Breaking News
AMR | Citrix Webinar: The Next New Normal

พบช่องโหว่ CSRF บน Facebook อาจทำข้อมูลคุณหลุดสู่สาธารณะ

Ton Masas นักวิจัยด้านความมั่นคงปลอดภัยจาก Imperva ผู้ให้บริการโซลูชัน Web Security และ Data Security ชื่อดัง ออกมาเปิดเผยถึงอีกหนึ่งช่องโหว่บน Facebook ที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และรายชื่อเพื่อนได้ อย่างไรก็ตาม Facebook ได้ทำการอัปเดตแพตช์เพื่ออุดช่องโหว่เรียบร้อยแล้ว

Credit: JaysonPhotography/ShutterStock.com

ช่องโหว่ดังกล่าวถูกค้นพบบนกระบวนการแสดงผลลัพธ์การค้นหาผ่านทางฟีเจอร์ Facebook Search โดยหน้าเพจที่แสดงผลลัพธ์การค้นหาดังกล่าวจะประกอบด้วย iFrame ที่เกี่ยวข้องกับแต่ละผลลัพธ์ ซึ่ง Endpoint URL ของแต่ละ iFrame เหล่านั้นไม่มีกลไกในการป้องกันการโจมตีแบบ Cross-site Request Forgery (CSRF) ส่งผลให้แฮ็กเกอร์สามารถขโมยข้อมูลส่วนบุคคลของผู้ใช้ออกไปใช้

การโจมตีแบบ CSRF ผ่านช่องโหว่นี้ทำได้ไม่ยาก เพียงแค่ฝังโค้ด JavaScript ที่พร้อมรันแบบ Background เมื่อมีการกดคลิกบนหน้าเพจลงไป แล้วหลอกให้เหยื่อที่ล็อกอิน Facebook ค้างไว้อยู่แล้วเข้าถึงหน้าเพจดังกล่าว เมื่อเหยื่อเผลอกดคลิกเมาส์ โค้ด JavaScript จะเปิดแท็บหรือหน้าต่างใหม่ขึ้นมาเพื่อเข้าถึง Facebook URL หนึ่งที่จะรันการค้นหาบางอย่างที่เตรียมไว้ แล้วตรวจสอบผลลัพธ์เพื่อถอดข้อมูลส่วนบุคคลของเหยื่อออกมา

ถึงแม้ว่าการค้นหาบน Facebook อาจจะไม่ได้ให้ข้อมูลมากนัก โดยเฉพาะเมื่อถามตอบแค่ Yes กับ No แต่ถ้าใช้อย่างถูกต้อง ฟีเจอร์ Facebook Search อาจถูกใช้เพื่อสกัดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ Facebook ของผู้ใช้ออกมาได้ ยกตัวอย่างคำถาม เช่น

  • ถ้าคุณมีเพื่อนชื่อนี้ หรือมีคำนี้ประกอบอยู่ในชื่อ
  • ถ้าคุณกด Like เพจหนึ่ง หรือเป็นสมาชิกของ Group หนึ่งอยู่
  • ถ้าคุณมีเพื่อนที่กด Like เพจหนึ่งอยู่
  • ถ้าคุณเคยถ่ายรูป ณ สถานที่หรือประเทศแห่งหนึ่ง
  • ถ้าคุณเคยโพสต์รูปภาพ ณ สถานที่หรือประเทศแห่งหนึ่ง
  • ถ้าคุณเคยโพสต์ข้อความบน Timeline ที่มีข้อความหรือคีย์เวิร์ดนี้ประกอบอยู่
  • ถ้าคุณมีเพื่อนนับถือศาสนาอิสลาม

Imperva ได้รายงานช่องโหว่นี้ไปยัง Facebook เมื่อเดือนพฤษภาคม 2018 ที่ผ่านมา ซึ่งทาง Facebook ก็ได้ออกแพตช์เพิ่มกลไกการป้องกัน CSRF เพื่อแก้ไขเพียงไม่กี่วันหลังจากนั้น

ที่มา: https://thehackernews.com/2018/11/facebook-vulnerability-hack.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สิงคโปร์เตรียมยกระดับการเข้ารหัสข้อมูลด้วย Quantum Cryptography

ST Engineering และ National University of Singapore (NUS) เตรียมนำ Measurement-Device-Independent Quantum Key Distribution (MDI QKD) …

NTT แจ้งเหตุ Security Breach

Nippon Telegraph&Telephone (NTT) บริษัทยักษ์ใหญ่ของญี่ปุ่นได้ออกมาเปิดเผยเหตุถูกโจมตี โดยคนร้ายสามารถลอบเข้าไปขโมยข้อมูลของลูกค้า 621 รายของบริษัทในเครือ NTT Communications