Breaking News

พบช่องโหว่ Zero-day สำหรับแฮ็ค Facebook Page รับรางวัลไปกว่า 550,000 บาท

Arun Sureshkumar นักวิจัยด้านความมั่นคงปลอดภัยจากอินเดีย ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Business Manager ของ Facebook ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Facebook Page ที่ต้องการได้ทันที Sureshkumar รับรางวัลจาก Facebook ผ่าน Bug Bounty Program ไปเป็นเงินมูลค่าสูงถึง $16,000 หรือประมาณ 550,000 บาท

Credit: Sam Wordley/ShutterStock
Credit: Sam Wordley/ShutterStock

Sureshkumar เป็นนักศึกษาจาก MES College of Engineering ในเมือง Kuttippuram ประเทศอินเดีย ได้โพสต์รายละเอียดเกี่ยวกับช่องโหว่บน Facebook ที่ตนเองค้นพบบน Blog ของตน ระบุว่า ช่องโหว่ดังกล่าวมีสาเหตุมาจากวิธีการประมวลผล Request สำหรับ Business Account ของ Facebook ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาสการกำหนดสิทธิ์และสามารถเข้าถึงทรัพยากรต่างๆ ของ Facebook Page เช่น ข้อมูลในฐานข้อมูล ผ่านการปรับแต่งค่าพารามิเตอร์ได้ (ในที่นี้คือหมายเลข ID ต่างๆ)

วิดีโอด้านล่างแสดงการ POC ช่องโหว่ที่ Sureshkumar ค้นพบ Business ID 2 ชุดถูกใช้ในการโจมตี โดยเริ่มแรกเขาจะทำการดักจับ Request ก่อน จากนั้นทำการสับเปลี่ยนและแก้ไขชุด ID บน Request นั้นๆ ให้เป็น ID ของ Page ที่ต้องการแฮ็ค แล้วส่ง Request ที่ทำการปรับแต่งแล้วไปยัง Facebook แทน ผลลัพธ์คือ Sureshkumar สามารถเปลี่ยนตัวเองเป็นผู้ดูแล Page ดังกล่าวได้อย่างง่ายดาย แล้วสามารถทำอะไรกับ Page นั้นๆ ก็ได้

Sureshkumar ค้นพบช่องโหว่ดังกล่าวเมื่อวันที่ 29 สิงหาคม และได้แจ้งรายละเอียดผ่านไปยัง Bug Bounty Program ของ Facebook ซึ่งทางทีมงานด้านความมั่นคงปลอดภัยของ Facebook ออกมาระบุว่า ได้จัดการอุดช่องโหว่เป็นที่เรียบร้อยในวันถัดมา รวมทั้งมอบเงินรางวัลแก่ Sureshkumar เป็นจำนวนสูงถึง $16,000

ที่มา: https://threatpost.com/facebook-fixes-vulnerability-that-led-to-account-takeover-pays-researcher-16k/120688/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Facebook ออกแถลงการณ์ สรุป 30 ล้านบัญชีถูกแฮ็ก พร้อมเปิดให้ตรวจสอบว่าได้รับผลกระทบหรือไม่

หลังจากที่มีข่าว Facebook เกิดเหตุ Data Breach ครั้งใหญ่ที่สุดในประวัติการณ์เมื่อปลายเดือนกันยายนที่ผ่านมา ส่งผลให้แฮ็กเกอร์สามารถขโมย Access Token ลับของผู้ใช้กว่า 50 ล้านคนผ่านฟีเจอร์ “View As” ออกไปได้ …

ISACA เปิดตัว 4 Certificates ใหม่สำหรับ Cybersecurity Nexus ผลักดันผู้เริ่มเข้าวงการ Security

ISACA องค์กรชื่อดังทางด้าน IT Governance ประกาศเปิดตัว Certificates 4 รายการซึ่งเป็นส่วนหนึ่งของ Cybersecurity Nexus (CSX) Foundations Series ใหม่ เพื่อสนับสนุนผู้ที่เริ่มต้นเข้าวงการ …