Blockdit Logo (Mobile)
Reporter Journey
18 ก.พ. 2021 เวลา 06:45 • วิทยาศาสตร์ & เทคโนโลยี
ม.สแตนฟอร์ด ตรวจพบ Clubhouse ส่งข้อมูลให้รัฐบาลจีน
พร้อมเผยว่าผู้พัฒนาแอปฯ เป็นสตาร์ตอัพจากเซี่ยงไฮ้
16
เรียกว่าพีคในพีคจริงๆ สำหรับแอปพิลเคชันที่กำลังมาแรงในขณะนี้อย่าง “Clubhouse” ที่หลายคนต่างหมายปองอยากเข้าไปจอยด์กลุ่มต่างๆ เพื่อฟังคอนเทนต์การเสวนาในหัวข้อที่สนใจ จนถึงขนาดมีการขาย Invite กันหลักร้อยหลักพันบาท
ล่าสุดมีรายงานข่าวออกมาจากสำนักข่าวต่างประเทศทั้ง Bloomberg, China Morning Post ที่อ้างถึงเว็บไซต์ Stanford Internet Observatory (SIO) หน่วยงานด้านนโยบายสำหรับการศึกษาการละเมิดในเทคโนโลยีสารสนเทศและโซเชียลมีเดีย ของมหาวิทยาลัยชื่อดังระดับโลกอย่าง "สแตนฟอร์ด" สหรัฐอเมริกา ที่มีการตรวจสอบแอปฯ Clubhouse จนพบว่าผู้ให้บริการอย่างบริษัท Agora ได้ส่งข้อมูลผู้ใช้งานพร้อมกับ ID ในรูปแบบข้อความ ซึ่งสามารถถอดเสียงออกมาเป็นข้อความ ระบุตัวผู้ใช้งานในแต่ละห้อง และส่งต่อข้อมูลนี้ไปถึงยังรัฐบาลปักกิ่ง
สิ่งที่ SIO พบคือ แนวทางปฏิบัติด้านความปลอดภัยของข้อมูลที่พบช่องโหว่เรื่องความเป็นส่วนตัวของผู้ใช้มากมาย ซึ่งมีความเป็นไปได้ที่รัฐบาลจีนจะสามารถเข้าถึง Clubhouse ได้ทั้งผ่านแอปฯ Agora และ Clubhouse
SIO ยืนยันเพิ่มเติมด้วยว่า Agora ซึ่งเป็นผู้ให้บริการแอปฯ ดังกล่าวเป็นบริษัทสตาร์ทอัพสัญชาติจีนจากนครเซี่ยงไฮ้ ที่ร่วมทุนกับบริษัทในสหรัฐ โดยมีสำนักงานใหญ่ตั้งอยู่ในซิลิคอนวัลเลย์ นครซานฟรานซิสโก ที่เป็นผู้จัดหาโครงสร้างพื้นฐานหลังบ้านให้กับ Clubhouse และขาย "แพลตฟอร์มการมีส่วนร่วมด้วยเสียงและวิดีโอแบบเรียลไทม์" นี้
นักวิเคราะห์ SIO สังเกตการเข้าใช้งานของสมาชิก Clubhouse โดยใช้เครื่องมือวิเคราะห์เครือข่ายที่เปิดเผยต่อสาธารณะ เช่น Wireshark โดยผลการวิเคราะห์พบว่า การเข้าแอปฯ ในขาออกถูกส่งไปยังเซิร์ฟเวอร์ที่ดำเนินการโดย Agora ซึ่งรวมถึง "qos-america.agoralab.co" ตัวอย่างเช่น การเข้าร่วมห้องสนทนาจะถูกสร้างประวัติการใช้งานไว้เพื่อส่งไปยังฐานข้อมูลของ Agora ประวัตินั้นมีข้อมูลเกี่ยวกับผู้ใช้แต่ละคนรวมถึงหมายเลข Clubhouse ID ที่ไม่ซ้ำกัน และ ID ห้องที่เข้าร่วม
ข้อมูลดังกล่าวจะถูกส่งผ่านอินเทอร์เน็ตในรูปแบบข้อความธรรมดา (ไม่เข้ารหัส) ซึ่งหมายความว่าบุคคลที่สามอาจมีสิทธิ์เข้าถึงการรับส่งข้อมูลเครือข่ายของผู้ใช้งานได้ ลักษณะนี้จะทำให้ผู้แอบฟังอาจรู้ว่า ผู้ใช้สองคนกำลังพูดคุยอะไรกัน หรือการตรวจจับว่าผู้ใช้เหล่านั้นเข้าร่วมช่องทางเดียวกันหรือไม่
1
การวิเคราะห์ของ SIO จากเอกสารบนแพลตฟอร์มของ Agora ยังเผยให้เห็นว่า Agora น่าจะเข้าถึงทราฟฟิกเสียงต้นฉบับของ Clubhouse ได้ และเสียงนั้นอาจถูกดักฟัง ถอดเสียง และจัดเก็บโดย Agora เพื่อนำไปใช้งานต่อหรือส่งต่อให้กับหน่วยงาน
การวิเคราะห์นี้มีความสำคัญเนื่องจาก Agora ที่แม้จะตั้งสำนักงานร่วมอยู่ในสหรัฐอเมริกา และจีน แต่ก็อยู่ภายใต้กฎหมายความปลอดภัยทางไซเบอร์ของสาธารณรัฐประชาชนจีน (PRC) หากมีการยื่นฟ้องร้องในสหรัฐ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ กับบริษัทยอมรับว่าจะต้อง "ให้ความช่วยเหลือและสนับสนุนตามกฎหมายจีน" รวมถึงการปกป้องความมั่นคงแห่งชาติและการสืบสวนคดีอาชญากรรม
1
หากรัฐบาลจีนพิจารณาแล้วว่าข้อความเสียงเป็นอันตรายต่อความมั่นคงของชาติ Agora จะต้องทำตามกฎหมายจีนเพื่อช่วยรัฐบาลในการค้นหาและจัดเก็บข้อความดังกล่าวดังเช่น การสนทนาในประเด็นที่เกี่ยวกับการประท้วงเทียนอันเหมิน ค่ายซินเจียง หรือการประท้วงในฮ่องกง อาจเข้าข่ายเป็นกิจกรรมที่มีความผิดทางอาญา
1
แม้ Agora จะอ้างว่าไม่ได้จัดเก็บเสียงหรือข้อมูลของผู้ใช้ ยกเว้นในกรณีเพื่อตรวจสอบคุณภาพเครือข่าย และบริการเรียกเก็บเงินจากลูกค้าเท่านั้น แต่อย่างไรก็ตามรัฐบาลจีนยังสามารถสั่งจัดการบล็อกเครือข่ายของ Agora ได้
นอกจากนี้ข้อมูลที่ไม่ได้เข้ารหัสได้ถูกส่งผ่านเซิร์ฟเวอร์ใน PRC ที่น่าจะสามารถเข้าถึงได้โดยรัฐบาลจีน เนื่องจากข้อมูลของห้องสนทนาที่พบโดย SIO ถูกส่งไปยังเซิร์ฟเวอร์ที่เชื่อได้ว่าโฮสต์อยู่ใน PRC ของรัฐบาลจีน จึงมีแนวโน้มที่จะรวบรวมข้อมูลต่างๆ ได้โดยไม่ต้องเข้าถึงเครือข่ายของ Agora
โดยสรุปหากรัฐบาลจีนสามารถเข้าถึงข้อมูลผู้ใช้ผ่าน Agora และ Clubhouse ชาวจีนแผ่นดินใหญ่อาจตกอยู่ในความเสี่ยง ซึ่งสิ่งที่ตามมาคือ ต้องจำไว้ว่า มีศักยภาพในการเข้าถึงข้อมูลของผู้ใช้นั้นไม่เหมือนกับการเข้าถึงข้อมูลส่วนตัวจริงๆ รัฐบาลจีนเป็นระบบราชการขนาดใหญ่และบางครั้งก็เทอะทะเช่นเดียวกับสหรัฐฯ แต่ก็มีความเป็นไปได้ว่าจะแอบดักฟังการสนทนาในห้องต่างๆ ที่เกี่ยวข้องกับความมั่นคงทั้งหมดทั้งมวล และสามารถระบุได้ว่าใครพูดถึงเรื่องประเด็นอ่อนไหวหรือสุ่มเสี่ยง ซึ่งจะนำไปสู่การล้วงข้อมูลของผู้ใช้งานอื่นๆ ได้อีกด้วย
ส่วนการใช้งานในประเทศอื่นๆ แม้ว่าจะไม่ถูกรัฐบาลจีนล้วงข้อมูล แต่ก็ใช่ว่ารัฐบาลท้องถิ่นจะล้วงไม่ได้ นโยบายความเป็นส่วนตัวของ Clubhouse ระบุว่า เสียงของผู้ใช้จะถูกบันทึก "ชั่วคราว" เพื่อวัตถุประสงค์ในการตรวจสอบความไว้วางใจและความปลอดภัย เช่น ภัยคุกคามจากผู้ก่อการร้าย คำพูดแสดงความเกลียดชัง การขอข้อมูลส่วนบุคคลจากผู้เยาว์ เป็นต้น และจะต้องส่งให้รัฐบาลท้องถิ่นตรวจสอบเมื่อถูกร้องขอ
หากไม่มีการรายงานความน่าเชื่อถือและความปลอดภัย Clubhouse อ้างว่าเสียงที่จัดเก็บไว้จะถูกลบ แต่นโยบายของบริษัทไม่ได้ระบุระยะเวลาของการจัดเก็บ "ชั่วคราว" ซึ่งคำว่าชั่วคราวนี้อาจหมายถึงไม่กี่นาทีหรืออาจเป็น 2 – 3 ปีก็ได้
หาก Clubhouse จัดเก็บไฟล์เสียงดังกล่าวในสหรัฐฯ รัฐบาลจีนอาจขอให้สหรัฐฯ ถ่ายโอนข้อมูลใน Clubhouse ภายใต้ข้อตกลงความช่วยเหลือทางกฎหมายร่วมระหว่างสหรัฐฯ - จีน (MLAA)
อย่างไรก็ตามคำขอดังกล่าวอาจล้มเหลวเนื่องจากบทบัญญัติของ MLAA อนุญาตให้สหรัฐอเมริกาปฏิเสธคำขอที่ละเมิดสิทธิเสรีภาพในการพูดหรือสิทธิมนุษยชนของผู้ใช้ เช่น คำขอที่เกี่ยวข้องกับคำพูดที่มีความอ่อนไหวทางการเมืองใน Clubhouse ประเด็นเทียนอันเหมิน ฮ่องกง ซินเจียง ฯลฯ รัฐบาลจีนไม่สามารถเรียกร้องคลิปเสียงจาก Clubhouse ได้โดยตรงเนื่องจากกฎหมายของรัฐบาลกลางสหรัฐฯ ห้ามไม่ให้เปิดเผยข้อมูลดังกล่าว
แต่รัฐบาลจีนสามารถเรียกร้องการเข้าถึงข้อมูลเสียงหรือข้อมูลผู้ใช้อื่นๆ ที่จัดเก็บไว้ในประเทศจีนได้อย่างถูกกฎหมายหากผู้สร้างแอปฯ อย่าง Alpha Exploration Co. มีพันธมิตรหรือบริษัทย่อยในประเทศจีนที่สามารถเข้าถึงข้อมูลได้ที่นอกจาก Agora
ทั้งนี้ยังไม่มีหลักฐานใดที่บ่งชี้ว่า Alpha Exploration Co. มีพันธมิตรชาวจีนอื่นๆ นอกจาก Agora ที่จัดเก็บข้อมูลผู้ใช้ภายในประเทศจีน
สมมติว่าผู้ผลิตแอปฯ ไม่มีพันธมิตรชาวจีนหรือจัดเก็บข้อมูลในประเทศจีน รัฐบาลจีนอาจไม่สามารถใช้กระบวนการทางกฎหมายเพื่อรับข้อมูลเสียงของ Clubhouse ได้ แต่อาจรัฐบาลจีนอาจใช้วิธีการนอกกฎหมายได้โดยตรงจากระบบโครงสร้างพื้นฐานของ Clubhouse บน Agora ที่แม้ไม่ใช้ช่องทางกฎหมายระหว่างประเทศในการค้นหาข้อมูลของรัฐบาลจีน แต่ก็อาจล้วงข้อมูลโดยวิธีการเถื่อนอื่นๆ ได้ เพราะระบบความปลอดภัยของแอปฯ ยังค่อนข้างต่ำนั่นเอง
นี่ถือเป็นข้อมูลอีกด้านที่มีการเผยแพร่ออกมา ซึ่งก็อยู่ที่ผู้ใช้งานจะพิจารณาแล้วว่าจะเลือกใช้หรือไม่ แต่ถ้าให้พูดกันตามตรงแล้ว นับตั้แต่โลกมีอินเตอร์เน็ตใช้งานก็ไม่มีข้อมูลส่วนตัวใดเป็นความลับบนโลกใบนี้อีกต่อไป หากเราเข้าถึงระบบออนไลน์ทั้งหมดแล้ว แม้แต่เฟซบุ๊ค ไอจี ทวิตเตอร์ หรือข้อมูลการใช้งานโครงข่ายมือถือ รวมทั้งการทำธุรกรรมทางราชการและการเงิน ผู้ให้บริการก็มีฐานข้อมูลของคนทุกคนอยู่ทั้งหมดแล้ว ดังนั้นข้อมูลส่วนตัว จึงไม่มีจริงอีกต่อไปบนโลกออนไลน์
โฆษณา