ADPT

รั่วอีกแล้ว!! ข้อมูลผู้ใช้ Facebook เกือบ 120 ล้านคนหลุดผ่าน Quiz App

ไม่นานหลังจากประเด็นข้อมูลรั่วจาก Cambridge Analytica เริ่มซา Facebook ก็ต้องประสบกับปัญหาใหม่ เมื่อข้อมูลผู้ใช้ประมาณ 120 ล้านคนหลุดผ่านการเล่น Quiz App มานานนับปี

Credit: NameTests.com

เมื่อต้นปีที่ผ่านมา Facebook ได้ตกเป็นจำเลยสังคมและเกิดความเคลือบแคลงเกี่ยวกับประเด็นด้านความเป็นส่วนบุคคล เมื่อมีการค้นพบว่าเจ้าของ Quiz App รายหนึ่งบน Facebook ได้ขายข้อมูลผู้ใช้กว่า 87 ล้านคนให้แก่บริษัทที่ปรึกษาด้านการเมือง ซึ่งเชื่อกันว่าเป็นสาเหตุให้ Donald Trump เป็นผู้ชนะในการเลือกตั้งประธานาธิบดีในปี 2016 ล่าสุด พบว่าเจ้าของ Quiz App อีกราย นามว่า NameTests ได้ทำข้อมูลผู้ใช้ Facebook มากถึง 120 ล้านคนรั่วสู่สาธารณะ ส่งผลให้ใครก็ตามรวมไปถึงแฮ็กเกอร์ที่ค้นพบข้อมูลดังกล่าว สามารถนำไปใช้ประโยชน์ต่อได้ทันที

NameTests.com เป็นเว็บไซต์ที่อยู่เบื้องหลัง Quiz App ยอดนิยมอย่าง “Which Disney Princess Are You?” ซึ่งมีผู้เข้าร่วมเล่นมากถึง 120 ล้านคนในแต่ละเดือน ส่งผลให้เว็บไซต์ดังกล่าวกลายเป็นหนึ่งในผู้ที่รวบรวมโปรไฟล์ของผู้ใช้ Facebook มากที่สุดในโลก แน่นอนว่าข้อมูลที่ได้มาถูกต้องด้วยกฎหมาย เนื่องจากผู้ใช้เลือกยินยอมที่จะเปิดเผยข้อมูลของตนเพื่อเล่นเกมตอบคำถามดังกล่าว

อย่างไรก็ตาม Inti De Ceukelaire นักวิจัยด้านความมั่นคงปลอดภัยพบว่า หลังจากที่เขาลองตอบคำถามผ่าน NameTests App ข้อมูลส่วนบุคคลของเขา เช่น ชื่อนามสกุล วันเกิด เพศ อายุ และอื่นๆ จะถูกเก็บบันทึกลงไฟล์ JSON ซึ่งเว็บไซต์อื่นๆ ที่เปิดบนเบราว์เซอร์เดียวกันสามารถเข้าถึงข้อมูลเหล่านี้ได้เพียงแค่ร้องขอ ส่งผลให้เว็บไซต์อันตรายทั้งหลายสามารถขโมยข้อมูลผู้ใช้ Facebook ไปได้โดยง่าย ถึงแม้ว่าผู้ใช้ดังกล่าวจะลบ App นั้นออกไปแล้วก็ตาม

จากการตรวจสอบพบว่า เว็บไซต์ NameTests มีช่องโหว่นี้ตั้งแค่ช่วงปลายปี 2016 ถึงแม้ว่า Ceukelaire จะไม่ได้กล่าวถึงสาเหตุของปัญหาดังกล่าวที่ทำให้ข้อมูลรั่วไปยังเว็บไซต์อื่นๆ ได้ แต่คาดว่าเกิดจากการตั้งค่า “Access-Control-Allow-Origin” Header Policy บนเว็บไซต์ผิดพลาด ส่งผลให้เว็บไซต์ใดก็ตามสามารถร้องขอเพื่อเข้าถึงข้อมูลบนเว็บไซต์ NameTests ได้

Ceukelaire ได้รายงานปัญหาที่เขาค้นพบไปยัง Facebook ผ่านทาง Data Abuse Bounty Program เมื่อวันที่ 22 เมษายนที่ผ่านมา ซึ่ง Facebook ก็ได้ตอบกลับมาว่าคงใช้เวลาประมาณ 3 – 6 เดือนในการตรวจสอบปัญหาดังกล่าว อย่างไรก็ตาม หลังจากผ่านไป 2 เดือน NameTests ได้แก้ไขปัญหาที่เกิดขึ้นนี้เป็นที่เรียบร้อย แล้วแจ้งมายัง Ceukelaire ว่า ไม่พบหลักฐานว่ามีบุคคลที่สามนำข้อมูลเหล่านี้ไปใช้ในทางที่ผิดแต่อย่างใด

รายละเอียดเชิงเทคนิค: https://medium.com/@intideceukelaire/this-popular-facebook-app-publicly-exposed-your-data-for-years-12483418eff8

ที่มา: https://thehackernews.com/2018/06/facebook-users-data-leak.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนา Red Hat Exclusive Round table : Enabling Digital Transformation the Open Hybrid Way

หลายปีที่ผ่านมากระแสของการทำ Digital Transformation เกิดขึ้นอย่างเข้มข้น ซึ่งองค์กรทุกแห่งตระหนักและพยายามที่จะหาช่องที่ทำให้เรื่องนี้สำเร็จได้จริงมาโดยตลอด แต่ปีก่อนนี้องค์กรถูกท้าทายและกระตุ้นให้ธุรกิจเปลี่ยนผ่านสู่ยุคดิจิทัลอย่างฉับพลัน ด้วยสภาวะการณ์คับขันจากโปรเจ็คที่วางแผนมานานปีกลับเกิดขึ้นเพียงเวลาไม่กี่สัปดาห์ ทั้งนี้ความท้าทายของการเปลี่ยนผ่านไม่ได้จบลงเพียงเท่านั้นเพราะในระยะยาวเทรนด์ของโลกกำลังเข้าสู่ยุคของโอเพ่นซอร์สนั่นเอง Red Hat ผู้ให้บริการซอฟต์แวร์ Commercial Open Source จึงได้จัดงานสัมมนาครั้งนี้ขึ้น …

Salesforce Webinar: เมื่อพฤติกรรมลูกค้าเปลี่ยน ธุรกิจต้องรับมือยังไงในยุค Next Normal

M Intelligence ร่วมกับ Salesforce ขอเรียนเชิญผู้ประกอบการธุรกิจ Digital Leaders และผู้ที่สนใจ เข้าร่วมงานสัมมนาออนไลน์ Salesforce Webinar เรื่อง "เมื่อพฤติกรรมลูกค้าเปลี่ยน ธุรกิจต้องรับมือยังไงในยุค Next Normal" ในวันจันทร์ที่ 27 กันยายน 2021 เวลา 14:00 น.​ ลงทะเบียนเข้าร่วมงานได้ฟรี