By: nuntawat 
on 24 October 2010 - 20:27
Tags:
Topics:
สำนักข่าวรอยเตอร์รายงานว่า นอกจากรถเก็บข้อมูลทำบริการ Street View ของกูเกิลจะเผลอดักจับข้อมูลผู้ใช้ระหว่างเก็บข้อมูลเครือข่าย Wi-Fi แล้ว กูเกิลยังยอมรับว่าเผลอดักจับอีเมล URL เว็บไซต์ และกระทั่งรหัสผ่านอีกด้วย
รายงานก่อนหน้านี้ไม่ได้ให้ความสนใจในประเด็นนี้ และบางประเทศอย่างสหราชอาณาจักรก็ยอมให้กูเกิลลบข้อมูลเหล่านั้นทิ้งไปโดยที่ไม่ได้ดำเนินการทางกฎหมายแต่อย่างไร แต่กระนั้นกรรมมาธิการที่ดูแลด้านสิทธิส่วนบุคคลของแคนาดายังคงสืบสวนหาข้อเท็จจริงในฐานะที่กูเกิลได้ละเมิดกฎหมายว่าด้วยสิทธิส่วนบุคคลต่อไป
ที่มา: สำนักข่าวรอยเตอร์ ผ่าน Neowin.net
Get latest news from Blognone
Follow @twitterapi
Comments
เห็นว่า Street View ก็จะเปิดตัวในไทยเหมือนกัน แต่ยังไม่มีกำหนดชัดเจนว่าเมื่อไร
ปีหน้าครับ
ไว้รถมันมาเมื่อใหร่ เรียกด้วยนะครับ จะเอาป้าย blognone แปะรถแล้วขับตาม
ให้เห็นมันทุก shot เลย ฮ่าๆ
lewcpe.com, @wasonliw
ไปคุยกับพี่อ้อเลยยยย
เอา LOGO ไปแปะสก๊อตเทปหน้าเลนส์เลยดีกว่ามั้ยครับ
ว้าว ไอเดียเจ๋ง รับขับรถตามแล้วคิดค่าโฆษณานี่คงได้ราคางามมากๆ
พยายามเข้าใจว่าเขาไม่ตั้งใจ แต่ยังไงๆก็นึกถึงคำนี้ Don't be evil
Evil มันเล็กไปไงครับ ไม่เป็นหรอก เสียเว
Be Devil ดีกว่า บิ๊กบึ้มดี :P
Be Satan
May the Force Close be with you. || @nuttyi
มันคือ Sniffer เคลื่อนที่นี่เอง = ="
หุๆ เรื่องแบบนี้เผลอได้ด้วยเหรอ
แก้วรรณยุกต์เล็กน้อยครับ "แต่กระนั่นกรรมมาธิการ" แก้เป็นกระนั้นครับ
โอ้ว!! โชว์เกรียนอีกแล้ว Google
เริ่มจะทำตัวแบบรัฐบาลของประเทศตัวเองจริง ๆ ปากบอกปาว ๆ ให้คนอื่นเช่น จีน อย่าละเมิดสิทธิส่วนบุคคล แต่ลับหลังกลับทำซะเอง แบบว่า ใครไม่รู้ไม่เป็นไร รู้แล้วก็ยอมรับผิด แต่ก็ไม่ดำเนินการใด ๆ อีกเช่นกัน
+10
ถ้าเป็นลูกหนี้ก็เข้าข่าย "ไม่มี ไม่หนี ไม่จ่าย"
ใช่เลยครับ ในกรณีบอก Don't be evil ก็หมายถึงจะ evil เองสินะ
ถ้า Street View มันเดินดูได้เลย ไม่ต้อง Zoom in , out , in ไปๆมา อยู่นั่นจะดีกว่านี้มาก
เชื่อเค้าเลย
War Driving นี่เอง
ผมเดาว่าเรื่องมันคือ ตัวรถที่ใช้ทำ Street View มัน capture ข้อมูลทั้งที่ผ่านเข้า WiFi card ในโหมด promiscuous (sniffer mode) ลงในดิสก์ แถมยังบันทึกพิกัด GPS ของรถควบคู่กันไป อาจจะตั้งใจบันทึกลงดิสก์ไว้เพื่อใช้ภายหลัง ซึ่งเมื่อรถกลับมา เอาไฟล์ข้อมูลพวกนี้ เค้าสามารถเอามารันซอฟท์แวร์ เพื่อถอดหา MAC address ของ SSID (ที่คุ้ยได้จาก package ที่ดักได้ผ่าน WiFi) เมื่อได้ MAC แล้วก็เอาเวลาที่รถพบ MAC นี้ไปอ่านคู่กับ GPS log ของรถที่บันทึกไว้ เพื่อคำนวณหาพิกัด GPS ของรถ ณ ขณะนั้นๆ เพื่อล็อกพิกัด แล้วนำข้อมูล MAC กับ GPS ไปใช้งานต่อ
เรื่องของเรื่องคือวิธีนี้มันมีช่องว่างอยู่ เพราะมีโอกาสเป็นไปได้ว่า มันอาจจะดักข้อมูลช่วงที่คนใช้กำลังล็อคอินแบบไม่ใช้ SSL เข้าหน้าพอดี ซึ่งก็จะได้ทั้ง GET/POST data ทั้งยวง ซึ่งก็จะได้ทั้ง URL, ชื่อผู้ใช้ รวมไปถึงรหัสผ่าน ซึ่งถ้าไม่ใช่ SSL ตัวรหัสผ่านก็ส่งมาแบบ clear text ชนิดแบบไม่ต้องเดากันเลยล่ะ
เสริมกับการที่ไม่มีการควบคุมการเข้าใช้งานไฟล์ เพราะคิดว่ามันไม่สลักสำคัญอะไร เลยทำให้ฝ่าย security audit โวยวายได้
ผมว่า ถ้าจะให้แก้ที่ต้นเหตุ ก็คงทำได้ โดยพัฒนาระบบเพิ่ม ต้องเอาซอฟท์แวร์ไปรันแบบ real-time ที่ในรถ แต่มันจะโหดไปมาก (overkill สุดๆ)
แต่ข้อเตือนใจที่ได้ คือ ฝั่งผู้เจ้าของ WiFi access point อย่าได้เปิดแบบ non-encryption แถมน่าจะเป็น WPA เป็นอย่างน้อย เพราะถ้าแค่รถขับผ่าน ไม่น่าจะดักแพ็คเก็จได้มากพอจะถอดรหัส WPA ได้ (ถ้ารถติดๆแบบบ้านเรา ก็ไม่ต้องคิด T_T ได้จนหมดไส้หมดพุง) อีกทั้งถ้ามีผู้ประสงค์ร้ายแอบใช้ access point ทำเรื่องผิดกฎหมายผ่านโครงข่ายบ้านคุณ เจ้าบ้านที่ปล่อยสัญญาณ WiFi นี่จะซวยได้ง่ายๆ อย่างที่เคยได้ยินคดีที่เยอรมันทำนองนี้ เจ้าของบ้านใช้ WiFi Access Point แบบ vanilla โดนซะหัวโตเลย
ผมสงสัยเหมือนกันว่าถ้ารันเป็น scan mode มันจะต่างกับ promiscuous mode ยังไงบ้าง เพราะถ้าต้องการแค่ ssid/mac เนี่ยรัน scan mode มันก็เพียงพออยู่แล้วนะครับ
แล้วเค้าไม่คิดจะสงสัยกับข้อมูลปริมาณมหาศาล ที่มากกว่าที่ควรจะเป็นตั้งหลายเท่าบ้างเหรอครับ?
รหัสผ่านนี่เก็บไปยังไงอะ?
รหัสผ่านมันไม่ควรถูกเข้ารหัสอยู่แล้วหรอ?
แบบนี้ไม่ต้องกูเกิลละ ใครก็ได้ละมั้ง= ='
May the Force Close be with you. || @nuttyi
คนใช้ http (ไม่มี s) มีเยอะแยะมากครับ
เก็บได้ก็ลบได้นินา
เก็บได้ก็สำเนา ?
ดูง่ายไปหน่อยคับ
ง่ายยังไงครับ...
พูดง่าย ๆ คือมันดูไม่มีความรับผิดชอบไงครับ เพราะเราไม่อาจรู้ได้เลยว่าหลังจากนั้นข้อมูลจะถูกใครเอาไปทำอะไรบ้าง
จริง ๆ ไม่ควรจะเก็บข้อมูลพวกนี้มาตั้งแต่แรกแล้ว
เห็นด้วยกับ reply ข้างบนครับ
สมมุติถ้าคุณทำการค้าแข่งกับกูเกิลอยู่ล่ะครับ จะรู้ได้ไงว่าเค้าไม่แอบดูข้อมูลก่อนลบครับ
แล้วจะให้กูเกิลเก็บทำไมล่ะครับ
การที่เจ้าของทรัพย์หละหลวมเรื่องการรักษาความปลอดภัยไม่ได้หมายความว่าคนอื่นจะมีสิทธิ์ขโมยนะครับ
สมมติว่าคุณเป็นเจ้าของร้านหนังสือแล้วหนังสือในร้านถูกขโมย แสดงว่าหัวขโมยไม่ผิดใช่มั้ยครับ เพราะขโมยคงอ้างได้ว่า "แล้วจะวางหนังสือไว้บนชั้นให้ขโมยทำไม"
แล้วถ้าขโมยถูกจับได้ การต่อรองว่าจะเอาหนังสือไปคืนร้านก็ไม่ได้ทำให้ความผิดหมดไปอยู่ดี ;-)
อ่านข่าวดี ๆ ครับ
"Street View ของกูเกิลจะ เผลอดักจับข้อมูล ผู้ใช้ระหว่างเก็บข้อมูลเครือข่าย Wi-Fi แล้ว กูเกิลยังยอมรับว่าเผลอดักจับอีเมล URL เว็บไซต์ และกระทั่งรหัสผ่านอีกด้วย
ผมไม่ได้ตั้งใจให้เค้าเก็บครับ เค้าเก็บไปเอง คราวนี้หลังจากเก็บไปแล้ว เค้าอาจจะบอกว่าลบทิ้ง โดยที่ลบไปเฉย ๆ เปิดอ่านก่อนลบ สำเนาก่อนลบ เราก็ไม่ทราบกันใช่มั้ยครับ
แต่ผมคิดแล้ว มันไม่เผลอแน่ๆครับ ถึงขั้นจงใจเก็บเลย โปรแกรมและซอฟท์แวร์มันไม่มีเจตนาด้วยตัวเองนะครับ ต้องมีคนคิดและเขียนให้
แต่จะมีเจตนาจะนำไปใช้งานด้านการเจาะระบบ/ล้วงความลับ/ละเมิดสิทธิ์ส่วนบุคคลรึเปล่า โดยส่วนตัว น่าจะไม่
รับทราบคับ (^^)
อยากให้ Street View ทำได้เหมือนหนังเรื่อง DejaVu
มาเมื่อไหร่ก็ ปิด wifi กันนะครับ :D
ชักจะ evil
ยิ่งอ่านก็ยิ่งรู้สึกแปลกๆ(และรู้สึกอันตราย)
เหมือนว่ามันเป็นข่าวเพราะ google
แต่อาจมีคนอื่นเก็บมานานแล้วและไม่เป็นข่าว
ดูอันตรายชอบกล
May the Force Close be with you. || @nuttyi
รู้สักจะเริ่มอันตรายมากขึ้นแล้วแหะ google
เมื่อก่อนยังเฉยๆอยู่ ตอนนี้เริ่มกลัว มันเก็บอะไรของเราไปแล้วมั้งเนี่ย