พบช่องโหว่เผยชื่อผู้ดูแลเพจ Facebook ในอีเมลชวนกด Like

นาย Mohamed Baset นักวิจัยด้านความมั่นคงปลอดภัยได้บัญเอิญค้นพบ Bug ของ Facebook ที่เผยให้เห็นถึงรายละเอียดของผู้ดูแลเพจภายในอีเมลที่ส่งมากจากเพจที่เชื้อเชิญให้ตนไป Like โดยนักวิจัยได้รางวัลตอบแทนไปเบาๆ 2,500 ดอลล่าร์สหรัฐฯ

credit : Securityweek.com

นักวิจัยได้ค้นพบการเปิดเผยรายละเอียดของผู้ดูแลเพจจากการดู Raw Content บน HTML โดยบังเอิญเพราะเกิดเอะใจว่าไม่เคยได้รับอีเมลเชื้อเชิญให้กด Like เพจที่ตนได้เคยกด Like เนื้อหาภายในเพจนั้นและอยากค้นหาต่อว่าจะมีรายละเอียดอะไร ปรากฏว่าพบรายละเอียดของผู้ดูแลเพจที่เป็นคนกดปุ่มส่งข้อความเข้ามา อย่างไรก็ตามสำหรับเจ้าของเพจส่วนตัวทั่วๆ ไป มันดูไม่น่าร้ายแรงมากนักเพราะปกติแล้วผู้ดูแลระบบและเพจจะมีการแชร์ตัวตนร่วมกันอยู่แล้ว ดังนั้นข้อมูลที่เผยในอีเมลจึงไม่ได้ให้อะไรมากนัก แต่สำหรับเพจธุรกิจหรือทางสังคมการเผยตัวตนของผู้ดูแลระบบร่วม (อาจจะเป็นลูกจ้างในองค์กร) โดยไม่มีการขออนุญาตถือเป็นเรื่องสำคัญเพราะอาจกลายเป็นช่องทางให้ถูกรบกวนความเป็นส่วนตัวของตัวตนจริงๆ ได้

โดย Facebook ได้แพตซ์แก้ไขเรียบร้อยแล้วดังนั้นเจ้าของเพจและผู้ใช้งานจึงวางใจได้ แต่ในกรณีของนักหา Bug ทั้งหลายจงจำไว้ว่าพยายามสำรวจสิ่งต่างๆ ให้รอบคอบเพราะอาจจะมีอะไรหลบซ่อนอยู่ อีกทั้งสำหรับนักพัฒนาเว็บเองนี่คือตัวอย่างที่ดีในการสำรวจว่าระบบของตนมีข้อมูลที่ไม่สมควรใดๆ หลุดรอดออกไปได้บ้าง

ที่มา : https://nakedsecurity.sophos.com/2018/02/26/facebook-bug-reveals-identity-of-page-admin-via-email/ และ https://www.securityweek.com/facebook-flaw-exposed-page-administrators


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ