พบว่าแอป 3rd Party กว่า 64% มีการเข้าถึงข้อมูลต่าง ๆ อย่างไม่สมควร

นักวิจัยพบว่าแอป 3rd Party กว่า 64% มีการเข้าถึงข้อมูลต่าง ๆ อย่างไม่สมควร

แอปพลิเคชันที่เกี่ยวข้องกับการใช้แพลตฟอร์มต่าง ๆ ที่เจ้าของแพลตฟอร์มไม่ได้พัฒนาเอง หรือที่เรียกว่า แอปพลิเคชันแบบ 3rd Party นั้น อาจจะสร้างความสะดวกในการใช้งานแพลตฟอร์มให้กับผู้ใช้งาน แต่ก็มักจะมีมาตรฐานด้านความปลอดภัยที่ยังคงเป็นคำถามอยู่ ดั่งเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงรายงานจาก Reflectiz บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ทำการปล่อยงานวิจัยที่มีชื่อว่า The State of Web Exposure 2026 โดยเป็นการวิจัยถึงความเสี่ยงในการรั่วไหลของข้อมูลจากการใช้งานแอปพลิเคชัน หรือ สคริปท์ แบบ 3rd party จากเว็บไซต์ชั้นนำมากถึง 4,700 เว็บไซต์ด้วยการใช้เกณฑ์การวัดด้านการรั่วไหลของข้อมูล (Exposure Rating) ที่ถูกออกแบบโดยทางทีมวิจัยเอง ร่วมกันกับการวิเคราะห์ปัจจัยความเสี่ยงในจุดต่าง ๆ แหล่งข้อมูล (Data Points) ที่มาจากการสแกนเว็บไซต์มากกว่าหนึ่งล้านเว็บไซต์ และการตอบแบบสอบถามโดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์มากกว่า 120 แบบสอบถาม จากวงการต่าง ๆ โดยครอบคลุมอุตสาหกรรมด้านสุขภาพ, การเงิน, และการค้าปลีก ซึ่งสามารถสรุปการตรวจสอบได้ดังนี้

64% ของแอปพลิเคชันแบบ 3rd Party ที่ทางเว็บไซต์ใช้มีการเข้าถึงข้อมูลอ่อนไหวต่าง ๆ อย่างที่ไม่สมควรจะเข้าถึง ซึ่งสูงขึ้นกว่าปี ค.ศ. 2024 (พ.ศ. 2567) ที่ตรวจพบเพียง 51%

ถึงกระนั้นกว่า 61% ของเว็บไซต์ต่าง ๆ ก็ยังคงพิจารณาการใช้งานเครื่องมืออยู่ หรือยังคงใช้งานเครื่องมือเดิมต่อไป

การโจมตีเว็บไซต์มากถึง 43% เกิดขึ้นจากเครื่องมือที่ทางทีมการตลาดใช้งาน เปิดช่องให้นำไปสู่การโจมตีเว็บไซต์ได้ เมื่อเทียบกับทีมไอทีที่สร้างความเสี่ยงเพียง 19% เท่านั้น

กว่า 47% ของแอปพลิเคชันที่ทีมการตลาดใช้ มีการเก็บข้อมูลจากในส่วนของการชำระเงิน (Payment) โดยเหตุอันควร (Unjustify) ซึ่งสามารถนำไปสู่การรั่วไหลของข้อมูลด้านการเงิน

มีการตรวจพบว่าระบบเก็บข้อมูลแบบ Pixel นั้น Facebook Pixel เป็นสิ่งที่ทีมงานการตลาดใช้มากถึง 53.2% หรือมากกว่า 2.5 ล้านเว็บไซต์ ซึ่งเรียกว่าได้ว่ามีความเสี่ยงมาก แต่ความเสี่ยงนั้นไม่ได้มาจากตัวเครื่องมือโดยตรง แต่มาจากการให้สิทธิ์ที่สูงอย่าง "Full DOM Access" และ "Automatic Advanced Matching" ให้กับตัวเครื่องมืออย่างขาดการควบคุม กว่าเว็บไซต์ที่ใช้งาน Polyfill ที่เคยมีปัญหาด้านการรั่วไหลของข้อมูลที่มีผู้ใช้งานเพียง 100 เว็บไซต์ต่อสัปดาห์ มากกว่า 5 เท่าตัว

นอกจากนั้นยังพบสิ่งที่น่าสนใจคือ แอปพลิเคชันที่ถูกใช้งานบนเว็บไซต์ของอุตสาหกรรมด้านสุขภาพ เช่น กลุ่มโรงพยาบาล เฉลี่ย 2.5 แอปพลิเคชัน นั้นสามารถเข้าถึงข้อมูลลับด้านสุขภาพของคนไข้ หรือ Protected Health Information (PHI/PII) ได้โดยไม่ได้รับอนุญาต

กว่า 81 % เห็นพ้องว่าการโจมตีเว็บไซต์นั้นเป็นปัญหาหลักที่ต้องได้รับการป้องกัน แก้ไขโดยด่วน แต่มีเพียง 39% เท่านั้นที่ได้ทำการดำเนินการแล้ว

ปัญหานั้นเนื่องมาจากงบประมาณไม่เพียงพอมากถึง 34%, การตรวจสอบภายใน (Regulation) ที่ทำให้ดำเนินการไม่ได้ที่ 32%, และบุคลากรผู้เชี่ยวชาญไม่เพียงพอ ที่ 31%

เว็บไซต์ในกลุ่มอุตสาหกรรมการศึกษาถูกแฮกสูงสุดมากกว่า 14.3% เมื่อเปรียบเทียบกับปี ค.ศ. 2024 (พ.ศ. 2567) ที่พบเพียง 3.75% เรียกว่า มากกว่าถึง 4 เท่าตัวเลยทีเดียว ขณะที่เว็บไซต์ของหน่วยงานรัฐพบการโจมตีที่เพิ่มขึ้นจาก 2% ในปี ค.ศ. 2024 (พ.ศ. 2567) พุ่งมาเป็น 12% ณ ช่วงเวลาของการวิจัย 

นอกจากนั้นรายงานยังมีข้อมูลเชิงเทคนิคที่มีความน่าสนใจอยู่อีกมากมาย ซึ่งผู้อ่านทุกท่านสามารถดาวน์โหลดได้จากเว็บไซต์ของบริษัทผู้ทำงานวิจัยนี้ได้โดยตรงเพื่อศึกษาเพิ่มเติม