การค้นพบจากคดีฟ้องร้องแบบกลุ่มต่อ Facebook/Meta
- ฝ่ายโจทก์ซึ่งเป็นผู้ลงโฆษณาได้ขอให้ศาลรับรองว่ามีข้อยกเว้นอาชญากรรม-ฉ้อโกงต่อการสื่อสารบางรายการ
- การสื่อสารดังกล่าวเกี่ยวข้องกับโปรแกรมที่ Facebook เรียกว่า In-App Action Panel (IAAP) ซึ่งมีอยู่ตั้งแต่เดือนมิถุนายน 2016 ถึงราวเดือนพฤษภาคม 2019
- โปรแกรม IAAP เริ่มต้นขึ้นตามคำขอของ Mark Zuckerberg และใช้วิธีโจมตีแบบ SSL man-in-the-middle เพื่อดักจับและถอดรหัสทราฟฟิกวิเคราะห์ที่ได้รับการป้องกันด้วย SSL ของ Snapchat, YouTube และ Amazon เพื่อนำข้อมูลไปใช้ประกอบการตัดสินใจเชิงแข่งขันของ Facebook
โปรแกรม IAAP ของ Facebook กับการเจาะฟังคู่แข่งเพื่อกำหนดเป้าการแข่งขัน
- เมื่อวันที่ 9 มิถุนายน 2016 Mark Zuckerberg ได้ส่งข้อความถึงผู้บริหารระดับสูงของบริษัทในหัวข้อ "Snapchat analytics"
- Javier Olivan ซึ่งปัจจุบันเป็น COO ของ Facebook เห็นด้วยว่านี่เป็นหนึ่งในคำถามสำคัญด้านการวิเคราะห์ตลาด พร้อมระบุว่ามีความซับซ้อนทางเทคนิคและอาจต้องได้รับการอนุมัติทางกฎหมาย
- ทีม Onavo วางแผน "lockdown effort" เพื่อแก้ปัญหานี้ และระบุว่านี่เป็นโอกาสที่ทีมจะได้แสดงศักยภาพ
- ทีม Onavo ได้เสนอแนวทางแก้ไขสำหรับผู้นำระดับสูงภายใต้การกำกับของที่ปรึกษากฎหมายภายใน
ความเห็นของ GN⁺
- กรณีนี้เกี่ยวข้องกับประเด็นกฎหมายด้านการละเมิดความเป็นส่วนตัวของข้อมูลโดยองค์กร จึงเป็นข้อมูลสำคัญสำหรับผู้บริโภคและชุมชนเทคโนโลยี
- ข้อกล่าวหาว่า Facebook เก็บข้อมูลของคู่แข่งโดยมิชอบอาจจุดชนวนให้เกิดการถกเถียงเรื่องจริยธรรมองค์กรและความรับผิดชอบทางกฎหมาย
- กรณีเช่นนี้ยังเป็นสัญญาณเตือนต่อบริษัทอื่น ๆ และตอกย้ำความสำคัญของการคุ้มครองข้อมูลและความปลอดภัยของข้อมูลส่วนบุคคล
- โครงการหรือผลิตภัณฑ์อื่นที่มีฟังก์ชันคล้ายกันอาจรวมถึงบริการ VPN ที่เน้นความปลอดภัยหรือเครื่องมือสื่อสารแบบเข้ารหัส ซึ่งสามารถช่วยปกป้องข้อมูลของผู้ใช้ได้
- เมื่อนำเทคโนโลยีมาใช้ ควรพิจารณาอย่างรอบคอบว่าเทคโนโลยีนั้นสอดคล้องกับมาตรฐานทางกฎหมายและจริยธรรมหรือไม่ และกรณีนี้แสดงให้เห็นความสำคัญของการประเมินความเสี่ยงทางกฎหมายเมื่อองค์กรใช้งานเทคโนโลยี
1 ความคิดเห็น
ความเห็นจาก Hacker News
มีความเห็นว่าหากบุคคลทั่วไปทำเรื่องแบบนี้ ก็อาจเข้าข่าย Computer Fraud and Abuse Act (CFAA) แต่สำหรับ Meta คงต้องรอดูผลลัพธ์ต่อไป
MITM (การโจมตีแบบคนกลาง) ถูกเรียกว่าเป็น "การโจมตี" ไม่ใช่ "งานวิจัย" โดยมีผู้เชี่ยวชาญด้าน IT คนหนึ่งแชร์ประสบการณ์ว่าตนเคยพบแนวปฏิบัติที่ไม่เหมาะสมและออกไปทำงานให้พรรคการเมือง
มีการชี้ถึงความย้อนแย้งที่ประกาศต่อสาธารณะว่าจะเพิ่ม end-to-end encryption ให้ WhatsApp ขณะเดียวกันกลับแอบทำลาย TLS ในอีกแอปหนึ่ง
มีความเห็นว่า FANGs (Facebook, Amazon, Netflix, Google) กำลังทำสงครามจิตวิทยาขนาดใหญ่กับสาธารณชนได้แทบไม่ต้องรับโทษ และคดีความที่เกิดขึ้นเป็นครั้งคราวก็ไม่มีนัยสำคัญ
มีการวิจารณ์ Meta ว่าเป็น "จักรวรรดิออนไลน์แห่งความชั่วร้าย" และประวัติของบริษัทก็เต็มไปด้วยพฤติกรรมที่น่าสงสัยในทางศีลธรรม
มีการตั้งคำถามว่า Cloudflare กำลังทำอะไรอยู่ผ่านการทำ SSL termination/offloading
มีความเห็นว่าไม่ควรสับสนระหว่าง TLS กับ SSL และการถอด TLS ออกโดยไม่ระบุไว้ในเงื่อนไขการให้บริการควรถูกลงโทษตาม CFAA
Meta ปฏิเสธว่าไม่ได้ละเมิดกฎหมายดักฟัง แต่ก็ไม่ได้แสดงหลักฐานเรื่องความยินยอม พร้อมตั้งคำถามว่าทำไมจึงไม่อยากเปิดเผยเอกสารเกี่ยวกับการแทรกแซงการสื่อสารผ่านแอป VPN ที่อ้างว่าเป็น "การวิจัยตลาด"
มีคำถามว่า ตามเอกสารแล้ว แผนดังกล่าวคือการปล่อยทดสอบโดยไม่แจ้งผู้ใช้ หรือเป็นการให้ผู้ใช้ยินยอมและเข้าร่วมเอง