เทคนิค "Localhost tracking" ของ Meta เสี่ยงถูกปรับสูงสุด 3.2 หมื่นล้านยูโร (ราว 47 ล้านล้านวอน)

 (zeropartydata.es)
8 คะแนน โดย GN⁺ 2025-06-11 | 5 ความคิดเห็น | แชร์ทาง WhatsApp
  • Meta พัฒนา วิธีติดตามที่หลบเลี่ยง Android sandbox ("localhost tracking") เพื่อเชื่อมโยง ตัวตนจริงและพฤติกรรมการท่องเว็บ ของผู้ใช้ได้ แม้จะใช้ VPN, โหมดไม่ระบุตัวตน หรือการลบคุกกี้ก็ตาม
  • เทคนิคนี้ทำงานโดย แอป Meta (เบื้องหลัง) และ สคริปต์ Meta Pixel ในเบราว์เซอร์ แลกเปลี่ยนข้อมูลกันผ่านพอร์ตเครือข่ายภายในเครื่อง ทำให้สามารถผูก คุกกี้ _fbp ของผู้ใช้เข้ากับบัญชีได้แม้ไม่ได้ล็อกอิน
  • ด้วยวิธีนี้ พฤติกรรมการใช้งานเว็บเบราว์เซอร์จึงถูกเชื่อมเข้ากับ บัญชี Facebook/Instagram จริง ทำให้เกิดการรวมข้อมูลส่วนบุคคลในวงกว้างโดยไม่ได้รับความยินยอมจากผู้ใช้
  • เป็นการละเมิด กฎหมายคุ้มครองข้อมูลส่วนบุคคลหลักของยุโรป หลายฉบับพร้อมกัน เช่น GDPR, DSA, DMA และอาจถูกลงโทษแบบสะสม จนมีโอกาสถูกปรับสูงสุด 3.2 หมื่นล้านยูโร (ประมาณสัดส่วนรายได้ 4%, 6%, 10%)
  • เป็นเวลากว่า 9 เดือน มีการติดตามผู้ใช้จำนวนมากโดยไม่ขอความยินยอมบนเว็บไซต์ชั้นนำของโลก 22% (รวมถึงกว่า 17,000 แห่งในสหรัฐฯ) และมีการเก็บเชื่อมโยงข้อมูลส่วนบุคคลของผู้คนนับร้อยล้านโดย ‘ไม่มีคำอธิบายอย่างชัดแจ้ง’
  • เนื่องจากมีทั้งการกระทำผิดซ้ำ การใช้อำนาจเหนือตลาดในทางมิชอบ และเจตนาหลีกเลี่ยงเชิงเทคนิคอย่างชัดเจน จึงมีการพูดถึงความเป็นไปได้ที่จะถูกลงโทษสะสมในระดับสูงสุดเป็นประวัติการณ์
  • มีเพียงบางกรณีเท่านั้นที่ไม่ได้รับผลกระทบ เช่น ผู้ใช้ iOS, PC หรือผู้ที่ไม่ได้ติดตั้งแอป

เทคโนโลยี "localhost tracking" ของ Meta

  • Meta ใช้เทคนิคที่ทั้งล้ำหน้าแต่เป็นที่ถกเถียงอย่าง "localhost tracking" เพื่อหลบเลี่ยงมาตรการปกป้องการระบุตัวตนของทรัพยากรผู้ใช้ที่ ระบบ Android sandbox ตั้งใจใช้เพื่อป้องกันไว้
  • แอป Facebook/Instagram จะ ทำงานอยู่เบื้องหลัง และเปิด พอร์ต TCP/UDP เฉพาะ บนโทรศัพท์ไว้ในสถานะ ‘listening (รอรับการเชื่อมต่อ)’ (ต้องล็อกอินแอป)
  • เมื่อผู้ใช้เข้าเว็บไซต์ผ่านเบราว์เซอร์บนอุปกรณ์เดียวกัน (เช่น ข่าวหรือร้านค้าออนไลน์) หากเว็บไซต์นั้นติดตั้ง Meta Pixel ก็จะมีการเก็บคุกกี้และข้อมูลกิจกรรมทันที
    • แม้จะใช้ VPN, โหมดไม่ระบุตัวตน หรือการลบคุกกี้เพื่อปกป้องความเป็นส่วนตัว ก็ไม่ช่วย
  • สคริปต์ Meta Pixel ในเบราว์เซอร์ใช้กลอุบายผ่าน WebRTC (เดิมใช้สำหรับการสื่อสารภาพ/เสียง) และ SDP Munging เพื่อส่งคุกกี้ _fbp ไปยังแอปโดยตรง
  • ในเวลาเดียวกัน ยังส่งข้อมูลเดียวกันแยกไปยังเซิร์ฟเวอร์ของ Meta ทำให้ติดตามเชื่อมโยงได้ทั้งสองทางระหว่างออนไลน์และออฟไลน์
  • แอป Facebook/Instagram จะรับค่า _fbp แล้วส่งต่อไปยังเซิร์ฟเวอร์ Meta GraphQL พร้อมตัวระบุเฉพาะของบัญชี
    • ผลลัพธ์คือ ID การเข้าชมผ่านเว็บเบราว์เซอร์กับบัญชีผู้ใช้ Facebook/Instagram จริงถูก จับคู่ตัวตนแบบ 1:1 ระหว่างกิจกรรมบนเว็บกับตัวตนจริง และ เชื่อมเข้าหากันอย่างแน่นหนา

ทำไมปัญหานี้จึงร้ายแรง

  • เป็นการหลบเลี่ยงแบบใช้ช่องทางพิเศษต่อข้อห้ามตามการออกแบบของ Android เรื่อง การดักฟังพอร์ตภายในเครื่อง/การสื่อสารแฝงระหว่างแอป
  • ต่อให้ผู้ใช้ไม่เปิดแอป ไม่ได้ล็อกอินในเว็บเบราว์เซอร์ ก็ยังไม่สามารถป้องกันได้ด้วย VPN, โหมดไม่ระบุตัวตน หรือการลบคุกกี้
  • มีการเก็บและเชื่อมโยงข้อมูล โดยไม่มีความยินยอมล่วงหน้าที่ชัดเจนและเพียงพอ ตามข้อกำหนดคุ้มครองข้อมูลส่วนบุคคล เช่น GDPR
  • เว็บไซต์ Top ระดับโลก 22% อยู่ในขอบเขตผลกระทบ และมีการติดตามโดยไม่ยินยอมต่อผู้คนนับพันล้านเป็นเวลา 9 เดือน (Meta) / 8 ปี (Yandex)
  • ข้อมูลที่ถูกรวบรวมและเชื่อมโยง ได้แก่ ประวัติการท่องเว็บทั้งหมด, รถเข็นสินค้าและประวัติการซื้อ, การกรอกฟอร์มบนเว็บไซต์, รูปแบบพฤติกรรมตามช่วงเวลา, การเชื่อมกับบัญชีที่ใช้ชื่อจริง ฯลฯ
  • มีข้อยกเว้นเฉพาะ ผู้ใช้ iOS และ PC, ผู้ที่ไม่ได้ติดตั้งแอป, หรือผู้ที่ใช้เฉพาะเบราว์เซอร์ Brave/DuckDuckGo

ประเด็นการละเมิดกฎหมายหลัก

  • GDPR: ต้องได้รับความยินยอมสำหรับการประมวลผลข้อมูลส่วนบุคคลเพื่อการโฆษณา และมีการละเมิดหลักการลดการเก็บข้อมูลให้เหลือน้อยที่สุด/การออกแบบเพื่อความเป็นส่วนตัว (ปรับได้สูงสุด 4% ของรายได้)
  • DSA (มาตรา 26): ห้ามโฆษณาแบบเจาะจงจากโปรไฟล์ที่อิงข้อมูลอ่อนไหว (เช่น แนวโน้มส่วนบุคคล ความเห็นทางการเมือง สุขภาพ ฯลฯ) (ปรับได้สูงสุด 10% ของรายได้)
  • DMA (มาตรา 5.2): ห้ามรวมข้อมูลส่วนบุคคลข้ามแพลตฟอร์มหลักโดยไม่มีความยินยอมอย่างชัดแจ้ง (สูงสุด 10%, และ 20% หากทำผิดซ้ำ)
    • การเชื่อมบัญชีต้องมีความยินยอมอย่างน้อย 3 ส่วน (GDPR, ePrivacy, DMA) แต่กลับขอเพียง 1 ส่วนเท่านั้น (ทางเลือกบังคับแบบ "Pay or OK")
    • มีกรณีตัวอย่างแล้วในเดือนเมษายน 2025 ที่ถูกปรับ 200 ล้านยูโรจากการละเมิด DMA

แนวโน้มค่าปรับและบทลงโทษ

  • GDPR, DMA และ DSA ต่างมีผลประโยชน์ทางกฎหมายที่คุ้มครองและระบบลงโทษของตนเอง จึงอาจคำนวณค่าปรับแบบสะสมได้
  • ค่าปรับเชิงทฤษฎีสูงสุดคือ 3.2 หมื่นล้านยูโร และจากพฤติกรรมผิดซ้ำของ Meta, การให้ความร่วมมือกับหน่วยงานกำกับดูแลที่ไม่เพียงพอ, อำนาจเหนือตลาด และพฤติกรรมจงใจหลบเลี่ยง จึงอาจมีการลงโทษหนักในระดับเป็นบรรทัดฐานใหม่

บทสรุป

  • เทคนิค “localhost tracking” ของ Meta เป็นกรณีตัวอย่างเด่นของการ จงใจหลบเลี่ยงมาตรฐานการคุ้มครองความเป็นส่วนตัวทั้งทางเทคนิคและทางกฎหมาย และมีผลกระทบกว้างขวางกับความรุนแรงในระดับโลก
  • เมื่อพิจารณาร่วมกับการละเมิดหลายกฎหมายทั้ง GDPR/DSA/DMA รวมถึงอำนาจเหนือตลาดและประวัติการทำผิดซ้ำ ก็มีความเป็นไปได้ว่า ค่าปรับสะสมในระดับสูงสุดเป็นประวัติการณ์อาจถูกบังคับใช้จริง
  • ทั่วโลกกำลังจับตาว่าหน่วยงานกำกับดูแลจะเป็นครั้งแรกที่สั่งปรับสะสมตาม GDPR·DSA·DMA (สูงสุด 3.2 หมื่นล้านยูโร) หรือไม่

บทความที่เกี่ยวข้อง

5 ความคิดเห็น

 
luiseok 2025-06-11

ไม่รู้เหมือนกันว่าสุดท้ายจะให้เหล่าผู้บริหารระดับผู้อนุมัติภายในรับผิดชอบกันอย่างไร
 
kimjoin2 2025-06-11

สงสัยว่า iOS จะปลอดภัยไหมเหมือนกัน..
 
brainer 2025-06-11

Q: iOS/แพลตฟอร์มอื่นก็ได้รับผลกระทบด้วยไหม?
A: จนถึงตอนนี้ยืนยันได้เฉพาะบน Android เท่านั้น แต่ในทางเทคนิค iOS/เดสก์ท็อป/สมาร์ตทีวี เป็นต้น ก็อาจมีความเสี่ยงได้
 
GN⁺ 2025-06-11
ความคิดเห็นจาก Hacker News

  • มีการแชร์ลิงก์รวมประเด็นที่เคยถกกันก่อนหน้านี้เกี่ยวกับการติดตามจากเว็บไปยังแอป และปัญหาความเป็นส่วนตัวของ Meta กับ Yandex โดยกล่าวถึงหัวข้อต่าง ๆ เช่น ทิปด้านความเป็นส่วนตัวของ Washington Post (เลิกใช้ Chrome, ลบแอป Meta และ Yandex), การที่ Meta ติดตามผู้ใช้ Android อย่างลับ ๆ ผ่าน Instagram และ Facebook, การยุติเทคนิคติดตามพอร์ตบนมือถือใน Android หลังนักวิจัยออกมาประท้วง, และการรั่วไหลของข้อมูลติดตามผ่าน WebRTC ของ Yandex และ Meta

  • นึกถึงเหตุการณ์ในปี 2014 ที่แอป Twitter บน Android เริ่มส่งรายชื่อแอปทั้งหมดที่ติดตั้งอยู่ในเครื่องไปยังเซิร์ฟเวอร์ของ Twitter ตั้งแต่นั้นมาก็ยึดใช้เวอร์ชันเว็บแทนแอปเนทีฟสำหรับบริการที่ใช้ผ่านเบราว์เซอร์ได้ ไม่ได้ใช้ Facebook หรือ Instagram จึงไม่รู้ว่าตอนนี้ทำงานอย่างไร ตอนนั้น Facebook Messenger ก็จงใจจำกัดฟังก์ชันในสภาพแวดล้อมเบราว์เซอร์ด้วย ตลอด 10 ปีที่ผ่านมา แอปเนทีฟขอสิทธิ์สารพัด และผู้ใช้ก็กดตกลงกันแบบไม่คิดมาก ทำไม Facebook ถึงควรเห็นข้อมูล Wi‑Fi หรือ Bluetooth ของฉันก็ยังน่าสงสัย ยังมีกรณีติดตามคนในร้านออฟไลน์ด้วยบีคอนด้วย https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon . เรื่องน่าเสียดายคือแอปเนทีฟใช้งานลื่นและประสิทธิภาพดีกว่าเว็บแอปมาก

    • แชร์ประสบการณ์ว่า Facebook Messenger ถูกทำให้ใช้งานผ่านเบราว์เซอร์ได้แย่มาก เคยใช้ Messenger Lite ด้วยแต่สุดท้ายก็ยุติบริการ ยังจำเป็นต้องใช้ Facebook ต่อเพราะอีเวนต์หรือรายชื่อติดต่อ แต่จะไม่ติดตั้งแอป Messenger เด็ดขาด เลยต้องฝืนใช้เดสก์ท็อปโหมดแทนอย่างลำบาก ฟีดก็มีแต่ "แนะนำสำหรับคุณ" เต็มไปหมด เลยไม่เสพติดเหมือนเมื่อก่อน ไม่เข้าใจว่าทำไมถึงเหมือนพยายามไล่ผู้ใช้ออกไป แต่ให้ความรู้สึกแบบนั้นจริง ๆ

    • กล่าวถึงว่าในช่วงไม่กี่ปีที่ผ่านมา เว็บแอปเองก็ถูกรบกวนหนักมาก ครึ่งหนึ่งต้องทนกับป๊อปอัป "ติดตั้งแอป" อีกครึ่งหนึ่งคือใช้งานไม่ได้เลย ที่น่าผิดหวังกว่านั้นคือแอปเนทีฟส่วนใหญ่ทุกวันนี้จริง ๆ แล้วแทบเป็นแค่ webview จนไม่ได้ใช้ native UI ด้วยซ้ำ ถ้าสุดท้ายไม่ต่างจาก Safari ก็ปล่อยให้ใช้ Safari ไปเลยดีกว่า

    • ตอนนั้นอาจดูระแวงเกินไป แต่ก็ยืนยันจะใช้แค่เวอร์ชันเบราว์เซอร์ และถึงตอนนี้ก็ไม่เคยเสียใจ ยังช่วยหลุดพ้นจากความวุ่นวายอย่างการแจ้งเตือนด้วย ถ้า Apple หรือ Google เอาจริงกับความเป็นส่วนตัวก็คงต่างออกไป แอปที่ไม่มีใน F-Droid ก็แค่รอไป

    • การติดตามด้วยแอปลักษณะนี้ทุกวันนี้ยังถูกกฎหมายโดยสมบูรณ์ ทุกแอปสามารถไล่ดูรายชื่อแอปที่ติดตั้งอยู่และแอปที่เพิ่งเปิดล่าสุดได้โดยอ้างว่า “เพื่อความปลอดภัย” รายชื่อผู้ติดต่อก็เช่นกัน WhatsApp (ผลิตภัณฑ์ของ Meta เพียงตัวเดียวที่ฉันดูแลและใช้อยู่) ตรวจสอบข้อมูลรายชื่อติดต่อเป็นช่วงเวลาสั้นมาก และถ้าตรวจพบการเปลี่ยนแปลงก็จะอัปโหลดเฉพาะส่วนต่างขึ้นเซิร์ฟเวอร์ ประเด็นสำคัญของเรื่องนี้คือ Meta เลี่ยงการจ่ายค่าทำ “cookie matching” ให้ Google ด้วยการอ้อมไปจับคู่ผู้ใช้จากฝั่งเว็บแทน

  • ระบบนี้มีร่องรอยเหลืออยู่ทั้งจาก code commit ของวิศวกร Meta และบันทึกคำขอใน ticket ของผู้จัดการผลิตภัณฑ์ จึงมีคนเสนอว่าควรให้ผู้เกี่ยวข้องรับผิดเป็นการส่วนตัวด้วย เช่น ให้ Facebook ถูกปรับเป็นสัดส่วนกับรายได้ และให้คนเหล่านั้นรับผิดตามสัดส่วนของเงินเดือนตัวเอง

    • ย้ำว่าคนที่ควรรับผิดจริง ๆ คือผู้บริหารที่อนุญาตให้มีระบบแบบนี้

    • เห็นด้วยกับแนวคิดนี้ แต่ไม่ถูกต้องถ้าสุดท้ายลูกจ้างระดับล่างต้องรับผิดคนเดียวแล้วผู้บริหารระดับบนรอด ความรับผิดควรไล่ขึ้นไปถึงข้างบน

    • เรื่องนี้ทำให้นึกถึงคำพูดดังของ CS Lewis ว่า “ความชั่วร้ายที่เลวร้ายที่สุดถูกวางแผนโดยคนใส่สูทในออฟฟิศที่สะอาดและเงียบ” และยก Meta เป็นตัวอย่างร่วมสมัยของเรื่องนี้

    • ยอมรับว่าเป็นเรื่องที่มีปัญหาทางจริยธรรมชัดเจน แต่ก็มีวิศวกรบางคนที่พร้อมสร้างอะไรก็ได้ถ้ามีเงินเดือนให้ ถ้าพวกเขาไม่ทำก็จะมีคนอื่นทำอยู่ดี และบางครั้งก็มองว่ามันท้าทายทางเทคนิคจนน่าสนใจ สุดท้ายจึงต้องไล่เอาผิดกับผู้บริหารหรือคนที่ให้ทุนอยู่ข้างบน เช่น Zuck ซึ่งเป็นคนรับเงินและผลประโยชน์ และต้องตามเส้นทางของเงิน

    • มีการตั้งคำถามว่า EU จะสามารถปรับวิศวกรชาวอเมริกันที่อาศัยอยู่ในสหรัฐฯ ได้จริงหรือไม่

  • สำหรับ Meta แล้ว ไม่แปลกใจที่ทำเรื่องแบบนี้ ย้อนกลับไปช่วงต้นทศวรรษ 2010 พวกเขาเคยสอดส่องทราฟฟิก HTTPS ของ iOS App Store เพื่อดูว่าแอปไหนกำลังฮิตก่อนคนอื่น และนั่นช่วยให้ตัดสินใจซื้อ WhatsApp กับ Instagram ได้ ในสถานการณ์ปัจจุบัน ไพ่เดิมพันของ Zuckerberg ดูเหมือนจะเป็นการหวังให้ Meta อยู่รอดต่อไปจนกว่าแพลตฟอร์มถัดไป (AR, VR) จะมาถึง ถ้า Meta ครองแพลตฟอร์มใหม่ได้ ก็ไม่จำเป็นต้องสนใจกฎเกณฑ์ที่สมเหตุสมผลอีกต่อไป และสามารถยื่นหนวดของเครื่องจักรโฆษณาไปทั่วอินเทอร์เน็ตได้ตามใจ แม้จะไม่ใช่ภาพที่น่าพึงประสงค์ แต่ในความเป็นจริงก็ดูมีโอกาสที่พวกเขาจะทำได้

    • บริษัทต่าง ๆ อยากให้ AR/VR กลายเป็นแพลตฟอร์มถัดไปมาก แต่ก็สงสัยว่าคนนอกเหนือจากเกมเมอร์ส่วนน้อยต้องการมันจริงหรือไม่ รู้สึกว่าอาจอยู่ได้ไม่นานไม่ต่างจากแว่น 3D ในโรงหนัง

    • ตอนที่สอดส่องแอป iOS ก่อนหน้านั้น ผู้ใช้ต้องติดตั้ง VPN ที่แจกผ่าน enterprise certificate ด้วยตัวเอง ซึ่งไม่ใช่วิธีที่ขึ้น App Store ผู้ใช้ต้องผ่านคำเตือนน่ากลัวของ iOS หลายรอบกว่าจะติดตั้งได้ แต่เพียงให้บัตรของขวัญเล็ก ๆ น้อย ๆ ก็ยังมีคนเข้าร่วมจำนวนมาก

    • ที่ Meta ทำเรื่องแบบนี้ซ้ำได้ก็เพราะบทลงโทษในอดีตไม่เพียงพอจะหยุดผู้กระทำผิดซ้ำ

    • แพลตฟอร์ม VR ของ Meta อย่าง Quest มียอดขายสะสมราว 20 ล้านเครื่อง ซึ่งสำหรับบริษัทที่ต้องการฐานผู้ใช้ขนาดมหาศาลแบบ Facebook แล้วยังห่างไกลมาก แม้แต่ Quest 2 (14 ล้านเครื่อง) ที่ขายดี ก็เลิกผลิตไปแล้ว 9 เดือน ดูห่างไกลจากการเติบโตแบบก้าวกระโดด

  • มีความคิดว่าวิศวกรที่สร้างระบบนี้อาจเป็นหนึ่งในพวกเราที่อยู่บน Hacker News นี่เอง ไม่คิดว่า Zuck จะเขียนมันเองโดยตรง

    • ที่นี่ (Hacker News) เวลาบอกให้วิศวกรคิดเรื่องจริยธรรมของงานที่ทำ มักจะได้รับคำตอบโต้กลับว่า “ฉันแค่อยากสร้างเทคโนโลยีเจ๋ง ๆ บริษัทจะเอาไปใช้อะไรก็ไม่ใช่เรื่องของฉัน” ยังมีท่าทีประชดประชันแบบ “ฉันก็แค่ code monkey ถ้าผู้บริหารสั่งให้สร้าง Torment Nexus(เครื่องทรมาน) ฉันก็สร้าง” อยู่ด้วย

    • มีมุกว่าที่ Meta ต้องใช้ AI เพื่อทำสิ่งนี้ ก็เพราะ AI ไม่ปฏิเสธ

  • มองว่าเห็นปัญหาอยู่สองข้อ ข้อแรก Android อนุญาตให้แอปเปิดพอร์ตได้โดยไม่ต้องมีสิทธิ์แยกต่างหาก และแอปก็สื่อสารกันได้โดยไม่ต้องมีสิทธิ์เพิ่มเติม ข้อสอง เบราว์เซอร์อนุญาตให้เข้าถึงบริการบน localhost ได้ไม่ว่าโดเมนไหน ในอดีตก็เคยมีปัญหาความปลอดภัยจากการเข้าถึงบริการนักพัฒนาที่รันอยู่บน localhost มาก่อน ดูเหมือนว่าต้องมีการปรับปรุงอะไรสักอย่าง

    • ถ้าจะแยกปัญหาให้คมกว่านั้น ข้อแรกคือแอปใด ๆ ก็สามารถ listen พอร์ตได้โดยไม่ต้องมีสิทธิ์เพิ่ม และข้อสองคือแอปใด ๆ ก็เข้าถึงพอร์ตในเครื่องได้โดยไม่ต้องมีสิทธิ์เพิ่ม โดยส่วนตัวเคยทดลองจับเบราว์เซอร์ไว้ใน network namespace บนเดสก์ท็อปด้วยเหตุผลนี้ คิดว่าเว็บไซต์ไม่ควรเข้าถึงบริการ localhost ของฉันได้ตามอำเภอใจ

    • แม้จะเป็นประเด็นทางเทคนิคสองข้อจริง แต่ถึงอย่างนั้น Facebook ก็ไม่ควรทำเรื่องแบบนี้อยู่ดี

    • ถ้าแอป Android จะเปิดพอร์ต ต้องมีสิทธิ์ android.permission.INTERNET สิทธิ์นี้โดยปกติจะถูกให้โดยอัตโนมัติตอนติดตั้ง และก็มีระบบอย่าง GrapheneOS ที่สามารถบล็อกแยกต่างหากได้ เท่าที่ทราบ ตอนนี้ยังไม่มีการควบคุมละเอียดระดับ “อนุญาตเฉพาะการสื่อสารภายใน”

    • ยังมีข้อเสนอให้จำกัดไม่ให้เว็บไซต์เข้าถึงเครือข่ายภายในของผู้ใช้ได้โดยไม่มีการอนุญาตชัดเจน https://github.com/explainers-by-googlers/local-network-access

  • ถ้ามีการติดตั้งแอป Facebook หรือ Instagram บนโทรศัพท์ Android, ล็อกอินค้างอยู่ในบัญชี, และไม่ได้ตั้งค่าบล็อกสิ่งอย่าง tracking pixel เป็นพิเศษ ก็อาจได้รับผลกระทบจากกรณีนี้ ส่วนที่น่ากังวลเป็นพิเศษคือมันดูเหมือนจะทะลุ VPN หรือโหมดไม่ระบุตัวตนได้ หลายคนเข้าใจผิดว่าการใช้โหมดเหล่านี้เท่ากับปกป้องความเป็นส่วนตัวได้สมบูรณ์ แต่จริง ๆ แล้วผลของมันมักเป็นแค่ทำให้ดูเหมือนเป็นเซสชันใหม่หรือมาจากตำแหน่งอื่นมากกว่า

    • จากมุมมองของผู้ใช้ทั่วไป การใช้ VPN และ private browsing ก็ดูน่าจะเพียงพอแล้ว การที่เบราว์เซอร์แอบสื่อสารกับแอปในโทรศัพท์และผูกทุกพฤติกรรมเข้ากับบัญชีของฉันมันเกินไปมาก

    • ถ้าเปิดแอป Facebook หรือ Instagram ทิ้งไว้เบื้องหลังจริง การติดตามอาจยิ่งแย่ลง ผู้ใช้บางคนเกลียดมากที่แอปทำงานอยู่เบื้องหลัง จึงเลือกปิดมันทุกครั้งทันทีที่ใช้เสร็จ

  • มีการชี้ว่าปัญหาที่แท้จริงอยู่ที่ WebRTC โดย WebRTC ควรถูกปิดไว้เป็นค่าเริ่มต้น และอย่างน้อยก็ควรอยู่หลังกล่องขอสิทธิ์ แน่นอนว่า Facebook ก็คงอ้างฟังก์ชันอย่างแชตเพื่อบังคับให้เปิด WebRTC และสุดท้ายผู้ใช้ 99% ก็น่าจะกดยอมรับอยู่ดี

  • ไม่เข้าใจว่า Meta จำเป็นต้องทำถึงขั้นนี้ไปทำไม เพราะเดิมก็มีเทคนิคติดตามอย่าง fingerprinting อยู่แล้ว จึงไม่น่าต้องรับความเสี่ยงเพิ่ม อาจเป็นไปได้ว่าเทคนิคนี้ถูกใช้เป็นชุดทดสอบเพื่อดูว่าเทคนิคติดตามแบบอื่นยังใช้ได้ผลแค่ไหน หรือเป็นหลักฐานว่าพวกเขาเตรียมสลับไปใช้อีกวิธีทันทีเมื่อมีวิธีใดวิธีหนึ่งถูกเปิดโปงหรือถูกอุดช่อง ดูเป็นวิธีที่โง่มากที่ยังใช้อะไรโจ่งแจ้งจนจับได้ง่ายแบบนี้ต่อไป

    • พฤติกรรมแบบนี้เกิดจากบริษัทขับเคลื่อนด้วยวิธีคิดแบบสังคมวิปริต พอมีคนบอกว่า “ห้ามทำ” ก็กลับมองเป็นโจทย์ท้าทายว่าจะทำอย่างไรไม่ให้ถูกจับได้

  • มีการบอกว่าคำอธิบายว่า "สคริปต์ Meta Pixel ส่งคุกกี้ _fbp ไปยังแอปเนทีฟ Instagram หรือ Facebook ผ่าน WebRTC(STUN) SDP Munging" เป็นแฮ็กที่บ้าคลั่งแบบสุด ๆ จริง ๆ

    • สงสัยมากว่าวิธีการแบบนี้ผ่านการอนุมัติได้อย่างไร