ESET ผู้พัฒนาซอฟต์แวร์ระบบรักษาความปลอดภัยไซเบอร์ เผยผลสำรวจภัยคุกคามทางไซเบอร์กับกลุ่มธุรกิจขนาดกลางและเล็ก หรือ ESET 2017 SMBs survey พบว่ากลุ่มธุรกิจขนาดกลางและเล็กในประเทศไทยเสี่ยงต่อการเกิดข้อมูลรั่วไหลจากการโจมตีทางไซเบอร์ในรูปแบบการเข้ารหัสมากที่สุดในภูมิภาค

ESET ส่งแบบสำรวจไปยังบริษัท 1,500 แห่ง ในจำนวนนี้มีบริษัทขนาดเล็กและกลางตอบกลับจำนวน 300 ราย กระจายอยู่ในประเทศต่างๆ คือ สิงคโปร์, ฮ่องกง, อินเดีย, ไทยและญี่ปุ่น และจากการสำรวจพบว่า ธุรกิจขนาดกลางและเล็กในประเทศไทยประสบปัญหาข้อมูลรั่วไหลสู่ระบบไซเบอร์เป็นสัดส่วนสูง 92% เผยว่าปัญหาเป็นเรื่องเกี่ยวกับการเข้ารหัส ส่วนญี่ปุ่นที่มีอัตราส่วนอยู่ที่ 72% อินเดีย 61% ฮ่องกง 57% และสิงคโปร์ 43%

ประเด็นระหว่าง FBI และ Apple ถูกจุดขึ้นมาอีกครั้ง เมื่อ FBI ไม่สามารถเข้าข้อมูลมือปืนก่อเหตุกราดยิงที่โบสถ์ในเท็กซัสเมื่อวันที่ 5 พ.ย. ที่ผ่านมา มีผู้เสียชีวิต 26 ราย อย่างไรก็ตามเจ้าหน้าที่ไม่ได้บอกว่ามือปืนใช้โทรศัพท์อะไร

Christopher Combs เจ้าหน้าที่ FBI ให้สัมภาษณ์สื่อว่า ความก้าวหน้าของเทคโนโลยีและการเข้ารหัส รวมถึงการบังคับใช้กฎหมายในระดับรัฐท้องถิ่นและระดับรัฐบาลกลาง ส่งผลให้ FBI ไม่สามารถเข้าถึงข้อมูลโทรศัพท์เพื่อการสอบสวนได้

FBI เผยตัวเลขอุปกรณ์ที่ไม่สามารถเจาะเข้าไปดูข้อมูลเพื่อการสืบสวนคดี มีจำนวน 6,900 อุปกรณ์ในช่วง 1 ปี ซึ่งมากกว่าครึ่งของอุปกรณ์ทั้งหมดที่ FBI ต้องเข้าไปสืบสวน ถือเป็นการจุดประเด็นระหว่างหน่วยงานสืบสวน กับความเป็นส่วนตัวขึ้นมาอีกครั้งหลังจากคดีก่อการร้ายที่ San Bernardino ในปี 2016

Christopher Wray ผู้อำนวยการ FBI กล่าวในงาน International Association of Chiefs of Police ว่านี่เป็นปัญหาใหญ่ต่อการสืบสวนคดีร้ายแรง ไม่ว่าจะเป็น ก่อการร้าย ยาเสพติด ค้ามนุษย์ การแสวงหาผลประโยชน์จากเด็ก เราเข้าใจว่ามันต้องมีจุดสมดุลระหว่างการเข้ารหัสเพื่อความเป็นส่วนตัว กับความต้องการรักษาสังคมให้ปลอดภัย

ทีมความปลอดภัยของ Adobe ทำผิดพลาดอย่างแรง ด้วยการโพสต์ private key ลงบนบล็อก Adobe Product Security Incident Response Team ของบริษัท

ปกติแล้วเวลาสร้างกุญแจ PGP เราจะได้ text file ที่มีคีย์ public/private วางต่อกันอยู่ในไฟล์เดียว คาดว่าทางพนักงานของ Adobe จะโพสต์เฉพาะ public key แต่เลือกคัดลอกข้อความมาทั้งไฟล์ เลยมี private key แถมมาด้วย

โชคดีว่า private key อันนี้ต้องใช้คู่กับ passphrase ทำให้มันไม่สามารถใช้งานได้ลำพัง และตัวมันเองเป็นคีย์ใหม่ที่เพิ่งถูกสร้างขึ้นเพียง 3 วัน (เพื่อใช้แทนคีย์เก่าที่หมดอายุไป) และหลังเกิดเหตุ Adobe ก็ยกเลิกคีย์ตัวนี้แล้ว

The Telegraph ระบุ การโจมตีในปีนี้ได้รับการยืนยันอีกครั้งว่าผู้ก่อการร้ายใช้แพลตฟอร์มออนไลน์เผยแพร่อุดมการณ์ของตัวเองและยังสร้างแรงบันดาลใจให้ก่อความรุนแรงด้วย

ถ้าเทียบสถิติจำนวนเหยื่อจากการก่อการร้าย พบว่า ภายใน 3 เดือน อังกฤษถูกโจมตีถึง 4 ครั้ง นับตั้งแต่ปี 1970 ถึงปัจจุบัน ถ้าเทียบจากจำนวนเหยื่อผู้เสียชีวิตส่วนใหญ่เป็นชาวไอร์แลนด์เหนือ รองลงมาคือสกอตแลนด์และอังกฤษ หากเทียบทั้งยุโรปแล้ว อังกฤษถูกโจมตีถี่ที่สุด ประชาชนเสียชีวิตมากที่สุด รองลงมาคือสเปนและฝรั่งเศส

Sheryl Sandberg ซีโอโอของ Facebook ให้สัมภาษณ์ผ่านรายการ Desert Island Disks ของ BBC เกี่ยวกับความพยายามของเจ้าหน้าที่รัฐ ตำรวจในการวิพากษ์วิจารณ์ระบบการเข้ารหัสแอพแชทว่าเป็นอุปสรรคในการสืบสวนคดีร้ายแรง โดยเฉพาะการก่อการร้าย

Sandberg โต้ความคิดดังกล่าวว่า การลดความแข็งแรงของการเข้ารหัสไม่ช่วยให้รัฐบาลสอบสวนคดีก่อการร้ายเร็วขึ้น เพราะข้อมูลที่รัฐบาลได้ไปจะน้อยกว่าที่ควรจะได้

IBM เปิดตัวคอมพิวเตอร์เมนเฟรมตระกูล Z รุ่นใหม่ (นับเป็นรุ่น z14 แล้ว) จุดเด่นคือสมรรถนะระดับสูงพอที่จะ "เข้ารหัสทุกสิ่งทุกอย่าง" ในทุกแอพพลิเคชันตลอดเวลา

IBM ระบุว่าโลกปัจจุบันจำเป็นต้องเข้ารหัสข้อมูลมากขึ้นเรื่อยๆ แต่การเข้ารหัสมีข้อจำกัดด้านประสิทธิภาพและความซับซ้อนในการจัดการ ส่งผลให้ IBM z14 พัฒนาเอนจินเข้ารหัสทั้งฮาร์ดแวร์และซอฟต์แวร์ให้มีประสิทธิภาพดีขึ้นถึง 7 เท่า (เทียบกับ z13) และคุยว่าเหนือกว่าระบบที่เป็น x86 ถึง 18 เท่า

นอกจากประสิทธิภาพเรื่องเข้ารหัสแล้ว IBM z14 ยังมีฟีเจอร์ด้านความปลอดภัย ที่ปกป้องกุญแจเข้ารหัสที่ระดับฮาร์ดแวร์ (ผ่านมาตรฐาน FIPS ของรัฐบาลสหรัฐที่ level 4)

รัฐบาลออสเตรเลียอ้างว่าเพื่อความมั่นคง ปลอดภัย ควรปล่อยให้รัฐสามารถเข้าถึงข้อมูลได้ เพราะอาจเป็นข้อมูลของกลุ่มสุดโต่ง หรือกลุ่มที่เตรียมจะก่ออาชญากรรม แม้ผู้เชี่ยวชาญจะเตือนว่า การทำให้การเข้ารหัสจากปลายทางถึงปลายทาง หรือ end-to-end encryption อ่อนแอลง จะทำให้ตำรวจสามารถดักฟังได้และอาจทำให้แฮกเกอร์โจมตีข้อมูลได้ง่ายด้วย

วุฒิสภาสหรัฐฯ ได้อนุญาตให้เจ้าหน้าที่วุฒิสภาสามารถใช้งานแอพส่งข้อความเข้ารหัส Signal ได้แล้วอย่างเป็นทางการ โดยข่าวดังกล่าวมาจากจดหมายของ Ron Wyden สมาชิกวุฒิสภาผู้สนับสนุนการเข้ารหัส ซึ่งเขาเป็นผู้หนึ่งที่เห็นคุณค่าของการใช้แอพส่งข้อความเข้ารหัสเป็นหนึ่งในสิ่งสำคัญเพื่อความปลอดภัยไซเบอร์

Wyden กล่าวว่า การเข้ารหัสที่แข็งแรงและไม่มีประตูหลังถือเป็นเทคโนโลยีความปลอดภัยไซเบอร์ที่สำคัญที่รัฐบาลควรนำมาใช้ ไม่ควรจะหาหนทางควบคุมหรือกระทำการนอกกฎหมาย

อย่างไรก็ดี วุฒิสภาถือเป็นองค์กรท้าย ๆ ขององค์กรด้านการเมืองที่เริ่มนำแอพเข้ารหัสแบบต้นทางถึงปลายทางมาใช้ ในขณะที่องค์กรด้านการเมืองอย่างรัฐบาลกลาง, หน่วยงานท้องถิ่น หรือองค์กรกลางได้นำระบบแชทมาใช้งานแล้ว

กูเกิลเปิดตัวโครงการ End-to-End สำหรับการเข้ารหัสอีเมลมาตั้งแต่ปี 2014 แม้จะเป็นโครงการโอเพนซอร์ส แต่ก็เป็นโครงการที่กูเกิลดูและให้รางวัลตามโครงการรายงานช่องโหว่ของกูเกิล ล่าสุดกูเกิลก็ประกาศว่า End-to-End จะไม่ใช่โครงการของกูเกิลอีกต่อไป

Matthew Green นักวิชาการด้านวิทยาการเข้ารหัสลับแสดงความผิดหวังที่กูเกิลปล่อยโครงการไปเช่นนี้ หลังจากโปรโมทโครงการมาในช่วงแรก

Keybase บริการแลกเปลี่ยนกุญแจเข้ารหัสประกาศบริการ Keybase Chat แชตแบบเข้ารหัสจากปลายทางถึงปลายทาง โดยสามารถส่งข้อความถึงใครก็ได้แม้ปลายทางจะยังไม่ได้ใช้ Keybase ก็ตาม ตัวซอฟต์แวร์จะรอจนกว่าปลายทางเข้ามาใช้งานแล้วส่งข้อความเข้ารหัสไปเอง

การอ้างอิงถึงปลายทางของ Keybase สามารถอ้างอิงไปยังผู้ใช้บริการต่างๆ ตั้งแต่ทวิตเตอร์, เฟซบุ๊ก, GitHub, Reddit หรือบริการอื่นๆ โดยไม่ต้องยึดติดกับหมายเลขโทรศัพท์

Keybase Chat เข้ารหัสปลายทางถึงปลายทางเสมอ แต่ไม่ได้เข้ารหัสแบบ forward secrecy ตลอดเวลา เพราะต้องการให้เก็บประวัติการแชตสำหรับข้อความทั่วไปและย้ายไปยังเครื่องอื่นได้ แต่สำหรับข้อความที่ตั้งเวลาทำลายตัวเองจะเปิด forward secrecy เสมอ

การเข้ารหัสแบบ MD5 ถือว่าไม่ปลอดภัยแล้วในยุคปัจจุบัน ล่าสุด Oracle แจ้งนโยบายใหม่ให้กับแพลตฟอร์ม Java ที่จะมองแพ็กเกจ JAR ที่เซ็นรับรอง (sign) ด้วยการเข้ารหัสแบบ MD5 ว่าไม่ปลอดภัย

แพลตฟอร์ม Java ใช้การเข้ารหัสแบบ MD5 เป็นดีฟอลต์สำหรับแพ็กเกจ JAR มาตั้งแต่ Java SE 6 ในปี 2006 แต่ตอนนี้ถึงเวลาต้องเปลี่ยนแล้ว (ค่าดีฟอลต์ปัจจุบันคือ SHA-2 ที่มาแทน SHA-1 ที่ไม่ปลอดภัยแล้วเช่นกัน)

Google Cloud Platform เปิดบริการย่อย Cloud Key Management Service (KMS) สำหรับจัดการคีย์เข้ารหัสแล้ว ช่วยให้ลูกค้าของ GCP บริหารคีย์ได้ง่ายขึ้นในกรณีต้องใช้คีย์หลายตัวบนเครื่องเดียวกัน

Cloud KMS ออกแบบมาให้จัดการคีย์ทั้งหมดได้จากระบบของ GCP เลย ไม่ต้องมีโปรแกรมจัดการคีย์แยกเองต่างหาก และสามารถใช้ร่วมกับบริการอื่นอย่าง Cloud Identity Access Management (IAM) และ Cloud Audit Logging ได้ด้วย

ก่อนหน้านี้ GCP เคยเปิดให้ลูกค้าอัพโหลดคีย์ของตัวเอง ภายใต้บริการ Customer-Supplied Encryption Keys (CSEK) แต่การเปิดตัว KMS ถือเป็นบริการร่มใหญ่ที่มาครอบ CSEK อีกชั้น และกลายเป็นบริการเต็มรูปแบบสำหรับการบริหารคีย์บน GCP

ฟีเจอร์ใหม่ที่น่าสนใจอีกอย่างของ Android 7.0 Nougat คือ Direct Boot หรือการอนุญาตให้แอพบางตัวทำงานบางอย่างได้ทันทีหลังรีบูต โดยไม่ต้องรอให้ผู้ใช้ล็อกอินเข้าระบบครั้งแรกก่อน

อุปกรณ์ Android ช่วงหลังเริ่มเข้ารหัสข้อมูลทั้งเครื่อง (full-disk encryption) เพื่อความปลอดภัยและความเป็นส่วนตัว หลังจากบูตเครื่องขึ้นมา ระบบปฏิบัติการจะไม่สามารถเข้าถึงข้อมูลของผู้ใช้ได้เลยจนกว่าผู้ใช้จะล็อกอินตอนบูตเครื่อง (คนละอย่างกับล็อกอินหน้าล็อกสกรีน) การล็อกอินของผู้ใช้จะปลดล็อคการเข้ารหัสข้อมูลในเครื่อง จากนั้นระบบปฏิบัติการและแอพต่างๆ ถึงค่อยเริ่มทำงาน

หลังจาก LINE เริ่มเปิดใช้ฟีเจอร์เข้ารหัสข้อความ Letter Sealing เมื่อเดือนกรกฎาคม 2016 วันนี้ LINE อัพเกรดเพิ่มเติมเล็กน้อย โดยแสดงไอคอนแม่กุญแจไว้ตรงชื่อห้องแชทด้วย เพื่อให้ผู้ใช้รับทราบว่าเป็นการแชทที่เข้ารหัส

ผู้ใช้ต้องอัพเดตเป็น LINE 6.5.0 และอาจต้องรออีก 2-3 วัน กว่าที่ LINE จะแสดงไอคอนแม่กุญแจให้ผู้ใช้ครบทุกคน

ฟีเจอร์ Letter Sealing จะถูกใช้เป็นค่าดีฟอลต์ แต่สามารถปิดได้ในหน้า Settings > Chats & Voice Calls

ไมโครซอฟท์ออกอัพเดต KB3151631 ยกเลิกการรองรับกระบวนการเข้ารหัส RC4 ใน IE11 และ Microsoft Edge เช่นเดียวกับ Google Chrome และไฟร์ฟอกซ์

ไมโครซอฟท์เป็นผู้เสนอให้ยกเลิกการรองรับ RC4 เองในปี 2014 โดยเสนอกระบวนการเข้า IETF ในเอกสาร RFC7465

ไมโครซอฟท์ปรับสเปกฮาร์ดแวร์ขั้นต่ำของ Windows 10 ตามเอกสาร Minimum hardware requirements โดยบังคับให้ฮาร์ดแวร์ใหม่ ต้องมีชิป TPM (Trusted Platform Module) 2.0 ฝังมาด้วย

TPM เป็นชิปช่วยเสริมระบบความปลอดภัย โดยเข้ามาช่วยเรื่องการเก็บรักษาคีย์ที่ใช้เข้ารหัสข้อมูล เมื่อคีย์ถูกเก็บไว้ในฮาร์ดแวร์ ส่งผลให้อุปกรณ์โดนเจาะได้ยากขึ้น ไมโครซอฟท์ให้เหตุผลที่บังคับต้องมี TPM เพื่อความปลอดภัย โดยมันจะช่วยเรื่องการยืนยันตัวตนผ่านฟีเจอร์ Microsoft Passport และเก็บคีย์ที่เข้ารหัสข้อมูลของ BitLocker

ต้องยอมรับว่าในปัจจุบันแป้นพิมพ์ไร้สายเป็นที่นิยมอย่างมาก เนื่องจากความสะดวกสบายและง่ายต่อการพกพา แต่ใครจะรู้ว่าภายใต้สิ่งเหล่านี้กลับมีภัยร้ายที่แอบซ่อนเอาไว้อยู่

จากการตรวจสอบพบว่า ณ ขณะนี้มีบริษัทผลิตแป้นพิมพ์ไร้สายมากถึง 12 บริษัท ที่ไม่มีการเข้ารหัสข้อมูลที่ถูกส่งออกมา สามารถถูกดักจับข้อมูลได้ด้วยการใช้เพียงแค่ USB ที่มีเสารับคลื่นวิทยุ แม้ว่าจะอยู่ห่างจากแป้นพิมพ์เป็นระยะ 76 เมตร หรือมีกำแพงมาขวางก็ตาม ทำให้ผู้ใช้เสี่ยงต่อการถูกเข้าถึงความลับต่างๆ ในขณะใช้งานแป้นพิมพ์เหล่านี้ได้

ตรวจสอบรายชื่อและรุ่นของแป้นพิมพ์ที่ได้รับผลกระทบที่นี่

Thales e-Securityบริษัทผู้ให้บริการโซลูชั่นความปลอดภัยไซเบอร์ เผยรายงานสำรวจเทรนด์การใช้เทคโนโลยีเข้ารหัสในบริษัทต่างๆ (ครอบคลุมกว่า 5,000 บริษัท, 14 ภาคธุรกิจหลัก, 11 ประเทศ) พบว่ามีการใช้เทคโนโลยีเข้ารหัสเพิ่มมากขึ้นจากการสำรวจครั้งก่อนๆ 7% เป็นการเพิ่มขึ้นเร็วที่สุดนับแต่มีการสำรวจมา 11 ปี รวมทั้งหมดมีบริษัทใช้การเข้ารหัสป้องกันข้อมูลเป็น 41% แล้ว โดยประเภทกิจการที่ใช้การเข้ารหัสส่วนใหญ่เป็นบริษัทด้านการเงิน การดูแลสุขภาพ เภสัชกรรม ซอฟต์แวร์

ข้อมูลจากรายงานยังสะท้อนให้เห็นถึง…

Facebook Messenger เตรียมทดสอบโหมดเข้ารหัสปลายทางถึงปลายทาง (end-to-end) โดยใช้โปรโตคอลของ Open Whisper System เรียกว่า Secret Conversations สามารถกำหนดระยะเวลาก่อนข้อความจะหายไปได้

ข้อความใน Secret Conversations สามารถตั้งเวลาลบข้อความได้ การแชตข้อความลับจะรองรับเฉพาะข้อความปกติเท่านั้น ไม่รองรับภาพเคลื่อนไหว, วิดีโอ, หรือฟีเจอร์อื่น (น่าสนใจว่าเฟซบุ๊กพูดข้ามภาพถ่ายปกติไป โดยไม่ระบุว่าสามารถส่งแบบลับได้หรือไม่) ข้อจำกัดอีกอย่างหนึ่งคือข้อความลับจะสามารถอ่านได้บนอุปกรณ์เดียวเท่านั้น

นักวิจัยความปลอดภัย Gal Beniamini พบช่องโหว่ของฟีเจอร์เข้ารหัสดิสก์ (Full Disk Encryption) ของระบบปฏิบัติการ Android ที่ใช้ร่วมกับชิปของ Qualcomm ที่สามารถดึงคีย์การเข้ารหัสดิสก์ออกมาจากเครื่องได้

ปัญหาเกิดจากชิปของ Qualcomm เลือกเก็บคีย์ที่เข้ารหัสดิสก์ไว้ในซอฟต์แวร์ (iOS เก็บคีย์นี้ไว้ในฮาร์ดแวร์) และถ้าพบช่องโหว่ที่ซอฟต์แวร์ การนำคีย์ออกมาก็เป็นไปได้สูง

วิธีการที่ค้นพบต้องใช้ช่องโหว่ 2 ตัวในฟีเจอร์ความปลอดภัยของซีพียู ARM ที่เรียกรวมๆ ว่า TrustZone นำมาใช้งานร่วมกันเพื่อสกัดคีย์ออกมา รายละเอียดของการเจาะคีย์อ่านได้จากลิงก์ต้นฉบับ

LINE ประกาศเปิดใช้งานฟีเจอร์ "Letter Sealing" ซึ่งเป็นการเข้ารหัสแบบปลายทางถึงปลายทาง (end-to-end encryption) เป็นค่าเริ่มต้นให้กับผู้ใช้ทุกคน และยกเลิกฟีเจอร์ Hidden Chat โดยให้มาใช้ Letter Sealing แทน

การเปลี่ยนแปลงมีผลตั้งแต่วันนี้ (1 ก.ค.) เป็นต้นไปครับ

ที่มา - LINE official blog

Mozilla ได้ร่วมกับ TODO เอเจนซี่ด้านความคิดสร้างสรรค์ที่เป็นพันธมิตรของ Mozilla เปิดตัว Codemoji เพื่อเป็นการสอนผู้ใช้อินเทอร์เน็ตทั่วไปให้รู้จักการเข้ารหัสขั้นพื้นฐาน

วิธีใช้ Codemoji คือฝั่งผู้ส่งให้พิมพ์ข้อความอะไรก็ได้ที่ต้องการส่งให้ใครสักคน จากนั้นเลือก emoji สักตัวที่ต้องการใช้ในการเข้ารหัสข้อความ แล้ว Codemoji จะเข้ารหัสข้อความออกมาเป็น emoji จากนั้นผู้ส่งก็จะต้องคัดลอกลิงก์และส่งให้ผู้รับ

ฝั่งผู้รับเมื่อได้ลิงก์มาก็จะเห็นข้อความที่ถูกเข้ารหัสเป็น emoji และถ้าต้องการอ่านข้อความต้องต้องถอดรหัสออกมาโดยเลือก emoji ให้ตรงกับที่ฝั่งผู้ส่งเลือกใช้ในการเข้ารหัสจึงจะเห็นข้อความเดียวกับที่ผู้ใช้ส่งมา แต่ถ้าเลือกผิดตัวก็จะถอดรหัสออกมาเป็นตัวอักษรมั่ว ๆ

Telegram เป็นแอปส่งข้อความความปลอดภัยสูงบนอุปกรณ์พกพาที่ได้รับความนิยมสูงมากในช่วงหลายปีที่ผ่านมา แต่มีงานวิจัยฉบับหนึ่งชื่อ On the CCA (in)security of MTProto เผยแพร่ในสมาคมนานาชาติเพื่อการวิจัย Cryptologic (International Association for Cryptologic Research) ซึ่งเขียนโดย Jakob Jakobsen และ Claudio Orlandi จากภาควิชาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยฮอร์ฮูส ประเทศเดนมาร์ก

William Turton คอลัมนิสต์ของเว็บไซต์ Gizmodo ออกมาเผยแพร่ข้อเขียนของเขาบนเว็บไซต์ โดยเขาแนะนำว่าผู้ใช้ที่ใส่ใจเรื่องความปลอดภัย ควรหยุดการใช้ Telegram โดยทันที เพราะตัวแอพไม่ได้มีความปลอดภัยแบบที่ผู้สร้างได้กล่าวอ้างไว้

Turton ระบุว่า Telegram ไม่ได้เข้ารหัสไว้เป็นค่าเริ่มต้น ซึ่งผิดกับแอพอย่าง Signal หรือ WhatsApp และต่อให้สนทนากันในโหมดเข้ารหัสที่เป็นความลับ (secure chat) ระบบการเข้ารหัสของ Telegram ที่ใช้ MTproto ซึ่งพัฒนาเองนั้นยังไม่ได้รับการพิสูจน์ว่าแข็งแกร่งพอแค่ไหน รวมถึงยังเผยแพร่ metadata ออกมามากกว่าที่ควรจะเป็นด้วย (เขายกตัวอย่างงานวิจัยชิ้นหนึ่งที่ทำให้พบได้ว่า ผู้ใช้กำลังออนไลน์หรือออฟไลน์อยู่)