แอปวิดีโอแชทแบบสุ่มที่ชูจุดขายเรื่องความ "นิรนาม" อย่าง FTF Live กำลังตกเป็นข่าวใหญ่ หลังนักวิจัยจาก Cybernews พบว่าข้อมูลผู้ใช้กว่า 3.47 ล้านรายและบันทึกเซสชันถึง 22 ล้านรายการ อาจอยู่ในสถานะเปิดให้บุคคลภายนอกเข้าถึงได้ผ่าน Kibana dashboard ที่ตั้งค่าผิดพลาด ตามรายงานของ TechRadar ที่อ้างอิงการตรวจสอบของ Cybernews เหตุการณ์นี้สั่นคลอนรากฐานของบริการที่อ้างว่าผู้ใช้สามารถสนทนาแบบไม่ระบุตัวตนได้ เพราะร่องรอยที่หลงเหลือสามารถสาวกลับไปได้ว่าใครคุยกับใครและเมื่อใด

ขอบเขตข้อมูลที่อาจรั่วไหล — 3.47 ล้านบัญชี และ 22 ล้านเซสชัน

ตามรายงาน นักวิจัยจาก Cybernews ค้นพบว่า Kibana dashboard ของ FTF Live ถูกเปิดให้เข้าถึงได้แบบสาธารณะ ทำให้สามารถดูข้อมูลผู้ใช้ที่ระบุตัวตนได้สูงสุดราว 3.47 ล้านรายการ และบันทึกเซสชันการใช้งานอีก 22 ล้านรายการ

ข้อมูลที่อาจถูกเปิดเผยประกอบด้วย:

  • ข้อมูลที่มีชื่อผู้ใช้ อีเมล หรือตัวระบุที่คล้ายคลึงกัน รวมประมาณ 3.47 ล้านรายการ โดย TechRadar ระบุในพาดหัวว่า ในจำนวนนี้ราว 3 ล้านรายการมีทั้งชื่อและอีเมลของผู้ใช้
  • ข้อมูลอุปกรณ์ เพศ และข้อมูลการชำระเงิน
  • ข้อมูลตำแหน่งที่ตั้งทางภูมิศาสตร์ เช่น IP address ประเทศ และภาษาที่ใช้งาน

ข่าวดีคือ ภาพวิดีโอจากการสนทนาสดไม่ได้ถูกเปิดเผยออกมา แต่ที่น่ากังวลคือการที่ข้อมูลระบุตัวตน ตำแหน่ง และการชำระเงินถูกนำมาเชื่อมโยงกัน ทำให้สามารถติดตาม ระบุตัว หรือเฝ้าสอดส่องผู้ใช้แต่ละรายได้

ไม่ใช่แค่ Kibana — Dozzle ก็เปิดโล่งด้วย

นอกเหนือจาก Kibana ที่อยู่ในสถานะเปิดสาธารณะแล้ว Cybernews ยังพบว่า Dozzle ซึ่งเป็น log viewer แบบ browser-based ของ FTF Live ก็ไม่ได้รับการป้องกันเช่นกัน โดยถูกจัดให้เป็น "การรั่วไหลรอง" ที่ร้ายแรงไม่แพ้กัน

จากรายงาน Dozzle เปิดเผยพฤติกรรมการทำงานของระบบทั้งหมด รวมถึงรหัสผ่านในรูปแบบ plain text, session token และคำขอ API ภายในขององค์กร นักวิจัยระบุว่า "การที่ Kibana และ Dozzle ถูกปล่อยให้อยู่ในสถานะสาธารณะพร้อมกันสร้างความเสี่ยงด้านความปลอดภัยอย่างร้ายแรง"

สำหรับแพลตฟอร์มที่ใช้ความเป็น "นิรนาม" เป็นจุดขายหลัก การที่ log ของระบบฝั่ง backend ถูกเปิดให้คนภายนอกเข้าถึงได้ เป็นข้อบกพร่องเชิงการออกแบบและการดูแลระบบที่ร้ายแรงอย่างยิ่ง

โครงสร้างผู้ดำเนินการที่ซับซ้อน — 3 บริษัทเชื่อมโยงกัน

ตามรายงานของ TechRadar Cybernews พยายามติดต่อผู้ดำเนินการแล้วแต่ไม่ได้รับการตอบกลับ และยังพบว่าโครงสร้างผู้ดำเนินการเองก็มีความซับซ้อนผิดปกติ

บทบาทชื่อบริษัท
ผู้เผยแพร่แอป Android (ถูกถอดออกแล้ว)Burhan LTD
ผู้ดำเนินการตามนโยบายความเป็นส่วนตัวCooy Ads Ltd (ตั้งอยู่ในไซปรัส)
ผู้จัดการข้อมูล บริการลูกค้า และแบรนด์Pixover

โครงสร้างที่มีหลายชื่อทับซ้อนกันเช่นนี้ถูกชี้ว่าเป็นปัญหาด้านความโปร่งใส โดยเฉพาะเมื่อรวมกับข้อเท็จจริงที่ว่ายังไม่สามารถยืนยันได้ว่าระบบถูกเปิดให้เข้าถึงสาธารณะมานานเพียงใด และผู้ดำเนินการก็ไม่ได้ตอบสนองต่อการแจ้งเตือนใด ๆ

ทำไมการรั่วของแพลตฟอร์ม "นิรนาม" จึงน่ากังวลกว่าทั่วไป

FTF Live เป็นบริการวิดีโอแชทแบบสุ่มกับคนแปลกหน้า ซึ่งมีรายงานว่ามักถูกใช้สำหรับการสนทนาในลักษณะใกล้ชิดหรือมีเนื้อหาเฉพาะกลุ่ม การที่ผู้ใช้เลือกแพลตฟอร์มนี้เพราะคาดหวังความนิรนาม จึงทำให้การรั่วไหลของข้อมูลระบุตัวตนพร้อมข้อมูลพฤติกรรม กลายเป็นความเสี่ยงระดับสูง

นักวิจัยจาก Cybernews ได้ระบุภัยคุกคามที่อาจเกิดขึ้น ได้แก่:

  • การถูกยึดบัญชี (account takeover)
  • การถูกหลอกลวงแบบเฉพาะเจาะจง (targeted scam)
  • การถูกสะกดรอยตาม (stalking) โดยบุคคลที่มีเจตนาร้าย
  • ผลกระทบต่อกลุ่ม LGBTQ+ ผู้ที่สนทนาในประเด็นละเอียดอ่อน รวมถึงผู้เยาว์ในบางประเทศ

ประเด็นสำคัญคือ "การสนทนาแบบใช้แล้วทิ้ง" ที่ผู้ใช้คิดว่าจะไม่ทิ้งร่องรอย กลับถูกบันทึกเป็นข้อมูลที่สามารถตามรอยได้ ซึ่งขัดแย้งกับคำสัญญาของบริการอย่างสิ้นเชิง

ลำดับเหตุการณ์และประเด็นด้านกฎหมาย

จากการเปิดเผยของ Cybernews นักวิจัยพบสถานะเปิดสาธารณะของ FTF Live ครั้งแรกเมื่อวันที่ 12 ธันวาคม 2025 และได้แจ้งไปยัง CERT ที่เกี่ยวข้องเมื่อวันที่ 1 มกราคม 2026 ส่วนตัวแอป Android เปิดให้ดาวน์โหลดบน Google Play Store ตั้งแต่วันที่ 5 เมษายน 2025 และมียอดดาวน์โหลดประมาณ 5,000 ครั้ง ก่อนถูกถอดออกจาก Store ราว 10 วันก่อนหน้ารายงานข่าวจะถูกเผยแพร่

ในด้านโครงสร้างข้อมูล TechRadar รายงานว่าข้อมูลถูกเก็บใน Elasticsearch โดย Kibana dashboard ให้มุมมองที่จัดกลุ่มข้อมูลตามประชากรศาสตร์ ประเภทอุปกรณ์ ตำแหน่งที่ตั้ง และสถานะการชำระเงิน การที่บริการอ้างความนิรนามแต่กลับเก็บข้อมูลติดตามผู้ใช้ในวงกว้างเช่นนี้ มีแนวโน้มจะกลายเป็นประเด็นที่หน่วยงานกำกับดูแลภายใต้กรอบ GDPR และ CCPA ให้ความสนใจ

ปัญหา Kibana ที่ตั้งค่าผิดไม่ใช่กรณีโดดเดี่ยว

การที่ Kibana instance ถูกเปิดสาธารณะโดยไม่ได้ตั้งใจไม่ได้เกิดขึ้นเฉพาะกับ FTF Live เท่านั้น เมื่อเดือนมกราคม 2026 เว็บไซต์เนื้อหาผู้ใหญ่อย่าง Frivol.com ก็เคยถูกรายงานว่ามีอีเมลผู้ใช้ราว 479,000 รายการรั่วไหลออกมาจาก Kibana instance ที่ไม่มีระบบป้องกัน

  • Frivol.com ตั้งอยู่ในสเปนและให้บริการผู้ใช้ที่ใช้ภาษาเยอรมัน โดยมีข้อมูลที่ผู้ใช้สมัครด้วยอีเมลของบริษัทที่ทำงานอยู่ ทำให้สามารถระบุองค์กรต้นสังกัดได้ในบางกรณี
  • ฝั่ง Frivol ปฏิเสธว่ามีการรั่วไหลของข้อมูลและอ้างว่าเนื้อหาที่ถูกรายงานว่ารั่วนั้น "ไม่มีค่า"
  • Elastic เองก็ออกอัปเดตด้านความปลอดภัยสำหรับ Kibana หลายฉบับในปี 2026 เช่น ESA-2026-21, ESA-2026-34 และ ESA-2026-38

ทั้งสองกรณีตอกย้ำให้เห็นว่าการปล่อยระบบที่ใช้ค่า default ออกสู่อินเทอร์เน็ตโดยไม่มีการป้องกัน เป็นความเสี่ยงด้านความปลอดภัยที่อุตสาหกรรมยังจัดการได้ไม่ดีพอ

สิ่งที่ผู้ใช้ในไทยควรทำตอนนี้

แม้ FTF Live จะไม่ใช่แพลตฟอร์มหลักที่ได้รับความนิยมในวงกว้างในประเทศไทย แต่ผู้ใช้คนไทยที่เคยลองดาวน์โหลดหรือสมัครใช้บริการในช่วงปี 2025 ควรพิจารณามาตรการต่อไปนี้:

  • เปลี่ยนรหัสผ่านของบัญชีอื่นที่ใช้อีเมลเดียวกัน โดยเฉพาะหากเคยใช้รหัสผ่านซ้ำกัน
  • ระวังอีเมล phishing และข้อความ scam ที่อาจอ้างอิงข้อมูลส่วนตัวเพื่อสร้างความน่าเชื่อถือ
  • ตรวจสอบรายการเดินบัญชีของบัตรเครดิตหรือ e-wallet เช่น TrueMoney Wallet ในกรณีที่เคยผูกข้อมูลการชำระเงินไว้

สำหรับผู้บริโภคในไทยโดยรวม กรณีนี้เป็นเครื่องเตือนใจอีกครั้งว่า แพลตฟอร์มที่อ้างความ "นิรนาม" ไม่ได้แปลว่าข้อมูลของเราจะไม่ถูกเก็บ และข้อมูลที่ถูกเก็บก็มีโอกาสรั่วได้เสมอหากการดูแลระบบฝั่งผู้ให้บริการไม่รัดกุม การเลือกใช้แพลตฟอร์มที่มีนโยบายความปลอดภัยและความโปร่งใสที่ตรวจสอบได้ จึงสำคัญกว่าคำโฆษณาเรื่องความเป็นส่วนตัว

ในปัจจุบันยังไม่มีคำชี้แจงอย่างเป็นทางการจากผู้ดำเนินการ FTF Live (Burhan LTD / Cooy Ads Ltd / Pixover) และยังไม่มีการระบุระยะเวลาที่ข้อมูลอยู่ในสถานะเปิดสาธารณะ ผู้ใช้ที่ต้องการรายละเอียดเพิ่มเติมควรติดตามจากแหล่งข่าวต้นทางโดยตรง

แหล่งที่มา