ช็อค !! Instagram ถูกแฮ็คได้แล้ว ทะลุถึงข้อมูลเกือบทั้งเซิฟเวอร์

หลายคนอาจสงสัยว่า เราสามารถแฮ็ค Instagram หรือ Facebook ได้หรือไม่ วันนี้ เรามีคำตอบแล้ว

Wesley Weinberg นักวิจัยด้านความปลอดภัยอาวุโสของ Synack ได้อออกมาเปิดเผยการค้นพบรายการช่องโหว่บน Facebook ซึ่งช่วยให้เขาสามารถเข้าถึงข้อมูลสำคัญที่เก็บอยู่ในเซิฟเวอร์ของ Instagram ได้ทันที อย่างไรก็ตาม แทนที่ Facebook จะตบรางวัลให้ Facebook กลับเตรียมเอาเรื่อง Weinberg ทางกฏหมายโทษฐานที่ไม่ยอมส่งมอบรายการช่องโหว่เหล่านั้นให้กับทีม

instagram_hacked_4

Weinberg อ้างว่า เขาถูกข่มขู่โดย Facebook ทันทีหลังจากที่เขาเปิดเผยรายการช่องโหว่และการตั้งค่าที่ผิดพลาดบน Facebook ซึ่งช่วยให้เข้าถึงข้อมูลสำคัญต่างๆที่เก็บอยู่บนเซิฟเวอร์ของ Instagram ได้ ซึ่งข้อมูลเหล่านั้นประกอบด้วย

  • ซอร์สโค้ดของเว็บไซต์ Instagram
  • SSL Certificate และ Private Key สำหรับ Instagram
  • Key ที่ใช้สำหรับเซ็น Authentication Cookie
  • รายละเอียดข้อมูลส่วนตัวของผู้ใช้และพนักงานของ Instagram
  • ข้อมูลการพิสูจน์ตัวตนของเซิฟเวอร์อีเมล
  • Key อื่นๆมากกว่าครึ่งโหลสำหรับฟังก์ชันที่สำคัญของ Instagram
Credit: The Hacker News
Credit: The Hacker News

เริ่มต้นด้วยแฮ็คบั๊คบน Cookie ได้รหัสผ่านของพนักงาน

สิ่งที่ Weinberg ค้นพบ คือ บั๊ค Remote Code Execution (RCE) บน Session Cookie สำหรับใช้จำ Username/Password ของผู้ใช้งาน ซึ่งช่วยให้ Weinberg สามารถโจมตีเพื่อบังคับให้เซิฟเวอร์คายข้อมูลการพิสูจน์ตัวตนในฐานข้อมูลออกมาได้ หน่ึงในข้อมูลเหล่านั้นคือ Credential ของพนักงาน Instagram และ Facebook ถึงแม้ว่ารหัสผ่านที่ได้มาจะถูกเข้ารหัสด้วย “bcrypt” ก็ตาม แต่ Weinberg ก็สามารถแฮ็ครหัสผ่านที่ไม่แข็งแรงได้หลายรายการภายในเวลาไม่กี่นาที

แฮ็คต่อจนได้แม้กระทั่งไฟล์รูป Selfie

Weinberg ยังไม่หยุดแค่นั้น เขาพยามมองหาความผิดพลาดบน Configuration File ที่เขาค้นพบบนเซิฟเวอร์ Instagram และในที่สุดก็พบไฟล์ที่เก็บ Key สำหรับบัญชีผู้ใช้ Amazon AWS บริการบนระบบคลาวด์ที่เป็นโฮสต์ให้ Instagram Key เหล่านี้นำไปสู่ข้อมูลบน Amazon S3 ทั้ง 82 bukets (หน่วยของที่จัดเก็บข้อมูล) หลังจากที่พยายามแกะข้อมูลใน Bucket เหล่านั้น เขาก็สามารถเข้าถึงข้อมูลแทบทั้งหมดได้โดยไม่คาดคิดมาก่อน ข้อมูลเหล่านั้นประกอบด้วย

  • ซอร์สโค้ดของ Instagram
  • SSL Certificate และ Private Key ทั้ง instagram.com และ *.instagram.com
  • API Key สำหรับใช้ต่อกับ Service อื่นๆ
  • รูปภาพที่ผู้ใช้ Instagram อัพโหลดขึ้นไป
  • ข้อมูลเนื้อหาต่างๆบนเว็บไซต์ Instagram
  • ข้อมูล Credential ของ Email Server
  • iOS/Android app signing keys
  • ข้อมูลความลับอื่นๆ

instagram_hacked_2

“ด้วย Key ที่ผมได้มานั้น ผมสามารถปลอมตัวเป็นใครก็ได้บน Instagram ไม่ว่าจะเป็นผู้ที่ใช้บริการ หรือแม้แต่พนักงานของ Instagram เอง นอกจากนี้ ผมยังสามารถเข้าถึงข้อมูลบัญชีผู้ใช้ของคนอื่นๆ รวมทั้งรูปภาพทั้งหมดของพวกเขาได้อย่างง่ายดาย” — Weinberg ระบุใน Blog ของเขา

instagram_hacked_3

แจ้งเรื่องไปยัง Facebook กลับถูกขู่กลับด้วยกฏหมาย

Weinberg ได้แจ้งเรื่องทุกอย่างที่เขาค้นพบไปยังทีมความปลอดภัยของ Facebook แต่แทนที่เขาจะได้รับรางวัลที่สามารถค้นพบช่องโหว่ได้ Facebook กลับปฏิเสธ โดยอ้างว่า Weinberg ละเมิดสิทธิ์ในการแอบเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และพนักงาน ซึ่งผิดต่อเงื่อนไขการรับรางวัลของ Facebook

นอกจากนี้ ต้นเดือนธันวาคมที่ผ่านมา Weinberg ยังอ้างว่า หัวหน้าของเขา Jay Kaplan CEO ของ Synack ได้รับสายข่มขู่จาก Alex Stamos หัวหน้าทีมความปลอดภัยของ Facebook เกี่ยวกับช่องโหว่ที่เขาค้นพบ ซึ่งส่งผลให้ผู้ใช้ของ Instagram และ Facebook ต้องเผชิญหน้ากับการภัยคุกคามครั้งใหญ่ รวมทั้งยังมีการระบุว่า Stamos ไม่อยากให้เรื่องนี้ไปถึงมือทีมกฏหมายของ Facebook แต่เขาก็ไม่แน่ใจว่าจำเป็นต้องใช้กฏหมายเข้ามาบังคับหรือเปล่า

อย่างไรก็ตาม Stamos ได้ออกมาปฏิเสธเรื่องดังกล่าว ระบุว่า เขาไม่ได้ใช้กฏหมายมาข่มขู่ทั้ง Synack หรือ Weinberg รวมถึงไม่ได้บอกด้วยว่าต้องไล่ Weinberg ออกจากบริษัท

Facebook ระบุเรื่องไม่ได้เป็นอย่างที่กล่าวอ้าง พร้อมตบเงินรางวัลให้

หลังจากที่ Weinberg ได้เปิดเผยเรื่องนี้บน Blog ของเขา Facebook ได้ออกมาชี้แจงเรื่องดังกล่าว โดยระบุว่า คำกล่าวอ้างของ Weinberg นั้นไม่เป็นความจริง Facebook ไม่เคยแจ้งว่าไม่ให้เขาเปิดเผยช่องโหว่ดังกล่าว เพียงแค่ต้องการไม่ให้เขาเปิดเผยข้อมูลสำคัญหรือข้อมูลส่วนบุคคลที่เขาเข้าถึงเท่านั้น

นอกจากนี้ Facebook ได้ออกมายืนยันแล้วว่า มีช่องโหว่ Remote Code Execution บนโดเมน sensu.instagram.com จริง และให้สัญญาว่าจะมอบเงินรางวัลจำนวน $2,500 เหรียญสหรัฐฯ ให้แก่ Weinberg และกลุ่มเพื่อนของเขาที่ค้นพบช่องโหว่นี้อย่างแน่นอน อย่างไรก็ตาม ช่องโหว่อื่นๆที่ Weinburg ค้นพบนั้น Facebook ไม่สามารถตบรางวัลให้ได้ เนื่องจากเขาละเมิดเงื่อนไขความเป็นส่วนบุคคลของผู้ใช้งานขณะทำการตรวจสอบช่องโหว่

ที่มา: http://thehackernews.com/2015/12/how-to-hack-instagram.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

DELL Technologies เผยรายงานผลสำรวจการปกป้องข้อมูลในเอเชียแปซิฟิคและญี่ปุ่นพบกว่า 30% ยังเผชิญเหตุการณ์ข้อมูลสูญหาย

เมื่อวานนี้ทีมงาน Techtalkthai ได้มีโอกาสเข้าร่วมฟังบรรยายจาก Dell Technologies ที่ได้มาเล่าถึงรายงานผลสำรวจด้านการปกป้องข้อมูลซึ่งทำอย่างต่อเนื่องเป็นปีที่ 3 แล้วจึงสามารถชี้วัดภาพรวมได้ โดยเก็บข้อมูลมาจากผู้มีอำนาจในการตัดสินใจด้าน IT กว่า 2,200 คนจาก 18 ประเทศและกว่า …

หัวเว่ยขอเชิญร่วม Webinar ฟรี อัปเดตเทคโนโลยี Wi-Fi 6 วันที่ 30 เม.ย. 2019 ลุ้นรับ Smartphone และ Smart Watch

Huawei ขอเชิญเหล่า IT Manager, Network Engineer และ IT Admininstrator เข้าร่วม Webinar ฟรีในหัวข้อ "Wi-Fi 6 พร้อมแล้ว: จะเป็นผู้นำหรือเป็นผู้ตาม?" เพื่อเรียนรู้เกี่ยวกับประเด็นทางด้านเทคโนโลยีของ Wi-Fi 6 และการนำไปใช้งานจริง ในวันอังคารที่ 30 เมษายน 2019 เวลา 14.00 - 15.00 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้