สหรัฐฯ สอบสวนข้อกล่าวหาว่าบทสนทนาใน WhatsApp ไม่ได้เป็นส่วนตัว

 (bloomberg.com)
2 คะแนน โดย GN⁺ 2026-02-02 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เจ้าหน้าที่สืบสวนพิเศษของกระทรวงพาณิชย์สหรัฐฯ กำลังตรวจสอบข้อกล่าวหาจากอดีตพนักงานสัญญาจ้างของ Meta ซึ่งระบุถึง ความเป็นไปได้ในการเข้าถึงข้อความ WhatsApp
  • อดีตพนักงานสัญญาจ้างระบุว่าพวกเขาและพนักงาน Meta บางส่วนมีสิทธิ์ "เข้าถึงได้โดยไม่มีข้อจำกัด (unfettered access)"
  • ข้อกล่าวหานี้ขัดแย้งกับ จุดยืนอย่างเป็นทางการของ Meta ที่ระบุว่า WhatsApp ถูกเข้ารหัสและเป็นส่วนตัว
  • เนื้อหาเดียวกันนี้ยังรวมอยู่ใน คำร้องผู้เปิดโปงข้อมูลภายใน ที่ยื่นต่อ คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) ในปี 2024
  • การสอบสวนครั้งนี้และคำร้องผู้เปิดโปงดังกล่าวเป็น ประเด็นที่ไม่เคยถูกเปิดเผยมาก่อน และส่งผลสำคัญต่อ ความน่าเชื่อถือด้านความเป็นส่วนตัวของแอปส่งข้อความ

ภาพรวมการสอบสวนของรัฐบาลสหรัฐฯ

  • หน่วยงานบังคับใช้กฎหมายของสหรัฐฯ กำลังตรวจสอบข้อกล่าวหาเกี่ยวกับ ความเป็นไปได้ในการเข้าถึงข้อความ WhatsApp ที่ถูกยกขึ้นโดยอดีตพนักงานสัญญาจ้างของ Meta Platforms Inc.
    • ตาม รายงานของผู้สืบสวนและบทสัมภาษณ์ ที่ Bloomberg News ได้มา มีข้อสงสัยว่าพนักงานของ Meta อาจเข้าถึงบทสนทนาใน WhatsApp ได้
  • ผู้ดำเนินการสอบสวนถูกระบุว่าเป็น เจ้าหน้าที่สืบสวนพิเศษของกระทรวงพาณิชย์สหรัฐฯ (Special Agents with the US Department of Commerce)
  • เนื้อหาการสอบสวนเกี่ยวข้องโดยตรงกับความน่าเชื่อถือของ นโยบายการเข้ารหัสแบบต้นทางถึงปลายทางและการปกป้องบทสนทนาส่วนตัว ที่ Meta อ้างไว้

ข้อกล่าวหาจากอดีตพนักงานสัญญาจ้าง

  • อดีตพนักงานสัญญาจ้างระบุว่าพวกเขาและพนักงาน Meta บางส่วน "สามารถเข้าถึงข้อความ WhatsApp ได้โดยไม่มีข้อจำกัด (unfettered access)"
    • คำให้การนี้อ้างอิงจาก บันทึกของหน่วยงานบังคับใช้กฎหมาย, บุคคลที่รู้รายละเอียดของคดี, และ คำให้การของพนักงานสัญญาจ้างเอง
  • พนักงานสัญญาจ้างรายหนึ่งให้ข้อมูลโดยไม่เปิดเผยชื่อ เนื่องจาก กังวลต่อความเป็นไปได้ที่จะถูกตอบโต้

การเปิดโปงข้อมูลภายในและหน่วยงานที่เกี่ยวข้อง

  • ข้อกล่าวหาเดียวกันนี้ยังรวมอยู่ใน คำร้องผู้เปิดโปงข้อมูลภายใน (whistleblower complaint) ที่ยื่นต่อ คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) ในปี 2024
  • Bloomberg รายงานเป็นครั้งแรกว่า คำร้องผู้เปิดโปงดังกล่าวและการสอบสวนของกระทรวงพาณิชย์เป็น ข้อเท็จจริงที่ไม่เคยถูกเปิดเผยมาก่อน

ความขัดแย้งกับจุดยืนอย่างเป็นทางการของ Meta

  • Meta ยืนยันมาโดยตลอดว่า WhatsApp เป็นบริการที่เป็นส่วนตัวและมีการเข้ารหัส
  • อย่างไรก็ตาม การสอบสวนและคำให้การครั้งนี้ชี้ถึง ความเป็นไปได้ที่ขัดแย้งกับคำอธิบายอย่างเป็นทางการของ Meta

ความหมายของเหตุการณ์นี้

  • เหตุการณ์นี้ตั้งคำถามต่อ ความน่าเชื่อถือของการเข้ารหัสในบริการส่งข้อความ และ ระดับการคุ้มครองความเป็นส่วนตัวของผู้ใช้
  • ในเมื่อ หน่วยงานรัฐบาลสหรัฐฯ เข้าสอบสวนโดยตรง ประเด็นเรื่อง ความโปร่งใสด้านความปลอดภัยของแพลตฟอร์มส่งข้อความระดับโลก จึงกลับมาได้รับความสนใจอีกครั้ง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-02-02
ความเห็นจาก Hacker News

  • มีการตรวจสอบ การเข้ารหัสแบบต้นทางถึงปลายทาง (E2EE) ของ WhatsApp โดยอิสระ
    ไม่ได้ตรวจดูซอร์สโค้ดทั้งหมด แต่วิเคราะห์เฉพาะ แกนหลักของการเข้ารหัส
    ประเด็นสำคัญคือเซิร์ฟเวอร์ของ WhatsApp เป็นผู้ตัดสินว่าใครบ้างจะถูกรวมอยู่ในกลุ่มแชต
    Dan Goodin กล่าวถึงเรื่องนี้ในบทความของ Ars Technica

    • คิดว่าการไม่ได้ดูซอร์สโค้ดทั้งหมดเป็นปัญหา
      Facebook เคยหลบเลี่ยงมาตรการความปลอดภัยบนมือถือด้วยการ ส่งข้อมูลผ่าน localhost
      แอปอาจส่งข้อมูลออกไปหลายทาง และยังอาจอ่านข้อความผ่าน การแจ้งเตือนแบบพุช ได้
      บทความที่เกี่ยวข้อง: Cybersecurity News
    • APK ของ WhatsApp ยังเรียกใช้ สคริปต์ Google Tag Manager แม้ในสภาพแวดล้อมที่ติดตั้งนอก Google Play
      มีการโหลดซ้ำในทุกแชต และยืนยันได้ด้วยไฟร์วอลล์แบบ MitM
      จึงสงสัยว่าทำไมการตรวจสอบแบบนี้ถึงพูดถึงเฉพาะส่วนเข้ารหัสเสมอ
      หากไคลเอนต์ส่งข้อความแบบ plaintext ไปยังเซิร์ฟเวอร์อื่นหรือบริการแปล การเข้ารหัสระหว่างส่งก็ไร้ความหมาย
    • เซิร์ฟเวอร์สามารถเพิ่มสมาชิกเข้ากลุ่มได้ตามอำเภอใจ แต่ไคลเอนต์จะแสดงการมีอยู่ของสมาชิกใหม่ และ ข้อความก่อนหน้านี้จะไม่ถูกแชร์
      อย่างไรก็ตาม หากไคลเอนต์ถูกเจาะพร้อมกัน ก็อาจซ่อนการแสดงผลนั้นได้
      แต่ตามบทความล่าสุดของ Livemint WhatsApp กำลังพัฒนาฟีเจอร์แชร์ข้อความย้อนหลังให้สมาชิกใหม่ จึงอาจมี ความเป็นไปได้ที่ความปลอดภัยจะอ่อนลง
      มีการเตือนว่าเมื่อเปลี่ยนนโยบายกันเร็วขนาดนี้ ก็ไม่มีใครเป็นข้อยกเว้นได้
    • เซิร์ฟเวอร์ของ WhatsApp ยังเป็นผู้กำหนดว่าจะผูก กุญแจสาธารณะ ใดกับหมายเลขโทรศัพท์ใด
      หากไม่ได้ตรวจยืนยันกันต่อหน้า ก็ยากจะเชื่อถือได้
    • ขอบคุณที่ประเมินเทคโนโลยีจากการนำไปใช้จริง

  • คิดว่า ไคลเอนต์ E2EE แบบปิดซอร์ส ไม่มีทางปลอดภัยได้อย่างสมบูรณ์
    การตรวจจับแบ็กดอร์ทำได้อย่างเป็นจริงได้เฉพาะในโอเพนซอร์ส และ reproducible builds เป็นเรื่องสำคัญ
    แม้แต่ช่องโหว่ remote code execution แบบละเอียดอ่อนที่ใช้โจมตีได้เฉพาะฝั่งเซิร์ฟเวอร์ก็อาจเป็นแบ็กดอร์ได้

    • มีคนโต้ว่า การตรวจจับแบ็กดอร์ทำได้เฉพาะในระดับ ไบนารี เท่านั้น
      เพราะเป็นไปไม่ได้ที่จะเข้าใจพฤติกรรมของคอมไพเลอร์ได้สมบูรณ์จนหาพบแบ็กดอร์ที่ซ่อนอยู่จากซอร์สโค้ด
    • มีการอ้างถึงแนวคิดของ Stallman โดยมองว่า ในมุมความปลอดภัย ซอฟต์แวร์ปิดซอร์สอาจได้เปรียบจากผลของการทำให้อ่านยากโดยอัตโนมัติ
      แม้โอเพนซอร์สจะมีข้อดีมากมาย แต่ก็ไม่จำเป็นต้องอ้างความเหนือกว่าด้านความปลอดภัยโดยไม่มีหลักฐาน

  • ในฐานะอดีตวิศวกร WhatsApp มีความมั่นใจว่าทีมได้ ทุ่มเทอย่างมากกับการทำ E2EE
    การอ่านข้อความที่เข้ารหัสนั้นเป็นไปไม่ได้
    ในเชิงธุรกิจ WhatsApp Business API ก็สร้างรายได้เพียงพออยู่แล้ว

    • Facebook สนใจ อิทธิพลต่อพฤติกรรมผู้ใช้และการขายความสนใจ มากกว่ารายได้ล้วน ๆ
    • มีช่วงหนึ่งที่ Signal กับ WhatsApp ใช้ที่อยู่เดียวกันบน Google Play จึงสงสัยว่ามี ความร่วมมือระหว่างการผนวก Signal protocol หรือไม่
    • มีคำถามว่าเหตุใด Andreas Schjelderup จึงถูกจับได้หลังจากแชร์คอนเทนต์ขนาดเล็ก
    • สงสัยว่าเซิร์ฟเวอร์สามารถทำ การโจมตีแบบคนกลาง (MitM) ต่อการเชื่อมต่อระหว่างไคลเอนต์สองฝั่งได้หรือไม่
      และไคลเอนต์สามารถเปรียบเทียบกุญแจของอีกฝ่ายโดยตรง หรือตรวจสอบเนื้อหาแพ็กเก็ตได้หรือไม่
    • หากมีวิศวกรเพียงคนเดียวได้รับคำสั่งอย่างอื่น ความพยายามด้านความเป็นส่วนตัวทั้งหมดก็อาจไร้ความหมาย

  • Matthew Green ประเมินไว้ในโพสต์บน Bluesky ล่าสุดว่า
    คดีความที่อ้างว่า WhatsApp เข้าถึงข้อความแบบ plaintext ได้ เป็น คำกล่าวล่อคลิกที่มีมูลน้อยมาก

  • ทั้งคำพูดของ Meta หรืออดีตคนใน WhatsApp รวมถึงผลการตรวจสอบ ล้วน ไม่ได้ขัดแย้งกับข้อกล่าวอ้างของผู้แจ้งเบาะแส
    หากจะให้เชื่อจริง ๆ ควรต้องมีข้อความประกาศในเอกสารทางการของ SEC ว่า “Meta ไม่เคยเข้าถึงข้อความ WhatsApp ไม่ว่าด้วยวิธีใด และจะไม่มีทางทำได้ในอนาคต”

  • มีการยก สถานการณ์สมมุติ หลายแบบขึ้นมา

    1. เก็บรวบรวมข้อความที่เข้ารหัสไว้แล้วลองถอดด้วย quantum computing
    2. ใช้ การวิเคราะห์ metadata เพื่ออนุมานเนื้อหาจริง
      เช่น ถ้าฉันเข้าไปดูหน้าเว็บหนึ่ง ส่งลิงก์ให้เพื่อน แล้วเพื่อนคนนั้นก็เข้าไปหน้าเดียวกัน ก็อาจเดาเนื้อหาข้อความได้
    • มีคนหัวเราะกับข้อ (1) ว่าไม่สมจริง
      บริษัทกลุ่ม FAANG นั้น หละหลวมทางเทคนิค มากกว่าที่คนคิด
      ภายในองค์กร โปรเจกต์อย่าง ‘Decryption at Scale’ มักจบลงแค่เป็น เอกสารเพื่อเอาผลงาน
    • แม้เพียง metadata มากพอตามข้อ (2) ก็สามารถรู้ได้ถึง รูปแบบการใช้ชีวิตและตำแหน่งที่อยู่ ของคนคนหนึ่ง
      โดยไม่จำเป็นต้องถอดรหัสเนื้อหาจริงเลย
    • การถอดรหัสด้วย quantum computing นั้น แทบเป็นไปไม่ได้ในทางวิทยาศาสตร์
      ไม่ต่างจากการอ้างว่าในปี 2016 มีเทคโนโลยีระดับปี 2026 อยู่แล้ว
    • มีความเป็นไปได้สูงกว่าว่ารัฐบาลสหรัฐไม่ได้ต้องการอ่านข้อความตอนนี้ แต่กำลัง เก็บไว้เพื่ออ่านในอนาคต
      ดูเพิ่มเติมได้ที่: Utah Data Center
    • ปัญหาที่แท้จริงคือ แบ็กอัปไม่ได้เป็น E2EE แบบสมบูรณ์
      กุญแจถูกถือไว้โดยเซิร์ฟเวอร์ ไม่ใช่ผู้ใช้

  • สงสัยว่าการตรวจสอบแบบนี้เกิดขึ้นจริงอย่างไร
    แค่ถามคำถามอย่างเดียว หรือทำ การวิเคราะห์ทางเทคนิคของแอปร่วมกับผู้เชี่ยวชาญไอที ด้วย
    และมีการขอให้ยืนยันซอร์สโค้ดว่าเป็น โค้ดเดียวกับที่ทำงานอยู่บนอุปกรณ์ของผู้ใช้ หรือไม่

    • ขั้นแรกคือ ในการสอบสวนของรัฐบาล ความกลัวว่าจะถูกจับได้ว่าโกหก ทำหน้าที่เป็นแรงยับยั้ง
      แต่ก็ไม่อาจตัดทิ้งได้ทั้งหมด
    • ใคร ๆ ก็สามารถตรวจสอบ ไบนารีของไคลเอนต์ ได้
    • เป็นไปได้สูงว่าหลายรัฐบาลได้วิเคราะห์เรื่องนี้ผ่าน reverse engineering ไปแล้ว

  • มองว่าแก่นของการเข้ารหัสทั้งหมดคือ การจัดการกุญแจ
    หากคุณไม่ได้ควบคุมกุญแจด้วยตัวเอง สุดท้ายก็มีคนอื่นควบคุมมัน
    การที่ WhatsApp ซิงก์ข้อความข้ามอุปกรณ์โดยอัตโนมัติคือ การแลกเปลี่ยนระหว่างความสะดวกกับความปลอดภัย
    ผู้ใช้ส่วนใหญ่ไม่ได้ตรวจยืนยัน fingerprint ของอีกฝ่ายด้วยตัวเอง

  • บริษัทที่ ละเมิดความเป็นส่วนตัว มากที่สุดในโลก ล้วนมีแรงจูงใจเต็มที่ที่จะทำให้ความเป็นส่วนตัวของผู้ใช้อ่อนแอลง
    โมเดลธุรกิจของพวกเขาตั้งอยู่บน การเก็บข้อมูลและการชักจูงพฤติกรรม
    เพราะฉะนั้น ต่อให้ยังไม่มีหลักฐาน การ ไม่ไว้ใจ ก็ยังเป็นทางเลือกที่สมเหตุสมผล