TTT Virtual Summit 2023

ช็อค !! Instagram ถูกแฮ็คได้แล้ว ทะลุถึงข้อมูลเกือบทั้งเซิฟเวอร์

December 19, 2015 Cloud and Systems, Cloud Security, Cloud Services, Data Security and Privacy, Email Security, Facebook, Featured Posts, Products, Security, Threats Update, Web Security

หลายคนอาจสงสัยว่า เราสามารถแฮ็ค Instagram หรือ Facebook ได้หรือไม่ วันนี้ เรามีคำตอบแล้ว

Wesley Weinberg นักวิจัยด้านความปลอดภัยอาวุโสของ Synack ได้อออกมาเปิดเผยการค้นพบรายการช่องโหว่บน Facebook ซึ่งช่วยให้เขาสามารถเข้าถึงข้อมูลสำคัญที่เก็บอยู่ในเซิฟเวอร์ของ Instagram ได้ทันที อย่างไรก็ตาม แทนที่ Facebook จะตบรางวัลให้ Facebook กลับเตรียมเอาเรื่อง Weinberg ทางกฏหมายโทษฐานที่ไม่ยอมส่งมอบรายการช่องโหว่เหล่านั้นให้กับทีม

instagram_hacked_4

Weinberg อ้างว่า เขาถูกข่มขู่โดย Facebook ทันทีหลังจากที่เขาเปิดเผยรายการช่องโหว่และการตั้งค่าที่ผิดพลาดบน Facebook ซึ่งช่วยให้เข้าถึงข้อมูลสำคัญต่างๆที่เก็บอยู่บนเซิฟเวอร์ของ Instagram ได้ ซึ่งข้อมูลเหล่านั้นประกอบด้วย

  • ซอร์สโค้ดของเว็บไซต์ Instagram
  • SSL Certificate และ Private Key สำหรับ Instagram
  • Key ที่ใช้สำหรับเซ็น Authentication Cookie
  • รายละเอียดข้อมูลส่วนตัวของผู้ใช้และพนักงานของ Instagram
  • ข้อมูลการพิสูจน์ตัวตนของเซิฟเวอร์อีเมล
  • Key อื่นๆมากกว่าครึ่งโหลสำหรับฟังก์ชันที่สำคัญของ Instagram
Credit: The Hacker News
Credit: The Hacker News

เริ่มต้นด้วยแฮ็คบั๊คบน Cookie ได้รหัสผ่านของพนักงาน

สิ่งที่ Weinberg ค้นพบ คือ บั๊ค Remote Code Execution (RCE) บน Session Cookie สำหรับใช้จำ Username/Password ของผู้ใช้งาน ซึ่งช่วยให้ Weinberg สามารถโจมตีเพื่อบังคับให้เซิฟเวอร์คายข้อมูลการพิสูจน์ตัวตนในฐานข้อมูลออกมาได้ หน่ึงในข้อมูลเหล่านั้นคือ Credential ของพนักงาน Instagram และ Facebook ถึงแม้ว่ารหัสผ่านที่ได้มาจะถูกเข้ารหัสด้วย “bcrypt” ก็ตาม แต่ Weinberg ก็สามารถแฮ็ครหัสผ่านที่ไม่แข็งแรงได้หลายรายการภายในเวลาไม่กี่นาที

แฮ็คต่อจนได้แม้กระทั่งไฟล์รูป Selfie

Weinberg ยังไม่หยุดแค่นั้น เขาพยามมองหาความผิดพลาดบน Configuration File ที่เขาค้นพบบนเซิฟเวอร์ Instagram และในที่สุดก็พบไฟล์ที่เก็บ Key สำหรับบัญชีผู้ใช้ Amazon AWS บริการบนระบบคลาวด์ที่เป็นโฮสต์ให้ Instagram Key เหล่านี้นำไปสู่ข้อมูลบน Amazon S3 ทั้ง 82 bukets (หน่วยของที่จัดเก็บข้อมูล) หลังจากที่พยายามแกะข้อมูลใน Bucket เหล่านั้น เขาก็สามารถเข้าถึงข้อมูลแทบทั้งหมดได้โดยไม่คาดคิดมาก่อน ข้อมูลเหล่านั้นประกอบด้วย

  • ซอร์สโค้ดของ Instagram
  • SSL Certificate และ Private Key ทั้ง instagram.com และ *.instagram.com
  • API Key สำหรับใช้ต่อกับ Service อื่นๆ
  • รูปภาพที่ผู้ใช้ Instagram อัพโหลดขึ้นไป
  • ข้อมูลเนื้อหาต่างๆบนเว็บไซต์ Instagram
  • ข้อมูล Credential ของ Email Server
  • iOS/Android app signing keys
  • ข้อมูลความลับอื่นๆ

instagram_hacked_2

“ด้วย Key ที่ผมได้มานั้น ผมสามารถปลอมตัวเป็นใครก็ได้บน Instagram ไม่ว่าจะเป็นผู้ที่ใช้บริการ หรือแม้แต่พนักงานของ Instagram เอง นอกจากนี้ ผมยังสามารถเข้าถึงข้อมูลบัญชีผู้ใช้ของคนอื่นๆ รวมทั้งรูปภาพทั้งหมดของพวกเขาได้อย่างง่ายดาย” — Weinberg ระบุใน Blog ของเขา

instagram_hacked_3

แจ้งเรื่องไปยัง Facebook กลับถูกขู่กลับด้วยกฏหมาย

Weinberg ได้แจ้งเรื่องทุกอย่างที่เขาค้นพบไปยังทีมความปลอดภัยของ Facebook แต่แทนที่เขาจะได้รับรางวัลที่สามารถค้นพบช่องโหว่ได้ Facebook กลับปฏิเสธ โดยอ้างว่า Weinberg ละเมิดสิทธิ์ในการแอบเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และพนักงาน ซึ่งผิดต่อเงื่อนไขการรับรางวัลของ Facebook

นอกจากนี้ ต้นเดือนธันวาคมที่ผ่านมา Weinberg ยังอ้างว่า หัวหน้าของเขา Jay Kaplan CEO ของ Synack ได้รับสายข่มขู่จาก Alex Stamos หัวหน้าทีมความปลอดภัยของ Facebook เกี่ยวกับช่องโหว่ที่เขาค้นพบ ซึ่งส่งผลให้ผู้ใช้ของ Instagram และ Facebook ต้องเผชิญหน้ากับการภัยคุกคามครั้งใหญ่ รวมทั้งยังมีการระบุว่า Stamos ไม่อยากให้เรื่องนี้ไปถึงมือทีมกฏหมายของ Facebook แต่เขาก็ไม่แน่ใจว่าจำเป็นต้องใช้กฏหมายเข้ามาบังคับหรือเปล่า

อย่างไรก็ตาม Stamos ได้ออกมาปฏิเสธเรื่องดังกล่าว ระบุว่า เขาไม่ได้ใช้กฏหมายมาข่มขู่ทั้ง Synack หรือ Weinberg รวมถึงไม่ได้บอกด้วยว่าต้องไล่ Weinberg ออกจากบริษัท

Facebook ระบุเรื่องไม่ได้เป็นอย่างที่กล่าวอ้าง พร้อมตบเงินรางวัลให้

หลังจากที่ Weinberg ได้เปิดเผยเรื่องนี้บน Blog ของเขา Facebook ได้ออกมาชี้แจงเรื่องดังกล่าว โดยระบุว่า คำกล่าวอ้างของ Weinberg นั้นไม่เป็นความจริง Facebook ไม่เคยแจ้งว่าไม่ให้เขาเปิดเผยช่องโหว่ดังกล่าว เพียงแค่ต้องการไม่ให้เขาเปิดเผยข้อมูลสำคัญหรือข้อมูลส่วนบุคคลที่เขาเข้าถึงเท่านั้น

นอกจากนี้ Facebook ได้ออกมายืนยันแล้วว่า มีช่องโหว่ Remote Code Execution บนโดเมน sensu.instagram.com จริง และให้สัญญาว่าจะมอบเงินรางวัลจำนวน $2,500 เหรียญสหรัฐฯ ให้แก่ Weinberg และกลุ่มเพื่อนของเขาที่ค้นพบช่องโหว่นี้อย่างแน่นอน อย่างไรก็ตาม ช่องโหว่อื่นๆที่ Weinburg ค้นพบนั้น Facebook ไม่สามารถตบรางวัลให้ได้ เนื่องจากเขาละเมิดเงื่อนไขความเป็นส่วนบุคคลของผู้ใช้งานขณะทำการตรวจสอบช่องโหว่

ที่มา: http://thehackernews.com/2015/12/how-to-hack-instagram.html

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand