SUSE by Ingram

เปิดเผยช่องโหว่ Facebook หลังแพทช์ กลับถูกลบข้อความทิ้ง

The Hacker News เว็บข่าวด้าน Security ชื่อดังได้ออกมาเปิดเผยช่องโหว่ Password Reset Vulnerability บน Facebook สู่สาธารณะ หลังจากที่ทีม Facebook ได้รับแจ้งช่องโหว่และทำการแพทช์เป็นที่เรียบร้อย กลับถูกทีมงาน Facebook ลบโพสต์ดังกล่าวทิ้งไปอย่างเงียบๆ (อ่านรายละเอียดช่องโหว่ Facebook ได้ด่านล่าง)

[Updated] ล่าสุด ทาง Facebook ได้ทำการ Restore โพสต์ที่ลบทิ้งไปให้กลับมาเข้าถึงได้เหมือนเดิมแล้ว

พบช่องโหว่แฮ็คชื่อบัญชี Facebook

Anand Prakash ผู้เชี่ยวชาญด้าน Security อิสระ ค้นพบช่องโหว่การรีเซ็ตรหัสผ่านของ Facebook ซึ่งช่วยให้เขาสามารถแฮ็คชื่อบัญชี Facebook เพื่อดูข้อความการสนทนา ข้อความที่โพสต์ ข้อมูลบัตรเครดิตที่ผูกกับชื่อบัญชี หรือทำอย่างอื่นเสมือนเป็นเจ้าของบัญชี ซึ่งหลังจากที่ค้นพบช่องโหว่ Anand ได้แจ้งเรื่องยัง Facebook ผ่าน Bug Bounty Program ซึ่งทาง Facebook ก็ได้ทำการแพทช์ช่องโหว่ดังกล่าวเรียบร้อย และมอบเงินรางวัลให้ Anand สูงถึง $15,000 หรือประมาณ 530,000 บาท

เปิดเผยเรื่องราวสู่สาธารณะ กลับถูก Facebook ลบข้อความทิ้ง

ที่น่าสงสัยคือ หลังจากที่ Facebook จัดการช่องโหว่เป็นที่เรียบร้อย The Hacker News ก็ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวสู่สาธารณะ แต่หลังจากโพสต์ไปไม่นาน ก็ถูกทีมงาน Facebook ลบโพสต์ทิ้งไป ไม่สามารถเข้าถึงได้ จนถึงตอนนี้ก็ยังไม่ได้รับคำชี้แจงใดๆ จาก Facebook

facebook_bounty_program_1

[Updated] ล่าสุด ทาง Facebook ได้ทำการ Restore โพสต์ที่ลบทิ้งไปให้กลับมาเข้าถึงได้เหมือนเดิมแล้ว

facebook_bounty_program_2

รายละเอียดเกี่ยวกับ Password Reset Vulnerability

ช่องโหว่นี้แฝงตัวอยู่ในโดเมน Beta ของ Facebook ที่จัดการคำร้องขอเรื่อง “Forgot Password” ในกรณีที่ผู้ใช้ลืมรหัสผ่าน คำร้องขอนี้จะช่วยให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านได้ใหม่ผ่านกระบวนการ Password Reset ซึ่งผู้ใช้จะต้องทำการยืนยันรหัส 6 หลักที่จะถูกส่งไปยังอีเมลหรือเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้กับชื่อบัญชี

โดยปกติแล้ว Facebook จะยอมให้ยืนยันรหัส 6 หลักได้ประมาณ 10 ครั้งติดต่อกัน ก่อนจะบล็อกไม่ให้ใส่รหัสอีกต่อไป เพื่อป้องกันการโจมตีแบบ Brute Force อย่างไรก็ตาม Anand พบว่า Facebook ไม่ได้ทำการจำกัดจำนวนครั้งที่ใส่รหัสบนไซต์ Beta ของตนเอง ได้แก่ beta.facebook.com และ mbasic.beta.facebook.com ส่งผลให้ Anand สามารถทำการ Brute Force ใส่รหัส 6 หลักเข้าไปเรื่อยๆ จนกระทั่งเจอรหัสที่ถูกต้องได้

หลังจากนั้น Anand สามารถเปลี่ยนรหัสผ่าน Facebook ของเหยื่อมเป็นรหัสใหม่ และใช้ Facebook ได้เสมือนเป็นเจ้าของที่แท้จริง ดูรายละเอียดการ Proof-of-Concept (POC) ได้ตามวิดีโอด้านล่าง

ที่มา: http://thehackernews.com/2016/03/hack-facebook-account.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

HPE Aruba Webinar : Digital Transformation the digital future of all industry

ขอเรียนเชิญ IT Manager, Network Engineer, IT Admin และทุกท่านที่สนใจ เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง “ Digital Transformation the digital future of all industry ” อนาคตของยุคดิจิทัลอาจอยากที่จะคาดเดา แต่การมีระบบโครงสร้างพื้นฐานที่ดี จะช่วยให้องค์กรมีเครือข่ายที่มีประสิทธิภาพ Aruba มาพร้อมกับแผนการเรียนรู้ที่จะช่วยให้คุณสามารถเตรียมตัวให้พร้อมกับเทคโนโลยีที่เข้ามามีบทบาทมากยิ่งขึ้น พร้อมรับการเปลี่ยนแปลงโลกในอนาคตเพื่อช่วยให้คุณและองค์กรสามารถเตรียมตัวเข้าสู่โลกธุรกิจในยุคดิจิทัลได้อย่างเต็มที่เข้าร่วม webinar กับเราในวันพุธที่ 3 กุมภาพันธ์ 2564 เวลา 14.00 – 15.30 น. พร้อมลุ้นรับของรางวัลมากมายในงาน!!

ปกป้องข้อมูลสำคัญตาม GDPR/PDPA ด้วย Encryption และ Data Masking จาก Entrust

การปกป้องข้อมูลสำคัญและการเข้าถึงข้อมูลส่วนบุคคลอย่างถูกกฎหมายเป็นความท้าทายที่ทุกองค์กรทั่วไทยกำลังเผชิญ เนื่องจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำลังบังคับใช้ในเดือนมิถุนายนที่จะถึงนี้ บทความนี้จะมาแนะนำโซลูชัน Encryption และ Data Masking ของ Entrust …