Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัย Inti De Ceukelaire ได้เขียนลง Medium ของเขาว่า พบวิธีส่องดูลิงก์ส่วนตัวที่ผู้ใช้แชร์ระหว่างกันใน Facebook Messenger ด้วยการใช้ Facebook Graph API

ก่อนจะเข้าสู่รายละเอียดของการทดสอบนี้ De Ceukelaire อธิบายเรื่องการจัดการเรื่องลิงก์ของ Facebook ไว้ว่า เมื่อผู้ใช้แชร์ลิงก์ลง Facebook ด้วยทางใดก็ตาม ระบบ Facebook Crawler จะเก็บรายละเอียดของเว็บเช่นหัวเรื่อง, รายละเอียดและภาพประกอบของเว็บพร้อมทั้งกำหนด unique id ขึ้นมาให้ลิงก์นี้ จากนั้นจะเก็บข้อมูลทั้งหมดลงฐานข้อมูลไว้ ต่อมาเมื่อมีผู้ใช้นำลิงก์มาแชร์ลง Facebook อีกครั้ง ระบบก็ดึงข้อมูลของเว็บจากฐานข้อมูลที่เคยเก็บไว้มาแสดงได้ทันที ไม่ต้องเสียเวลาดึงข้อมูลซ้ำอีกรอบ

De Ceukelaire บอกว่าจริงๆ แล้วข้อมูลบน Facebook ทั้งหมดก็จัดการด้วย unique id ทั้งนั้น จึงทำให้นักพัฒนาสามารถเรียกดูข้อมูลผ่าน Facebook Graph API Explorer ด้วย id เหล่านั้นได้อย่างง่ายดาย เช่น นำ user id ไปกรอกก็จะได้ชื่อออกมา แต่มีข้อแม้เดียวว่าข้อมูลใดๆ ที่ถูกตั้งเป็นส่วนตัวไว้ก็ไม่สามารถเข้าถึงได้เหมือนกัน

alt="upic.me"

De Ceukelaire จึงเริ่มทดสอบด้วยการสร้างไฟล์ Google Docs ขึ้นมา โดยในนั้นมีรหัสผ่านพิมพ์ไว้ จากนั้นส่งลิงก์ไปหาเพื่อนทาง Facebook Messenger ตอนนี้เองที่ลิงก์ถูกเก็บข้อมูลลงฐานข้อมูลแล้ว เค้าจึงให้เพื่อนใช้เครื่องมือ Facebook Debugger หา unique id ซึ่งมันปรากฎเป็นลิงก์ Graph API นั่นเอง เมื่อนำเลขนั้นไปผ่าน Graph API Explorer โดยเติม ?fields=url ต่อท้าย ผลปรากฎว่า Facebook แสดง url ของเว็บนั้นๆ ขึ้นมาซะอย่างงั้น เค้าจึงทดสอบอีกครั้งโดยการทำ script ขึ้นมา โดยสุ่ม unique id ไปเรื่อยๆ แล้วใช้ Graph API ในการค้นหาผลลัพธ์ ผลปรากฎว่ามีลิงก์ที่ Facebook เก็บข้อมูลไว้แสดงออกมา

alt="upic.me"

เค้าจึงรายงานปัญหานี้ให้ทาง Facebook ทราบ คำตอบที่ได้รับกลับมาคือ Facebook ตั้งใจทำสิ่งนี้อยู่แล้ว ไม่ใช่บั๊กแต่อย่างใด และเค้าเองก็ไม่สามารถใช้งานเครื่องมือสำหรับนักพัฒนาของ Facebook ได้อีกด้วย เนื่องจากมีการเรียกใช้ข้อมูลมากเกินไป ถ้าคำตอบของ Facebook เป็นแบบนี้แล้ว คำตอบที่ดีที่สุดสำหรับผู้ใช้อย่างเราๆ ก็คงต้องหลีกเลี่ยงการแชร์ลิงก์ส่วนตัวที่สำคัญลงสังคมออนไลน์แล้วหละครับ

ที่มา : Inti De Ceukelaire Blog ผ่าน The Next Web

Get latest news from Blognone

Comments

By: sonkub
AndroidWindows
on 13 June 2016 - 22:45 #919114

อ่าว ซะงั้น
ยังข้องใจทุกวันนี้ ทำไมต้อง convert link ให้เป็น facebook ก่อนด้วย

By: hisoft
ContributorWindows PhoneWindows
on 13 June 2016 - 22:53 #919115 Reply to:919114
hisoft's picture

เค้าจะดักว่าใครส่งใครเปิดลิงก์ไหนเท่าไหร่ไงครับ

By: Ulquiorra
Windows PhoneAndroidSymbianWindows
on 14 June 2016 - 00:33 #919118
Ulquiorra's picture

siem ของชาวเน็ต 55

By: shipcake
Symbian
on 14 June 2016 - 08:35 #919188
shipcake's picture

ช่วงนี้ไวรัสโฆษณามันจะเด้งขึ้นมาในรูปแบบคอมเม้น เหมือนมีคนมาตอบคอมเม้นเรา พอเรากดเข้าไปดูมันกลับเป็นหน้าเกมโฆษณา ซึ่งผมเจอมาหลายรอบละ และคิดว่าเฟสบุคเองน่าจะมีไวรัสเกินจนรำคาญละ ทั้งเกมอะไรก็ไม่รู้ ซึ่งในมือถือไม่สามารถกดบล้อกได้ในทันที น่าเบื่อมาก

By: -Rookies-
ContributorAndroidWindowsIn Love
on 14 June 2016 - 10:19 #919238

สาระสำคัญของข่าวนี้ผมว่ามันอยู่ที่เฟซบุคบอกว่า It's not a bug, it's a feature. มากกว่านะครับ นี่ผมเผลอกดเข้ามาอ่านถึงได้รู้ ที่คอมเมนต์น้อยเพราะทุกคนคงคิดว่าอ้อ เจอช่องโหว่ คงแจ้งแล้วล่ะ เดี๋ยวคงปิด อะไรประมาณนี้


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!