อีเมลไม่ได้ทำงานแบบนั้นนะ HSBC

 (danq.me)
1 คะแนน โดย GN⁺ 2026-01-30 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • HSBC ตัดสินว่า ลูกค้าได้รับอีเมลหรือไม่จากพิกเซลติดตาม ส่งผลให้มีการแจ้งผิดพลาดว่า “อีเมลตีกลับ” ไปยังลูกค้าที่จริง ๆ แล้วยังรับอีเมลได้ตามปกติ
  • ธนาคารเรียกร้องให้ลูกค้าอัปเดตที่อยู่อีเมล แต่ ในบัญชีของลูกค้ามีการลงทะเบียนที่อยู่อีเมลที่ถูกต้องอยู่แล้ว
  • จากการวิเคราะห์พบว่าในอีเมลของ HSBC มีการฝัง พิกเซลติดตามแบบ HTTP ซึ่งเสี่ยงต่อการเปิดเผยข้อมูลส่วนบุคคล เช่น เวลาที่รับ ความถี่ และ IP address
  • เนื่องจากพิกเซลติดตามจะไม่ทำงานเมื่อมีการตั้งค่าบล็อก การที่ธนาคารใช้สิ่งนี้เป็นเกณฑ์ตัดสินว่า “ไม่ได้รับอีเมล” จึงถูกชี้ว่าเป็น การใช้เทคโนโลยีผิดวิธี
  • HSBC ควรเปลี่ยนไปใช้แนวทาง ยุติการติดตามแบบไม่เข้ารหัส เคารพความเป็นส่วนตัว และสื่อสารกับลูกค้าให้ชัดเจน

การแจ้งเตือนอีเมลตีกลับที่ผิดพลาดของ HSBC

  • HSBC ส่ง จดหมายทางไปรษณีย์ ถึงลูกค้าโดยแจ้งว่า “อีเมลตีกลับ” และขอให้อัปเดตที่อยู่
    • แต่ลูกค้ารายนั้นได้รับและเปิดอ่านอีเมลจาก HSBC ได้ตามปกติอยู่แล้ว
    • เมื่อตรวจสอบบัญชีออนไลน์ก็พบว่าที่อยู่อีเมลที่ลงทะเบียนไว้นั้นถูกต้อง
  • ในการแชตกับฝ่ายบริการลูกค้า มีแต่ คำตอบตามแบบฟอร์ม ว่า “ถ้าธนาคารส่งจดหมายมา ก็ต้องเปลี่ยนที่อยู่” ซ้ำ ๆ
    • กระทั่งโทรศัพท์สอบถาม จึงได้รับคำตอบว่า “หากที่อยู่นั้นถูกต้องก็สามารถเพิกเฉยต่อจดหมายได้”
  • ผู้เขียนเสนอให้ HSBC เปลี่ยนข้อความจาก “ต้องดำเนินการ” เป็น “จำเป็นต้องตรวจสอบที่อยู่”

โครงสร้างและปัญหาของพิกเซลติดตามอีเมล

  • ที่ด้านล่างของอีเมล HSBC มีโค้ดรูปภาพ ขนาด 1×1 พิกเซล อยู่สองรายการ
    • พิกเซลเหล่านี้ถูกใช้เป็น อุปกรณ์ติดตาม ที่จะเชื่อมต่อกับเซิร์ฟเวอร์เมื่อผู้รับเปิดอีเมล เพื่อบันทึกว่ามีการเปิดอ่านหรือไม่
  • HSBC ส่งพิกเซลนี้ผ่าน โปรโตคอล HTTP ซึ่งก่อให้เกิด ช่องโหว่ด้านความปลอดภัย ที่ทำให้บุคคลที่สามบนเครือข่ายอาจทราบได้ว่ามีการเปิดอ่าน
    • ในสภาพแวดล้อม Wi-Fi สาธารณะ มีความเป็นไปได้ที่ผู้ใช้งานเครือข่ายเดียวกันจะตรวจจับข้อมูลนี้ได้
  • นอกจากนี้ยังมีการกล่าวถึงความเสี่ยงที่ผู้โจมตีอาจแทรกรูปภาพไว้ท้ายอีเมลเพื่อ ปลอมเป็นข้อความฟิชชิง ได้ด้วย

ความไม่น่าเชื่อถือและการใช้งานผิดวัตถุประสงค์ของพิกเซลติดตาม

  • ผู้เขียนใช้ การตั้งค่าบล็อกพิกเซลติดตาม จึงไม่ส่งข้อมูลการเปิดอ่านอีเมลออกไป
    • นี่คือวิธีการดั้งเดิมที่อีเมลควรทำงาน และผู้รับควรเลือกได้ว่าจะเปิดเผยการเปิดอ่านหรือไม่
  • ดูเหมือนว่า HSBC จะตีความการไม่มีสัญญาณจากพิกเซลว่าเป็น “ไม่ได้รับอีเมล” และจึงจัดการเป็นอีเมลตีกลับ
    • นี่เป็นตัวอย่างของการนำพิกเซลติดตามไปใช้ผิดวัตถุประสงค์ จากเครื่องมือวิเคราะห์เชิงสถิติกลายเป็น เครื่องมือระบุตัวลูกค้าเป็นรายบุคคล
  • ผลลัพธ์คือ HSBC ได้ส่ง การแจ้งเตือนเท็จ ว่า “อีเมลตีกลับ”

ข้อเสนอแนะเพื่อการปรับปรุงสำหรับ HSBC

  • ยุติการติดตามแบบไม่เข้ารหัส (HTTP): ควรใช้ HTTPS เพื่อป้องกันการเปิดเผยข้อมูลบนเครือข่ายเมื่อมีการเปิดอีเมล
  • อย่าถือว่าการบล็อกการติดตามคือการปฏิเสธการรับอีเมล: การที่พิกเซลไม่ทำงานอาจเกิดขึ้นได้จากหลายสาเหตุทางเทคนิค
  • หยุดติดตามพฤติกรรมการใช้อีเมลของลูกค้า: ธนาคารที่มีข้อมูลส่วนบุคคลมากพออยู่แล้ว ไม่จำเป็นต้องเฝ้าติดตามเพิ่มเติม
  • ตรวจสอบความถูกต้องของอีเมลด้วยวิธียืนยันโดยตรง: แนะนำให้ใช้ขั้นตอนที่อาศัยความยินยอมอย่างชัดเจน เช่น “คลิกลิงก์เพื่อยืนยัน”
  • ปฏิบัติตามหลักจริยธรรมด้านข้อมูล: ตาม ‘หลักการใช้ข้อมูลและ AI อย่างมีจริยธรรม’ ที่ HSBC เปิดเผยไว้ ควรทำให้มั่นใจถึง ความเหมาะสมตามวัตถุประสงค์และความโปร่งใส

บทสรุป

  • HSBC เข้าใจผิดเกี่ยวกับข้อจำกัดด้านความน่าเชื่อถือของพิกเซลติดตาม จึงประเมินสถานะอีเมลของลูกค้าผิดพลาด
  • กรณีนี้แสดงให้เห็นว่า แนวปฏิบัติการเก็บข้อมูลแบบทุนนิยมสอดส่อง ได้แทรกซึมเข้ามาถึงการดำเนินงานของสถาบันการเงินแล้ว
  • ผู้เขียนเน้นว่า HSBC ควรยอมรับความผิดพลาดทางเทคนิค และเสริมสร้าง การใช้ข้อมูลอย่างโปร่งใสและการคุ้มครองความเป็นส่วนตัวของลูกค้า

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-30
ความคิดเห็นใน Hacker News

  • สิ่งที่สะดุดตาคือในปี 2026 ยังเสิร์ฟคอนเทนต์ผ่าน HTTP อยู่
    แค่มีการตรวจทานด้านความปลอดภัยให้ดีหน่อยก็น่าจะจับได้แล้ว ดูเหมือนจะข้ามขั้นตอนนั้นไปเลย
    ฉันทำงานกับข้อมูลธนาคารอยู่ และระบบภายในก็ เละเทะ เหมือนกัน
    แม้แต่ในธนาคารเดียวกัน รูปแบบวันที่ใน CSV ก็ยังไม่เหมือนกัน และคำอธิบายธุรกรรมก็ถูกตัดข้อความจนไม่เป็นมาตรฐาน
    ทั้งที่โดนแรงกดดันจากหน่วยงานกำกับดูแลหนักขนาดนี้ แต่ก็ยังเป็นแบบนี้อยู่ เพราะธนาคารส่วนใหญ่มองโครงสร้างพื้นฐานดิจิทัลเหมือนเป็น ท่อเก่าๆ

    • ฉันก็เคยทำงานกับข้อมูลธนาคารเหมือนกัน และจริงๆ แล้วมีฟอร์แมตมาตรฐานชื่อ OFX อยู่
      แต่แต่ละธนาคารก็ตัดความยาว memo ไม่เท่ากัน หรืออย่าง AMEX ก็สลับฟิลด์ NAME กับ MEMO กันมั่วไปหมด
      ถึงอย่างนั้น อย่างน้อยก็ยังมีมาตรฐานขั้นต่ำอยู่
      เอกสารที่เกี่ยวข้อง: Open Financial Exchange, Financial Data Exchange
    • ธนาคารไม่ได้ใส่ใจกับ UI ของ online banking มากขนาดนั้น
      แม้แต่หน้าจอ ATM ก็ยังให้ความรู้สึกล้าสมัยเหมือนกัน
    • จริงๆ แล้วก็มีหลายกรณีที่ตั้งใจใช้ HTTP
      ตัวอย่างเช่น ACME HTTP-01 challenge หรือการออกใบรับรอง รวมถึง CRL/OCSP responses ก็ยังใช้ HTTP อยู่
      ดู RFC8555, เอกสารของ Let's Encrypt
      เพราะงั้นการเหมารวมว่า “HTTP ไม่มีประโยชน์แล้ว” เป็นข้ออ้างที่ไม่ถูกต้อง
    • ในกรณีนี้ฉันไม่แน่ใจว่า HTTP คือปัญหาจริงหรือเปล่า
      HTTPS ก็แลกเปลี่ยน SNI อยู่ดี เลยยังรู้ได้ว่าใครกำลังสื่อสารกับ HSBC
      ส่วนที่เหลือของ URL ก็เป็นแค่ tracking ID ที่ทำให้ระบุตัวตนไม่ได้ ดังนั้นภัยคุกคามจริงๆ ดูไม่มากนัก
    • เป็นไปได้มากว่าบริการ third-party ที่รับหน้าที่ email tracking เป็นคนเสิร์ฟคอนเทนต์ผ่าน HTTP
      เพราะถ้าใช้ HTTPS จะยุ่งกับการตั้งค่าและการจัดการใบรับรองมากขึ้น

  • ฉันสงสัยว่าทำไมเรื่องแบบนี้ถึงเกิดขึ้น
    ในสาย IT ของธนาคาร แค่จะเพิ่มฟีเจอร์ email tracking แบบนี้อย่างเดียวก็มีคนเกี่ยวข้องเป็นสิบๆ คนและใช้เวลาเป็นปี
    ระหว่างทางต้องมีนักพัฒนาสักคนพูดแน่ว่า “ปี 2026 แล้ว HTTP อันตราย” แต่สุดท้ายก็น่าจะโดน ผู้จัดการระดับกลาง เมินเฉย

    • ฉันเคยซัพพอร์ตทีมทำคอนเทนต์อีเมลที่ FAANG เหมือนกัน ต่อให้พูดซ้ำๆ ว่า “open tracking ไม่น่าเชื่อถือ” ก็ไม่มีใครฟัง
      ฝ่ายบริหารถามตลอดว่าทำไมบางคนเปิดแล้วไม่มีบันทึก ทำไมบางคนไม่เปิดแต่กลับมีบันทึก
      คนเขียนก็เอา open rate มาเป็นตัวชี้วัด เพราะมันออกมาสูงกว่า click-through rate
      สุดท้ายทุกคนก็ใช้ตัวชี้วัดที่ไม่แม่นยำ เพื่อให้รู้สึกว่าตัวเองทำงานได้ดี
    • อาจมีคนเก่งอยู่บ้าง แต่ตำแหน่งสายเทคนิคในธนาคารใหญ่ๆ ส่วนมากอยู่ในสภาพ หมดแรงจูงใจ
      ฝ่ายบริหารเป็นคนตัดสินใจทุกอย่าง นักพัฒนาก็แค่ทำตามที่สั่ง
      ฉันเองก็เคยทำงานที่ธนาคารใหญ่ ถ้าไม่ใช่คนที่จะลาออกในไม่กี่ปี ก็จะกลายเป็นคนประเภท “กดปุ่มแล้วรับเงินเดือน” ไปเอง
    • ถึงอย่างนั้น ฉันก็ยังคิดว่าการส่งการแจ้งเตือนมาทางอีเมลยังดีกว่า
      ดีกว่าอีเมลแนว “มีข้อความสำคัญ โปรดล็อกอิน” มาก
    • ฉันคิดว่านี่คือปรากฏการณ์แบบ ‘state of the practice’
      เหมือนแอปอพาร์ตเมนต์ที่ฟีเจอร์อำนวยความสะดวกค่อยๆ กลายเป็นสิ่งบังคับ และสุดท้ายผู้ใช้ทุกคนต้องทำตาม
      ระหว่างนั้นอำนาจควบคุมของแต่ละคนก็ลดลง
    • พูดตรงๆ ภายใต้เงื่อนไขแบบนี้ นักพัฒนาที่มีความสามารถ ก็ไม่มีเหตุผลจะอยู่กับธนาคารต่อ
      ทั้งเงินเดือนและสภาพแวดล้อมก็ไม่ได้ดี แถมพื้นที่ให้สร้างนวัตกรรมก็แทบไม่มี

  • NAB Australia ก็ทำเหมือนกัน
    ถ้าไม่โหลดรูปจากระยะไกลในอีเมล ก็จะส่งจดหมายมาบอกว่า “อีเมลส่งไม่ถึง” แล้วเปลี่ยนไปใช้ใบแจ้งยอดแบบกระดาษ
    ทั้งที่จริงๆ อีเมลส่งมาปกติดี

    • ฉันก็เคยเจอคล้ายกันกับ Capital One
      เขาตัดการแจ้งเตือนยอดคงเหลือ อัตโนมัติ เพราะคิดว่าฉันไม่อ่านอีเมล
      ทั้งที่ฉันแค่ปิดการยืนยันการอ่านและบล็อกรีซอร์สจากระยะไกลเท่านั้น
      สุดท้ายเลยย้ายธนาคาร
    • ธนาคารอาจจำเป็นต้องยืนยันว่าลูกค้าได้รับอีเมลหรือไม่ แต่จดหมายกระดาษ ไม่น่าเชื่อถือ ยิ่งกว่า
      ตู้จดหมายตามอพาร์ตเมนต์มักส่งผิด ถูกขโมย หรือแม้แต่โดนไฟไหม้ด้วยซ้ำ

  • เมื่อก่อนฉันเคยได้รับ marketing spam จาก Bank of America แต่ไม่มีตัวเลือกให้ยกเลิกการสมัคร
    ฉันเลยปิดการใช้งานอีเมลแอดเดรสนั้น แล้วเขาก็ส่งจดหมายมาขอให้แก้ไขเพราะ “อีเมลตีกลับ”
    สุดท้ายฉันก็ปล่อยให้มันปิดใช้งานอยู่อย่างนั้นหลายปี กว่าภายหลังถึงจะมีฟีเจอร์ตั้งค่าอีเมล
    ภรรยาของฉันก็ยังได้รับสแปมทางไปรษณีย์จาก Citi อยู่ และที่นั่นก็ไม่มีวิธียกเลิกเหมือนกัน
    มองแบบนี้แล้ว การที่ทีม IT ของ HSBC ตัดสินว่า “ไม่ได้อ่านเมล” จาก tracking pixel เป็นเรื่องที่โง่มาก
    ทุกวันนี้ email client ส่วนใหญ่บล็อกรูปภาพเป็นค่าเริ่มต้นอยู่แล้ว

  • ความสามารถด้านเทคโนโลยีของ HSBC แย่มากจริงๆ
    แอป online banking เหมือนของยุคต้นทศวรรษ 2000 และในครอบครัวฉันยังมีคนใช้อยู่คนหนึ่งซึ่งเจอข้อผิดพลาดตลอด
    ไม่ใช่ความผิดของผู้ใช้ แต่เป็นปัญหาของระบบเอง

  • ถ้าอยากให้ธนาคารยอมฟังลูกค้า วิธีที่ได้ผลที่สุดคือ ปิดบัญชี
    แน่นอนว่าต้องพร้อมย้ายจริงด้วย

    • แต่ทุกวันนี้ธนาคารไม่ได้ทำเงินจากบัญชีแบบนั้นแล้ว ดังนั้นต่อให้ปิดบัญชีไปก็ แทบไม่กระทบอะไร
    • ทางที่มีประสิทธิภาพกว่าคือ แจ้งหน่วยงานกำกับดูแล
      ถ้ามีการบันทึกปัญหาไว้อย่างเป็นทางการ เวลามันเกิดซ้ำก็จะสามารถดำเนินการได้
    • จริงๆ แล้ว HSBC เองก็เคย ปิดบัญชีที่ปกติดี ของลูกค้าเหมือนกัน
      ดู บทความจาก The Guardian
      ฉันเองก็ได้รับผลกระทบตอนนั้น และหลังจากนั้นก็ย้ายไป Wise

  • Capital One ก็ทำคล้ายกัน
    อย่างน้อยเขาก็ระบุชัดว่า “คุณไม่ได้เปิดอีเมลเมื่อไม่นานมานี้” เลยพอเข้าใจได้ว่าหมายถึงอะไร
    ทั้งที่จริงฉันเปิดอีเมลแล้ว แค่บล็อก tracking pixel ไว้เท่านั้น

    • ถ้าฉันเห็นข้อความแบบเดียวกัน ฉันก็ตั้งกฎใน Gmail ให้ลบอัตโนมัติเลย
      ฉันไม่มีเหตุผลต้องไปช่วยแก้ปัญหาให้พวกเขา

  • Gmail ดาวน์โหลดรูปไว้ล่วงหน้า ดังนั้นในความเป็นจริง ถึงผู้ใช้จะยังไม่เปิด tracking pixel ก็ถูกเรียกใช้งานได้

    • ฉันเคยสาธิตเรื่องนี้ด้วยบัญชี Gmail ใน คลาสจริยธรรมเทคโนโลยี สำหรับนักเรียนมัธยม และก็แปลกใจที่เห็นว่ามันทำงานจริง
    • Apple Mail หรือเว็บเมลส่วนใหญ่ก็เหมือนกัน ดังนั้นสัญญาณการเปิดแทบไม่มีความหมาย
    • เคยได้ยินว่า Gmail ใช้ heuristic filtering เวลาโหลดรูปเดียวกันที่ส่งให้หลายคน
      ฉันยังไม่เคยทดสอบเอง แต่คิดว่าบริการอีเมลอื่นก็น่าจะคล้ายกัน
    • เวลาที่ Gmail ดาวน์โหลดรูป จะระบุเป็น GoogleImageProxy และคำขอมาจาก GCP ASN
      เพราะบริการอีเมลส่วนใหญ่จะดึงรูปไว้ล่วงหน้าฝั่งเซิร์ฟเวอร์เพื่อตรวจมัลแวร์
      เพราะงั้นในทางปฏิบัติ pixel tracking จึงแทบจะถูกจัดการโดย ผู้ให้บริการอีเมลภายนอก อยู่เสมอ

  • ฉันก็เจอเรื่องเดียวกันกับ HSBC
    ขั้นตอนต่างๆ ดีมาก เปิดบัญชีด้วย digital ID ได้ภายใน 10 นาที และได้ Apple Pay card ภายในหนึ่งวัน
    แต่พอฉันปฏิเสธการรับอีเมลการตลาด เขากลับส่งอีเมล “ต้อนรับพร้อมขายเพิ่ม” มา แล้วพออีเมลนั้นตีกลับก็ บล็อกบัญชี
    สุดท้ายฉันก็เจอสถานการณ์แบบเดียวกับ OP

  • Charles Schwab ก็คล้ายกัน
    ทั้งที่อีเมลส่งมาปกติ แต่กลับบอกว่า “ส่งไม่ถึง” แล้วเปลี่ยนไปใช้ใบแจ้งยอดแบบกระดาษ
    ปัญหาจริงคือ การบล็อก tracking pixel

    • ฉันก็น่าจะเจอปัญหาเดียวกันกับ Fidelity
      อีเมลโดเมนที่ตั้งเองมีปัญหา แต่แอดเดรส ProtonMail ใช้งานได้ปกติ
      น่าจะเป็นเพราะ ProtonMail ไม่ได้บล็อก tracking pixel
    • Capital One ก็เหมือนกัน
      ตอนนี้ฉันก็แค่เลิกสนใจ
      การส่งจดหมายกระดาษทำให้เขาเสียเงิน สักวันก็คงเข้าใจเอง