พบช่องโหว่ Zero-day สำหรับแฮ็ค Facebook Page รับรางวัลไปกว่า 550,000 บาท

Arun Sureshkumar นักวิจัยด้านความมั่นคงปลอดภัยจากอินเดีย ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Business Manager ของ Facebook ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Facebook Page ที่ต้องการได้ทันที Sureshkumar รับรางวัลจาก Facebook ผ่าน Bug Bounty Program ไปเป็นเงินมูลค่าสูงถึง $16,000 หรือประมาณ 550,000 บาท

Credit: Sam Wordley/ShutterStock
Credit: Sam Wordley/ShutterStock

Sureshkumar เป็นนักศึกษาจาก MES College of Engineering ในเมือง Kuttippuram ประเทศอินเดีย ได้โพสต์รายละเอียดเกี่ยวกับช่องโหว่บน Facebook ที่ตนเองค้นพบบน Blog ของตน ระบุว่า ช่องโหว่ดังกล่าวมีสาเหตุมาจากวิธีการประมวลผล Request สำหรับ Business Account ของ Facebook ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาสการกำหนดสิทธิ์และสามารถเข้าถึงทรัพยากรต่างๆ ของ Facebook Page เช่น ข้อมูลในฐานข้อมูล ผ่านการปรับแต่งค่าพารามิเตอร์ได้ (ในที่นี้คือหมายเลข ID ต่างๆ)

วิดีโอด้านล่างแสดงการ POC ช่องโหว่ที่ Sureshkumar ค้นพบ Business ID 2 ชุดถูกใช้ในการโจมตี โดยเริ่มแรกเขาจะทำการดักจับ Request ก่อน จากนั้นทำการสับเปลี่ยนและแก้ไขชุด ID บน Request นั้นๆ ให้เป็น ID ของ Page ที่ต้องการแฮ็ค แล้วส่ง Request ที่ทำการปรับแต่งแล้วไปยัง Facebook แทน ผลลัพธ์คือ Sureshkumar สามารถเปลี่ยนตัวเองเป็นผู้ดูแล Page ดังกล่าวได้อย่างง่ายดาย แล้วสามารถทำอะไรกับ Page นั้นๆ ก็ได้

Sureshkumar ค้นพบช่องโหว่ดังกล่าวเมื่อวันที่ 29 สิงหาคม และได้แจ้งรายละเอียดผ่านไปยัง Bug Bounty Program ของ Facebook ซึ่งทางทีมงานด้านความมั่นคงปลอดภัยของ Facebook ออกมาระบุว่า ได้จัดการอุดช่องโหว่เป็นที่เรียบร้อยในวันถัดมา รวมทั้งมอบเงินรางวัลแก่ Sureshkumar เป็นจำนวนสูงถึง $16,000

ที่มา: https://threatpost.com/facebook-fixes-vulnerability-that-led-to-account-takeover-pays-researcher-16k/120688/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้