Article for user

Dropbox กับกรณีความปลอดภัยของข้อมูล

Dropboxข้ออ้างในการลืมไฟล์งานที่บ้านกำลังหมดความน่าเชื่อถือไป แต่ความน่าเชื่อถือเรื่องความปลอดภัยนี่ยังไงดี, เป็นประเด็นจนได้เมื่อเจ้ากล่องวิเศษอย่างเจ้า Dropbox ที่เคยบอกกล่าวกับผู้ใช้งานว่าไฟล์ที่ถูกจัดเก็บบนระบบ Cloud Computing ใน Dropbox นั้นถูกทำการเข้ารหัสเพื่อความปลอดภัยทั้งหมดทุกไฟล์ ไม่ว่าใครแม้แต่พนักงานของตัว Dropbox เองก็ไม่สามารถเข้าไปดูเนื้อหาของไฟล์ของไฟล์ที่ฝากไว้กับบริการของตนบน Cloud Computing ได้

แม้ว่าตอนนี้จะมียอดผู้ใช้งาน Dropbox ในปัจจุบันสูงถึง 25 ล้านคนทั่วโลก และมีแนวโน้มที่จะได้รับความนิยมในการใช้งานมากขึ้นเรื่อยๆ แต่ด้านปัญหาที่ Dropbox ต้องเจอนั้นก็มีแรงกระทบมหาศาล เพราะเป็นสิ่งสะท้อนถึง นโยบายความปลอดภัยที่ Dropbox นั้นพูดมาทั้งหมดเมื่อครู่ ต้นเหตุก็เกิดจากนักศึกษาปริญญาเอกนาม Christopher Soghoian ได้เข้ามาเปิดเผยถึงข้อเท็จจริงที่ตัวเขาเองได้ค้นพบว่าแท้ที่จริงแล้วเจ้าบริการ Dropbox นั้นไม่ได้มีมาตรการรักษาความปลอดภัยอย่างที่มาเท่าไรนัก พนักงาน ของ Dropbox บางรายประพฤติตนไม่ดีเท่าที่ควรได้แอบนำข้อมูลของลูกค้าผู้ใช้บริการฝากไฟล์บน Cloud computing ของ Dropbox มาเผยแพร่บ้างแล้ว ซ้ำยังลามไปถึงหน่วยงานของรัฐบาล บริษัท หน่วยงาน ด้านคดีความที่ทำหน้าที่คอยสอดส่องเกี่ยวกับเรื่องการละเมิดลิขสิทธิ์ ทรัพย์สินทางปัญญา ซึ่ง กรณีที่ทาง Dropbox เข้าไปแก้ไขข้อความในหัวข้อ Security Statements บนเว็บไซต์ของตน ถือว่าเป็นเรื่องที่สร้างความสับสน และความไม่ไว้วางใจให้แก่ผู้ใช้งาน ซึ่งผมคิดว่านี่แหละนะมันถึงได้เป็นประเด็นถกเถียง ก็เพราะเกิดจากสาเหตุเล็กๆ แล้วไม่ออกมาอธิบาย เลยกลายเป็นเรื่องที่เกิดข้อกล่าว ฟ้องร้องต่างๆนาๆขึ้น

เมื่อเดือนเมษายนที่ผ่านมา Dropbox ได้มีการเปลี่ยนแปลงเนื้อหาของหน้าเว็บไซต์ในส่วนของ Website Claims ในส่วนประโยคบนบรรทัดที่เกี่ยวข้องกับข้อความด้านความปลอดภัยจากการใช้งาน โดยการนำประโยชน์ข้อความ “inaccessible without your account password” ที่ปรากฏในส่วนท้ายของประโยคออก เป็นประโยคสำคัญด้วยนี่สิครับ  เพราะถ้ามีประโยคดังกล่าวแสดงว่า รหัสผ่านพนักงานของ Dropbox จะไม่มีสิทธิรู้ แต่ ระบบก็คือระบบครับ ยังไงผู้สร้าง ผู้ดูแล มีเหรอจะไม่รู้รหัสผ่านของผู้ใช้ เกิดผู้ใช้ลืมรหัสผ่านซะเอง ใครจะช่วยกู้ได้ล่ะครับ นอกจากความไม่ชัดเจนบนเว็บไซต์แล้ว Dropbox ยังสร้างความสับสนให้กับผู้ใช้งานผ่านระบบมือถือ หรือ สมาร์ทโฟนเข้าไปอีก โดยอ้างว่าผู้ใช้ Dropbox ผ่านสมาร์ทโฟนจะมีขั้นตอนการ Encrypt  เข้ารหัสของไฟล์ที่จะอัพโหลด โดยทำขั้นตอนนี้ผ่านการเชื่อมต่อแบบ HTTPS ระหว่างสมาร์ทโฟนของผู้ใช้กับ Server บริการของ Dropbox ซึ่งในความเป็นจริงแล้วอุปกรณ์มือถือหรือสมาร์ทโฟนนั้นไม่สามารถเข้ารหัสหรือ Encrypt ได้ 100%

นโยบายความปลอดภัยกับ Dropbox

คู่แข่งที่มีบริการคล้ายคลึงกับ Dropbox อย่างบริการของ SpiderOak และ Wuala ที่เป็นบริการฝากไฟล์ผ่าน Cloud computing แบบเดียวกันนั้น พนักงานที่ดูแลระบบจะไม่สามารถเข้าถึงเนื้อหาของข้อมูลที่ผู้ใช้ได้อัพโหลดขึ้นไปได้เพราะขั้นตอนการสร้าง Encryption keys  หรือรหัสกุญแจในการ เข้า-ถอด รหัสนั้นถูกเก็บไว้ในเครื่องสมาร์ทโฟนของลูกค้าเพียงอย่างเดียว

นั่นหมายความว่าผู้ให้บริการที่จะ ขอรหัส encrypt ได้นั้นต้องมีค่าใช้จ่ายในการติดต่อกับผู้ออกแบบระบบปฏิบัติการบนสมาร์ทโฟนทันที และต้องเพิ่มเนื้อที่ในการเก็บข้อมูลที่ซ้ำซ้อนกันของผู้ใช้  เพราะต้องมีขั้นตอนในการตรวจสอบไฟล์ที่มีเนื้อหาเดียวกัน มีเดีย เดียวกัน แต่ต่างผู้ใช้ ซึ่งทาง Soghoian ได้ส่งเรื่องร้องเรียนทั้งหมดนี้ให้กับ FTC(Federal Trade Commission) เพื่อกดดันให้ทาง  Dropbox ออกมาแถลงแก้ไขปัญหา และชี้แจงประเด็นในเรื่องเนื้อหาบนเว็บไซท์ที่เปลี่ยนไป ให้แก่ผู้ใช้งานได้ทราบอย่างชัดเจน รวมถึงกรณีผู้ใช้ที่ได้ชำระค่าบริการซื้อรูปแบบ “Pro” จะต้องได้รับเงินค่าเสียหายคืน และที่สำคัญ Dropbox เองนั้นห้ามบเขียนข้อความในข้อกำหนดที่มีแนวโน้มส่อเสียดที่จะทำให้ผู้ใช้งานเข้าใจผิดได้

หลายคนก็ยังคงใช้กันอยู่

แม้จะมีกระแสโดดวิพากษ์วิจารณ์มากมายยังไง ทาง Dropbox เองก็ยังคงตีเนียนเพิกเฉย ไม่รู้ไม่ชี้ ต่อคำกล่าวหาข้างต้น มีเพียงอีเมลแก้ต่างกลับส่งไปถึงกองบรรณาธิการนิตยสารเทคโนโลยีชื่อดังอย่าง Wired ว่า

“มีคนเป็นล้านคนที่ใช้ Dropbox และยังใช้ทุกวัน พวกเราทีมงานยังคงทำงานนักที่จะรักษาข้อมูลของผู้ใช้ของเราทุกคนให้ปลอดภัย”

ส่วนตัวแล้ว เรื่องพวกนี้เป็นเรื่องปรกติที่ต่างประเทศครับ ที่จะมีการฟ้องร้อง ยังไงซะ การแบ่งปันไฟล์ ผ่านบริการ Cloud computing เหล่านี้ไม่ให้เกิดปัญหาที่ว่า ง่ายๆครับ ก็อย่าเอาข้อมูลที่เสี่ยงของเราไปวางไว้ก็เป็นพอ ปล่อยให้ฝรั่งเค้าฟ้องกันต่อไปดีกว่าครับ

Asst. Prof. Banyapon Poolsawas

อาจารย์ประจำสาขาวิชาการออกแบบเชิงโต้ตอบ และการพัฒนาเกม วิทยาลัยครีเอทีฟดีไซน์ & เอ็นเตอร์เทนเมนต์เทคโนโลยี มหาวิทยาลัยธุรกิจบัณฑิตย์ ผู้ก่อตั้ง บริษัท Daydev Co., Ltd, (เดย์เดฟ จำกัด)

Related Articles

Leave a Reply

Back to top button

Adblock Detected

เราตรวจพบว่าคุณใช้ Adblock บนบราวเซอร์ของคุณ,กรุณาปิดระบบ Adblock ก่อนเข้าอ่าน Content ของเรานะครับ, ถือว่าช่วยเหลือกัน