พบช่องโหว่ CSRF บน Facebook อาจทำข้อมูลคุณหลุดสู่สาธารณะ

Ton Masas นักวิจัยด้านความมั่นคงปลอดภัยจาก Imperva ผู้ให้บริการโซลูชัน Web Security และ Data Security ชื่อดัง ออกมาเปิดเผยถึงอีกหนึ่งช่องโหว่บน Facebook ที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และรายชื่อเพื่อนได้ อย่างไรก็ตาม Facebook ได้ทำการอัปเดตแพตช์เพื่ออุดช่องโหว่เรียบร้อยแล้ว

Credit: JaysonPhotography/ShutterStock.com

ช่องโหว่ดังกล่าวถูกค้นพบบนกระบวนการแสดงผลลัพธ์การค้นหาผ่านทางฟีเจอร์ Facebook Search โดยหน้าเพจที่แสดงผลลัพธ์การค้นหาดังกล่าวจะประกอบด้วย iFrame ที่เกี่ยวข้องกับแต่ละผลลัพธ์ ซึ่ง Endpoint URL ของแต่ละ iFrame เหล่านั้นไม่มีกลไกในการป้องกันการโจมตีแบบ Cross-site Request Forgery (CSRF) ส่งผลให้แฮ็กเกอร์สามารถขโมยข้อมูลส่วนบุคคลของผู้ใช้ออกไปใช้

การโจมตีแบบ CSRF ผ่านช่องโหว่นี้ทำได้ไม่ยาก เพียงแค่ฝังโค้ด JavaScript ที่พร้อมรันแบบ Background เมื่อมีการกดคลิกบนหน้าเพจลงไป แล้วหลอกให้เหยื่อที่ล็อกอิน Facebook ค้างไว้อยู่แล้วเข้าถึงหน้าเพจดังกล่าว เมื่อเหยื่อเผลอกดคลิกเมาส์ โค้ด JavaScript จะเปิดแท็บหรือหน้าต่างใหม่ขึ้นมาเพื่อเข้าถึง Facebook URL หนึ่งที่จะรันการค้นหาบางอย่างที่เตรียมไว้ แล้วตรวจสอบผลลัพธ์เพื่อถอดข้อมูลส่วนบุคคลของเหยื่อออกมา

ถึงแม้ว่าการค้นหาบน Facebook อาจจะไม่ได้ให้ข้อมูลมากนัก โดยเฉพาะเมื่อถามตอบแค่ Yes กับ No แต่ถ้าใช้อย่างถูกต้อง ฟีเจอร์ Facebook Search อาจถูกใช้เพื่อสกัดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ Facebook ของผู้ใช้ออกมาได้ ยกตัวอย่างคำถาม เช่น

  • ถ้าคุณมีเพื่อนชื่อนี้ หรือมีคำนี้ประกอบอยู่ในชื่อ
  • ถ้าคุณกด Like เพจหนึ่ง หรือเป็นสมาชิกของ Group หนึ่งอยู่
  • ถ้าคุณมีเพื่อนที่กด Like เพจหนึ่งอยู่
  • ถ้าคุณเคยถ่ายรูป ณ สถานที่หรือประเทศแห่งหนึ่ง
  • ถ้าคุณเคยโพสต์รูปภาพ ณ สถานที่หรือประเทศแห่งหนึ่ง
  • ถ้าคุณเคยโพสต์ข้อความบน Timeline ที่มีข้อความหรือคีย์เวิร์ดนี้ประกอบอยู่
  • ถ้าคุณมีเพื่อนนับถือศาสนาอิสลาม

Imperva ได้รายงานช่องโหว่นี้ไปยัง Facebook เมื่อเดือนพฤษภาคม 2018 ที่ผ่านมา ซึ่งทาง Facebook ก็ได้ออกแพตช์เพิ่มกลไกการป้องกัน CSRF เพื่อแก้ไขเพียงไม่กี่วันหลังจากนั้น

ที่มา: https://thehackernews.com/2018/11/facebook-vulnerability-hack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] 8 ขั้นตอนนำ Cloud Security สู่ความสำเร็จในปี 2023 โดย Sophos

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Sophos Webinar เรื่อง “8 ขั้นตอนนำ Cloud Security สู่ความสำเร็จในปี 2023” พร้อมคำแนะนำในการตั้งค่า ควบคุมการเข้าถึง และรักษาข้อมูลบน Cloud ให้มั่นคงปลอดภัย …

CISA ออกเตือนให้เร่งแพตช์ช่องโหว่บน Oracle Fusion Middleware

ช่องโหว่ที่ CISA แจ้งเตือนนี้ไม่ใช่ช่องโหว่ใหม่แต่อย่างใด โดยมีแพตช์ออกมาตั้งแต่เมื่อเดือนมกราคม 2022 แล้ว ซึ่งด้วยความอันตรายและดึงดูดต่อการใช้งานทำให้ล่าสุด CISA ได้เพิ่มช่องโหว่นี้ในฐานข้อมูลของตนพร้อมเตือนผู้ใช้งานทุกราย