม้จะแค่เดินเข้าประตูที่ไม่ได้ล็อกเพื่อดูว่าสามารถมองเข้าไปในตู้เย็นได้ไหมก็ยังเป็นแบบเดียวกัน
ในศาลของสาธารณชนอาจถูกมองว่าช่วยเปิดโปงคำโกหกของบริษัท แต่ในศาลจริง ข้อเท็จจริงที่ว่าคุณมีความผิดทางอาญาก็ไม่ได้เปลี่ยนไป
ในแง่นั้นมันจึงต่างจากการตอบโต้แบบยุค 90 ทั่วไป สำหรับฝั่งนักศึกษาน่าจะน่ากลัวพอสมควร
ผมก็ไม่ตัดความเป็นไปได้เรื่องการแทรกแซงจากพ่อแม่ที่มีฐานะ แต่แน่นอนว่าผมไม่ได้รู้อะไรเกี่ยวกับสถานการณ์หรือผู้เกี่ยวข้องเลย
เป็นเรื่องที่ยอดเยี่ยมมาก ในบทความของ Stanford Daily มีสำเนาจดหมายที่ทนายความโต้ตอบกัน ซึ่งค่อนข้างเข้มข้นทีเดียว ถ้า EFF ไม่เข้ามาช่วย เราคงไม่ได้อ่านมัน
https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
ตามบทความของ Stanford Daily ระบุว่า “ตอนนั้น Fizz ใช้ผลิตภัณฑ์ฐานข้อมูล Firestore ของ Google เพื่อเก็บข้อมูลผู้ใช้ โพสต์ และอื่น ๆ… Fizz ไม่ได้ตั้งค่ากฎความปลอดภัยที่จำเป็น ทำให้ใครก็สามารถ query ฐานข้อมูลได้โดยตรง… สามารถเข้าถึงหมายเลขโทรศัพท์และ/หรืออีเมลของผู้ใช้ทุกคนได้อย่างสมบูรณ์ และโพสต์กับ upvote สามารถเชื่อมโยงกับข้อมูลระบุตัวตนเหล่านี้ได้โดยตรง… ยิ่งไปกว่านั้น ฐานข้อมูลทั้งหมดยังแก้ไขได้ ใครก็แก้ไขโพสต์ ค่า karma สถานะ moderator และอื่น ๆ ได้”
นี่มันเหลวไหลจริง ๆ
เพราะ client เขียนลงฐานข้อมูลโดยตรง จึงมักลืมตรวจสอบสิทธิ์ และเชื่อใจว่า client จะเขียนเฉพาะ object ของตัวเองเท่านั้น
นานมาแล้ว ผมเคยเปลี่ยนค่าผู้ใช้ Firebase เป็น
isAdmin=trueจนได้สิทธิ์ผู้ดูแลระบบของบริษัทสกู๊ตเตอร์ไฟฟ้าแห่งหนึ่ง แล้วหลังจากนั้นก็เผลอลบสกู๊ตเตอร์ที่กำลังเช่าอยู่จาก Firebase ไปโดยไม่ตั้งใจ ไม่รู้เหมือนกันว่าหลังจากนั้นสกู๊ตเตอร์คันนั้นเป็นอย่างไรแผนที่ในแอปแสดงเพียงตำแหน่งโดยประมาณ และเมื่อซูมถึงระดับหนึ่งหมุดก็หายไป
ถ้าเขียน request ใหม่ด้วย
mitmproxyก็สามารถ bypass ตัวกรองที่กันไม่ให้ผู้เยาว์ค้นหาผู้ที่มีอายุ 18 ปีขึ้นไป หรือกันไม่ให้ผู้ใหญ่ค้นหาผู้เยาว์ได้ และยัง bypass ตัวกรองเฉพาะผู้ใช้แบบเสียเงินอย่างตำแหน่งหรือเพศได้ด้วย เพราะไม่ได้ตรวจสอบสถานะแบบเสียเงินที่ฝั่ง serverผมนึกภาพเครื่องมือเว็บที่ใส่ app ID กับค่า API ที่รวมอยู่ใน frontend สาธารณะของแอป และรองรับ session ID แบบเลือกได้ เพื่อให้รับมือกับแอป Firestore ที่ใช้กฎความปลอดภัยแบบเบา ๆ ซึ่งมองเห็นได้เฉพาะผู้ใช้ที่ล็อกอิน รวมถึงรับชื่อ collection ที่พบในโค้ด JavaScript มาใช้สำรวจได้
น่าสนใจที่ Ashton Cofer และ Teddy Solomon แห่ง Fizz พยายาม กู้หน้าทาง PR เมื่อความผิดของตนถูกเปิดเผย https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
คำตอบของพวกเขาอ่อนมาก และหลังจากนั้นดูเหมือนจะปฏิเสธไม่ให้ความเห็นเกี่ยวกับเหตุการณ์นี้มาโดยตลอด
ระบุว่า “แม้ Fizz จะออกแถลงการณ์ชื่อ ‘Security Improvements Regarding Fizz’ เมื่อวันที่ 7 ธันวาคม 2021 แต่ ณ เวลาที่บทความนี้เผยแพร่ หน้าเว็บดังกล่าวไม่สามารถเข้าถึงได้อีกต่อไปจากเว็บไซต์ของ Fizz หรือการค้นหาของ Google”
อีกทั้งยังดูมีความเป็นไปได้สูงว่าแอปยังคงเก็บ ข้อมูลส่วนบุคคลที่ระบุตัวตนได้ เกี่ยวกับกิจกรรมของผู้ใช้ที่ “นิรนาม” อยู่
“นอกจากนี้ เรายังไม่รู้ว่าข้อมูลของเราถูกทำให้นิรนามภายในระบบจริงหรือไม่ ผู้ก่อตั้งบอกกับ The Daily เมื่อปีที่แล้วว่าผู้ใช้สามารถถูกระบุตัวตนได้สำหรับ developer และนโยบายความเป็นส่วนตัวของ Fizz ก็ยังบ่งชี้ว่ายังคงเป็นเช่นนั้น”
ในที่นี้ “developer” อาจรวมถึงผู้ก่อตั้งกลุ่มเดียวกันที่ปฏิเสธให้ความเห็นเกี่ยวกับปัญหานี้ ลบการสื่อสารที่เกี่ยวข้องของบริษัท และตอนแรกทำการตลาดถังรั่วเต็มรูว่าเป็น “แอปโซเชียลมีเดียที่ปลอดภัย 100%” แล้วเมื่อถูกจับได้ก็ใช้คำขู่ทางกฎหมาย
ไม่รู้สึกอยากเอาข้อมูลของผมไปใส่ใน Fizz เลยแม้แต่น้อย
เหตุผลอะไรที่ทำให้การข่มขู่ทางกฎหมายทำได้แล้วหลีกเลี่ยงผลลัพธ์ได้ แต่ถ้าข่มขู่ด้วย ความรุนแรงทางกาย แล้วอาจต้องติดคุก?
การขู่ว่าจะทำสิ่งที่ชอบด้วยกฎหมาย โดยทั่วไปแล้วชอบด้วยกฎหมาย เช่น การขู่ว่าจะแจ้งต่อเจ้าหน้าที่ไม่ใช่เรื่องผิดกฎหมาย
“ปลายทางของคำข่มขู่มีข้อเรียกร้องอยู่ นั่นคือห้ามพูดถึงสิ่งที่ค้นพบต่อสาธารณะโดยเด็ดขาด โดยเนื้อแท้แล้วหมายความว่าหากยอมเงียบ ก็จะไม่ดำเนินการทางกฎหมาย”
ในทางกฎหมาย ข้อเรียกร้องแบบนี้สามารถห้ามไม่ให้คุยกับอัยการของรัฐหรือตำรวจได้ด้วยหรือ?
ถ้าอ้างว่า “ปลอดภัย 100%” ทั้งที่จริง ๆ ไม่ปลอดภัย และรู้ว่าผู้ใช้ไม่ได้รับการปกป้องใด ๆ จากการสอดส่องของบริษัทหรืออย่างน้อยก็จากแฮ็กเกอร์ที่มีฝีมือขั้นต่ำ แบบนี้อย่างน้อยก็เป็น การฉ้อโกง และใกล้เคียงกับการดักฟังทางอาญามากกว่า เพราะเป็นการหลอกผู้ใช้โดยเจตนาให้เชื่อว่า “ปลอดภัย 100%” แล้วเปิดเผยความลับกับบริการ
พูดตรง ๆ การที่เรื่องนี้จบลงแบบ “ฉันมิตร” ถือเป็นความล้มเหลวของกระบวนการยุติธรรม ทีม Fizz ควรถูกตั้งข้อหาฉ้อโกง
ในสหรัฐฯ บริษัทถูกให้ความสำคัญมากกว่าพลเมือง โฆษณาในสหรัฐฯ เต็มไปด้วยคำกล่าวอ้างเท็จ
เราเพิกเฉยต่อเรื่องนี้ด้วยการทำเหมือนว่าคำพูดไม่มีความหมาย
น่าสนใจ ที่โรงเรียนของเราก็มีแพลตฟอร์มที่คล้ายกันมากชื่อ SideChat ซึ่งคิดว่าคงไม่ได้ต่างกันมาก
ปีที่แล้วผม/ฉันถูกบล็อกถาวรเพราะตั้งคำถามถึงความถูกต้องของ “การรักษาที่ยืนยันอัตลักษณ์ทางเพศ” เลยเริ่มสงสัยว่าพวกเขารู้เรื่องของผม/ฉันมากแค่ไหน
ถ้ามองในแง่วารสารศาสตร์ การชี้ให้เห็นปัญหาของ Fizz ต่อสาธารณะถือว่ายอดเยี่ยม “Fizz ไม่ได้ปกป้องข้อมูลผู้ใช้ แล้วหลังจากนั้นเกิดอะไรขึ้น?”
นี่ไม่ใช่เรื่อง “ใครแฮ็ก” แต่เป็นเรื่องที่ Fizz ทำสิ่งที่สัญญาไว้ไม่ได้
ยังสงสัยอยู่ว่ามีการทดสอบแล้วหรือยังว่าช่องโหว่ได้รับการแก้ไขแล้วหรือไม่
แต่ดูเหมือนว่าข้อมูลผู้ใช้จะไม่ได้ถูกทำให้ ไม่ระบุตัวตน อย่างสมบูรณ์ภายในองค์กรตามที่เคยกล่าวอ้างไว้ก่อนหน้านี้