ความเป็นไปได้ที่ข้อมูลบัตรประชาชนของผู้ใช้ Discord 70,000 รายรั่วไหล

 (theverge.com)
1 คะแนน โดย GN⁺ 2025-10-09 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Discord เปิดเผยว่า จากเหตุการณ์ด้านความปลอดภัยของผู้ให้บริการสนับสนุนลูกค้าภายนอก อาจทำให้ รูปถ่ายบัตรประจำตัวที่รัฐบาลออกให้ ของผู้ใช้ราว 70,000 รายถูกเปิดเผย
  • เหตุการณ์ครั้งนี้เกิดขึ้นที่ ผู้ให้บริการภายนอก ไม่ใช่ในระบบของ Discord เอง
  • ผู้โจมตีพยายามข่มขู่เรียกเงินจาก Discord พร้อมเผยแพร่ตัวเลขที่ เกินจริง มากกว่าขนาดความเสียหายที่แท้จริง
  • ผู้ใช้ที่ได้รับผลกระทบทุกคนได้รับ การแจ้งโดยตรง เป็นรายบุคคลแล้ว และ Discord กำลัง ร่วมมืออย่างใกล้ชิดกับหน่วยงานบังคับใช้กฎหมาย เป็นต้น
  • ได้ ยุติสัญญากับผู้ให้บริการที่ได้รับผลกระทบ และดำเนิน มาตรการเสริมความปลอดภัย ทันที

ภาพรวมของเหตุการณ์ด้านความปลอดภัย

  • Discord ได้เผยแพร่แถลงการณ์อย่างเป็นทางการเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นกับ ผู้ให้บริการบริการลูกค้าภายนอก เมื่อไม่นานมานี้
  • ผู้ก่อเหตุผิดกฎหมายกำลังเผยแพร่ ข้อมูลที่ไม่ถูกต้อง และคำกล่าวอ้างที่เกินจริงทางออนไลน์ (รวมถึงการขยายจำนวนผู้เสียหาย) ทำให้เกิดความสับสน

แก่นของเหตุการณ์

  • เป้าหมายของการแฮ็กไม่ใช่ระบบของ Discord เอง แต่เป็น ระบบของผู้ให้บริการภายนอกที่ใช้เพื่อสนับสนุนงานบริการลูกค้า
  • จากการเปิดเผยข้อมูลของผู้ให้บริการภายนอก ทำให้มีความเป็นไปได้ที่ รูปถ่ายบัตรประจำตัวที่รัฐบาลออกให้ของผู้ใช้สูงสุดราว 70,000 ราย จะถูกเปิดเผย
  • ข้อมูลบัตรประจำตัวดังกล่าวส่วนใหญ่ถูกใช้เพื่อ ยืนยันอายุและจัดการคำร้องคัดค้านที่เกี่ยวข้องกับการจำกัดอายุ

การตอบสนองของ Discord

  • ได้แจ้ง ผู้ใช้ที่ได้รับผลกระทบ ทุกคนเป็นรายบุคคลเรียบร้อยแล้ว
  • Discord ยังคงร่วมมือกับ หน่วยงานบังคับใช้กฎหมาย หน่วยงานคุ้มครองข้อมูล และผู้เชี่ยวชาญด้านความปลอดภัยภายนอก อย่างต่อเนื่อง
  • ได้ ยุติสัญญาทันที กับผู้ให้บริการภายนอกที่เกิดเหตุ
  • ได้ เสริมมาตรการความปลอดภัย ของระบบที่เกี่ยวข้อง

แถลงเพิ่มเติมจาก Discord

  • เน้นย้ำว่าไม่มีความตั้งใจจะ เจรจา (ชดเชย) กับฝ่ายข่มขู่ที่เผยแพร่คำกล่าวอ้างอันเป็นเท็จและกระทำการผิดกฎหมาย
  • ระบุว่าตระหนักถึง ความรับผิดชอบต่อการคุ้มครองข้อมูลส่วนบุคคลอย่างจริงจัง และเข้าใจความกังวลของผู้ใช้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-10-09
ความคิดเห็นจาก Hacker News

  • ฉันคงกลายเป็นคนมองโลกแบบประชดประชันและขี้ระแวงไปแล้ว แต่เรื่องแบบนี้ก็ไม่ได้ทำให้แปลกใจอีกต่อไปแล้ว ถ้าให้ข้อมูลส่วนตัวกับใครไป ตอนนี้ก็ต้องคิดไว้ก่อนว่าทุกคนจะเข้าถึงข้อมูลนั้นได้ ต่อให้บริการจะระบุไว้ใน TOS ว่า “จะไม่ขายข้อมูลให้บุคคลที่สาม” สุดท้ายมันก็มักจะมีช่องโหว่ด้านความปลอดภัยที่ทำให้ข้อมูลรั่วออกไปอยู่ดี ฉันคิดว่านี่ไม่ใช่ความผิดของบริษัทเดียว แต่เป็นปัญหาของทั้งระบบที่รัฐบาลไม่ได้กำหนดหรือบังคับใช้มาตรการความปลอดภัยที่เข้มงวด ตอนนี้ฉันเลิกคาดหวังไปแล้วว่าข้อมูลส่วนตัวจะได้รับการปกป้อง และถ้าเป็นข้อมูลที่สำคัญจริง ๆ และอยากให้เป็นความลับ ก็จะไม่ทำให้เป็นดิจิทัลตั้งแต่แรก และจะไม่ยอมให้มีการคัดลอกเด็ดขาด

    • ข่าวถูกนำเสนอไม่ใช่เพื่อทำให้คนตกใจ แต่เพราะมันเป็นประเด็นสำคัญ ตอนนี้มีรัฐบาลมากขึ้นเรื่อย ๆ ที่ผ่านกฎหมายยืนยันอายุ ซึ่งหมายถึงข้อมูลแบบนี้กำลังถูกส่งต่อไปยังบริษัทเอกชนที่เสี่ยงอันตรายมากขึ้น เหตุข้อมูลรั่วครั้งนี้เป็นหลักฐานว่ากฎหมายพวกนี้ผิดพลาด และการเผยแพร่ข่าวนี้ให้กว้างจะช่วยให้สาธารณชนตระหนักมากขึ้น

    • ต้นตอของปัญหาคือรัฐบาล รัฐบาลเป็นคนบังคับให้ต้องขอบัตรประชาชนจากลูกค้าแบบไม่มีข้อยกเว้นถึงเกิดปัญหานี้ขึ้นมา มาตรการความปลอดภัยที่ใช้ได้จริงมีเพียงอย่างเดียวคืออย่าเก็บข้อมูลนี้เลย รัฐบาลเองก็ไม่เคยเสนอวิธีป้องกันที่เหมาะสมตั้งแต่แรก ตอนนี้ข้อมูลนี้มีโอกาสสูงมากที่จะไม่มีวันถูกลบ ไม่ว่า Discord จะจ่ายเงินหรือไม่ก็ไม่เปลี่ยนอะไร

    • เหตุผลที่เรื่องแบบนี้ไม่ทำให้ใครแปลกใจ ก็เพราะแทบไม่มีบทลงโทษที่ใหญ่พอ ผู้คนชาชินกับข้อมูลรั่วครั้งใหญ่กันไปแล้วจนแทบไม่มีการตอบสนองที่เหมาะสม และอีกสาเหตุคือกฎหมายที่ขัดกับผลประโยชน์ของบริษัทยักษ์ใหญ่มักผ่านได้ยากในทางปฏิบัติ

    • สิ่งที่น่าขันจริง ๆ คือความรับผิดชอบมักไปตกอยู่ที่การให้ปัจเจกบุคคลต้องคอยกังวลและระมัดระวังเอง ขณะที่ระบบที่จัดการข้อมูลกลับแทบไม่เจอผลลัพธ์หรือบทลงโทษอะไรเลย

    • เทคโนโลยี Zero Knowledge ควรถูกนำมาใช้กับการยืนยันตัวตนในชีวิตประจำวันให้เร็วที่สุด ตอนนี้มีเทคโนโลยีที่ยืนยันตัวตนหรืออายุได้โดยไม่ต้องเปิดเผยข้อมูลส่วนบุคคลอยู่แล้ว แต่น่าเสียดายที่คงต้องใช้เวลาอีกมากกว่าจะกลายเป็นเรื่องปกติสำหรับคนทั่วไป

  • ปัญหาใหญ่อีกอย่างที่ถูกมองข้ามมากที่สุดคือการขาดความโปร่งใสของผู้ให้บริการบุคคลที่สามที่จัดการข้อมูลบัตรประชาชนอ่อนไหว ทุกครั้งที่เกิดข้อมูลรั่ว บริษัทต่าง ๆ มักไม่เปิดเผยให้ชัดเจนว่ามีผู้ให้บริการรายใดเป็นผู้จัดการข้อมูลจริง ความไม่โปร่งใสแบบนี้ทำให้ผู้ใช้ไม่รู้ว่าข้อมูลของตนถูกเก็บอยู่ที่ไหนบ้าง และแทบไม่มีโอกาสจะตรวจสอบหรือให้ผู้ให้บริการเหล่านั้นถูกตรวจสอบได้เลย ตราบใดที่ชั้นของผู้ให้บริการนี้ยังไม่ถูกกำกับดูแล ข้อมูลรั่วก็จะยังเกิดขึ้นต่อไปและความรับผิดชอบก็จะยังไม่ชัดเจน

    • ชั้นของผู้ให้บริการบุคคลที่สามนี้คือ “สสารมืด” ของระบบนิเวศข้อมูลรั่ว สำหรับผู้ใช้มันเหมือนไม่มีตัวตน บริษัทก็แทบไม่พูดถึง และพอเกิดปัญหาก็ไม่ค่อยมีใครรับผิดชอบอย่างจริงจัง

  • Discord ใช้ Zendesk(อ้างอิง). แต่ในแถลงการณ์อย่างเป็นทางการครั้งนี้กลับไม่ได้เปิดเผยว่าผู้ให้บริการบุคคลที่สามที่ถูก compromise คือรายใด และ Zendesk ก็ระบุว่าไม่ใช่บริการของตน ถ้าอย่างนั้นก็ต้องสงสัยว่า Discord ใช้ผู้ให้บริการบุคคลที่สามรายอื่นใดอยู่ และกำลังพยายามปกป้องชื่อเสียงของใครกันแน่

  • ไม่เข้าใจว่าทำไมต้องเก็บบัตรประชาชนไว้ด้วย แค่ยืนยันอายุเสร็จก็น่าจะพอแล้ว ทำไมถึงยังเก็บต่อ บริษัทพวกนี้ควรถูกบังคับให้เปิดเผยรายละเอียดเหตุการณ์อย่างเหมาะสมแบบเดียวกับ Google หรือ Cloudflare เมื่อเกิดเหตุ

  • บริษัทต่าง ๆ มักสัญญาว่าจะใช้บัตรประชาชนเพียงเพื่อการตรวจสอบแล้วลบทิ้งทันที ถ้าอย่างนั้นก็ยิ่งสงสัยว่าบัตรประชาชนจำนวนมากขนาดนี้รั่วออกมาได้อย่างไร หรือว่าพวกเขาตรวจสอบกันเป็นหลักล้านรายการทุกเดือนจริง ๆ

    • ข้อความแนะนำของ Discord (สำหรับออสเตรเลีย) ระบุว่า “ข้อมูลที่ให้มาจะถูกใช้เพียงเพื่อตรวจสอบกลุ่มอายุ และจะถูกลบทันทีหลังการตรวจสอบ”(ดูภาพหน้าจอ). ฉันเองยังไม่ได้ส่ง แต่ก็กำลังคิดอยู่ว่าจะทำอย่างไรให้หลอกกระบวนการจดจำใบหน้าได้ ฉันไม่อยากส่งบัตรประชาชนของรัฐให้แอปแชต ไม่ว่าจะเป็นบริการขนาดไหนก็ตาม และส่วนตัวคิดว่าการแบ่งอายุก็แค่ ‘13~18 ปี, 18 ปีขึ้นไป’ ก็น่าจะพอแล้ว ถ้าละเอียดยิ่งกว่านั้นก็ดูเหมือนเอาไปใช้เพื่อการตลาดหรือวิเคราะห์ข้อมูลมากกว่า

    • ในแถลงการณ์ทางการก่อนหน้านี้ระบุว่า “มีบุคคลที่ไม่ได้รับอนุญาตจำนวนน้อยเข้าดูภาพบัตรประชาชนของผู้ใช้บางรายที่ร้องขอ ‘การพิจารณาอายุใหม่’”(ที่มา). ในกรณีแบบนี้ อาจจำเป็นต้องเก็บบัตรประชาชนไว้ช่วงหนึ่งตามกระบวนการจัดการคำอุทธรณ์ เนื่องจากการจัดการคำคัดค้านใช้เวลานาน จึงอาจถูกเก็บไว้นานและรั่วออกมาได้

    • ไม่อย่างนั้นก็แปลว่าคำสัญญาว่าจะลบทันทีเป็นเรื่องโกหก หรือไม่ก็ผู้ให้บริการบุคคลที่สามที่รับงานไว้เก็บข้อมูลแยกไว้เอง

    • ตามข้อกำหนด ผู้ให้บริการยืนยันตัวตนอาจเก็บข้อมูลบัตรประชาชนได้นานสูงสุด 3 ปี และบริษัทต่าง ๆ ยังนำไปใช้ฝึกแมชชีนเลิร์นนิงด้านความปลอดภัยและการตรวจจับการฉ้อโกงด้วย

    • อยากรู้เหมือนกันว่าใน TOS ระบุชัดจริงไหมว่าจะลบ และเขียนไว้ละเอียดแค่ไหนว่าจะลบเร็วเพียงใด คำประเภทนี้อย่าง ‘ทันที’ หรือ ‘ในไม่ช้า’ ถ้าไม่ได้ระบุไว้ชัดในสัญญาก็ตีความได้หลากหลายมาก และบางกรณีรัฐบาลก็อาจบังคับให้ต้องเก็บข้อมูลไว้ตามกฎหมาย

  • ฉันคิดว่ารัฐบาลควรมีระบบที่พิสูจน์ได้เฉพาะอายุของผู้ใช้แบบ eID ของเยอรมนีให้มากกว่านี้ มันจำเป็นมากจริง ๆ แต่ก็น่าเสียดายที่ใช้งานยากและแทบไม่มีใครใช้

    • เบลเยียมมีบริการชื่อ “itsme” มีมานานแล้ว เริ่มจากฝั่งภาครัฐเป็นหลัก แต่ตอนนี้ธนาคารจำนวนมากก็นำไปใช้แล้ว

    • eID ของเยอรมนีไม่ได้แค่ไม่สะดวก แต่ยังติดตั้งและเชื่อมเข้ากับบริการได้ไม่ง่ายและมีค่าใช้จ่าย ดูเหมือนถูกออกแบบมาเพื่อผลักให้คนไปใช้ระบบเชิงพาณิชย์แทน (โซลูชันแบบเสียเงิน) มากกว่า(รายละเอียด)

  • การอัปโหลดบัตรประชาชนของรัฐไปให้ Discord เป็นเรื่องโง่มาก

    • ในสหราชอาณาจักร หากต้องการเข้าถึงช่อง free speech สำหรับผู้มีอายุ 13 ปีขึ้นไป ก็ต้องพิสูจน์ตัวตนกับ Discord เพื่อให้เป็นไปตาม Online Safety Act

    • การโดนแบนเพราะถูกมองว่าอายุต่ำกว่า 13 ปีเกิดขึ้นบ่อยมาก เช่น มีคนถามจำนวนเทียนบนรูปภาพ แล้วพอคุณตอบ เขากลับแก้ไขข้อความแชตเป็น “อายุเท่าไร?” ทำให้คำตอบนั้นกลายเป็นการบอกอายุไปทันที Discord เป็นเหมือน MSN Messenger หรือ Yahoo IM ในอดีต ทุกความสัมพันธ์ดิจิทัลและประวัติเซิร์ฟเวอร์ผูกอยู่กับบัญชีเดียวนี้ ถ้าเสียบัญชีไปก็เท่ากับเสียทั้งเพื่อนและชุมชน ดังนั้นหลังยืนยันตัวตนไปแล้วหนึ่งสัปดาห์ ข้อมูลบัตรประชาชนก็ควรถูกลบถาวร หรือไม่ก็ควรมีตัวเลือกให้ลบออกจากแผงควบคุมบัญชีได้เลย

    • การโทษผู้ใช้ไม่ใช่เรื่องถูกต้อง บริษัทกำหนดนโยบายตามกฎหมายของรัฐและบังคับให้ยืนยันว่าอายุ 18 ปีขึ้นไป ฉันเองก็พยายามยืนยันด้วย AI จดจำใบหน้าแล้วแต่ไม่ผ่าน สุดท้ายเลยทำตามคำแนะนำคือไปติดต่อฝ่ายบริการลูกค้า และอัปโหลดบัตรประชาชนเพราะเห็นนโยบายทางการของ Discord ที่บอกว่า “จะลบบัตรประชาชนทันทีหลังการตรวจสอบ”(นโยบาย) (นโยบายการลบ). แต่ Discord กลับลบไม่ได้ตามที่สัญญาไว้และปล่อยให้ข้อมูลรั่ว ความรับผิดชอบทั้งหมดอยู่ที่ผู้ให้บริการบุคคลที่สาม, Discord ที่จัดการข้อมูลอย่างหละหลวม และรัฐบาลที่บังคับใช้นโยบายแบบนี้ ถึงพวกเราที่มีความรู้ด้านเทคโนโลยีจะหาทาง self-hosting หรือทางอ้อมอื่น ๆ ได้ง่าย แต่คนทั่วไปทำไม่ได้ หวังว่าเหตุการณ์นี้จะกลายเป็นจุดเริ่มต้นของการต่อต้านนโยบายยืนยันตัวตนแบบบังคับในอนาคต แต่รัฐบาลอังกฤษก็คงจะโบ้ยทุกอย่างให้ Discord โดยอ้างว่า “เพื่อปกป้องเด็ก”

    • ตอนนี้ใบขับขี่, หนังสือเดินทาง และเอกสารยืนยันตัวตนอื่น ๆ ของฉันถูกส่งไปให้คริปโตเอ็กซ์เชนจ์จำนวนมากอยู่แล้ว มันเป็นความจริงที่เลี่ยงไม่ได้ และ KYC ที่จริงจังก็ต้องมีขั้นตอนยืนยันตัวตนผ่านวิดีโอด้วย

  • คำอธิบายว่า “เป็นความผิดของผู้ให้บริการบุคคลที่สาม” กลายเป็นรูปแบบแก้ตัวที่พบได้บ่อยเกินไปแล้ว เมื่อเก็บข้อมูลอ่อนไหวอย่างบัตรประชาชนของรัฐไว้ ไม่ว่าข้อมูลจะอยู่ในมือใคร ความปลอดภัยที่เกี่ยวข้องก็ควรต้องอยู่ในระดับสูงสุด

  • ขอถามเพราะอยากรู้เฉย ๆ — หลังยืนยันอายุเสร็จแล้ว กฎหมายบังคับให้ต้องเก็บข้อมูลแบบนี้ต่อจริงหรือไม่

    • นั่นแหละคือจุดที่แปลกที่สุดของเหตุการณ์นี้ ไม่เข้าใจเลยว่าทำไมถึงยอมรับภาระความเสี่ยงแบบนี้ไว้ ถ้าจำเป็นต้องเก็บจริง ๆ ก็ต้องสมมติไว้ก่อนว่าถ้ารั่วจะเป็นหายนะใหญ่ และควรแยกเก็บไว้ในบริการเฉพาะที่จำกัดการเข้าถึงอย่างเข้มงวด

    • ฉันทำงานคนละอุตสาหกรรม แต่เวลาต้องยืนยันตัวตน เราจะดึงเฉพาะเมตาดาต้าทันทีตอนแสดงข้อมูลแล้วทิ้งภาพไปเลย การเก็บภาพแบบนั้นระยะยาวโดยไม่มีการอนุมัติจากฝ่ายกฎหมายเป็นเรื่องที่ปกติแล้วนึกไม่ถึง ยิ่งถ้าเป็นการตรวจสอบง่าย ๆ อย่างอายุหรือชื่อก็ยิ่งไม่มีเหตุผลเลย

    • ก็ไม่ได้มีหลักฐานแน่ชัดว่ามีการเก็บจริง การคาดว่ามันถูกเก็บไว้อาจเป็นเพียงการเดา เหตุข้อมูลรั่วครั้งนี้อาจเป็นข้อมูลชั่วคราวที่ถูกดักระหว่างกระบวนการประมวลผลแบบเรียลไทม์ ไม่ใช่การเจาะคลังข้อมูลถาวรทั้งก้อนก็ได้

    • เดาเอาว่าอาจมีการเก็บภาพบัตรประชาชนต้นฉบับบางส่วนไว้เพื่อตรวจสอบบัญชีซ้ำซ้อน ถ้าโมเดลแมชชีนเลิร์นนิงสงสัยว่าบัญชีสองบัญชีเป็นคนเดียวกัน ก็อาจใช้ภาพต้นฉบับเทียบเพื่อยืนยันความซ้ำ

    • ใน EU ตรงกันข้ามเลย GDPR กำหนดให้ใช้ข้อมูลเท่าที่จำเป็นขั้นต่ำและห้ามนำไปใช้นอกวัตถุประสงค์ ตัวอย่างเช่น ข้อมูลที่ส่งมาเพื่อยืนยันอายุจะต้องถูกลบหลังยืนยันเสร็จ

  • ZenDesk โฆษณาว่า “Discord มอบการสนับสนุนที่ราบรื่นด้วยการลงทุนใน AI-based self-service ของแพลตฟอร์ม Zendesk CX”