พบช่องโหว่บน Facebook ทำให้ผู้ใช้งานสามารถลบ Video ใดๆก็ได้ตามต้องการ

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

นักวิจัยทางด้านความปลอดภัยจากอินเดีย Pranav Hivarekar ได้ค้นพบวิธีที่ทำให้ตนเองสามารถลบ Video ใดๆก็ได้บน Facebook ถึงแม้ว่าจะไม่ได้เป็นเจ้าของ Video นั้นก็ตาม

ช่องโหว่นี้เกิดขึ้นจากฟีเจอร์ Videos in Comments ที่อนุญาตให้ผู้ใช้งานสามารถทำการ Comment เป็น Video ได้ ซึ่ง Facebook เพิ่งเปิดตัวได้ไม่นาน โดย Pranav ได้ทดลองเล่นกับ Facebook API และได้ค้นพบว่าเขาสามารถทำการลบ Video ใดๆก็ได้ จากการใช้ API เพื่อลบ Video ซึ่งแนวคิดก็คือ เมื่อผู้ใช้งานทำการอัพโหลด Video แล้ว จะได้ Video ID เป็นเลขชุดหนึ่งกลับมา ซึ่งสามารถใช้อ้างอิงในการลบ Video ได้ โดยเริ่มจากทำการ Post Comment แบบปกติ หลังจากนั้นทำการ Edit Comment เปลี่ยน Comment นั้นเป็นการแนบ Video ID ที่ต้องการลบผ่านทาง API แทน หลังจากนั้นก็ส่ง API request สำหรับ Delete Comment นั้น แต่เนื่องจาก Facebook ไม่ได้ทำการตรวจสอบสิทธิของการลบ Video ทำให้สามารถลบ Video ใดๆก็ได้บน Facebook ได้ทันที

Pranav ได้ทำการแจ้ง Facebook ผ่านโครงการ Bug Bounty ไปเมื่อวันที่ 11 มิถุนายน เพียง 2 วันหลังจากฟีเจอร์ Videos in Comments ได้เริ่มเปิดใช้งาน ซึ่ง Facebook ก็ใช้เวลาเพียงแค่ 23 นาทีในการแก้ไขเท่านั้น โดย Pranav ได้รับรางวัลจาก Facebook จำนวนเงินเป็นตัวเลขถึง 5 หลัก สำหรับการรายงานช่องโหว่นี้

ที่มา : http://www.techworm.net/2016/06/facebook-vulnerability-allows-hackers-delete-video-fb.html


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

Google กำลังเพิ่ม IT Security ใน Chrome

Google ประกาศเพิ่ม Enterprise Connectors Framework แบบ Plug-and-Play เข้ากับ Chrome พร้อมเครื่องมือด้าน IT Security  

ผู้เชี่ยวชาญพบมัลแวร์ ChromeLoader เพิ่มจำนวนขึ้น แนะระวังการดาวน์โหลดซอฟต์แวร์

ChromeLoader เป็นมัลแวร์ที่มีจุดประสงค์ในการ Hijack บราวน์เซอร์ของผู้ใช้ที่น่าจับตา เนื่องจากความสามารถด้านการฝังตัวยาวนาน และจำนวนที่พบมากขึ้นเรื่อยๆ