พบช่องโหว่เผยชื่อผู้ดูแลเพจ Facebook ในอีเมลชวนกด Like

นาย Mohamed Baset นักวิจัยด้านความมั่นคงปลอดภัยได้บัญเอิญค้นพบ Bug ของ Facebook ที่เผยให้เห็นถึงรายละเอียดของผู้ดูแลเพจภายในอีเมลที่ส่งมากจากเพจที่เชื้อเชิญให้ตนไป Like โดยนักวิจัยได้รางวัลตอบแทนไปเบาๆ 2,500 ดอลล่าร์สหรัฐฯ

credit : Securityweek.com

นักวิจัยได้ค้นพบการเปิดเผยรายละเอียดของผู้ดูแลเพจจากการดู Raw Content บน HTML โดยบังเอิญเพราะเกิดเอะใจว่าไม่เคยได้รับอีเมลเชื้อเชิญให้กด Like เพจที่ตนได้เคยกด Like เนื้อหาภายในเพจนั้นและอยากค้นหาต่อว่าจะมีรายละเอียดอะไร ปรากฏว่าพบรายละเอียดของผู้ดูแลเพจที่เป็นคนกดปุ่มส่งข้อความเข้ามา อย่างไรก็ตามสำหรับเจ้าของเพจส่วนตัวทั่วๆ ไป มันดูไม่น่าร้ายแรงมากนักเพราะปกติแล้วผู้ดูแลระบบและเพจจะมีการแชร์ตัวตนร่วมกันอยู่แล้ว ดังนั้นข้อมูลที่เผยในอีเมลจึงไม่ได้ให้อะไรมากนัก แต่สำหรับเพจธุรกิจหรือทางสังคมการเผยตัวตนของผู้ดูแลระบบร่วม (อาจจะเป็นลูกจ้างในองค์กร) โดยไม่มีการขออนุญาตถือเป็นเรื่องสำคัญเพราะอาจกลายเป็นช่องทางให้ถูกรบกวนความเป็นส่วนตัวของตัวตนจริงๆ ได้

โดย Facebook ได้แพตซ์แก้ไขเรียบร้อยแล้วดังนั้นเจ้าของเพจและผู้ใช้งานจึงวางใจได้ แต่ในกรณีของนักหา Bug ทั้งหลายจงจำไว้ว่าพยายามสำรวจสิ่งต่างๆ ให้รอบคอบเพราะอาจจะมีอะไรหลบซ่อนอยู่ อีกทั้งสำหรับนักพัฒนาเว็บเองนี่คือตัวอย่างที่ดีในการสำรวจว่าระบบของตนมีข้อมูลที่ไม่สมควรใดๆ หลุดรอดออกไปได้บ้าง

ที่มา : https://nakedsecurity.sophos.com/2018/02/26/facebook-bug-reveals-identity-of-page-admin-via-email/ และ https://www.securityweek.com/facebook-flaw-exposed-page-administrators



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เปิดตัว Microsoft Research Open Data แจกฟรี Dataset ผ่าน Cloud

Microsoft ออกมาประกาศเปิดตัวโครงการ Microsoft Research Open Data เพื่อแบ่งปันข้อมูลที่ Microsoft มีอยู่ผ่านทาง Cloud เพื่อให้นำไปใช้วิเคราะห์และทดลองเรียนรู้จากข้อมูลดังกล่าวได้

Supermicro จับมือ Red Hat ทำลายสถิติโลก ประมวลผลด้านการเงินเร็วสูงสุด

Supermicro, Red Hat และ Solarflare ได้ออกมาประกาศร่วมกันถึงความสำเร็จในการทำลายสถิติโลกด้านระบบประมวลผลทางด้านการเงินที่มี Latency ต่ำที่สุดใน STAC-N1 Benchmark อย่างเป็นทางการ