Breaking News

รั่วอีกแล้ว!! ข้อมูลผู้ใช้ Facebook เกือบ 120 ล้านคนหลุดผ่าน Quiz App

ไม่นานหลังจากประเด็นข้อมูลรั่วจาก Cambridge Analytica เริ่มซา Facebook ก็ต้องประสบกับปัญหาใหม่ เมื่อข้อมูลผู้ใช้ประมาณ 120 ล้านคนหลุดผ่านการเล่น Quiz App มานานนับปี

Credit: NameTests.com

เมื่อต้นปีที่ผ่านมา Facebook ได้ตกเป็นจำเลยสังคมและเกิดความเคลือบแคลงเกี่ยวกับประเด็นด้านความเป็นส่วนบุคคล เมื่อมีการค้นพบว่าเจ้าของ Quiz App รายหนึ่งบน Facebook ได้ขายข้อมูลผู้ใช้กว่า 87 ล้านคนให้แก่บริษัทที่ปรึกษาด้านการเมือง ซึ่งเชื่อกันว่าเป็นสาเหตุให้ Donald Trump เป็นผู้ชนะในการเลือกตั้งประธานาธิบดีในปี 2016 ล่าสุด พบว่าเจ้าของ Quiz App อีกราย นามว่า NameTests ได้ทำข้อมูลผู้ใช้ Facebook มากถึง 120 ล้านคนรั่วสู่สาธารณะ ส่งผลให้ใครก็ตามรวมไปถึงแฮ็กเกอร์ที่ค้นพบข้อมูลดังกล่าว สามารถนำไปใช้ประโยชน์ต่อได้ทันที

NameTests.com เป็นเว็บไซต์ที่อยู่เบื้องหลัง Quiz App ยอดนิยมอย่าง “Which Disney Princess Are You?” ซึ่งมีผู้เข้าร่วมเล่นมากถึง 120 ล้านคนในแต่ละเดือน ส่งผลให้เว็บไซต์ดังกล่าวกลายเป็นหนึ่งในผู้ที่รวบรวมโปรไฟล์ของผู้ใช้ Facebook มากที่สุดในโลก แน่นอนว่าข้อมูลที่ได้มาถูกต้องด้วยกฎหมาย เนื่องจากผู้ใช้เลือกยินยอมที่จะเปิดเผยข้อมูลของตนเพื่อเล่นเกมตอบคำถามดังกล่าว

อย่างไรก็ตาม Inti De Ceukelaire นักวิจัยด้านความมั่นคงปลอดภัยพบว่า หลังจากที่เขาลองตอบคำถามผ่าน NameTests App ข้อมูลส่วนบุคคลของเขา เช่น ชื่อนามสกุล วันเกิด เพศ อายุ และอื่นๆ จะถูกเก็บบันทึกลงไฟล์ JSON ซึ่งเว็บไซต์อื่นๆ ที่เปิดบนเบราว์เซอร์เดียวกันสามารถเข้าถึงข้อมูลเหล่านี้ได้เพียงแค่ร้องขอ ส่งผลให้เว็บไซต์อันตรายทั้งหลายสามารถขโมยข้อมูลผู้ใช้ Facebook ไปได้โดยง่าย ถึงแม้ว่าผู้ใช้ดังกล่าวจะลบ App นั้นออกไปแล้วก็ตาม

จากการตรวจสอบพบว่า เว็บไซต์ NameTests มีช่องโหว่นี้ตั้งแค่ช่วงปลายปี 2016 ถึงแม้ว่า Ceukelaire จะไม่ได้กล่าวถึงสาเหตุของปัญหาดังกล่าวที่ทำให้ข้อมูลรั่วไปยังเว็บไซต์อื่นๆ ได้ แต่คาดว่าเกิดจากการตั้งค่า “Access-Control-Allow-Origin” Header Policy บนเว็บไซต์ผิดพลาด ส่งผลให้เว็บไซต์ใดก็ตามสามารถร้องขอเพื่อเข้าถึงข้อมูลบนเว็บไซต์ NameTests ได้

Ceukelaire ได้รายงานปัญหาที่เขาค้นพบไปยัง Facebook ผ่านทาง Data Abuse Bounty Program เมื่อวันที่ 22 เมษายนที่ผ่านมา ซึ่ง Facebook ก็ได้ตอบกลับมาว่าคงใช้เวลาประมาณ 3 – 6 เดือนในการตรวจสอบปัญหาดังกล่าว อย่างไรก็ตาม หลังจากผ่านไป 2 เดือน NameTests ได้แก้ไขปัญหาที่เกิดขึ้นนี้เป็นที่เรียบร้อย แล้วแจ้งมายัง Ceukelaire ว่า ไม่พบหลักฐานว่ามีบุคคลที่สามนำข้อมูลเหล่านี้ไปใช้ในทางที่ผิดแต่อย่างใด

รายละเอียดเชิงเทคนิค: https://medium.com/@intideceukelaire/this-popular-facebook-app-publicly-exposed-your-data-for-years-12483418eff8

ที่มา: https://thehackernews.com/2018/06/facebook-users-data-leak.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ