แอพของพรรคอนุรักษ์นิยมอังกฤษเปิดให้ล็อกอินเป็นใครก็ได้ โดยใช้แค่อีเมล ไม่ต้องใส่รหัสผ่าน

2018-09-30

พรรคอนุรักษ์นิยมของสหราชอาณาจักรมีแอพบนมือถือสำหรับอำนวยความสะดวกในการประชุมใหญ่ของพรรคชื่อว่า Conservative Party Conference แต่มีรายงานว่าแอพนี้มีช่องโหว่ที่อันตรายมาก คือกดปุ่ม Attendees และใช้เพียงอีเมลแอดเดรสเป็นข้อมูลทำการล็อกอิน ก็เห็นข้อมูลของสำคัญของผู้เข้าร่วมการประชุมคนอื่น ๆ ได้ทันที หรือจะแก้ข้อมูลยังได้ แม้ว่าจะเป็นข้อมูลของนักการเมืองคนสำคัญก็ตาม

ยกตัวอย่างเช่น Dawn Foster คอลัมนิสต์ของ The Guardian ทวีตบอกว่าเธอสามารถล็อกอินเป็น Boris Johnson ได้โดยใช้เพียงอีเมลแอดเดรส ไม่ต้องใช้การส่งลิงก์ยืนยันตัวตนผ่านทางอีเมลใด ๆ ทั้งสิ้น ดังนั้นช่องโหว่นี้ทำให้เห็นเบอร์โทรศัพท์ของนักข่าว, นักการเมือง และผู้เข้าร่วมงานทุกคนได้ทันที แถมยังโพสต์คอมเมนท์เป็นบุคคลผู้นั้นได้อีกด้วย

นอกจากนี้ การล็อกอินยังเปิดให้ใครแก้ไขข้อมูลคนอื่นก็ได้ตามใจชอบด้วย ซึ่งมีคนรายงานว่า Michael Gove ถูกเปลี่ยนภาพเป็น Rupert Murdoch มาแล้ว

หลังเกิดเรื่องนี้ขึ้น CrowdComms บริษัทออสเตรเลียที่อยู่เบื้องหลังแอพนี้ก็ได้อัพเดตแอพและนำปุ่มนี้ออก ตอนนี้ยังไม่มีข้อมูลว่าใครเป็นคนตัดสินใจใช้ระบบล็อกอินแบบไม่ต้องมีรหัสผ่าน แต่หลายคนก็ให้ความเห็นว่าเป็นความผิดของพรรคอนุรักษ์นิยมที่ละเลยจนทำให้เกิดเรื่องขึ้นมาได้ ซึ่ง The Guardian บอกว่าในนโยบายความเป็นส่วนตัวของแอพนั้น ระบุด้วยว่าเป็นไปตาม GDPR กฎหมายด้านความเป็นส่วนตัวของยุโรป

ส่วนพรรคอนุรักษ์นิยมได้ออกมาแถลงหลังจากอัพเดตแอพ โดยบอกว่าตอนนี้ปัญหาทางเทคนิคได้ถูกแก้ไขเรียบร้อยแล้ว ซึ่งทางพรรคจะทำการสอบสวนปัญหานี้ต่อไปและขออภัยในทุกความกังวลที่เกิดขึ้น

ที่มา – The Guardian, BBC, Engadget