Breaking News

พบช่องโหว่เผยชื่อผู้ดูแลเพจ Facebook ในอีเมลชวนกด Like

นาย Mohamed Baset นักวิจัยด้านความมั่นคงปลอดภัยได้บัญเอิญค้นพบ Bug ของ Facebook ที่เผยให้เห็นถึงรายละเอียดของผู้ดูแลเพจภายในอีเมลที่ส่งมากจากเพจที่เชื้อเชิญให้ตนไป Like โดยนักวิจัยได้รางวัลตอบแทนไปเบาๆ 2,500 ดอลล่าร์สหรัฐฯ

credit : Securityweek.com

นักวิจัยได้ค้นพบการเปิดเผยรายละเอียดของผู้ดูแลเพจจากการดู Raw Content บน HTML โดยบังเอิญเพราะเกิดเอะใจว่าไม่เคยได้รับอีเมลเชื้อเชิญให้กด Like เพจที่ตนได้เคยกด Like เนื้อหาภายในเพจนั้นและอยากค้นหาต่อว่าจะมีรายละเอียดอะไร ปรากฏว่าพบรายละเอียดของผู้ดูแลเพจที่เป็นคนกดปุ่มส่งข้อความเข้ามา อย่างไรก็ตามสำหรับเจ้าของเพจส่วนตัวทั่วๆ ไป มันดูไม่น่าร้ายแรงมากนักเพราะปกติแล้วผู้ดูแลระบบและเพจจะมีการแชร์ตัวตนร่วมกันอยู่แล้ว ดังนั้นข้อมูลที่เผยในอีเมลจึงไม่ได้ให้อะไรมากนัก แต่สำหรับเพจธุรกิจหรือทางสังคมการเผยตัวตนของผู้ดูแลระบบร่วม (อาจจะเป็นลูกจ้างในองค์กร) โดยไม่มีการขออนุญาตถือเป็นเรื่องสำคัญเพราะอาจกลายเป็นช่องทางให้ถูกรบกวนความเป็นส่วนตัวของตัวตนจริงๆ ได้

โดย Facebook ได้แพตซ์แก้ไขเรียบร้อยแล้วดังนั้นเจ้าของเพจและผู้ใช้งานจึงวางใจได้ แต่ในกรณีของนักหา Bug ทั้งหลายจงจำไว้ว่าพยายามสำรวจสิ่งต่างๆ ให้รอบคอบเพราะอาจจะมีอะไรหลบซ่อนอยู่ อีกทั้งสำหรับนักพัฒนาเว็บเองนี่คือตัวอย่างที่ดีในการสำรวจว่าระบบของตนมีข้อมูลที่ไม่สมควรใดๆ หลุดรอดออกไปได้บ้าง

ที่มา : https://nakedsecurity.sophos.com/2018/02/26/facebook-bug-reveals-identity-of-page-admin-via-email/ และ https://www.securityweek.com/facebook-flaw-exposed-page-administrators




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เทคโนโลยีของ Alibaba กับการพัฒนาเมืองและช่วยอนุรักษ์สัตว์ป่าใกล้สูญพันธุ์

นอกจากการพูดของ Jack Ma แล้วในช่วง Keynote กว่า 3 ชั่วโมงนั้นยังมีสิ่งที่น่าสนใจอีกหลายด้าน เช่น การใช้ประโยชน์ของเทคโนโลยีในชีวิตจริงที่ช่วยยกระดับคุณภาพชีวิตของประชาชนชาวจีน นอกจากนี้ยังได้มีการใช้เทคโนโลยีเพื่ออนุรักษ์สัตว์ใกล้สูญพันธุ์ในประเทศเคนย่าอีกด้วย

Red Hat, Hortonworks และ IBM ประกาศความร่วมมือ พัฒนาระบบ Containerized Big-Data ทำงานได้แบบ Hybrid

Red Hat, Hortonworks และ IBM ประกาศสร้างความร่วมมือ Open Hybrid Architecture Initiative พัฒนาระบบ Containerized Big-data workloads ทำงานได้แบบ …