สรุปสั้น
บริษัท Reflectiz ผู้พัฒนาแพลตฟอร์มบริหารความเสี่ยงจากการเปิดเผยข้อมูลบนเว็บไซต์ ประกาศจัดเวบินาร์ร่วมกับบริษัท Taboola ในหัวข้อ “Securing Third-Party Marketing in the AI Era” หรือการปกป้องมาร์เก็ตติ้งจากบุคคลที่สามในยุค AI ซึ่งจะจัดขึ้นในวันที่ 8 กรกฎาคม เวลา 9 โมงเช้าตามเวลาฝั่งตะวันออกของสหรัฐฯ ประเด็นหลักของเวบินาร์คือผู้จำหน่ายด้านการตลาดทุกรายที่องค์กรอนุมัติให้ใช้งานสามารถแอบนำสคริปต์บุคคลที่สามและที่สี่เข้ามาทำงานบนเว็บไซต์ได้โดยที่ทีมความปลอดภัยไม่เคยตรวจสอบมาก่อนเลย และในยุค AI ชั้นที่มองไม่เห็นนี้กำลังขยายตัวเร็วกว่าที่การตรวจสอบแบบครั้งคราวจะติดตามทัน ช่องว่างระหว่างสิ่งที่องค์กรอนุมัติกับสิ่งที่ทำงานจริงบนเว็บไซต์คือจุดที่ข้อมูลรั่วไหล ความเสี่ยงด้านกฎระเบียบ และปัญหาการปฏิบัติตามข้อกำหนดเกิดขึ้น
เวบินาร์นี้จะนำเสนอมุมมองจากสองฝ่ายที่ไม่ค่อยได้มาพูดคุยกันในเวทีเดียวกัน คือนาย Idan Cohen ประธานเจ้าหน้าที่บริหารและผู้ร่วมก่อตั้งบริษัท Reflectiz ผู้มีประสบการณ์ด้านความปลอดภัยไซเบอร์กว่า 20 ปี ตั้งแต่งาน offensive code และการทดสอบเจาะระบบ จนถึงการสร้าง Reflectiz ให้เป็นแพลตฟอร์มความปลอดภัยเว็บที่ขับเคลื่อนด้วย AI และนาย Omri Ariav ผู้อำนวยการฝ่ายบริหารผลิตภัณฑ์ของบริษัท Taboola ผู้ดูแลชั้นข้อมูลเบื้องหลังแพลตฟอร์มโฆษณาที่มีผู้ใช้งานประจำวันกว่า 600 ล้านคน ครอบคลุมข้อมูลผู้ใช้ ตัวตน การติดตาม การวัดผล และความเป็นส่วนตัว
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 30 มิถุนายน พ.ศ. 2569 ว่า นาย Idan Cohen กล่าวว่าทีมความปลอดภัยอนุมัติรายชื่อผู้จำหน่าย แต่ไม่ได้อนุมัติสิ่งที่โหลดขึ้นมาจริงในเบราว์เซอร์ แท็กการตลาดเพียงหนึ่งตัวสามารถดึงห่วงโซ่ของบุคคลที่สามและที่สี่ที่ไม่มีใครตรวจสอบเข้ามาได้ และ AI กำลังทำให้ห่วงโซ่นั้นเติบโตเร็วกว่าที่ใครจะตรวจสอบด้วยมือได้ทัน เวบินาร์ครั้งนี้จึงมีเป้าหมายเพื่อปิดช่องว่างดังกล่าว ให้ทีมการตลาดและทีมความปลอดภัยทำงานจากภาพเดียวกันในที่สุดว่ามีอะไรกำลังทำงานอยู่บนเว็บไซต์จริง ผู้เข้าร่วมเวบินาร์จะได้เรียนรู้ว่าเทคโนโลยีโฆษณาที่โปร่งใสและให้ความสำคัญกับความปลอดภัยในปี 2569 มีลักษณะอย่างไร และจะแยกแยะผู้จำหน่ายที่ผ่านเกณฑ์นี้ได้อย่างไร รวมถึงวิธีที่แท็กการตลาดหนึ่งตัวที่ได้รับอนุมัติสามารถก่อให้เกิดห่วงโซ่สคริปต์บุคคลที่สามและที่สี่ที่ไม่มีใครตรวจสอบ เหตุผลที่เทคโนโลยีโฆษณาที่ขับเคลื่อนด้วย AI ขยายพื้นที่การโจมตีฝั่งไคลเอนต์เร็วกว่าที่การตรวจสอบจะตามทัน และกรอบการทำงานสามขั้นตอนเชิงปฏิบัติเพื่อสำรวจ ติดตาม และกำกับดูแลห่วงโซ่อุปทานบนเว็บ ให้ทีมการตลาดและทีมความปลอดภัยทำงานจากแหล่งข้อมูลความจริงเดียวกัน
ผู้ที่สนใจสามารถลงทะเบียนเข้าร่วมเวบินาร์ได้ผ่านหน้าเว็บของ Reflectiz โดยกิจกรรมนี้จัดขึ้นเป็นส่วนหนึ่งของความร่วมมือระหว่างสองบริษัทเพื่อให้ความรู้แก่องค์กรเกี่ยวกับความเสี่ยงของสคริปต์บุคคลที่สามที่แฝงอยู่ในเว็บไซต์ทางการตลาด ซึ่งเป็นประเด็นที่ทวีความสำคัญมากขึ้นเมื่อเครื่องมือ AI เข้ามามีบทบาทในการสร้างและจัดการโฆษณาดิจิทัลมากขึ้นเรื่อย ๆ
รายละเอียดความเสี่ยง
ความเสี่ยงหลักที่เวบินาร์นี้เน้นย้ำคือช่องว่างระหว่างรายชื่อผู้จำหน่ายที่ทีมความปลอดภัยอนุมัติไว้ กับสคริปต์และแท็กที่โหลดทำงานจริงบนเบราว์เซอร์ของผู้เข้าชมเว็บไซต์ แท็กการตลาดหนึ่งตัวที่ผ่านการอนุมัติสามารถดึงสคริปต์บุคคลที่สามและที่สี่ที่ไม่เคยผ่านการตรวจสอบเข้ามาทำงานร่วมด้วยได้โดยอัตโนมัติ และในยุคที่เครื่องมือโฆษณาขับเคลื่อนด้วย AI ห่วงโซ่ของสคริปต์เหล่านี้ก็ยิ่งขยายตัวเร็วขึ้น ทำให้การตรวจสอบแบบ point-in-time หรือครั้งคราวไม่สามารถติดตามทันได้อีกต่อไป ความเสี่ยงที่ตามมาครอบคลุมทั้งการรั่วไหลของข้อมูล ความเสี่ยงด้านกฎระเบียบ และปัญหาการปฏิบัติตามข้อกำหนดต่าง ๆ
ผลกระทบต่อไทย
องค์กรไทยที่ดำเนินธุรกิจอีคอมเมิร์ซหรือมีเว็บไซต์ที่ใช้เครื่องมือการตลาดจากผู้ให้บริการภายนอกจำนวนมาก มีความเสี่ยงจากสคริปต์บุคคลที่สามและที่สี่ที่ไม่ได้รับการตรวจสอบเช่นเดียวกับองค์กรในประเทศอื่น โดยเฉพาะเว็บไซต์ที่มีการติดตั้งแท็กติดตามผลโฆษณาหรือระบบวิเคราะห์พฤติกรรมผู้ใช้จำนวนมาก ความเสี่ยงนี้ยิ่งสำคัญมากขึ้นสำหรับองค์กรที่ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยอย่าง PDPA ซึ่งกำหนดให้องค์กรต้องควบคุมการเก็บและส่งต่อข้อมูลผู้ใช้ผ่านเว็บไซต์อย่างรัดกุม
คำแนะนำ
องค์กรที่มีเว็บไซต์ซึ่งใช้เครื่องมือการตลาดจากผู้ให้บริการภายนอกควรจัดทำ inventory ของสคริปต์และแท็กทั้งหมดที่ทำงานอยู่บนเว็บไซต์อย่างสม่ำเสมอ ไม่ใช่แค่ตรวจสอบครั้งเดียวตอนอนุมัติผู้จำหน่าย แต่ควรติดตามอย่างต่อเนื่องว่ามีสคริปต์บุคคลที่สามหรือที่สี่ใดถูกดึงเข้ามาเพิ่มเติมภายหลังหรือไม่ ทีมความปลอดภัยและทีมการตลาดควรทำงานร่วมกันอย่างใกล้ชิดเพื่อให้มีข้อมูลชุดเดียวกันเกี่ยวกับสิ่งที่ทำงานอยู่จริงบนเว็บไซต์ และควรพิจารณาเครื่องมือตรวจสอบพื้นผิวการโจมตีฝั่งไคลเอนต์แบบต่อเนื่องเพื่อลดความเสี่ยงจากข้อมูลรั่วไหลผ่านช่องทางนี้
