การรั่วไหลของข้อมูล

แอปส่งข้อความ Tokee รั่วไหลข้อมูลโปรไฟล์ผู้ใช้ 1.2 ล้านราย จากการเปิดเผยฐานข้อมูล

14 พฤษภาคม 2569อ่าน 5 นาที

By เดวิด นากามูระ — พื้นฐานด้านเครื่องมือรักษาความปลอดภัยและการพัฒนา full-stack

แอปส่งข้อความ Tokee รั่วไหลข้อมูลโปรไฟล์ผู้ใช้ 1.2 ล้านราย จากการเปิดเผยฐานข้อมูล

ข้อมูลที่แท้จริงที่รั่วไหลจากฐานข้อมูล Tokee

นักวิจัยด้านความปลอดภัยเพิ่งค้นพบฐานข้อมูลที่ไม่ได้รับการป้องกันของ Tokee แอปพลิเคชันส่งข้อความวิดีโอและข้อความ ที่ถูกเปิดเผยและเข้าถึงได้โดยไม่ต้องยืนยันตัวตนใดๆ ฐานข้อมูลดังกล่าวประกอบด้วยข้อมูลของผู้ใช้ประมาณ 1.2 ล้านราย รวมถึงชื่อ-นามสกุล หมายเลขโทรศัพท์ และโทเค็นอุปกรณ์ ประเภทข้อมูลสุดท้ายนี้สมควรได้รับความสนใจเป็นพิเศษ เนื่องจากโทเค็นอุปกรณ์คือตัวระบุเฉพาะที่ผูกกับโทรศัพท์หรือแท็บเล็ตเครื่องหนึ่งๆ และสามารถนำไปใช้ระบุตัวตนของอุปกรณ์ข้ามบริการต่างๆ ส่งการแจ้งเตือน push โดยไม่ได้รับอนุญาต หรือติดตามรูปแบบการใช้งานของผู้ใช้ตามช่วงเวลาได้

เหตุการณ์นี้ไม่ใช่การแฮกที่ซับซ้อนแต่อย่างใด ไม่จำเป็นต้องมีผู้โจมตีเจาะผ่านไฟร์วอลล์หรือใช้ประโยชน์จากช่องโหว่ที่ซับซ้อน ฐานข้อมูลถูกปล่อยทิ้งให้เปิดเผยอยู่เฉยๆ หมายความว่าใครก็ตามที่รู้ว่าต้องค้นหาที่ไหนก็สามารถเข้าถึงและคัดลอกข้อมูลได้ ว่ามีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลดังกล่าวก่อนที่นักวิจัยจะค้นพบและรายงานการเปิดเผยนี้หรือไม่นั้น ยังไม่ได้รับการยืนยันต่อสาธารณะ ซึ่งนั่นคือปัญหาที่แท้จริงของเหตุการณ์ประเภทนี้

ขนาดของการเปิดเผยข้อมูลครั้งนี้จัดอยู่ในหมวดหมู่ของเหตุการณ์ละเมิดความเป็นส่วนตัวที่ร้ายแรงอย่างชัดเจน หมายเลขโทรศัพท์โดยเฉพาะอย่างยิ่งถือเป็นเป้าหมายที่มีมูลค่าสูง เพราะถูกใช้สำหรับการยืนยันตัวตนสองชั้น การโจมตีแบบ SIM-swapping และการโจมตีแบบฟิชชิ่งที่มุ่งเป้าผ่าน SMS

เหตุใดการเข้ารหัสเพียงอย่างเดียวจึงไม่สามารถปกป้องผู้ใช้แอปส่งข้อความได้

ข้อสันนิษฐานทั่วไปของผู้ใช้ที่ใส่ใจความเป็นส่วนตัวคือ การเลือกใช้แอปส่งข้อความที่เข้ารหัสแบบ end-to-end จะแก้ปัญหาการเปิดเผยข้อมูลได้เกือบทั้งหมด เหตุการณ์ของ Tokee แสดงให้เห็นอย่างชัดเจนว่าข้อสันนิษฐานนั้นไม่ครบถ้วนสมบูรณ์

การเข้ารหัสแบบ end-to-end ปกป้องเนื้อหาของข้อความขณะที่เดินทางระหว่างผู้ส่งและผู้รับ แต่ไม่ได้ปกป้องเมทาดาทาที่แพลตฟอร์มส่งข้อความเก็บรวบรวมและจัดเก็บไว้บนเซิร์ฟเวอร์ของตนเอง ไม่ว่าจะเป็น ตัวตนของคุณ อุปกรณ์ที่คุณใช้ หมายเลขโทรศัพท์ที่คุณลงทะเบียน และความถี่ในการใช้งานแอป ข้อมูลทั้งหมดนั้นอาศัยอยู่ในฐานข้อมูลที่ควบคุมโดยผู้ให้บริการแอป และหากฐานข้อมูลเหล่านั้นถูกกำหนดค่าผิดพลาดหรือได้รับการรักษาความปลอดภัยไม่เพียงพอ ไม่ว่าจะเข้ารหัสข้อความมากเพียงใดก็ไม่สามารถป้องกันการรั่วไหลได้

นี่คือช่องโหว่เชิงโครงสร้างเดียวกันที่ทำให้แม้แต่แพลตฟอร์มที่เน้นความเป็นส่วนตัวก็ยากที่จะไว้วางใจได้อย่างสมบูรณ์ เนื้อหาข้อความอาจอ่านไม่ออก แต่ข้อมูลโดยรอบก็เล่าเรื่องของมันเอง เช่นเดียวกับที่ สหภาพยุโรปถกเถียงเรื่องกฎหมายการตรวจสอบแชทภาคบังคับ การโต้แย้งว่าการเก็บรวบรวมเมทาดาทามีความละเอียดอ่อนน้อยกว่าเนื้อหาข้อความโดยเนื้อแท้นั้นยิ่งปกป้องได้ยากขึ้นเรื่อยๆ

การละเมิดข้อมูล Tokee เป็นตัวอย่างที่จับต้องได้ว่าเกิดอะไรขึ้นเมื่อเมทาดาทาดังกล่าวไม่ได้รับการจัดการด้วยความเข้มงวดเท่ากับเนื้อหาข้อความ

VPN ช่วยลดร่องรอยเมทาดาทาของคุณบนเซิร์ฟเวอร์แอปได้อย่างไร

เมื่อคุณเชื่อมต่อกับแอปส่งข้อความโดยไม่ใช้ VPN เซิร์ฟเวอร์ของแอปจะบันทึก IP แอดเดรสจริงของคุณควบคู่กับกิจกรรมในบัญชีของคุณ IP แอดเดรสนั้นสามารถใช้อนุมานตำแหน่งโดยประมาณ ผู้ให้บริการอินเทอร์เน็ต และในบางกรณีอาจระบุตัวตนของคุณได้ หากข้อมูลฝั่งเซิร์ฟเวอร์เหล่านั้นถูกเปิดเผยในการละเมิดข้อมูลเหมือนกรณีของ Tokee หรือถูกเรียกดูด้วยหมายศาล หรือถูกเข้าถึงโดยผู้คุกคามที่เชื่อมโยงกับรัฐ IP แอดเดรสของคุณจะกลายเป็นข้อมูลระบุตัวตนอีกชิ้นที่ผูกกับบัญชีของคุณ

VPN แทนที่ IP แอดเดรสจริงของคุณด้วย IP แอดเดรสที่เป็นของเซิร์ฟเวอร์ VPN ดังนั้นสิ่งที่ถูกบันทึกในบันทึกเซิร์ฟเวอร์ของแอปคือแอดเดรสที่ใช้ร่วมกัน แทนที่จะเป็นแอดเดรสที่ชี้กลับมาหาคุณโดยตรง สิ่งนี้ไม่ได้ป้องกันการละเมิดข้อมูลจากการเกิดขึ้น และไม่ได้ปกป้องหมายเลขโทรศัพท์หรือโทเค็นอุปกรณ์ที่คุณลงทะเบียนไว้ แต่มันช่วยลดได้อย่างมีนัยสำคัญว่าข้อมูลที่เปิดเผยนั้นจะถูกนำไปใช้ระบุตำแหน่งหรือตัวตนของคุณได้มากเพียงใด

ความสำคัญของการจำกัดร่องรอยเมทาดาทาของคุณยิ่งชัดเจนขึ้นในบริบทที่มีความเสี่ยงสูง การโจมตีที่ซับซ้อนซึ่งได้รับการสนับสนุนจากรัฐมุ่งเป้าไปที่โครงสร้างพื้นฐานการสื่อสารส่วนตัวมากขึ้นเรื่อยๆ และการใช้ VPN ร่วมกับแอปส่งข้อความของคุณช่วยเพิ่มอุปสรรคที่แท้จริง แม้จะเป็นเพียงส่วนหนึ่ง ในทำนองเดียวกัน ควรระลึกไว้ว่าแอปที่เป็นอันตรายบนอุปกรณ์ของคุณยังสามารถดึงข้อมูลในระดับระบบได้ ดังที่เห็นในกรณีอย่าง มัลแวร์ NoVoice ที่ติดเชื้ออุปกรณ์ Android กว่า 2.3 ล้านเครื่องผ่าน Google Play ซึ่งตอกย้ำคุณค่าของการลดข้อมูลที่ระบุตัวตนได้ที่แอปใดแอปหนึ่งสามารถเก็บรวบรวมและจัดเก็บได้

สิ่งที่ผู้ใช้ Tokee ควรทำตอนนี้

หากคุณมีบัญชีกับ Tokee ให้ถือว่าหมายเลขโทรศัพท์ที่ลงทะเบียนไว้อาจถูกโจมตีแล้ว นั่นหมายความว่าต้องระวังข้อความ SMS ที่ผิดปกติ โดยเฉพาะข้อความที่ขอให้คุณคลิกลิงก์หรือยืนยันรายละเอียดบัญชี ระวังเป็นพิเศษกับข้อความใดๆ ที่อ้างว่ามาจากธนาคาร บริการจัดส่ง หรือบริษัทเทคโนโลยี เนื่องจากหมายเลขโทรศัพท์ของคุณอาจหมุนเวียนอยู่ในกลุ่มผู้ที่รวบรวมข้อมูลที่รั่วไหลอยู่แล้ว

หากคุณใช้หมายเลขโทรศัพท์เดิมในการเปิดใช้การยืนยันตัวตนสองชั้นในบัญชีอื่นๆ ให้พิจารณาเปลี่ยนบัญชีเหล่านั้นไปใช้แอปยืนยันตัวตนแทนการยืนยันผ่าน SMS เนื่องจากหมายเลขโทรศัพท์ที่เปิดเผยในการละเมิดข้อมูลมักถูกใช้ในรูปแบบ SIM-swapping ที่ออกแบบมาเพื่อยึดบัญชี

ในวงกว้างกว่านั้น การละเมิดข้อมูลครั้งนี้เป็นเครื่องเตือนใจที่เป็นประโยชน์ให้ตรวจสอบว่าแอปใดบ้างที่เข้าถึงหมายเลขโทรศัพท์ของคุณ และทบทวนสิทธิ์ที่มอบให้กับแอปส่งข้อความบนอุปกรณ์ของคุณ การจำกัดข้อมูลที่แอปสามารถเก็บรวบรวมได้ตั้งแต่ต้นนั้นเป็นรูปแบบการป้องกันที่ยั่งยืนกว่าการหวังว่าแต่ละแพลตฟอร์มจะรักษาความปลอดภัยฐานข้อมูลได้อย่างถูกต้อง

สุดท้าย การใช้ VPN อย่างสม่ำเสมอขณะเชื่อมต่อกับแอปส่งข้อความช่วยเพิ่มชั้นการป้องกันที่ทำงานโดยอิสระจากแนวทางปฏิบัติด้านความปลอดภัยที่แอปนั้นเองปฏิบัติตาม คุณไม่สามารถควบคุมวิธีที่ Tokee หรือแพลตฟอร์มอื่นใดจัดการโครงสร้างพื้นฐานส่วนหลังของตนได้ แต่คุณสามารถควบคุมว่าข้อมูลระบุตัวตนจำนวนเท่าใดที่จะไปถึงเซิร์ฟเวอร์เหล่านั้นได้ตั้งแต่แรก

การเปิดเผยข้อมูลของ Tokee เป็นเครื่องเตือนใจว่าความเป็นส่วนตัวบนแพลตฟอร์มส่งข้อความไม่ได้เป็นเพียงฟังก์ชันของการเข้ารหัสที่ติดตั้งอยู่ในแอปเอง แต่ยังขึ้นอยู่กับวิธีที่แพลตฟอร์มจัดการข้อมูลโดยรอบการสื่อสารของคุณด้วย และส่วนนั้นของสมการอยู่นอกเหนือการควบคุมของคุณอย่างสิ้นเชิงเมื่อคุณมอบข้อมูลนั้นไปแล้ว การสร้างนิสัยที่ลดการมอบข้อมูลดังกล่าวถือเป็นการป้องกันที่ใช้ได้จริงที่สุดสำหรับผู้ใช้ทั่วไป

// คำถามที่พบบ่อย

ข้อมูลประเภทใดที่ถูกเปิดเผยในการรั่วไหลของฐานข้อมูล Tokee?

ฐานข้อมูลที่ถูกเปิดเผยประกอบด้วยข้อมูลของผู้ใช้ประมาณ 1.2 ล้านราย รวมถึงชื่อ-นามสกุล หมายเลขโทรศัพท์ และโทเค็นอุปกรณ์ โทเค็นอุปกรณ์คือตัวระบุเฉพาะที่ผูกกับโทรศัพท์หรือแท็บเล็ตเครื่องหนึ่งๆ

ฐานข้อมูล Tokee เข้าถึงได้โดยบุคคลภายนอกได้อย่างไร?

ฐานข้อมูลถูกปล่อยทิ้งไว้โดยไม่ได้รับการป้องกันและเข้าถึงได้โดยไม่ต้องยืนยันตัวตนใดๆ หมายความว่าไม่จำเป็นต้องแฮกหรือใช้ประโยชน์จากช่องโหว่ที่ซับซ้อนเพื่อเข้าถึงข้อมูล

เหตุใดหมายเลขโทรศัพท์จึงถือว่ามีคุณค่าเป็นพิเศษในการละเมิดข้อมูล?

หมายเลขโทรศัพท์ถือเป็นเป้าหมายที่มีมูลค่าสูงเพราะถูกใช้สำหรับการยืนยันตัวตนสองชั้น การโจมตีแบบ SIM-swapping และการโจมตีแบบฟิชชิ่งที่มุ่งเป้าผ่าน SMS

การใช้แอปส่งข้อความที่เข้ารหัสแบบ end-to-end ช่วยปกป้องผู้ใช้จากการละเมิดข้อมูลประเภทนี้ได้หรือไม่?

ไม่ได้ การเข้ารหัสแบบ end-to-end ปกป้องเฉพาะเนื้อหาของข้อความระหว่างการส่งเท่านั้น และไม่ได้ปกป้องเมทาดาทา เช่น ชื่อ หมายเลขโทรศัพท์ และข้อมูลอุปกรณ์ที่จัดเก็บอยู่บนเซิร์ฟเวอร์ของผู้ให้บริการแอป

มีการยืนยันหรือไม่ว่าบุคคลที่ไม่ได้รับอนุญาตเข้าถึงฐานข้อมูล Tokee ก่อนที่จะมีการรายงาน?

ยังไม่ได้รับการยืนยันต่อสาธารณะว่ามีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงหรือคัดลอกข้อมูลดังกล่าวก่อนที่นักวิจัยจะค้นพบและรายงานการเปิดเผยนี้หรือไม่

ข้อมูลที่แท้จริงที่รั่วไหลจากฐานข้อมูล Tokee

เหตุใดการเข้ารหัสเพียงอย่างเดียวจึงไม่สามารถปกป้องผู้ใช้แอปส่งข้อความได้

VPN ช่วยลดร่องรอยเมทาดาทาของคุณบนเซิร์ฟเวอร์แอปได้อย่างไร

สิ่งที่ผู้ใช้ Tokee ควรทำตอนนี้

// คำถามที่พบบ่อย

// ที่เกี่ยวข้อง