Breaking News

ช็อค !! Instagram ถูกแฮ็คได้แล้ว ทะลุถึงข้อมูลเกือบทั้งเซิฟเวอร์

หลายคนอาจสงสัยว่า เราสามารถแฮ็ค Instagram หรือ Facebook ได้หรือไม่ วันนี้ เรามีคำตอบแล้ว

Wesley Weinberg นักวิจัยด้านความปลอดภัยอาวุโสของ Synack ได้อออกมาเปิดเผยการค้นพบรายการช่องโหว่บน Facebook ซึ่งช่วยให้เขาสามารถเข้าถึงข้อมูลสำคัญที่เก็บอยู่ในเซิฟเวอร์ของ Instagram ได้ทันที อย่างไรก็ตาม แทนที่ Facebook จะตบรางวัลให้ Facebook กลับเตรียมเอาเรื่อง Weinberg ทางกฏหมายโทษฐานที่ไม่ยอมส่งมอบรายการช่องโหว่เหล่านั้นให้กับทีม

instagram_hacked_4

Weinberg อ้างว่า เขาถูกข่มขู่โดย Facebook ทันทีหลังจากที่เขาเปิดเผยรายการช่องโหว่และการตั้งค่าที่ผิดพลาดบน Facebook ซึ่งช่วยให้เข้าถึงข้อมูลสำคัญต่างๆที่เก็บอยู่บนเซิฟเวอร์ของ Instagram ได้ ซึ่งข้อมูลเหล่านั้นประกอบด้วย

  • ซอร์สโค้ดของเว็บไซต์ Instagram
  • SSL Certificate และ Private Key สำหรับ Instagram
  • Key ที่ใช้สำหรับเซ็น Authentication Cookie
  • รายละเอียดข้อมูลส่วนตัวของผู้ใช้และพนักงานของ Instagram
  • ข้อมูลการพิสูจน์ตัวตนของเซิฟเวอร์อีเมล
  • Key อื่นๆมากกว่าครึ่งโหลสำหรับฟังก์ชันที่สำคัญของ Instagram
Credit: The Hacker News
Credit: The Hacker News

เริ่มต้นด้วยแฮ็คบั๊คบน Cookie ได้รหัสผ่านของพนักงาน

สิ่งที่ Weinberg ค้นพบ คือ บั๊ค Remote Code Execution (RCE) บน Session Cookie สำหรับใช้จำ Username/Password ของผู้ใช้งาน ซึ่งช่วยให้ Weinberg สามารถโจมตีเพื่อบังคับให้เซิฟเวอร์คายข้อมูลการพิสูจน์ตัวตนในฐานข้อมูลออกมาได้ หน่ึงในข้อมูลเหล่านั้นคือ Credential ของพนักงาน Instagram และ Facebook ถึงแม้ว่ารหัสผ่านที่ได้มาจะถูกเข้ารหัสด้วย “bcrypt” ก็ตาม แต่ Weinberg ก็สามารถแฮ็ครหัสผ่านที่ไม่แข็งแรงได้หลายรายการภายในเวลาไม่กี่นาที

แฮ็คต่อจนได้แม้กระทั่งไฟล์รูป Selfie

Weinberg ยังไม่หยุดแค่นั้น เขาพยามมองหาความผิดพลาดบน Configuration File ที่เขาค้นพบบนเซิฟเวอร์ Instagram และในที่สุดก็พบไฟล์ที่เก็บ Key สำหรับบัญชีผู้ใช้ Amazon AWS บริการบนระบบคลาวด์ที่เป็นโฮสต์ให้ Instagram Key เหล่านี้นำไปสู่ข้อมูลบน Amazon S3 ทั้ง 82 bukets (หน่วยของที่จัดเก็บข้อมูล) หลังจากที่พยายามแกะข้อมูลใน Bucket เหล่านั้น เขาก็สามารถเข้าถึงข้อมูลแทบทั้งหมดได้โดยไม่คาดคิดมาก่อน ข้อมูลเหล่านั้นประกอบด้วย

  • ซอร์สโค้ดของ Instagram
  • SSL Certificate และ Private Key ทั้ง instagram.com และ *.instagram.com
  • API Key สำหรับใช้ต่อกับ Service อื่นๆ
  • รูปภาพที่ผู้ใช้ Instagram อัพโหลดขึ้นไป
  • ข้อมูลเนื้อหาต่างๆบนเว็บไซต์ Instagram
  • ข้อมูล Credential ของ Email Server
  • iOS/Android app signing keys
  • ข้อมูลความลับอื่นๆ

instagram_hacked_2

“ด้วย Key ที่ผมได้มานั้น ผมสามารถปลอมตัวเป็นใครก็ได้บน Instagram ไม่ว่าจะเป็นผู้ที่ใช้บริการ หรือแม้แต่พนักงานของ Instagram เอง นอกจากนี้ ผมยังสามารถเข้าถึงข้อมูลบัญชีผู้ใช้ของคนอื่นๆ รวมทั้งรูปภาพทั้งหมดของพวกเขาได้อย่างง่ายดาย” — Weinberg ระบุใน Blog ของเขา

instagram_hacked_3

แจ้งเรื่องไปยัง Facebook กลับถูกขู่กลับด้วยกฏหมาย

Weinberg ได้แจ้งเรื่องทุกอย่างที่เขาค้นพบไปยังทีมความปลอดภัยของ Facebook แต่แทนที่เขาจะได้รับรางวัลที่สามารถค้นพบช่องโหว่ได้ Facebook กลับปฏิเสธ โดยอ้างว่า Weinberg ละเมิดสิทธิ์ในการแอบเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และพนักงาน ซึ่งผิดต่อเงื่อนไขการรับรางวัลของ Facebook

นอกจากนี้ ต้นเดือนธันวาคมที่ผ่านมา Weinberg ยังอ้างว่า หัวหน้าของเขา Jay Kaplan CEO ของ Synack ได้รับสายข่มขู่จาก Alex Stamos หัวหน้าทีมความปลอดภัยของ Facebook เกี่ยวกับช่องโหว่ที่เขาค้นพบ ซึ่งส่งผลให้ผู้ใช้ของ Instagram และ Facebook ต้องเผชิญหน้ากับการภัยคุกคามครั้งใหญ่ รวมทั้งยังมีการระบุว่า Stamos ไม่อยากให้เรื่องนี้ไปถึงมือทีมกฏหมายของ Facebook แต่เขาก็ไม่แน่ใจว่าจำเป็นต้องใช้กฏหมายเข้ามาบังคับหรือเปล่า

อย่างไรก็ตาม Stamos ได้ออกมาปฏิเสธเรื่องดังกล่าว ระบุว่า เขาไม่ได้ใช้กฏหมายมาข่มขู่ทั้ง Synack หรือ Weinberg รวมถึงไม่ได้บอกด้วยว่าต้องไล่ Weinberg ออกจากบริษัท

Facebook ระบุเรื่องไม่ได้เป็นอย่างที่กล่าวอ้าง พร้อมตบเงินรางวัลให้

หลังจากที่ Weinberg ได้เปิดเผยเรื่องนี้บน Blog ของเขา Facebook ได้ออกมาชี้แจงเรื่องดังกล่าว โดยระบุว่า คำกล่าวอ้างของ Weinberg นั้นไม่เป็นความจริง Facebook ไม่เคยแจ้งว่าไม่ให้เขาเปิดเผยช่องโหว่ดังกล่าว เพียงแค่ต้องการไม่ให้เขาเปิดเผยข้อมูลสำคัญหรือข้อมูลส่วนบุคคลที่เขาเข้าถึงเท่านั้น

นอกจากนี้ Facebook ได้ออกมายืนยันแล้วว่า มีช่องโหว่ Remote Code Execution บนโดเมน sensu.instagram.com จริง และให้สัญญาว่าจะมอบเงินรางวัลจำนวน $2,500 เหรียญสหรัฐฯ ให้แก่ Weinberg และกลุ่มเพื่อนของเขาที่ค้นพบช่องโหว่นี้อย่างแน่นอน อย่างไรก็ตาม ช่องโหว่อื่นๆที่ Weinburg ค้นพบนั้น Facebook ไม่สามารถตบรางวัลให้ได้ เนื่องจากเขาละเมิดเงื่อนไขความเป็นส่วนบุคคลของผู้ใช้งานขณะทำการตรวจสอบช่องโหว่

ที่มา: http://thehackernews.com/2015/12/how-to-hack-instagram.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ARUBA แจกฟรี คู่มือการออกแบบ LAN/WLAN สำหรับผู้ใช้งาน 500 คน ฉบับปี 2019

Aruba Networks ผู้พัฒนาเทคโนโลยีระบบเครือข่ายและความมั่นคงปลอดภัยสำหรับองค์กร ได้ออกเอกสาร ARUBA CAMPUS FOR MIDSIZE NETWORKS: Design & Deployment Guide เพื่อเป็นแนวทางให้แก่เหล่า IT Manager, Network Engineer และผู้ดูแลระบบ IT ในการออกแบบระบบเครือข่ายที่มีผู้ใช้งานจำนวนไม่เกิน 500 คน โดยมีรายละเอียดและวิธีการโหลดเอกสารฟรีๆ ดังนี้

Microsoft เตรียมเพิ่ม DNS over HTTPS (DOH) บน Windows 10

Microsoft ประกาศแผนการพัฒนาระบบปฏิบัติการ Windows 10 ให้รองรับการใช้โปรโตคอล DNS over HTTPS (DoH) ในอนาคต เพื่อเพิ่มความมั่นคงปลอดภัยและความเป็นส่วนบุคคลให้แก่ผู้ใช้งาน ในขณะที่ยังคงเตรียมเพิ่มการรองรับ DNS over TLS …