เปิดเผยช่องโหว่ Facebook หลังแพทช์ กลับถูกลบข้อความทิ้ง

The Hacker News เว็บข่าวด้าน Security ชื่อดังได้ออกมาเปิดเผยช่องโหว่ Password Reset Vulnerability บน Facebook สู่สาธารณะ หลังจากที่ทีม Facebook ได้รับแจ้งช่องโหว่และทำการแพทช์เป็นที่เรียบร้อย กลับถูกทีมงาน Facebook ลบโพสต์ดังกล่าวทิ้งไปอย่างเงียบๆ (อ่านรายละเอียดช่องโหว่ Facebook ได้ด่านล่าง)

[Updated] ล่าสุด ทาง Facebook ได้ทำการ Restore โพสต์ที่ลบทิ้งไปให้กลับมาเข้าถึงได้เหมือนเดิมแล้ว

พบช่องโหว่แฮ็คชื่อบัญชี Facebook

Anand Prakash ผู้เชี่ยวชาญด้าน Security อิสระ ค้นพบช่องโหว่การรีเซ็ตรหัสผ่านของ Facebook ซึ่งช่วยให้เขาสามารถแฮ็คชื่อบัญชี Facebook เพื่อดูข้อความการสนทนา ข้อความที่โพสต์ ข้อมูลบัตรเครดิตที่ผูกกับชื่อบัญชี หรือทำอย่างอื่นเสมือนเป็นเจ้าของบัญชี ซึ่งหลังจากที่ค้นพบช่องโหว่ Anand ได้แจ้งเรื่องยัง Facebook ผ่าน Bug Bounty Program ซึ่งทาง Facebook ก็ได้ทำการแพทช์ช่องโหว่ดังกล่าวเรียบร้อย และมอบเงินรางวัลให้ Anand สูงถึง $15,000 หรือประมาณ 530,000 บาท

เปิดเผยเรื่องราวสู่สาธารณะ กลับถูก Facebook ลบข้อความทิ้ง

ที่น่าสงสัยคือ หลังจากที่ Facebook จัดการช่องโหว่เป็นที่เรียบร้อย The Hacker News ก็ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวสู่สาธารณะ แต่หลังจากโพสต์ไปไม่นาน ก็ถูกทีมงาน Facebook ลบโพสต์ทิ้งไป ไม่สามารถเข้าถึงได้ จนถึงตอนนี้ก็ยังไม่ได้รับคำชี้แจงใดๆ จาก Facebook

facebook_bounty_program_1

[Updated] ล่าสุด ทาง Facebook ได้ทำการ Restore โพสต์ที่ลบทิ้งไปให้กลับมาเข้าถึงได้เหมือนเดิมแล้ว

facebook_bounty_program_2

รายละเอียดเกี่ยวกับ Password Reset Vulnerability

ช่องโหว่นี้แฝงตัวอยู่ในโดเมน Beta ของ Facebook ที่จัดการคำร้องขอเรื่อง “Forgot Password” ในกรณีที่ผู้ใช้ลืมรหัสผ่าน คำร้องขอนี้จะช่วยให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านได้ใหม่ผ่านกระบวนการ Password Reset ซึ่งผู้ใช้จะต้องทำการยืนยันรหัส 6 หลักที่จะถูกส่งไปยังอีเมลหรือเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้กับชื่อบัญชี

โดยปกติแล้ว Facebook จะยอมให้ยืนยันรหัส 6 หลักได้ประมาณ 10 ครั้งติดต่อกัน ก่อนจะบล็อกไม่ให้ใส่รหัสอีกต่อไป เพื่อป้องกันการโจมตีแบบ Brute Force อย่างไรก็ตาม Anand พบว่า Facebook ไม่ได้ทำการจำกัดจำนวนครั้งที่ใส่รหัสบนไซต์ Beta ของตนเอง ได้แก่ beta.facebook.com และ mbasic.beta.facebook.com ส่งผลให้ Anand สามารถทำการ Brute Force ใส่รหัส 6 หลักเข้าไปเรื่อยๆ จนกระทั่งเจอรหัสที่ถูกต้องได้

หลังจากนั้น Anand สามารถเปลี่ยนรหัสผ่าน Facebook ของเหยื่อมเป็นรหัสใหม่ และใช้ Facebook ได้เสมือนเป็นเจ้าของที่แท้จริง ดูรายละเอียดการ Proof-of-Concept (POC) ได้ตามวิดีโอด้านล่าง

ที่มา: http://thehackernews.com/2016/03/hack-facebook-account.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ