Breaking News
AMR | Citrix Webinar: The Next New Normal

พบช่องโหว่บน Facebook ทำให้ผู้ใช้งานสามารถลบ Video ใดๆก็ได้ตามต้องการ

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

นักวิจัยทางด้านความปลอดภัยจากอินเดีย Pranav Hivarekar ได้ค้นพบวิธีที่ทำให้ตนเองสามารถลบ Video ใดๆก็ได้บน Facebook ถึงแม้ว่าจะไม่ได้เป็นเจ้าของ Video นั้นก็ตาม

ช่องโหว่นี้เกิดขึ้นจากฟีเจอร์ Videos in Comments ที่อนุญาตให้ผู้ใช้งานสามารถทำการ Comment เป็น Video ได้ ซึ่ง Facebook เพิ่งเปิดตัวได้ไม่นาน โดย Pranav ได้ทดลองเล่นกับ Facebook API และได้ค้นพบว่าเขาสามารถทำการลบ Video ใดๆก็ได้ จากการใช้ API เพื่อลบ Video ซึ่งแนวคิดก็คือ เมื่อผู้ใช้งานทำการอัพโหลด Video แล้ว จะได้ Video ID เป็นเลขชุดหนึ่งกลับมา ซึ่งสามารถใช้อ้างอิงในการลบ Video ได้ โดยเริ่มจากทำการ Post Comment แบบปกติ หลังจากนั้นทำการ Edit Comment เปลี่ยน Comment นั้นเป็นการแนบ Video ID ที่ต้องการลบผ่านทาง API แทน หลังจากนั้นก็ส่ง API request สำหรับ Delete Comment นั้น แต่เนื่องจาก Facebook ไม่ได้ทำการตรวจสอบสิทธิของการลบ Video ทำให้สามารถลบ Video ใดๆก็ได้บน Facebook ได้ทันที

Pranav ได้ทำการแจ้ง Facebook ผ่านโครงการ Bug Bounty ไปเมื่อวันที่ 11 มิถุนายน เพียง 2 วันหลังจากฟีเจอร์ Videos in Comments ได้เริ่มเปิดใช้งาน ซึ่ง Facebook ก็ใช้เวลาเพียงแค่ 23 นาทีในการแก้ไขเท่านั้น โดย Pranav ได้รับรางวัลจาก Facebook จำนวนเงินเป็นตัวเลขถึง 5 หลัก สำหรับการรายงานช่องโหว่นี้

ที่มา : http://www.techworm.net/2016/06/facebook-vulnerability-allows-hackers-delete-video-fb.html



About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

Fortinet Webinar Series EP #7: Fortinet’s Management and Analytics

ในยุค Digital Transformation การโจมตีทางไซเบอร์จากภัยคุกคามขั้นสูงกำลังขยายตัวในอัตราที่รวดเร็ว ทำให้ยากที่จะป้องกัน จากการสำรวจพบว่า เกือบ 80% ขององค์กรต่างๆ ที่กำลังนำเสนอนวัตกรรมดิจิทัลที่รวดเร็วอยู่นั้น กลับขาดความสามารถในการรับมือกับการโจมตีทางไซเบอร์

A10 Webinar: COVID-19 สอนอะไรเราในการรับมือภัยคุกคามที่เกิดจากการใช้ SSL/TLS Protocol

A10 Networks ร่วมกับ Westcon Group (Thailand) ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วม A10 Webinar เรื่อง “COVID-19 สอนอะไรเราในการรับมือภัยคุกคามที่เกิดจากการใช้ SSL/TLS Protocol” พร้อมรู้จักเทคโนโลยี Centralized SSL/TLS Decryption เพื่อยกระดับการรักษาความมั่นคงปลอดภัยในยุคที่การเข้ารหัสข้อมูลกลายเป็น New Normal บนระบบเครือข่าย ในวันศุกร์ที่ 5 มิถุนายน 2020 เวลา 14:00 - 15:30 น. ผ่าน Live Webinar ฟรี