องค์กรไม่แสวงหากำไร Fairlinked ได้เผยแพร่รายงานการสำรวจเมื่อเร็วๆ นี้ โดยระบุว่าแพลตฟอร์มเครือข่ายสังคมเชิงวิชาชีพ LinkedIn ใช้โค้ดเพื่อสอดส่องอย่างลับๆ ตรวจจับเบราว์เซอร์ของผู้ใช้ และเกี่ยวข้องกับการรวบรวมข้อมูลจากส่วนขยาย (extensions) มากกว่า 6,000 รายการ รายงานดังกล่าวชี้ว่าการกระทำนี้อาจนำไปสู่การเปิดเผยข้อมูลอ่อนไหวของผู้ใช้ทั่วโลก 4.05 ล้านคน เช่น แนวโน้มทางการเมือง สภาวะสุขภาพ และกิจกรรมการหางาน
การตรวจจับพฤติกรรมของเบราว์เซอร์นั้นล้ำเส้นความเป็นส่วนตัวหรือไม่?
จากข้อกล่าวหาของ BrowserGate “การเข้าไปสแกนเบราว์เซอร์ (浏览门)” ที่องค์กรผู้ทำการสำรวจ Fairlinked เสนอมา LinkedIn ได้ฝังโค้ด JavaScript เฉพาะลงในหน้าเว็บ โดยทำการสแกนส่วนขยาย (Extensions) ที่ติดตั้งอยู่ในเบราว์เซอร์ของผู้ใช้โดยไม่ได้รับความยินยอมอย่างชัดเจนจากผู้ใช้ รายการการสแกนนี้ครอบคลุมมากกว่า 6,000 รายการ ซึ่งรวมถึงส่วนขยายที่สามารถระบุอัตลักษณ์ทางศาสนา แนวโน้มทางการเมือง และเครื่องมือช่วยเหลือด้านความหลากหลายทางระบบประสาท (Neurodiversity) รายงานเน้นย้ำว่าเนื่องจากบัญชี LinkedIn เชื่อมโยงอย่างแน่นแฟ้นกับชื่อจริง ตำแหน่ง และข้อมูลนายจ้างของผู้ใช้ ข้อมูลที่ถูกรวบรวมจึงสามารถเชื่อมโยงกับบุคคลเฉพาะได้อย่างแม่นยำ นอกจากนี้ แพลตฟอร์มยังถูกกล่าวหาว่ามีการตรวจจับเครื่องมือซอฟต์แวร์คู่แข่งมากกว่า 200 รายการ รวมถึง Salesforce, HubSpot และ ZoomInfo เพื่อให้ได้มาซึ่งรูปแบบการพึ่งพาบริการของผู้ใช้ในองค์กร ซึ่งทำให้เกิดข้อครหาว่ามีการแข่งขันที่ไม่เป็นธรรมในตลาดและพฤติกรรมแอบสอดแนมทางธุรกิจ
Linkedin อธิบายพฤติกรรมการตรวจจับอย่างไร?
เพื่อตอบข้อกล่าวหาข้างต้น LinkedIn ได้แถลงอย่างหนักแน่นว่าได้ปฏิเสธการกระทำที่ไม่เหมาะสมทุกรูปแบบ และชี้แจงว่ากระบวนการตรวจจับดังกล่าวใช้เพื่อรักษาความสมบูรณ์ของแพลตฟอร์มเท่านั้น LinkedIn ระบุว่าส่วนขยายบางชนิดของเบราว์เซอร์อาจฉีดโค้ดหรือรูปภาพเข้าไปในเว็บเพจ ซึ่งอาจนำไปสู่พฤติกรรมที่ละเมิดข้อกำหนดในการให้บริการ เช่น การดึงข้อมูลอัตโนมัติ (Data Scraping) และอาจส่งผลต่อความเสถียรของการทำงานของเว็บไซต์ด้วย ฝ่ายแพลตฟอร์มย้ำว่าการตรวจจับทำได้โดยการตรวจสอบว่าทรัพยากรแบบคงที่ URL มีอยู่หรือไม่ โดยมีจุดประสงค์เพื่อระบุส่วนขยายที่ละเมิดกฎและปรับปรุงเทคโนโลยี ไม่ใช่เพื่อคาดเดาหรือรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหวของสมาชิก LinkedIn ระบุว่าบัญชีที่เกี่ยวข้องกับการยื่นข้อกล่าวหาเคยถูกจำกัดการใช้งานเนื่องจากเกี่ยวข้องกับการดึงข้อมูลจำนวนมาก ข้อโต้แย้งดังกล่าวถูกยกฟ้องแล้วในการฟ้องร้องที่ศาลเยอรมนี โดยเห็นว่าข้อกล่าวหาไม่มีพื้นฐานตามข้อเท็จจริง
การแบ่งปันข้อมูลกับหน่วยปฏิบัติการสงครามไซเบอร์ของอิสราเอล
อีกประเด็นที่ได้รับความสนใจในรายงานคือทิศทางการไหลของข้อมูลที่ LinkedIn รวบรวม การสืบสวนชี้ว่าข้อมูลที่เกี่ยวข้องถูกแบ่งปันให้กับบริษัทด้านความปลอดภัยทางไซเบอร์ HUMAN Security (เดิมชื่อ White Ops) ซึ่งในปี 2022 ได้ควบรวมกิจการกับบริษัท PerimeterX ของอิสราเอล และทีมผู้ก่อตั้งของ PerimeterX ประกอบด้วยนายทหารอดีตหลายคนที่เคยรับใช้ในหน่วยปฏิบัติการสงครามไซเบอร์ของกองทัพอิสราเอล (IDF) หน่วย 8200 (Unit 8200)
แม้ว่า HUMAN Security จะมีธุรกิจหลักคือการตรวจจับการฉ้อโกงทางดิจิทัลและการเข้าถึงที่ไม่ได้รับอนุญาต แต่ภูมิหลังด้านข่าวกรองทางทหารอันลึกซึ้งและความสัมพันธ์ด้านการแบ่งปันข้อมูล ทำให้ความปลอดภัยในการป้องกันข้อมูลผู้ใช้และประเด็นอธิปไตยถูกจับตาอย่างเข้มงวดอีกครั้ง โดยเฉพาะเมื่อเกี่ยวข้องกับการส่งข้อมูลข้ามพรมแดนว่าจะเป็นไปตามมาตรฐานของกฎระเบียบ GDPR ของสหภาพยุโรป “ข้อกำหนดทั่วไปว่าด้วยการคุ้มครองข้อมูล” สำหรับการจัดการข้อมูลอ่อนไหวหรือไม่
ผลกระทบที่อาจเกิดขึ้นต่อตลาดแรงงานจากการเปิดเผยข้อมูลผู้ใช้
ในส่วนขยายมากกว่า 6,000 รายการที่ถูกตรวจพบ รายงานได้ชี้เฉพาะเจาะจงถึงเครื่องมือช่วยหางานจำนวน 509 รายการ เครื่องมือประเภทนี้มักถูกใช้โดยผู้เชี่ยวชาญที่กำลังมองหาโอกาสในการเปลี่ยนงาน หาก LinkedIn รวบรวมข้อมูลนี้และเชื่อมโยงกับข้อมูลอื่นๆ ก็อาจทำให้เจตนาการเปลี่ยนงานของผู้ใช้ถูกเปิดเผยโดยที่นายจ้างปัจจุบันไม่รู้ตัว แม้ว่า LinkedIn จะระบุว่าไม่ได้ใช้ข้อมูลเหล่านี้เพื่อคาดเดาข้อมูลอ่อนไหวของสมาชิก แต่กลุ่มผู้สนับสนุนด้านสิทธิความเป็นส่วนตัวเห็นว่า รูปแบบ “การสแกนในเบื้องหลัง” นี้ได้กลายเป็นการเฝ้าระวังพฤติกรรมดิจิทัลของผู้ใช้ที่มากเกินไปแล้ว
ในสภาพที่ความตระหนักรู้ด้านความเป็นส่วนตัวเชิงดิจิทัลกำลังเพิ่มสูงขึ้น ผู้ประกอบการแพลตฟอร์มจะต้องเผชิญกับการตรวจสอบทางกฎหมายที่เข้มงวดยิ่งขึ้นและการติดตามตรวจสอบจากกระแสสังคม โดยต้องแบ่งเส้นระหว่าง “การป้องกันการดึงข้อมูลอย่างเป็นอันตราย” กับ “การเคารพพื้นที่ความเป็นส่วนตัวของผู้ใช้”
บทความนี้ LinkedIn ถูกกล่าวหาว่าสแกนเบราว์เซอร์อย่างลับๆ ข้อมูลความเป็นส่วนตัวของผู้ใช้ 400 ล้านรายอาจรั่วไหล ปรากฏครั้งแรกใน 鏈新聞 ABMedia
