โฆษณา PowerLinks ทำให้ผู้อ่านหลายล้านคนตกอยู่ในความเสี่ยง จากสิ่งพิมพ์สำคัญๆ เช่น The Verge, Vice News และอื่นๆ

ผู้อ่านเว็บไซต์สำคัญๆ เช่นVice News , CNET , The Verge , Neowinและอื่นๆ ได้รับความเสี่ยงด้านความปลอดภัยมาตั้งแต่ปี 2015 เนื่องจากโฆษณาที่เรียกใช้จากแพลตฟอร์ม(platform use)โฆษณาของ PowerLinks(PowerLinks advertising) ใช้ ใบรับรองSSL ที่ หมดอายุ นี่คือสิ่งที่เกิดขึ้น สิ่งที่คุณเปิดเผยเมื่ออ่านสิ่งพิมพ์ที่มี โฆษณา PowerLinksและสิ่งที่คุณทำได้เพื่อความปลอดภัย:

โฆษณาที่แสดงผ่าน PowerLinks มีใบรับรอง SSL(SSL)ที่หมดอายุในเดือนตุลาคม 2015(October 2015)

ขณะอ่านเว็บไซต์หลายแห่งบนคอมพิวเตอร์ส่วนตัวของฉัน ฉันสังเกตเห็นว่าโซลูชันด้านความปลอดภัย(security solution) ของฉัน กำลังบ่นว่าเบราว์เซอร์ของฉันพยายามสื่อสารผ่านช่องทางที่เข้ารหัสด้วยใบรับรองที่ไม่น่าเชื่อถือ โปรแกรมป้องกันไวรัสของฉันไม่สามารถรับประกันความถูกต้องของโดเมนที่สร้างการเชื่อมต่อที่เข้ารหัสได้ และสิ่งนี้ทำให้เกิดความเสี่ยงด้านความปลอดภัย(security risk)สำหรับฉัน ตอนแรกฉันเพิกเฉยต่อคำเตือนนี้และอ่านต่อไป อย่างไรก็ตาม หลังจากที่ได้ดูมันในเว็บไซต์ใหญ่ๆ หลายแห่ง ผมก็เริ่มให้ความสนใจและศึกษาสิ่งต่างๆ อย่างละเอียดมากขึ้น

ฉันรู้สึกประหลาดใจที่พบว่าคำเตือนนี้แสดงบนสื่อสิ่งพิมพ์ออนไลน์ขนาดใหญ่ และมักเกิดจากโฆษณาที่แสดงจาก pw.powerlinks.com ทั้งหมดมีใบรับรอง SSL(SSL certificate)ที่หมดอายุในเดือนตุลาคม 2015(October 2015)ดังที่คุณเห็นด้านล่าง

PowerLinks, โฆษณา, SSL, หมดอายุแล้ว

เพื่อตรวจสอบอีกครั้งว่านี่เป็นความจริงและไม่ใช่แค่การแจ้งเตือนที่ผิดพลาด ฉันได้ลองใช้ผลิตภัณฑ์รักษาความปลอดภัย(security product) ชั้นยอดอีกตัวหนึ่ง และผลลัพธ์ก็เหมือนเดิม ฉันสำรวจเว็บไซต์จำนวนมากขึ้นและสังเกตเห็นว่าปัญหาเดียวกันนี้เกิดขึ้นซ้ำแล้วซ้ำเล่าสำหรับชื่อใหญ่ๆ ใน โลก ของสำนักพิมพ์(publishing world)

PowerLinks เสนอ(PowerLinks offer)อะไร ให้ ผู้เผยแพร่?

ตามเว็บไซต์อย่างเป็นทางการของพวกเขาPowerLinksมีโซลูชั่นและบริการการโฆษณาที่ครอบคลุม พวกเขาเสนอเซิร์ฟเวอร์โฆษณา(Ad Server)สำหรับไซต์ในกลุ่มลูกค้าแพลตฟอร์ม Ad Exchange(Ad Exchange platform)โฆษณาเนทีฟ (ในข้อความ ในวิดีโอ โฆษณาในรูปภาพ ในฟีด และโฆษณาบนหน้าจอ) และอื่นๆ

เหตุใดจึงเป็นปัญหา ปัญหาที่เราพบเมื่อเว็บไซต์แสดงโฆษณาที่มีใบรับรองSSL ที่หมดอายุ(SSL)

หากคุณไม่ได้ ติดตั้ง ระบบรักษาความปลอดภัย(security solution) ที่ดี คุณอาจไม่เคยสังเกตเห็นปัญหานี้ อย่างไรก็ตาม หากคุณใช้โปรแกรมป้องกันไวรัสที่ดีซึ่งสแกนการรับส่งข้อมูลHTTP(HTTP traffic) ของคุณ ในแบบเรียลไทม์ คุณจะรู้สึกรำคาญกับข้อความแจ้งความปลอดภัย(security prompt)ในสื่อสิ่งพิมพ์ขนาดใหญ่หลายแห่งที่ใช้บริการโฆษณาของPowerLinks

นอกจากปัจจัยที่สร้างความรำคาญ(annoyance factor)แล้ว เราได้ถามCatalin Patrascu (หัวหน้าแผนกรักษาความปลอดภัยข้อมูลและการตรวจสอบ ที่ (Information Security and Monitoring Department)ทีมตอบสนองเหตุการณ์ด้านความปลอดภัยคอมพิวเตอร์แห่งชาติ(National Computer Security Incident Response Team)ของโรมาเนีย) เกี่ยวกับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับโฆษณาเหล่านี้ และเขาระบุดังต่อไปนี้:

“ในทางทฤษฎี การตรวจสอบใบรับรอง SSL สามารถทำได้แม้ว่าจะหมดอายุแล้ว สำหรับผู้ใช้ที่คุ้นเคยกับข้อผิดพลาดนี้และไม่ตรวจสอบใบรับรอง SSL ทุกครั้งที่ได้รับข้อผิดพลาด มีความเสี่ยงที่จะถูกเปลี่ยนเส้นทางไปยังอันตราย("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks") หน้าและกลายเป็นเป้าหมายของการโจมตี แบบคนกลาง"

สิ่งสำคัญอีกประการที่ควรพิจารณาคือโฆษณาเหล่านี้ติดตามข้อมูลผู้ใช้และพฤติกรรมของผู้ใช้ด้วย ข้อมูลนี้ถูกส่งผ่านช่องทางที่ไม่ปลอดภัย(insecure channel)ทำให้เสี่ยงต่อการถูกสกัดกั้นโดยบุคคลที่ไม่ต้องการ

เว็บไซต์ที่ได้รับผลกระทบจากปัญหานี้ ได้แก่ The Verge , Vice News , CNETและอีกมากมาย

เราไม่ทราบรายชื่อเว็บไซต์ที่ได้รับผลกระทบจากปัญหานี้ เราคิดว่า ลูกค้า PowerLinks ทั้งหมด มีความเสี่ยง จนถึงตอนนี้ เราได้ระบุปัญหานี้ในสื่อสิ่งพิมพ์ขนาดใหญ่เช่น The Verge , Vice News , CNET , Neowin และอื่น(Neowin and others)ๆ เว็บไซต์เหล่านี้มีผู้อ่านหลายสิบล้านคนในแต่ละเดือน และความปลอดภัยของผู้ชมได้รับความเสี่ยงทุกวันที่พวกเขาเรียกใช้ โฆษณา PowerLinksตั้งแต่เดือนตุลาคม 2015(October 2015)

ปัญหานี้เกิดจากความประมาทเลินเล่อในส่วนของPowerLink

สิ่งที่เรากำลังทำอยู่ที่นี่คือความประมาทเลินเล่อ ใบรับรอง SSL(SSL)เหล่านี้ยังไม่หมดอายุในสองสามวันหรือหนึ่งเดือน หมดอายุแล้วตั้งแต่ปี 2015 และ PowerLinks ไม่ได้ทำงานเพื่อนำเสนอโซลูชันการโฆษณาที่ปลอดภัยแก่ทั้งสิ่งพิมพ์ออนไลน์และผู้อ่านสิ่งพิมพ์เหล่านั้น ทีมเทคนิคของพวกเขาไม่ได้สังเกตว่าแพลตฟอร์มโฆษณา(advertising platform) ของพวกเขา ใช้ใบรับรอง SSL(SSL)ที่หมดอายุมาหลายปีแล้วและไม่ได้ทำอะไรเพื่อแก้ปัญหานี้ในขณะที่ทำให้ผู้อ่านหลายล้านคนตกอยู่ในความเสี่ยง ผู้สร้าง มัลแวร์(Did malware)ใช้ประโยชน์จากปัญหานี้หรือไม่ นั่นเป็นคำถามที่ดี และเราไม่แน่ใจว่า PowerLinks สามารถตอบได้หรือไม่ ในท้ายที่สุดพวกเขาไม่ได้ดูแลพื้นฐานเช่นวันหมดอายุด้วยซ้ำ

ผลิตภัณฑ์ ความปลอดภัยใด(Which security)ช่วยให้ฉันค้นพบปัญหานี้

ครั้งแรกที่ฉันพบปัญหานี้คือตอนที่ฉันกำลังนำทางไปยังบางเว็บไซต์ที่ฉันกล่าวถึงก่อนหน้านี้ และใช้ESET Smart Securityเป็นโปรแกรมป้องกันไวรัสของฉัน

PowerLinks, โฆษณา, SSL, หมดอายุแล้ว

ปัญหานี้ได้รับการยืนยันโดยKaspersky Total Securityดังที่คุณเห็นด้านล่าง

PowerLinks, โฆษณา, SSL, หมดอายุแล้ว

เรายินดีที่ผลิตภัณฑ์เหล่านี้ทำงานในการแจ้งให้เราทราบและทำให้เราปลอดภัยจากช่องโหว่ด้านความปลอดภัยของ แพลตฟอร์มโฆษณา PowerLinksและช่วยให้เราคลี่คลายสิ่งที่เกิดขึ้น เป็นข้อพิสูจน์เพิ่มเติมว่าคุณควรติดตั้งผลิตภัณฑ์ป้องกันไวรัส(antivirus product) ของบริษัทอื่นเสมอ และหยุดการท่องเว็บโดยไม่ปลอดภัย หากคุณอยากทราบข้อมูลเพิ่มเติมเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการท่องเว็บโดยไม่มีการป้องกัน โปรดอ่านการทดลองนี้ที่เราดำเนินการ: วิธีแพร่เชื้อพีซีที่ใช้ Windows(Windows PC) ของคุณ ขณะเรียกดูเว็บเพื่อรับข้อมูลฟรี

เราทำอะไรเพื่อช่วยผู้อ่านและสิ่งพิมพ์ที่ได้รับผลกระทบจากปัญหาด้านความปลอดภัยนี้(security issue) ?

ก่อนอื่น(First)เราเขียนบทความนี้เพื่อแจ้งให้ทุกคนทราบในเรื่องนี้ นอกจากนี้เรายังขอความคิดเห็นอย่างเป็นทางการจากPowerLinks อย่างไรก็ตาม อีเมลติดต่ออย่างเป็นทางการของพวกเขาใช้ไม่ได้ และทั้งหมดที่เราได้รับคือ การแจ้งเตือนสถานะการจัดส่งล้มเหลว(Status Notification Failure)ซึ่งคุณสามารถดูได้ด้านล่าง

PowerLinks, โฆษณา, SSL, หมดอายุแล้ว

เราส่งบทความนี้ไปยังสื่อสิ่งพิมพ์ทั้งหมดที่เราพบว่าได้รับผลกระทบ เช่นเดียวกับPowerLinksโดยใช้ช่องทางโซเชียลมีเดีย เราหวังว่าพวกเขาจะไม่เพิกเฉยต่อข้อความของเราและจะใช้มาตรการเพื่อแก้ไขปัญหานี้

UPDATE (03/21/2017):ในที่สุดเราก็สามารถส่งข้อความของเราไปที่PowerLinksและเราได้รับคำตอบต่อไปนี้จากBranden Smytheรองประธานฝ่ายพัฒนาธุรกิจ(VP Business Development) :

"ฉันได้รับแจ้งว่าคุณติดต่อ PowerLinks เราจะแก้ไขข้อกังวลที่คุณโพสต์ในไม่ช้า"("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")

วันนี้ เราได้ตรวจสอบเว็บไซต์ที่เราพบปัญหาที่เราอธิบายอีกครั้ง และตอนนี้สิ่งต่างๆ ก็ทำงานได้ดี ดูเหมือนว่าPowerLinksได้ทำตามขั้นตอนที่จำเป็นเพื่อรักษาความปลอดภัยในการแสดงโฆษณา(ad delivery)บนเว็บไซต์ทั้งหมด ซึ่งถือว่าดีมาก หวังว่า(Hopefully)พวกเขาจะได้เรียนรู้จากปัญหานี้และดูแลพื้นฐานความปลอดภัยให้ดีขึ้น เช่นวันหมดอายุ(expiration date)ของใบรับรองSSL

คุณสามารถทำอะไรได้บ้างเพื่อป้องกันตัวเองจากโฆษณาPowerLinks ที่ไม่ปลอดภัย(PowerLinks)

หากโซลูชันการรักษาความปลอดภัย(security solution) ของคุณ บ่นเกี่ยวกับใบรับรอง SSL(SSL) ที่หมดอายุซึ่ง ใช้โดย โฆษณา PowerLinksคุณควรบล็อกพวกเขา หากคุณไม่มีโปรแกรมป้องกันไวรัสที่สแกนการรับส่งข้อมูล HTTP(HTTP traffic) แบบเรียลไทม์ คุณควรเรียกใช้เว็บไซต์เหล่านี้โดยใช้โหมดการเรียกดูแบบส่วนตัวที่บล็อกโฆษณาที่ไม่ปลอดภัยหรือหาวิธีอื่นในการบล็อก เราไม่ได้เป็นแฟนของการบล็อกโฆษณาบนเว็บไซต์ที่เรากล่าวถึงเพราะการโฆษณาเป็นสิ่งที่ทำให้สิ่งตีพิมพ์เหล่านี้สามารถให้เนื้อหาที่ยอดเยี่ยมแก่ทุกคนได้ หวังว่าปัญหานี้จะได้รับการแก้ไขในเร็วๆ นี้ และเราทุกคนสามารถเพลิดเพลินกับสิ่งพิมพ์ที่เราชื่นชอบได้อย่างปลอดภัย โดยไม่ปิดกั้นโฆษณาของพวกเขา และปล่อยให้พวกเขาได้รับรายได้จากการทำงานของพวกเขา



ขวัญแก้ว กำธรเจริญ

About the author

ฉันเป็นผู้ตรวจทานมืออาชีพและเพิ่มประสิทธิภาพการทำงาน ฉันชอบใช้เวลาออนไลน์เล่นวิดีโอเกม สำรวจสิ่งใหม่ ๆ และช่วยเหลือผู้คนเกี่ยวกับความต้องการด้านเทคโนโลยีของพวกเขา ฉันมีประสบการณ์กับ Xbox มาบ้างแล้วและได้ช่วยเหลือลูกค้าในการรักษาระบบของพวกเขาให้ปลอดภัยมาตั้งแต่ปี 2552


Related posts