โปแลนด์สั่งปรับโรงเรียนตามกฎหมาย GDPR จากการใช้ไบโอเมตริกตรวจสอบสิทธิ์ในการรับอาหารของนักเรียน

Loading

ภาพโดย MichaelGaida/Pixabay โรงเรียนในประเทศโปแลนด์ถูกทางการสั่งปรับเป็นเงิน 20,000 zloty (หน่วยเงินของโปแลนด์ คิดเป็นเงินไทยราว 166,000 บาท) ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรปหรือ GDPR หลังจากทางโรงเรียนประมวลผลข้อมูลลายนิ้วมือของนักเรียนเพื่อตรวจสอบการจ่ายเงินค่าอาหารกลางวัน Jan Nowak ประธานของ UODO หน่วยงานด้านการปกป้องข้อมูลส่วนตัวในโปแลนด์ระบุว่าทางโรงเรียนได้ประมวลผลลายนิ้วมือของเด็กนับร้อยคนโดยไม่มีมาตรฐานตามกฎหมาย ซึ่งโรงเรียนมีทางเลือกมากมายในการจัดการอาหารของโรงเรียนที่ไม่จำเป็นต้องใช้ลายนิ้วมือ UODO ระบุว่า โรงเรียนแห่งนี้ใช้เครื่องอ่านไบโอเมตริกตรวจสอบนักเรียนที่ทางเข้าโรงอาหารมาตั้งแต่ปี 2015 เพื่อตรวจสอบสิทธิ์การรับอาหารของนักเรียน โดยถ้านักเรียนปฏิเสธที่จะใช้ไบโอเมตริกจะต้องไปต่อท้ายแถว และต้องรอจนกว่าเด็กที่ใช้ไบโอเมตริกจะเข้าโรงอาหารจนหมดก่อนเด็กที่ไม่ใช้จึงจะเข้าได้ ซึ่งประธาน UODO ให้ความเห็นว่ากฎเหล่านี้สร้างการปฏิบัติอย่างไม่เท่าเทียมต่อเด็กและสร้างความแตกต่างอย่างไม่มีเหตุผล แม้ว่าโครงการไบโอเมตริกของโรงเรียนแห่งนี้จะมีคำยินยอมจากผู้ปกครองก็ตาม แต่ UODO พบว่าตามวัตถุประสงค์คือการระบุสิทธิ์ในการรับอาหารกลางวันของนักเรียน ก็ไม่ได้มีความจำเป็นต้องใช้ไบโอเมตริก รวมถึง GDPR ระบุไว้ชัดเจนตาม Retical 38 ว่าข้อมูลส่วนบุคคลของเด็กต้องได้รับการปกป้องเป็นพิเศษเนื่องจากเด็กไม่สามารถตระหนักถึงความเสี่ยงและสิทธิในข้อมูลของตนเอง และไบโอเมตริกก็คือข้อมูลเฉพาะตัวตนที่เปลี่ยนแปลงไม่ได้ หากหลุดออกไปจะถือเป็นความเสี่ยงขั้นรุนแรงต่อเสรีภาพของบุคคลนั้น ๆ ————————————————— ที่มา : Blognone / 7 มีนาคม 2563 Link : https://www.blognone.com/node/115049

Cathay Pacific โดนปรับกว่า 20 ล้านบาทจากเหตุทำข้อมูลลูกค้ารั่ว

Loading

Credit: CathayPacific.com สายการบิน Cathay Pacific ถูกสั่งปรับเป็นเงิน £500,000 (ราว 20 ล้านบาท) จากเหตุความล้มเหลวในการปกป้องข้อมูลส่วนบุคคลของลูกค้าให้มั่นคงปลอดภัยในช่วงปี 2014 – 2018 ส่งผลให้ข้อมูลเกือบ 10 ล้านรายการรั่วไหลสู่ภายนอก Information Commissioner’s Office (ICO) ระบุว่า ช่วงระหว่างเดือนตุลาคม 2014 ถึงเดือนพฤษภาคม 2018 ที่ผ่านมา ระบบคอมพิวเตอร์ของสายการบิน Cathay Pacific ขาดมาตรการควบคุมด้านความมั่นคงปลอดภัยที่เหมาะสม ส่งผลให้ข้อมูลส่วนบุคคลของลูกค้าซึ่งประกอบด้วย ชื่อ พาสปอร์ต วันเกิด อีเมล เบอร์โทรศัพท์ ข้อมูลการเดินทาง และอื่นๆ จากลูกค้าในสหราชอาณาจักร 111,578 ราย และประเทศอื่นๆ ทั่วโลกราว 9,400,000 รายถูกเข้าถึงโดยมิชอบจากบุคคลภายนอก ICO ยังระบุอีกว่า การโจมตีเกิดขึ้นเนื่องจากข้อมููลสำรอง (Backups) ไม่มีการใส่รหัสผ่านหรือเข้ารหัสไว้ เซิร์ฟเวอร์ที่เชื่อมต่อจากอินเทอร์เน็ตก็ไม่มีการแพตช์ช่องโหว่ มีการใช้ระบบปฏิบัติการที่ไม่มีการซัพพอร์ต การใช้แอนตี้ไวรัสไม่เหมาะสม รวมไปถึงการอนุญาตให้เข้าถึงระบบจากภายนอกได้โดยไม่มีการพิสูจน์ตัวตนแบบ…

Apple สั่งบล็อก “Clearview AI” ฐานละเมิดกฎซอฟต์แวร์

Loading

เขียนโดย :   Talil เมื่อไม่กี่วันมานี้ Apple ได้มีการประกาศสั่งบล็อกแอปฯ ‘Clearview AI’ เทคโนโลยีจดจำใบหน้า เพราะละเมิดกฎโปรแกรมซอฟต์แวร์ของบริษัท โดย Clearview AI ที่ให้บริการแอปฯ เฉพาะเจ้าหน้าที่ผู้บังคับใช้กฎหมาย รวมถึงองค์กรบางรายเท่านั้น เช่น Macy’s, Walmart และ Wells Fargo ได้ใช้ใบรับรองระดับองค์กรทำให้ผู้ใช้สามารถติดตั้งซอฟต์แวร์ได้โดยไม่ผ่าน App Store โดยทำผิดกฎของ Apple ที่จำกัดให้ผู้ใช้เข้าถึงซอฟต์แวร์เฉพาะบุคคลภายในองค์กรที่กำหนดเท่านั้น ขณะที่ปกติแล้วเทคโนโลยีการจดจำใบหน้าขั้นสูงของ Clearview AI ผู้ใช้ iPhone ทั่วไปจะเข้าถึงไม่ได้ แต่ลองนึกภาพว่าเราเดินอยู่ในที่สาธารณะ และมีคนแปลกหน้าเดินสวนกับคุณ จนกระทั่งเขาหยิบโทรศัพท์มือถือขึ้นมาถ่ายรูปคุณ ก่อนจะอัพโหลดรูปนั้นลงในแอปฯ เพื่อให้แมตช์กับฐานข้อมูล จนสามารถพบข้อมูลของคุณบนสื่อโซเชียลมีเดีย พบแอคเคาท์  Facebook , instagram หรืออื่นๆ จากนั้นตามด้วยชื่อจริง ที่อยู่ ซึ่งหลังจากนั้นมันจะเป็นอย่างไรต่อ ? แน่นอนว่ามันคือหายนะ เพราะนั่นอาจหมายถึงอันตรายที่จะเกิดขึ้นตามมาในภายหลัง “เพื่อความปลอดภัย” หรือ “รุกล้ำความเป็นส่วนตัว” สำหรับ ‘Clearview AI’ เป็นเทคโนโลยีจดจำใบหน้าที่ถูกพัฒนาโดยบริษัทสตาร์ทอัพเล็กๆ ในสหรัฐอเมริกา ก่อตั้งโดย “ฮอน ทอน-แทต” หนุ่มหน้าตาดี อดีตนายแบบเชื้อสายเวียดนาม ซึ่งได้รับเงินทุนจากอภิมหาเศรษฐีคนหนึ่งในสหรัฐอเมริกา…

เทคโนโลยีจดจำใบหน้า ละเมิดสิทธิส่วนบุคคลหรือไม่

Loading

จากความก้าวหน้าทางด้านเทคโนโลยีในโลกปัจจุบัน ทำให้เกิดเทคโนโลยีหนึ่ง ก็คือ การจดจำใบหน้า แม้ภาครัฐอ้างว่าจะใช้เพื่อป้องกันภัยจากการก่อการร้ายหรืออาชญากรรม แต่ประชาชนกลับมองว่านี้อาจลิดรอนสิทธิขั้นพื้นฐานของตัวเอง เพระาไม่สามารถตรวจสอบการเข้าถึงได้ รัฐนำความก้าวหน้าทางเทคโนโลยีในโลกปัจจุบันมาใช้ โดยอ้างว่าเพื่อปกป้องและป้องกันภัยจากการก่อการร้ายและอาชญากรที่พัฒนาขึ้นทุกวัน แต่ประชาชนทั่วไปรู้สึกว่า สิทธิขั้นพื้นฐานของพวกเขากำลังถูกลิดรอน เพราะไม่สามารถตรวจสอบหน่วยงานรัฐได้ว่าเข้าถึงข้อมูลส่วนตัวมากน้อยเพียงใด โปรแกรมหนึ่งที่กำลังถูกพูดถึงคือ โปรแกรมจดจำใบหน้า หรือ face-recognition technology ซึ่งหน่วยงานความมั่นคงนำมาใช้เพื่อช่วยให้สืบหาตัวคนร้ายได้รวดเร็วฉับไวมากยิ่งขึ้น ทางการของเกาะฮ่องกง นำเทคโนโลยีนี้มาใช้กับกลุ่มผู้ประท้วง เพื่อหาทางจัดการทางกฎหมายกับผู้ประท้วงที่ฮ่องกง เริ่มมาตั้งแต่ประมาณเดือนมีนาคม 2562 ในช่วงแรกการชุมนุมเป็นไปอย่างสงบ ก่อนที่เหตุการณ์จะเริ่มรุนแรงในเวลาต่อมา หลายต่อหลายครั้งทำให้เกิดการปะทะกันระหว่างผู้ชุมนุมและตำรวจ ต้นตอเริ่มแรกของการประท้วงมาจากความไม่พอใจร่างกฎหมายส่งผู้ร้ายข้ามแดน ซึ่งผู้ชุมนุมมองว่า รัฐบาลจีน กำลังแทรกแซงสิทธิเสรีภาพของชาวฮ่องกง การประท้วงยืดเยื้อข้ามปี เพราะผู้ประท้วงต้องการเรียกร้องสิทธิในการออกเสียงเลือกตั้งทั่วไป โดยระบุว่ารัฐบาลฮ่องกงไม่ได้ทำตามคำมั่นสัญญาเกี่ยวกับสิทธิดังกล่าว นับตั้งแต่จีนได้เข้าปกครองฮ่องกงในปี 2540 ว่ากันว่า ตอนนี้ทั้งสองฝ่ายพยายามยั่วยุกัน โดยทางการฮ่องกงเชื่อว่า หากปล่อยให้มีการประท้วงต่อไปเรื่อยๆ ผู้ประท้วงเองจะเลิกราไปเอง ส่วนผู้ประท้วงก็พยายามยั่วยุ เพื่อให้ทางการหมดความอดทน ครั้งหนึ่งมีการเผยแพร่ภาพหนึ่งในโลกออนไลน์ที่เข้าใจว่า เป็นภาพของผู้ประท้วงชาวฮ่องกงคาดศีรษะด้วยอุปกรณ์ดิจิทัล ประกอบด้วยจอโปรเจ็คเตอร์ ซึ่งจะฉายเป็นภาพบุคคลอื่นบนใบหน้าของคนๆ นั้น เพื่อพรางตัวไม่ให้โปรแกรมจดจำใบหน้าจำได้ แต่ต่อมามีการเปิดเผยว่า ภาพดังกล่าวนั้นเป็นส่วนหนึ่งของโครงการที่คิดค้นโดย จิง ไซ หลิว นักศึกษาของ Utrecht School of the Arts…

เอกสารหลุดเผย Avast Free Antivirus เก็บข้อมูลผู้ใช้ขายให้บริษัทโฆษณา เสี่ยงละเมิดความเป็นส่วนตัว

Loading

เมื่อวันที่ 27 มกราคม 2563 สำนักข่าว Motherboard ร่วมกับ PCMag ได้เผยแพร่รายงานผลการสืบสวนกรณีโปรแกรมแอนติไวรัสของบริษัท Avast เก็บข้อมูลของผู้ใช้แล้วนำไปขายต่อให้กับบริษัทอื่น ข้อมูลหลายอย่างที่ถูกเก็บไปขาย (เช่น ประวัติการเข้าชมเว็บไซต์หรือประวัติการซื้อสินค้าผ่านอินเทอร์เน็ต) อาจละเมิดความเป็นส่วนตัวของผู้ใช้งาน ทาง Motherboard และ PCMag พบเอกสารหลุดที่ระบุว่า Avast มีบริษัทลูกชื่อ Jumpshot เพื่อขายข้อมูลผู้ใช้ให้กับบริษัทขนาดใหญ่หลายราย ถึงแม้ในเอกสารจะระบุว่าทาง Avast นั้นเก็บเฉพาะข้อมูลจากผู้ใช้ที่เลือก opt-in (ยินยอมให้เก็บข้อมูลการใช้งานได้) แต่ผู้ใช้จำนวนหนึ่งก็บอกว่าไม่เคยทราบว่ามีการแจ้งขอความยินยอมในเรื่องนี้ จากรายงาน ตัวอย่างข้อมูลที่ถูกเก็บไปขาย เช่น ประวัติการค้นหาใน Google และ Google Maps, คลิปที่เข้าชมผ่าน YouTube, รวมถึงประวัติการเข้าชมเว็บไซต์ที่มีเนื้อหาสำหรับผู้ใหญ่ ซึ่งในกรณีหลังนั้นมีการเก็บประวัติข้อความที่ค้นหาและประเภทวิดีโอที่รับชมด้วย ถึงแม้ในบรรดาข้อมูลที่ถูกเก็บไปนั้นจะถูกทำให้เป็นนิรนาม (anonymization) เช่น ไม่มีข้อมูลที่สามารถใช้ระบุตัวบุคคลได้ชัดเจน แต่ผู้เชี่ยวชาญก็วิเคราะห์ว่าทาง Jumpshot ยังจัดการกับข้อมูลได้ไม่ดีพอ จึงไม่ใช่เรื่องยากที่จะตรวจสอบย้อนกลับเพื่อระบุตัวตนเจ้าของข้อมูลดังกล่าวได้ ไทยเซิร์ตได้ทดลองติดตั้งโปรแกรม Avast Free Antivirus เวอร์ชัน…

Travelex ถูกแฮกเกอร์โจมตีระบบคอมพิวเตอร์ เรียกค่าไถ่ 3 ล้านดอลลาร์สหรัฐ

Loading

Travelex บริษัทรับแลกเปลี่ยนเงินตราต่างประเทศของสหราชอาณาจักรถูกแฮกเกอร์โจมตีเมื่อ 1 สัปดาห์ก่อนทำให้บริษัทต้องถอดเว็บออก ตอนนี้พนักงานต้องเขียนใบเสร็จรับเงินด้วยมือแทนที่จะทำด้วยคอมพิวเตอร์ Travelex ตั้งอยู่ที่กรุงลอนดอน สหราชอาณาจักร มีสาขามากกว่า 1,200 แห่งทั่วโลก มีการแลกเงินมากกว่า 5,000 สกุลเงินทุกชั่วโมง เมื่อวันที่ 31 ธันวาคม 2019 แฮกเกอร์เรียกเงินค่าไถ่ 3 ล้านดอลลาร์สหรัฐเพื่อให้บริษัทเข้าถึงระบบคอมพิวเตอร์ของตนเองได้ หลังจากที่แฮกเกอร์โจมตีระบบโดยใช้แรมซอมแวร์ Sodinokibi แฮกเกอร์ขู่ว่าจะปล่อยข้อมูลส่วนตัวของลูกค้าที่มีทั้งเลขประกันสังคม วันเกิดและข้อมูลการจ่ายบัตรเครดิต รวม 5 กิกะไบต์ ถ้าบริษัทไม่ยอมจ่ายค่าไถ่ เว็บไซต์ให้บริการแลกเงินของ Travelex ปิดมาแล้ว 1 สัปดาห์ ลูกค้าจะเจอข้อความว่า “ระบบออนไลน์ปิดบริการ เนื่องจากการปรับปรุงระบบตามแผน ระบบจะกลับมาดำเนินการตามปกติได้ในเร็วๆ นี้” ส่วนบนเว็บไซต์ของสำนักงานเองขึ้นข้อความว่า “เว็บไซต์นี้ไม่สามารถใช้งานได้ชั่วคราว ระหว่างที่เรากำลังปรับปรุงบริการเพื่อคุณ” ขณะที่บริษัทยังคงให้บริการแลกเงินที่สาขาอยู่ เรื่องนี้ทำให้ธนาคารต่างๆ ที่ใช้บริการของ Travelex ต้องหยุดใช้งานแลกเปลี่ยนออนไลน์ Travelex เปิดเผยว่าถูกโจมตีเมื่อวันที่ 2 มกราคม ตอนที่มั่นใจว่า ไม่มีข้อมูลของลูกค้ารายใดรั่วไหล บริษัทใช้ผู้เชี่ยวชาญไอทีและผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ใ้ห้พยายามแยกไวรัสและนำระบบที่ติดไวรัสออกมา แต่ยังไม่สามารถเข้าถึงและจัดการกับแฮกเกอร์ได้…