Breaking News

เปิดเผยช่องโหว่ Facebook หลังแพทช์ กลับถูกลบข้อความทิ้ง

The Hacker News เว็บข่าวด้าน Security ชื่อดังได้ออกมาเปิดเผยช่องโหว่ Password Reset Vulnerability บน Facebook สู่สาธารณะ หลังจากที่ทีม Facebook ได้รับแจ้งช่องโหว่และทำการแพทช์เป็นที่เรียบร้อย กลับถูกทีมงาน Facebook ลบโพสต์ดังกล่าวทิ้งไปอย่างเงียบๆ (อ่านรายละเอียดช่องโหว่ Facebook ได้ด่านล่าง)

[Updated] ล่าสุด ทาง Facebook ได้ทำการ Restore โพสต์ที่ลบทิ้งไปให้กลับมาเข้าถึงได้เหมือนเดิมแล้ว

พบช่องโหว่แฮ็คชื่อบัญชี Facebook

Anand Prakash ผู้เชี่ยวชาญด้าน Security อิสระ ค้นพบช่องโหว่การรีเซ็ตรหัสผ่านของ Facebook ซึ่งช่วยให้เขาสามารถแฮ็คชื่อบัญชี Facebook เพื่อดูข้อความการสนทนา ข้อความที่โพสต์ ข้อมูลบัตรเครดิตที่ผูกกับชื่อบัญชี หรือทำอย่างอื่นเสมือนเป็นเจ้าของบัญชี ซึ่งหลังจากที่ค้นพบช่องโหว่ Anand ได้แจ้งเรื่องยัง Facebook ผ่าน Bug Bounty Program ซึ่งทาง Facebook ก็ได้ทำการแพทช์ช่องโหว่ดังกล่าวเรียบร้อย และมอบเงินรางวัลให้ Anand สูงถึง $15,000 หรือประมาณ 530,000 บาท

เปิดเผยเรื่องราวสู่สาธารณะ กลับถูก Facebook ลบข้อความทิ้ง

ที่น่าสงสัยคือ หลังจากที่ Facebook จัดการช่องโหว่เป็นที่เรียบร้อย The Hacker News ก็ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวสู่สาธารณะ แต่หลังจากโพสต์ไปไม่นาน ก็ถูกทีมงาน Facebook ลบโพสต์ทิ้งไป ไม่สามารถเข้าถึงได้ จนถึงตอนนี้ก็ยังไม่ได้รับคำชี้แจงใดๆ จาก Facebook

facebook_bounty_program_1

[Updated] ล่าสุด ทาง Facebook ได้ทำการ Restore โพสต์ที่ลบทิ้งไปให้กลับมาเข้าถึงได้เหมือนเดิมแล้ว

facebook_bounty_program_2

รายละเอียดเกี่ยวกับ Password Reset Vulnerability

ช่องโหว่นี้แฝงตัวอยู่ในโดเมน Beta ของ Facebook ที่จัดการคำร้องขอเรื่อง “Forgot Password” ในกรณีที่ผู้ใช้ลืมรหัสผ่าน คำร้องขอนี้จะช่วยให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านได้ใหม่ผ่านกระบวนการ Password Reset ซึ่งผู้ใช้จะต้องทำการยืนยันรหัส 6 หลักที่จะถูกส่งไปยังอีเมลหรือเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้กับชื่อบัญชี

โดยปกติแล้ว Facebook จะยอมให้ยืนยันรหัส 6 หลักได้ประมาณ 10 ครั้งติดต่อกัน ก่อนจะบล็อกไม่ให้ใส่รหัสอีกต่อไป เพื่อป้องกันการโจมตีแบบ Brute Force อย่างไรก็ตาม Anand พบว่า Facebook ไม่ได้ทำการจำกัดจำนวนครั้งที่ใส่รหัสบนไซต์ Beta ของตนเอง ได้แก่ beta.facebook.com และ mbasic.beta.facebook.com ส่งผลให้ Anand สามารถทำการ Brute Force ใส่รหัส 6 หลักเข้าไปเรื่อยๆ จนกระทั่งเจอรหัสที่ถูกต้องได้

หลังจากนั้น Anand สามารถเปลี่ยนรหัสผ่าน Facebook ของเหยื่อมเป็นรหัสใหม่ และใช้ Facebook ได้เสมือนเป็นเจ้าของที่แท้จริง ดูรายละเอียดการ Proof-of-Concept (POC) ได้ตามวิดีโอด้านล่าง

ที่มา: http://thehackernews.com/2016/03/hack-facebook-account.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NSA แนะวิธีลดการถูกติดตามพิกัด ในการใช้มือถือและอุปกรณ์ IoT

NSA ได้ออกมาแนะวิธีการบรรเทาปัญหาการที่ผู้ใช้งานถูกติดตามตัวว่าอยู่ที่ไหน ทำอะไร ซึ่งเราคงทราบกันที่อยูแล้วว่ามีการติดตามเราอยู่แทบทุกฝีก้าว 

Sophos เผยวิธีการหลีกเลี่ยงการตรวจจับของแรนซัมแวร์ WastedLocker โดยใช้ฟีเจอร์ปกติใน Windows

Sophos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึง วิธีการที่แรนซัมแวร์อย่าง WastedLocker ใช้หลีกเลี่ยงการตรวจจับของโซลูชันป้องกัน โดยใช้ฟีเจอร์ใน Windows ที่มีอยู่แล้ว