Microsoft Azure by Ingram Micro (Thailand)

พบช่องโหว่ Zero-day สำหรับแฮ็ค Facebook Page รับรางวัลไปกว่า 550,000 บาท

Arun Sureshkumar นักวิจัยด้านความมั่นคงปลอดภัยจากอินเดีย ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Business Manager ของ Facebook ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Facebook Page ที่ต้องการได้ทันที Sureshkumar รับรางวัลจาก Facebook ผ่าน Bug Bounty Program ไปเป็นเงินมูลค่าสูงถึง $16,000 หรือประมาณ 550,000 บาท

Credit: Sam Wordley/ShutterStock
Credit: Sam Wordley/ShutterStock

Sureshkumar เป็นนักศึกษาจาก MES College of Engineering ในเมือง Kuttippuram ประเทศอินเดีย ได้โพสต์รายละเอียดเกี่ยวกับช่องโหว่บน Facebook ที่ตนเองค้นพบบน Blog ของตน ระบุว่า ช่องโหว่ดังกล่าวมีสาเหตุมาจากวิธีการประมวลผล Request สำหรับ Business Account ของ Facebook ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาสการกำหนดสิทธิ์และสามารถเข้าถึงทรัพยากรต่างๆ ของ Facebook Page เช่น ข้อมูลในฐานข้อมูล ผ่านการปรับแต่งค่าพารามิเตอร์ได้ (ในที่นี้คือหมายเลข ID ต่างๆ)

วิดีโอด้านล่างแสดงการ POC ช่องโหว่ที่ Sureshkumar ค้นพบ Business ID 2 ชุดถูกใช้ในการโจมตี โดยเริ่มแรกเขาจะทำการดักจับ Request ก่อน จากนั้นทำการสับเปลี่ยนและแก้ไขชุด ID บน Request นั้นๆ ให้เป็น ID ของ Page ที่ต้องการแฮ็ค แล้วส่ง Request ที่ทำการปรับแต่งแล้วไปยัง Facebook แทน ผลลัพธ์คือ Sureshkumar สามารถเปลี่ยนตัวเองเป็นผู้ดูแล Page ดังกล่าวได้อย่างง่ายดาย แล้วสามารถทำอะไรกับ Page นั้นๆ ก็ได้

Sureshkumar ค้นพบช่องโหว่ดังกล่าวเมื่อวันที่ 29 สิงหาคม และได้แจ้งรายละเอียดผ่านไปยัง Bug Bounty Program ของ Facebook ซึ่งทางทีมงานด้านความมั่นคงปลอดภัยของ Facebook ออกมาระบุว่า ได้จัดการอุดช่องโหว่เป็นที่เรียบร้อยในวันถัดมา รวมทั้งมอบเงินรางวัลแก่ Sureshkumar เป็นจำนวนสูงถึง $16,000

ที่มา: https://threatpost.com/facebook-fixes-vulnerability-that-led-to-account-takeover-pays-researcher-16k/120688/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs [PR]

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs ขับเคลื่อน ด้วยขุมพลัง AI ยกระดับประสิทธิภาพการทำงาน การสร้างสรรค์ และประสบการณ์ของผู้ใช้ในสภาพแวดล้อม การทำงานแบบไฮบริด

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย