Google แชร์หมายเลขโทรศัพท์ของฉัน

 (danq.me)
1 คะแนน โดย GN⁺ 2025-05-27 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เมื่อไม่นานมานี้ ผู้ใช้ Three Rings โทรหาผู้เขียนซ้ำ ๆ และหลังจากไล่หาสาเหตุก็พบว่า หมายเลขโทรศัพท์มือถือส่วนตัว ของผู้เขียนถูกแสดงอยู่ในผลการค้นหาของ Google
  • หมายเลขนี้เคยถูกส่งให้ Google ในกระบวนการ ยืนยันตัวตน ในอดีต และถูกเพิ่มเข้าไปใน Google Business Profile บนผลการค้นหาโดยไม่ได้รับความยินยอม
  • ผู้เขียนลบหมายเลขออกจาก Business Profile ทันทีเพื่อหยุดการแสดงผล แต่ไม่สามารถทราบคำอธิบายได้ว่าทำไมจึงมีการเปลี่ยนแปลงนี้
  • เมื่อไม่นานมานี้ยังเกิดกรณีข้อมูลส่วนตัวรั่วไหลจากธนาคารอีกแห่ง ทำให้ความไม่ไว้วางใจต่อ ความยากในการปกป้องข้อมูลส่วนบุคคล เพิ่มมากขึ้น
  • เรื่องนี้ชี้ให้เห็นถึง ความสำคัญของความยินยอมของผู้ใช้ พร้อมกันนั้นก็สะท้อนว่า ความผิดพลาดของผู้ใช้หรือหน้าต่างขอความยินยอมที่ใช้แบบพร่ำเพรื่อ อาจเร่งให้ PII รั่วไหลได้

ภาพรวมของเหตุการณ์

  • ต้นเดือนนี้ ผู้เขียนได้รับโทรศัพท์จากผู้ใช้คนหนึ่งของซอฟต์แวร์บริหารอาสาสมัคร Three Rings ที่ผู้เขียนเป็นผู้ก่อตั้ง
  • แม้จะไม่มีการให้บริการช่วยเหลือทางโทรศัพท์อย่างเป็นทางการ แต่ที่ผ่านมาเคยโทรกลับหาผู้ใช้ด้วยตนเองหลายครั้ง
  • ด้วยเหตุนี้ ผู้เขียนจึงคิดว่าอาจมีผู้ใช้บางคนบันทึก หมายเลขมือถือส่วนตัว เอาไว้

สายที่โทรเข้าซ้ำ ๆ และข้อสงสัย

  • หลังจากได้รับสายลักษณะเดียวกันเป็นครั้งที่ 3 ในเดือนเดียวกัน ผู้เขียนเริ่มสงสัยว่าหมายเลขของตนถูกเผยแพร่ไว้ที่ไหน
  • ในสายที่สี่ เมื่อผู้เขียนบอกว่าไม่รู้จักชื่อองค์กรของผู้โทร ก็ถามกลับว่าพบหมายเลขนี้จากที่ไหน
  • อีกฝ่ายตอบว่า "ค้นหา 'Three Rings login' ใน Google ก็จะเจอ"

การเปิดเผยข้อมูลส่วนตัวผ่านผลการค้นหาของ Google

  • เมื่อลองค้นหาด้วยตนเองก็พบว่าใน Google Business Profile ของ Three Rings CIC มีการแสดง ข้อมูลติดต่อส่วนตัว ของผู้เขียน
  • ใครก็ตามสามารถกดปุ่ม 'โทร' เพื่อโทรเข้าหมายเลขส่วนตัวของผู้เขียนได้โดยตรง
  • โดยปกติผู้เขียนแทบไม่ใช้ Google Search เลย ดังนั้นหากไม่มีคนอื่นแจ้ง ก็อาจไม่มีทางรู้เรื่องนี้

วิธีจัดการข้อมูลส่วนบุคคลของ Google

  • ผู้เขียนเคยส่งหมายเลขดังกล่าวให้ Google ในขั้นตอน ยืนยันตัวตน มาก่อน แต่ไม่เคยยินยอมให้เปิดเผยต่อสาธารณะ
  • ไม่นานมานี้ Google เริ่มแสดงหมายเลขนี้ใน Google Business Profile เอง โดยไม่ชัดเจนว่าเริ่มเมื่อไรหรือเกิดจากอะไร
  • เมื่อผู้เขียนลบหมายเลขออกจากโปรไฟล์ธุรกิจ การแสดงผลก็หยุดลงทันที
  • แต่พอลบหมายเลขแล้ว ข้อความ "Google ได้แก้ไขหมายเลขโทรศัพท์แล้ว" ก็หายไปด้วย ทำให้ไม่อาจทราบเหตุผลหรือที่มาของการเปลี่ยนแปลงนั้น

กรณีล่าสุดจากสถาบันการเงินอื่นและความกังวลของผู้ใช้

  • เดือนที่แล้วเกิดเหตุที่ธนาคารแห่งหนึ่ง (Halifax) ส่ง ข้อมูลสัญญาสินเชื่อ ไปให้บุคคลอื่นที่ไม่เกี่ยวข้องกับผู้เขียน
  • หลังจากเจอ ประสบการณ์ข้อมูลส่วนตัวรั่วไหล สองครั้งติดกัน ผู้เขียนเริ่มสงสัยว่าตนเองอาจเผลอติ๊กยอมรับป๊อปอัปความยินยอมบางอย่างโดยไม่ตั้งใจหรือไม่
  • ผู้เขียนเสียดสีว่าวิธีแจ้งขอความยินยอมด้านข้อมูลส่วนบุคคลนั้นเข้าใจได้ยากในทางปฏิบัติ และทำให้ผู้คนกดปุ่ม ‘ยอมรับ’ แบบไม่ทันคิด

สรุปและนัยสำคัญ

  • เรื่องนี้แสดงให้เห็นว่า การละเมิดความเป็นส่วนตัว แบบไม่คาดคิดสามารถเกิดขึ้นได้กับทุกคน
  • ประเด็นเรื่อง ความน่าเชื่อถือจากมุมผู้ใช้ ต่อการใช้และการเปิดเผยข้อมูลส่วนบุคคลบนแพลตฟอร์มขนาดใหญ่อย่าง Google หรือสถาบันการเงิน ถูกตอกย้ำอีกครั้ง
  • ความผิดพลาดของผู้ใช้ ความไม่ระมัดระวัง หรือการซิงก์ข้อมูลโดยระบบเอง อาจทำให้ความเสี่ยงในการรั่วไหลของ PII (ข้อมูลที่ใช้ระบุตัวบุคคลได้) ยังคงดำเนินต่อไป
  • ยังมีช่องว่างระหว่างความหมายของ ความยินยอม กับแนวปฏิบัติจริงในการจัดการข้อมูล
  • ทั้งบริษัทไอทีและผู้ใช้ต่างต้องการคำอธิบายที่โปร่งใสและเข้าใจง่ายยิ่งขึ้น เพื่อให้จัดการข้อมูลส่วนบุคคลได้อย่างปลอดภัย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-05-27
ความคิดเห็นจาก Hacker News

  • มีคนชี้ว่าสถานการณ์นี้คือหมายเลขโทรศัพท์ถูกเปิดเผยอยู่บนเว็บไซต์ และหมายเลขเดียวกันก็แสดงบนโปรไฟล์นักพัฒนา Google Play ด้วย โดยดูเหมือนว่าทั้งสองโปรไฟล์เป็นข้อมูลที่เจ้าตัวเปิดเผยเอง ความเห็นคือถ้าใช้เบอร์ส่วนตัวกับเบอร์ธุรกิจเป็นเบอร์เดียวกัน ผลแบบนี้ก็เกิดขึ้นได้ตามธรรมชาติ ตอนแรกเหมือนว่า Google ทำผิดที่เปลี่ยนเบอร์นี้จากไม่สาธารณะให้เป็นสาธารณะ แต่ก็มีคำอธิบายว่า Google Play กำหนดให้ต้องมีหมายเลขที่ลูกค้าสามารถติดต่อได้

    • ผู้เขียนกระทู้มาแสดงตัวว่าเป็นเจ้าของเรื่อง โดยบอกว่าในเว็บไซต์ไม่ควรมีหมายเลขโทรศัพท์ และตัวเองก็หาไม่เจอเช่นกัน รู้สึกเสียดายที่หมายเลขไปโผล่บนโปรไฟล์นักพัฒนา Google Play และขอบคุณที่มีคนแจ้งให้ทราบ

  • มีการเล่าประสบการณ์ว่าเคยซื้อโทรศัพท์ Samsung แล้วมีฟีเจอร์ที่บอกชื่อคนที่โทรเข้ามาจากเบอร์ที่ไม่รู้จัก คาดว่าน่าจะดึงข้อมูลจากฐานข้อมูลรายชื่อผู้ติดต่อของคนอื่น วันหนึ่งเพื่อนบ้านโทรมา ทั้งที่ไม่ได้บันทึกเบอร์ไว้ แต่กลับแสดงชื่อว่า 'ชื่อ GRINDER' ซึ่งเป็นเพราะมีผู้ใช้อีกคนบันทึกไว้แบบนั้น เพื่อนบ้านคนนั้นเป็นคนที่เปิดเผยตัวตนในละแวกนั้นแล้ว แต่ทำงานขายให้บริษัทอสังหาริมทรัพย์ และรู้สึกไม่พอใจมากกับการเปิดเผยข้อมูลลักษณะนี้ อีกทั้งเจ้าตัวยังบอกว่าตัวเองไม่ได้ใช้แอปนั้นมา 7 ปีแล้ว

    • มีคนตอบว่าฟังดูแทบไม่น่าเชื่อว่าเรื่องแบบนี้เกิดขึ้นจริง และดูอันตรายมากจนคิดถึงสถานการณ์ที่ร้ายแรงกว่านี้ได้อีก

    • มีการเสริมว่าโทรศัพท์ Samsung บางรุ่นติดตั้ง truecaller หรือ callapp มา ซึ่งอาจเป็นต้นเหตุของสถานการณ์แบบนี้

  • มีคนแชร์ว่าตอนทำบริษัทในเนเธอร์แลนด์ Google เคยอัปเดตหมายเลขโทรศัพท์บริษัทโดยอิงจากเลขทะเบียนหอการค้า ทั้งที่บริษัทไม่ได้ให้บริการสนับสนุนทางโทรศัพท์ แต่กฎหมายบังคับให้ต้องมีหมายเลขโทรศัพท์ในข้อมูลจดทะเบียน จึงลงทะเบียนเป็นหมายเลข VoIP ที่ต่อเข้ากล่องข้อความเสียงทันที พร้อมข้อความแจ้งว่าไม่มีบริการช่วยเหลือทางโทรศัพท์ แม้จะลบหมายเลขออกจาก Google Business Profile แล้ว แต่บางครั้ง Google ก็เพิ่มกลับมาให้อัตโนมัติอีกเรื่อยๆ

  • มีความเห็นว่าบางทีอาจเป็นคนอื่นที่เห็นว่าหมายเลขโทรศัพท์ที่ตนมีอยู่จะเป็นประโยชน์ต่อโปรไฟล์บริษัท เลยเพิ่มเข้าไปได้อย่างอิสระ

    • มีคนย้ำว่าในภาพหน้าจอเขียนชัดว่า 'หมายเลขถูกอัปเดตโดย Google' จึงชี้ว่ามันไม่ใช่ข้อมูลที่ผู้ใช้กรอกเอง

    • มีความเห็นว่าการที่ผู้ใช้ทั่วไปสามารถแก้ไขหมายเลขในโปรไฟล์ธุรกิจได้ตามใจ และ Google ก็เผยแพร่ทันทีโดยไม่ขออนุญาตเจ้าของหมายเลข ถือเป็นความผิดพลาดครั้งใหญ่

  • มีคนบอกว่าตัวเองก็เคยเจอคล้ายกัน โดยเคยได้รับโทรศัพท์ตอนตี 2 สมัยดูแลบริการรับสมัครงานของบริษัทเก่า เจ้าตัวลงประกาศรับสมัคร Python developer สำหรับโปรเจกต์ของตัวเอง แต่ไม่สามารถปิดการแสดงข้อมูลติดต่อได้ ผลคือมีคนแปลกหน้าโทรมาตอนประมาณตี 5 หลายครั้งเพื่อถามว่าจะเป็นโปรแกรมเมอร์ได้อย่างไร เจ้าตัวเล่าว่าตกใจมากกับสายแรกจนถึงกับให้คำแนะนำที่มีประโยชน์ไปด้วย ตอนนี้เพื่อรับมือกับเหตุข้อมูลส่วนตัวรั่วไหลแบบนี้ จึงแยกใช้หมายเลขโทรศัพท์ 4 เบอร์สำหรับงานส่วนตัว งานธุรกิจ และ用途อื่นๆ

    • เมื่อมีคนบอกว่าแปลกดีที่ทุกสายโทรมาตอนตี 5 หมด ก็มีคนชี้ว่าอาจโทรมาจากพื้นที่เดียวกัน และเพราะส่วนต่างของเขตเวลา เวลานั้นจึงตรงกับเวลาเริ่มงานของอีกฝ่าย

  • มีการอธิบายถึงผลเสียที่เกิดขึ้นเมื่อ Google ไม่ถูกฟ้องร้อง ในเยอรมนี lieferando (เครือ Takeaway.com) เคยจดโดเมนจำนวนมากในรูปแบบ 'ชื่อร้านอาหาร-เมือง.de' แล้วให้เชื่อมเข้าคอลเซ็นเตอร์ของตัวเอง พร้อมทั้งเปลี่ยนข้อมูล Google Business ของร้านให้เป็นของตน จากนั้นก็โทรหาร้านอาหารเพื่อบอกว่าลูกค้าจะหาเจอร้านใน Google ไม่ได้ จึงกดดันให้เซ็นสัญญา ขณะเดียวกันลูกค้าที่พยายามสั่งอาหารผ่านคอลเซ็นเตอร์ก็ได้รับข้อมูลผิดๆ จนธุรกิจเสียหายหนัก โดเมนลวงลักษณะนี้มีมากกว่า 130,000 โดเมน และผู้แสดงความเห็นยังเคยช่วยจัดเตรียมชุดข้อมูลให้เจ้าของร้านที่ได้รับผลกระทบด้วย แต่เพราะความเสียหายต่อรายไม่สูงมากจึงฟ้องยาก และต่างจากสหรัฐฯ ก็ไม่มี class action ด้วย ทำให้ประเด็นนี้ไม่กลายเป็นคดีทางกฎหมายใหญ่ๆ พร้อมชี้ว่า Google รู้ปัญหานี้แต่หลีกเลี่ยงความรับผิดชอบผ่านโครงสร้างบริษัทโฮลดิ้งขนาดใหญ่

    • มีคนบอกว่านี่เป็นวิธีที่ใช้กันแพร่หลายใน BlackHatWorld เมื่อ 15 ปีก่อน และรู้สึกประชดกับความจริงที่ว่าตอนนี้บริษัท VC กลับนำมันมาใช้

    • มีคนโต้ว่าเคสนี้ไม่ใช่ปัญหาของ Google เท่าไร แต่เป็นปัญหาที่บริษัทซึ่งทำการข่มขู่กลับไม่ถูกฟ้องมากกว่า

    • มีคนถามว่าใน Google Maps แค่จดโดเมนก็ยึดข้อมูลธุรกิจของใครก็ได้ง่ายๆ เลยหรือ และ Google ไม่มีระบบจัดการข้อพิพาทเรื่องความเป็นเจ้าของไว้ต่างหากหรือ

    • มีคนสงสัยว่าสื่อเยอรมันมีบทความที่สืบสวนกรณีนี้อย่างจริงจังบ้างหรือไม่

    • มีการเน้นว่านี่เป็นความจริงที่น่ากลัว เพราะระบบนิเวศที่ Google สร้างขึ้นนั้นถูกใช้เป็นอาวุธโจมตีธุรกิจขนาดเล็กได้ง่ายมาก

  • มีคนชี้ว่าเรื่องราวที่เสนอไว้ในบทความต้นฉบับอาจไม่ใช่คำอธิบายที่เหมาะสมที่สุด เพราะแค่ในคอมเมนต์ก็มีคำอธิบายทางเลือกอย่างน้อยสามแบบแล้ว และเสนอว่าหากขอข้อมูลบัญชีจาก Google Takeout ก็น่าจะตรวจสอบได้ว่า Google เก็บข้อมูลอะไรไว้และใช้เพื่อวัตถุประสงค์ใด

    • แต่ก็มีคนอธิบายว่า Google ไม่รองรับ Takeout สำหรับ Business Profile และธุรกิจก็มักไม่ได้รับความคุ้มครองจากกฎหมายความเป็นส่วนตัวอย่าง GDPR ในลักษณะเดียวกับบุคคลทั่วไป ทำให้บริษัทใหญ่อย่าง Google ไม่ค่อยมีแรงจูงใจจะทำเครื่องมืออำนวยความสะดวกอย่างการส่งออกข้อมูลให้

  • มีคนแชร์ประสบการณ์ว่าหมายเลขมือถือส่วนตัวของตัวเองถูกเปิดเผยใน Google Play Store โดยระบุว่าโดนเตือนว่าถ้ายืนยันหมายเลขธุรกิจไม่สำเร็จ บัญชีจะถูกระงับ หลังพยายามยืนยันอยู่นานกว่าหนึ่งเดือน สุดท้ายจึงจำใจต้องกรอกเบอร์ส่วนตัว

    • มีนักพัฒนาแอปอิสระอีกคนบอกว่าเจอคล้ายกัน และในเมื่อไม่ได้ให้บริการลูกค้าด้วยอยู่แล้ว ก็รู้สึกไม่สบายใจมากที่หมายเลขโทรศัพท์ของตัวเองถูกแสดงข้างแอป มองว่านโยบายแบบนี้มีแต่ทำร้ายนักพัฒนาแอปอินดี้ จนสุดท้ายตัดสินใจนำแอปออกจาก store

  • มีคนแชร์ว่าทุกคนสามารถแก้ไขหมายเลขโทรศัพท์ของธุรกิจผ่าน Google Search ได้ ฟังดูน่าแปลกแต่เป็นเรื่องจริง ตัวอย่างการแก้ไขหมายเลขโทรศัพท์ของ Three Rings CIC

    • มีคำอธิบายว่าใครก็ตามที่ใช้ Google Maps สามารถเสนอการแก้ไขได้ แต่ข้อมูลที่ส่งเข้ามาจะถูกตรวจสอบก่อนนำไปใช้ สามารถรายงานได้ทั้งการปิดกิจการ การย้ายที่อยู่ การเปลี่ยนเวลาทำการ และอื่นๆ แม้แต่ป้ายรถเมล์ สถานีรถไฟ หรือสถานที่สำคัญก็ใช้ระบบนี้ได้ด้วย โดยระบบนี้อาศัย 'crowdsourcing' เป็นฐาน พร้อมแชร์ คำแนะนำ Google Business Profile และ ลิงก์ลงทะเบียน Business Profile

  • มีความเห็นว่าแม้ในภาพบทความต้นฉบับจะเบลอหมายเลขไว้ แต่ก็ยังมองเห็นตัวเลขได้อยู่

    • เจ้าของบล็อกมาตอบเองว่าในภาพหน้าจอจริงใช้ 'หมายเลขสมมติสำหรับละคร' ที่ Ofcom กำหนดไว้อย่างเป็นทางการ จึงไม่มีปัญหาด้านความปลอดภัย อ้างอิงหมายเลขโทรศัพท์ทางการสำหรับละคร

    • มีคนบอกว่าการเบลออ่อนเกินไปจนยังอ่านหมายเลขได้ และยกตัวอย่างความจริงที่ว่าปัจจุบันแม้ภาพจะเสียรายละเอียดหนัก ก็ยังแทบกู้ข้อมูลกลับมาได้ด้วย AI และเทคนิคอื่นๆ ภาพตัวอย่าง

    • มีคนสังเกตว่าหมายเลขนั้นคือ 07700 987654 จึงรู้ได้ว่าเป็นหมายเลขสมมติ

    • มีคนชี้ว่าการใช้เอฟเฟกต์เบลออย่างเดียวปกป้องข้อมูลอ่อนไหวได้ไม่ดีพอ และผู้เชี่ยวชาญมักแนะนำวิธีปิดบังที่ปลอดภัยกว่านี้ โดยเฉพาะในภาพนี้ที่ไม่ต้องใช้เทคนิคพิเศษก็ยังดูเลขได้ง่าย หากเหตุผลที่เบลอคือเพื่อปกป้องตัวตน ก็ควรอัปเดตรูปทันที

    • มีความกังวลว่า AI crawler ในช่วงนี้สามารถดึงข้อความจากภาพไปสร้างชุดข้อมูลได้ด้วย ทำให้ภาพที่เบลอแบบไม่ดีพอมีความเสี่ยงจะถูกนำเข้าไปเป็นข้อมูลของ LLM เช่นกัน