รั่วอีกแล้ว!! ข้อมูลผู้ใช้ Facebook เกือบ 120 ล้านคนหลุดผ่าน Quiz App

ไม่นานหลังจากประเด็นข้อมูลรั่วจาก Cambridge Analytica เริ่มซา Facebook ก็ต้องประสบกับปัญหาใหม่ เมื่อข้อมูลผู้ใช้ประมาณ 120 ล้านคนหลุดผ่านการเล่น Quiz App มานานนับปี

Credit: NameTests.com

เมื่อต้นปีที่ผ่านมา Facebook ได้ตกเป็นจำเลยสังคมและเกิดความเคลือบแคลงเกี่ยวกับประเด็นด้านความเป็นส่วนบุคคล เมื่อมีการค้นพบว่าเจ้าของ Quiz App รายหนึ่งบน Facebook ได้ขายข้อมูลผู้ใช้กว่า 87 ล้านคนให้แก่บริษัทที่ปรึกษาด้านการเมือง ซึ่งเชื่อกันว่าเป็นสาเหตุให้ Donald Trump เป็นผู้ชนะในการเลือกตั้งประธานาธิบดีในปี 2016 ล่าสุด พบว่าเจ้าของ Quiz App อีกราย นามว่า NameTests ได้ทำข้อมูลผู้ใช้ Facebook มากถึง 120 ล้านคนรั่วสู่สาธารณะ ส่งผลให้ใครก็ตามรวมไปถึงแฮ็กเกอร์ที่ค้นพบข้อมูลดังกล่าว สามารถนำไปใช้ประโยชน์ต่อได้ทันที

NameTests.com เป็นเว็บไซต์ที่อยู่เบื้องหลัง Quiz App ยอดนิยมอย่าง “Which Disney Princess Are You?” ซึ่งมีผู้เข้าร่วมเล่นมากถึง 120 ล้านคนในแต่ละเดือน ส่งผลให้เว็บไซต์ดังกล่าวกลายเป็นหนึ่งในผู้ที่รวบรวมโปรไฟล์ของผู้ใช้ Facebook มากที่สุดในโลก แน่นอนว่าข้อมูลที่ได้มาถูกต้องด้วยกฎหมาย เนื่องจากผู้ใช้เลือกยินยอมที่จะเปิดเผยข้อมูลของตนเพื่อเล่นเกมตอบคำถามดังกล่าว

อย่างไรก็ตาม Inti De Ceukelaire นักวิจัยด้านความมั่นคงปลอดภัยพบว่า หลังจากที่เขาลองตอบคำถามผ่าน NameTests App ข้อมูลส่วนบุคคลของเขา เช่น ชื่อนามสกุล วันเกิด เพศ อายุ และอื่นๆ จะถูกเก็บบันทึกลงไฟล์ JSON ซึ่งเว็บไซต์อื่นๆ ที่เปิดบนเบราว์เซอร์เดียวกันสามารถเข้าถึงข้อมูลเหล่านี้ได้เพียงแค่ร้องขอ ส่งผลให้เว็บไซต์อันตรายทั้งหลายสามารถขโมยข้อมูลผู้ใช้ Facebook ไปได้โดยง่าย ถึงแม้ว่าผู้ใช้ดังกล่าวจะลบ App นั้นออกไปแล้วก็ตาม

จากการตรวจสอบพบว่า เว็บไซต์ NameTests มีช่องโหว่นี้ตั้งแค่ช่วงปลายปี 2016 ถึงแม้ว่า Ceukelaire จะไม่ได้กล่าวถึงสาเหตุของปัญหาดังกล่าวที่ทำให้ข้อมูลรั่วไปยังเว็บไซต์อื่นๆ ได้ แต่คาดว่าเกิดจากการตั้งค่า “Access-Control-Allow-Origin” Header Policy บนเว็บไซต์ผิดพลาด ส่งผลให้เว็บไซต์ใดก็ตามสามารถร้องขอเพื่อเข้าถึงข้อมูลบนเว็บไซต์ NameTests ได้

Ceukelaire ได้รายงานปัญหาที่เขาค้นพบไปยัง Facebook ผ่านทาง Data Abuse Bounty Program เมื่อวันที่ 22 เมษายนที่ผ่านมา ซึ่ง Facebook ก็ได้ตอบกลับมาว่าคงใช้เวลาประมาณ 3 – 6 เดือนในการตรวจสอบปัญหาดังกล่าว อย่างไรก็ตาม หลังจากผ่านไป 2 เดือน NameTests ได้แก้ไขปัญหาที่เกิดขึ้นนี้เป็นที่เรียบร้อย แล้วแจ้งมายัง Ceukelaire ว่า ไม่พบหลักฐานว่ามีบุคคลที่สามนำข้อมูลเหล่านี้ไปใช้ในทางที่ผิดแต่อย่างใด

รายละเอียดเชิงเทคนิค: https://medium.com/@intideceukelaire/this-popular-facebook-app-publicly-exposed-your-data-for-years-12483418eff8

ที่มา: https://thehackernews.com/2018/06/facebook-users-data-leak.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Oracle เผย เขียนโค้ดบน Solaris ใหม่ เปลี่ยนจากภาษา C เป็น Python เร็วขึ้น 17 เท่า

ทีมพัฒนาจาก Oracle ได้ออกมาเผยถึงการเขียนคำสั่ง listusers บน Solaris ใหม่ จากเดิมที่เคยใช้ภาษา C ในการพัฒนา เปลี่ยนมาใช้ Python 3 และพบว่าคำสั่งนี้สามารถทำงานได้เร็วขึ้นถึง 17 เท่า ในขณะที่โค้ดมีความยาวน้อยลงกว่าเดิมถึง 10 เท่า

ชมย้อนหลัง งาน ISS & SAP User Conference 2019

เมื่อวันพฤหัสบดีที่ 17 ตุลาคมที่ผ่านมา ISS Consulting ได้จัดงาน ISS & SAP User Conference 2019 ขึ้นภายใต้ธีม “Innovation Now” …