Lemon8ชุมชนไลฟ์สไตล์
FreedomHack 󱢏
FreedomHack 󱢏

ผู้ติดตาม 3831 คน

ติดตาม
ติดตาม
ติดตาม
ภาพแสดงสถิติความเสี่ยงด้านความปลอดภัยไซเบอร์: 64% ของแอป 3rd Party เข้าถึงข้อมูลอ่อนไหวโดยไม่จำเป็น (เพิ่มจาก 51% ในปี 2024) และ 14.3% ของเว็บไซต์การศึกษาถูกโจมตี (เพิ่มขึ้น 4 เท่า) ชี้ให้เห็นถึงความจำเป็นในการแก้ไขปัญหาการเข้าถึงข้อมูลที่ไม่เหมาะสม
1/2

คุณอาจชอบ

ไม่มีเนื้อหา
ดูเพิ่มเติมในแอป
ดูเพิ่มเติมในแอป
ดูเพิ่มเติมในแอป
0 คนบันทึกแล้ว
1

แอป 3rd Partyกว่า64% มีการเข้าถึงข้อมูลที่ไม่สมควร

นักวิจัยพบว่าแอป 3rd Party กว่า 64% มีการเข้าถึงข้อมูลต่าง ๆ อย่างไม่สมควร

แอปพลิเคชันที่เกี่ยวข้องกับการใช้แพลตฟอร์มต่าง ๆ ที่เจ้าของแพลตฟอร์มไม่ได้พัฒนาเอง หรือที่เรียกว่า แอปพลิเคชันแบบ 3rd Party นั้น อาจจะสร้างความสะดวกในการใช้งานแพลตฟอร์มให้กับผู้ใช้งาน แต่ก็มักจะมีมาตรฐานด้านความปลอดภัยที่ยังคงเป็นคำถามอยู่ ดั่งเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงรายงานจาก Reflectiz บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ทำการปล่อยงานวิจัยที่มีชื่อว่า The State of Web Exposure 2026 โดยเป็นการวิจัยถึงความเสี่ยงในการรั่วไหลของข้อมูลจากการใช้งานแอปพลิเคชัน หรือ สคริปท์ แบบ 3rd party จากเว็บไซต์ชั้นนำมากถึง 4,700 เว็บไซต์ด้วยการใช้เกณฑ์การวัดด้านการรั่วไหลของข้อมูล (Exposure Rating) ที่ถูกออกแบบโดยทางทีมวิจัยเอง ร่วมกันกับการวิเคราะห์ปัจจัยความเสี่ยงในจุดต่าง ๆ แหล่งข้อมูล (Data Points) ที่มาจากการสแกนเว็บไซต์มากกว่าหนึ่งล้านเว็บไซต์ และการตอบแบบสอบถามโดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์มากกว่า 120 แบบสอบถาม จากวงการต่าง ๆ โดยครอบคลุมอุตสาหกรรมด้านสุขภาพ, การเงิน, และการค้าปลีก ซึ่งสามารถสรุปการตรวจสอบได้ดังนี้

64% ของแอปพลิเคชันแบบ 3rd Party ที่ทางเว็บไซต์ใช้มีการเข้าถึงข้อมูลอ่อนไหวต่าง ๆ อย่างที่ไม่สมควรจะเข้าถึง ซึ่งสูงขึ้นกว่าปี ค.ศ. 2024 (พ.ศ. 2567) ที่ตรวจพบเพียง 51%

ถึงกระนั้นกว่า 61% ของเว็บไซต์ต่าง ๆ ก็ยังคงพิจารณาการใช้งานเครื่องมืออยู่ หรือยังคงใช้งานเครื่องมือเดิมต่อไป

การโจมตีเว็บไซต์มากถึง 43% เกิดขึ้นจากเครื่องมือที่ทางทีมการตลาดใช้งาน เปิดช่องให้นำไปสู่การโจมตีเว็บไซต์ได้ เมื่อเทียบกับทีมไอทีที่สร้างความเสี่ยงเพียง 19% เท่านั้น

กว่า 47% ของแอปพลิเคชันที่ทีมการตลาดใช้ มีการเก็บข้อมูลจากในส่วนของการชำระเงิน (Payment) โดยเหตุอันควร (Unjustify) ซึ่งสามารถนำไปสู่การรั่วไหลของข้อมูลด้านการเงิน

มีการตรวจพบว่าระบบเก็บข้อมูลแบบ Pixel นั้น Facebook Pixel เป็นสิ่งที่ทีมงานการตลาดใช้มากถึง 53.2% หรือมากกว่า 2.5 ล้านเว็บไซต์ ซึ่งเรียกว่าได้ว่ามีความเสี่ยงมาก แต่ความเสี่ยงนั้นไม่ได้มาจากตัวเครื่องมือโดยตรง แต่มาจากการให้สิทธิ์ที่สูงอย่าง "Full DOM Access" และ "Automatic Advanced Matching" ให้กับตัวเครื่องมืออย่างขาดการควบคุม กว่าเว็บไซต์ที่ใช้งาน Polyfill ที่เคยมีปัญหาด้านการรั่วไหลของข้อมูลที่มีผู้ใช้งานเพียง 100 เว็บไซต์ต่อสัปดาห์ มากกว่า 5 เท่าตัว

นอกจากนั้นยังพบสิ่งที่น่าสนใจคือ แอปพลิเคชันที่ถูกใช้งานบนเว็บไซต์ของอุตสาหกรรมด้านสุขภาพ เช่น กลุ่มโรงพยาบาล เฉลี่ย 2.5 แอปพลิเคชัน นั้นสามารถเข้าถึงข้อมูลลับด้านสุขภาพของคนไข้ หรือ Protected Health Information (PHI/PII) ได้โดยไม่ได้รับอนุญาต

กว่า 81 % เห็นพ้องว่าการโจมตีเว็บไซต์นั้นเป็นปัญหาหลักที่ต้องได้รับการป้องกัน แก้ไขโดยด่วน แต่มีเพียง 39% เท่านั้นที่ได้ทำการดำเนินการแล้ว

ปัญหานั้นเนื่องมาจากงบประมาณไม่เพียงพอมากถึง 34%, การตรวจสอบภายใน (Regulation) ที่ทำให้ดำเนินการไม่ได้ที่ 32%, และบุคลากรผู้เชี่ยวชาญไม่เพียงพอ ที่ 31%

เว็บไซต์ในกลุ่มอุตสาหกรรมการศึกษาถูกแฮกสูงสุดมากกว่า 14.3% เมื่อเปรียบเทียบกับปี ค.ศ. 2024 (พ.ศ. 2567) ที่พบเพียง 3.75% เรียกว่า มากกว่าถึง 4 เท่าตัวเลยทีเดียว ขณะที่เว็บไซต์ของหน่วยงานรัฐพบการโจมตีที่เพิ่มขึ้นจาก 2% ในปี ค.ศ. 2024 (พ.ศ. 2567) พุ่งมาเป็น 12% ณ ช่วงเวลาของการวิจัย

นอกจากนั้นรายงานยังมีข้อมูลเชิงเทคนิคที่มีความน่าสนใจอยู่อีกมากมาย ซึ่งผู้อ่านทุกท่านสามารถดาวน์โหลดได้จากเว็บไซต์ของบริษัทผู้ทำงานวิจัยนี้ได้โดยตรงเพื่อศึกษาเพิ่มเติม

#ติดเทรนด์ #lemon8ไดอารี่ #Lemon8ฮาวทู #freedomhack #ข้อมูล

2/6 แก้ไขเป็น

... อ่านเพิ่มเติมจากประสบการณ์การใช้งานเว็บไซต์และแอปพลิเคชันต่าง ๆ ที่มักใช้แอป 3rd Party เพื่อเพิ่มฟังก์ชันหรือความสะดวกในการใช้งาน ผมพบว่าหลายครั้งเราไม่ทันได้ตระหนักถึงความเสี่ยงที่เกิดขึ้นเบื้องหลัง โดยเฉพาะการมอบสิทธิ์การเข้าถึงข้อมูลอย่างกว้างขวางซึ่งอาจไม่ได้สอดคล้องกับความจำเป็นที่แท้จริง รายงานของ Reflectiz ที่กล่าวถึงในบทความชี้ให้เห็นว่าแอป 3rd Party เกือบสองในสามนั้นมีการเข้าถึงข้อมูลที่ไม่เหมาะสม ซึ่งรวมถึงข้อมูลสำคัญอย่างข้อมูลการชำระเงินหรือข้อมูลสุขภาพที่ละเอียดอ่อน เช่น Protected Health Information (PHI/PII) ในกลุ่มโรงพยาบาล ซึ่งผมเชื่อว่าเรื่องนี้เป็นสัญญาณเตือนที่สำคัญสำหรับเจ้าของเว็บไซต์และผู้ใช้ทั่วไป ในฐานะผู้ใช้งาน ผมแนะนำให้ตรวจสอบและจำกัดสิทธิ์การเข้าถึงข้อมูลต่าง ๆ ในแอปหรือเว็บไซต์ที่ใช้เป็นประจำ รวมถึงระมัดระวังในการติดตั้งปลั๊กอินและส่วนเสริมที่ไม่แน่ใจในความปลอดภัย นอกจากนี้ ธุรกิจหรือแผนกการตลาดควรทำงานร่วมกับทีมไอทีเพื่อให้ความสำคัญกับการคัดกรองแอป 3rd Party เพื่อลดโอกาสที่จะถูกโจมตีจากช่องทางนี้ อีกข้อสังเกตที่น่าสนใจคือ การใช้งาน Facebook Pixel ที่ถูกใช้อย่างแพร่หลายโดยทีมการตลาด แม้ว่าจะช่วยในการวิเคราะห์และเพิ่มประสิทธิภาพโฆษณา แต่การให้สิทธิ์ Full DOM Access และ Automatic Advanced Matching โดยไม่มีการควบคุมอย่างเข้มงวดเป็นช่องโหว่ที่นำไปสู่การรั่วไหลของข้อมูลได้ง่าย หากเราเข้าใจและตระหนักถึงความเสี่ยงนี้อย่างแท้จริงจากประสบการณ์ที่เจอ จะช่วยให้สามารถปรับนโยบายและมาตรการจัดการข้อมูลได้ดียิ่งขึ้น พร้อมทั้งหลีกเลี่ยงความเสียหายที่อาจเกิดขึ้นในอนาคตด้วยตัวเอง