พบช่องโหว่ WhatsApp โดนขูดข้อมูล 3.5 พันล้านบัญชี ผ่าน API

การค้นพบช่องโหว่ในฟีเจอร์ Contact Discovery ของ WhatsApp ที่เปิดเผยหมายเลขโทรศัพท์และข้อมูลโปรไฟล์ของผู้ใช้กว่า 3.5 พันล้านบัญชีทั่วโลก รวมถึงผู้ใช้จำนวนมหาศาลในเอเชีย เช่น อินเดียและอินโดนีเซีย เป็นสัญญาณเตือนภัยครั้งใหญ่ที่ชี้ให้เห็นถึงความจำเป็นเร่งด่วนในการยกระดับความปลอดภัยของ API (Application Programming Interface) และมาตรการป้องกันภัยคุกคามทางไซเบอร์ทั้งในระดับผู้ใช้และองค์กร

การค้นพบครั้งล่าสุดโดยนักวิจัยที่สามารถใช้ประโยชน์จากคุณสมบัติ Contact Discovery ของ WhatsApp เพื่อระบุบัญชีผู้ใช้งานที่ใช้งานอยู่ได้ถึง 3.5 พันล้านบัญชี ถือเป็นเหตุการณ์สำคัญที่เปิดเผยช่องโหว่ด้านความปลอดภัยของแพลตฟอร์มอย่างชัดเจน ข้อมูลที่ถูกขูด (Scraped) ออกไปนั้นรวมถึงหมายเลขโทรศัพท์ รูปภาพโปรไฟล์ ข้อความ “เกี่ยวกับ” และข้อมูลเมตาดาต้าของอุปกรณ์ นี่คือการใช้ความสะดวกสบายของแพลตฟอร์มกลายมาเป็นความเสี่ยงด้านความเป็นส่วนตัวและพื้นผิวการโจมตีขนาดใหญ่ในทันที

Takanori Nishiyama (ทาคานอริ นิชิยามะ) รองประธานอาวุโสประจำภูมิภาคเอเชียแปซิฟิกและผู้จัดการประจำประเทศญี่ปุ่นของ Keeper Security ได้เน้นย้ำว่า ช่องโหว่ API นี้เป็นภาพสะท้อนที่ชัดเจนว่าความสะดวกในการใช้งานแพลตฟอร์มสามารถพลิกผันกลายเป็นความเสี่ยงด้านความเป็นส่วนตัวและการโจมตีในวงกว้างได้อย่างรวดเร็ว

สถิติที่น่าตกใจในเอเชีย

ข้อมูลดังกล่าวมีความน่ากังวลอย่างยิ่งเมื่อพิจารณาถึงจำนวนผู้ใช้งาน WhatsApp ที่หนาแน่นในภูมิภาคเอเชีย โดยการค้นพบระบุว่ามีบัญชีที่ใช้งานอยู่ใน อินเดีย 749 ล้านบัญชี และใน อินโดนีเซีย 235 ล้านบัญชี นอกจากนี้ WhatsApp ยังมีการใช้งานอย่างแพร่หลายทั่วเอเชีย โดยมีอัตราการเข้าถึง (Penetration) ที่สูงมากในหลายประเทศ:

• มาเลเซีย: 92%

• อินโดนีเซีย: 91%

• สิงคโปร์: 82%

เมื่อมากกว่าเก้าในสิบของประชากรในตลาดสำคัญๆ อย่างมาเลเซียและอินโดนีเซียต้องพึ่งพา WhatsApp ในชีวิตประจำวัน ช่องโหว่เพียงจุดเดียวเช่นนี้จึงสามารถส่งผลกระทบต่อทั้งภูมิภาคได้อย่างรุนแรง

มาตรการเร่งด่วนสำหรับผู้ใช้และองค์กรเพื่อรับมือกับภัยคุกคาม API

ถึงแม้ว่า Meta (บริษัทแม่ของ WhatsApp) จะได้ดำเนินการจำกัดอัตราการร้องขอ (rate-limiting) เพื่อป้องกันไม่ให้เกิดสถานการณ์ซ้ำรอยอย่างรวดเร็ว แต่เหตุการณ์นี้ได้ตอกย้ำถึงความสำคัญของ ความปลอดภัยของ API ซึ่งเป็นกลไกสำคัญที่ใช้สำหรับการบูรณาการเข้ากับบริการต่างๆ เช่น โซเชียลมีเดีย, ระบบชำระเงินสำหรับอีคอมเมิร์ซ, แผนที่, การสื่อสาร และการทำธุรกรรมทางการเงิน

คำแนะนำสำหรับผู้ใช้งานทั่วไป

ผู้ใช้งานทั่วไปจำเป็นต้องให้ความสำคัญกับบัญชี WhatsApp เหมือนกับบัญชีออนไลน์ที่มีความละเอียดอ่อนอื่นๆ:

1. เปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (Two-step verification) และเพิ่มอีเมลสำหรับกู้คืนบัญชีเพื่อป้องกันการถูกยึดบัญชีผ่านรหัส SMS

2. ใช้การตั้งค่าความเป็นส่วนตัวอย่างเต็มที่ โดยจำกัดการเข้าถึงรูปภาพโปรไฟล์และข้อมูล “เกี่ยวกับ” ให้เป็นแบบ “เฉพาะผู้ติดต่อของฉัน” (My contacts) เท่านั้น

3. หลีกเลี่ยงการเชื่อมโยงหมายเลข WhatsApp ของตนกับโปรไฟล์สาธารณะอื่นๆ

4. เฝ้าระวังข้อความที่ไม่พึงประสงค์ ที่ขอรหัสหรือการชำระเงินเร่งด่วน และ ตรวจสอบความถูกต้อง ของข้อความก่อนตอบกลับ ห้ามแชร์รหัสยืนยันใดๆ เป็นอันขาด

คำแนะนำสำหรับผู้เชี่ยวชาญด้านความปลอดภัยและองค์กร

API ถูกออกแบบมาเพื่อความสามารถในการขยายขนาดและระบบอัตโนมัติ ซึ่งเป็นคุณสมบัติเดียวกันกับที่อาชญากรไซเบอร์มักจะแสวงหาเพื่อแสวงหาผลประโยชน์ ดังนั้น องค์กรต้องมองว่า API เป็น “จุดอ่อนที่สำคัญ” (Achilles heel) ที่อาจถูกโจมตีได้:

• การแก้ไขที่ระดับแพลตฟอร์ม: นอกจากการเปิดเผยช่องโหว่อย่างรับผิดชอบและการแก้ไขที่ทันท่วงทีแล้ว การแก้ไขระดับแพลตฟอร์มต้องมาพร้อมกับการ ตรวจจับภัยคุกคามและการบล็อกความผิดปกติ เพื่อป้องกันการเก็บเกี่ยวข้อมูลจำนวนมากที่ประสบความสำเร็จ

• นโยบายการใช้งานที่ชัดเจน: องค์กรไม่ควรสมมติว่าการเข้ารหัสแบบ End-to-End เป็นการรับประกันความปลอดภัยทางกฎหมาย พวกเขาควรสร้างนโยบายที่ชัดเจนสำหรับการนำอุปกรณ์ส่วนตัวมาใช้ (Bring-Your-Own-Device – BYOD) และนโยบายการส่งข้อความโต้ตอบแบบทันทีที่กำหนดการใช้งานที่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับข้อมูลที่มีการควบคุมหรือการสื่อสารกับลูกค้า

• การจัดการการเข้าถึงพิเศษ (Privileged Access Management – PAM): สิ่งสำคัญคือการจัดลำดับความสำคัญของแผนสำหรับการควบคุมความเสียหาย แม้ว่าการประนีประนอมที่เกี่ยวข้องกับการส่งข้อความจะเกิดขึ้น การควบคุม PAM ที่แข็งแกร่งและหลักการ Zero-Trust จะช่วยลดขอบเขตความเสียหายได้อย่างมาก

  • การบังคับใช้หลักการให้สิทธิ์การเข้าถึงน้อยที่สุด (Least-privilege access)

  • การหมุนเวียนข้อมูลประจำตัว (Rotating credentials)

  • การตรวจสอบผู้ใช้และอุปกรณ์ทุกราย

  • การแบ่งส่วนเส้นทางการเข้าถึง (Segmenting access pathways)

การควบคุมเหล่านี้จะเปลี่ยนสิ่งที่อาจกลายเป็นการละเมิดข้อมูลขนาดใหญ่ให้เป็นเหตุการณ์ที่มีผลกระทบต่ำและถูกจำกัดวงได้

ภัยคุกคามทางไซเบอร์คือความเสี่ยงหลัก ไม่ใช่แค่ความสะดวกสบายทางเลือก

เนื่องจาก WhatsApp ยังคงแพร่หลายอย่างมากในภูมิภาคเอเชียแปซิฟิก (APAC) ภัยคุกคามที่เกิดขึ้นจึงไม่ใช่เรื่องสมมติ ขนาดของการเปิดเผยข้อมูลหมายความว่าทั้ง สุขอนามัยส่วนบุคคล และ การควบคุมระดับองค์กร จะต้องได้รับการปฏิบัติว่าเป็น ความเสี่ยงทางไซเบอร์หลัก ไม่ใช่เพียงแค่ความสะดวกสบายที่เป็นทางเลือกอีกต่อไป

การฝึกอบรมผู้บริหารระดับสูงและพนักงานระดับปฏิบัติการเกี่ยวกับความเสี่ยงทางวิศวกรรมทางสังคม (Social-engineering risks) ที่เกิดจากชุดข้อมูลที่ถูกขูดออกไปก็เป็นสิ่งจำเป็น เพื่อลดศักยภาพของข้อผิดพลาดของมนุษย์ การตื่นตัวและความเข้าใจในเรื่องความปลอดภัยของAPI จึงเป็นกุญแจสำคัญในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ในยุคดิจิทัล

#WhatsAppSecurity #APISecurity #Cybersecurity #DataLeak #APAC #KeeperSecurity #PrivilegedAccessManagement #ZeroTrust