สัมภาษณ์คุณสุวิชา บัวคอม นักศึกษามหาวิทยาลัยที่รายงานช่องโหว่เฟซบุ๊กจนได้รางวัล 2,000 ดอลลาร์

By lew Founder on Tag: Thailand, Interview, Security
Thailand

เฟซบุ๊กเป็นหนึ่งในบริการที่เปิดให้นักวิจัยความปลอดภัยเข้าไปตรวจสอบและรายงานช่องโหว่ในชือโครงการ Facebook Bug Bounty โดยทางเฟซบุ๊กจะจ่ายเงินรางวัลเมื่อเรารายงานช่องโหว่ในระดับต่างๆ กันไป ที่ผ่านมามีคนไทยรายงานเข้าไปบ้าง แต่ครั้งล่าสุดที่ผมพบคือคุณสุวิชา บัวคอม หรือสมอส นักศึกษามหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี ที่สนใจศึกษาวิชาความปลอดภัยคอมพิวเตอร์ด้วยตัวเอง และรายงานช่องโหว่ไปยังทางเฟซบุ๊กจนได้รับเงินรางวัล 2,000 ดอลลาร์ คุณสุวิชาเล่าถึงประสบการณ์การพบบั๊กไว้ในเฟซบุ๊กของตัวเอง และวันนี้ผมได้มีโอกาสคุยกับคุณสุวิชาอีกครั้ง

คุณสุวิชาออกตัวเสมอๆ ว่าเป็นมีความรู้ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ไม่มากนัก และสิ่งที่พบก็เป็นการลองตามสิ่งที่คนอื่นได้พบไว้ก่อนหน้า แต่อย่างไรก็ตามผมมองว่าคุณสุวิชาเป็นอีกตัวอย่างหนึ่งของคนที่มีความสนใจนอกเหนือจากวิชาเรียนปกติ และก็หาทางศึกษาและทดลองด้วยตัวเองจนกระทั่งรายงานตามกระบวนการ และได้มีโอกาสไปช่วยทำให้บริการที่กระทบต่อคนจำนวนมากอย่างเฟซบุ๊กปลอดภัยขึ้นในที่สุด

ช่องโหว่ที่คุณสุวิชารายงานเป็นช่องโหว่เปลี่ยนภาพ cover หน้าอีเวนต์โดยคนที่ไม่มีสิทธิ์เปลี่ยน ค้นพบโดย Roy Castillo คุณสุวิชาพบว่าแม้จะมีหน้าจอแจ้งเตือนขึ้นมาว่าไม่สามารถเปลี่ยนภาพ cover อีเวนต์ของคนอื่นๆ ได้แล้วก็ตาม แต่ที่จริงแล้วเฟซบุ๊กยังคงปล่อยให้คนที่ไม่มีสิทธิสามารถเข้าไปแก้ไขภาพ cover ได้อยู่

ฝึกหัดคอมพิวเตอร์มานานยังครับ

ได้เล่นมาตั้งแต่ที่โรงเรียนอนุบาลสมัย Windows 98 แต่มีคอมพิวเตอร์เป็นของตัวเองจริงๆ ก็สมัยมัธยมสอง ตอนนั้นแม่เปลี่ยนโน้ตบุ๊กก็ได้มาใช้ ก่อนหน้านั้นในโรงเรียนก็เคยเรียนทำเว็บมาตั้งแต่สมัยประถมหกพอได้คอมพิวเตอร์ก็เอามาลองทำเว็บเองต่อ พอขึ้นมัธยมอาจารย์ที่โรงเรียนสร้างคอมวิทยา ที่จังหวัดอุดรธานี ก็เห็นว่าทำเว็บได้ก็ได้ส่งไปแข่งในจังหวัดบ้าง

หลังจากนั้นพอมัธยมปลายก็ลองหัดเขียนโปรแกรมด้วยตัวเอง ก็ลองหัดเขียนภาษาซีก่อนจะที่โรงเรียนจะสอน Visual Basic ในตอนหลัง

แล้วหลังจากนั้นก็เข้ามหาวิทยาลัย ทำไมถึงเลือกเรียนที่บางมด

ผมเคยมาเข้าค่ายที่บางมดก็คิดว่าน่าสนใจ ตอนที่สอบเข้ามหาวิทยาลัยก็มองไว้ที่นี่กับที่ลาดกระบังแต่ติดที่นี่ก่อนก็เลยเอาที่นี่เลย เท่าที่เรียนก็เป็นไปตามที่หวัง แต่ก็เกรดไม่ดีนักประมาณสองกว่าๆ เท่านั้น

[![upic.me](//upic.me/i/4z/12349587_752254954905276_275153707_s.jpg)](http://upic.me/show/58234775)

เมื่ออาจารย์และศิษย์มาเจอกัน

แล้วทำไมมาเลือกเรียนวิชาความปลอดภัยคอมพิวเตอร์

ตอนแรกสนใจอยากทำเว็บ ก็พยายามสมัครค่ายเว็บแต่ไม่ติดสักที ก็เลยคิดว่าหาอย่างอื่นทำ เลยขอเงินแม่ไปสมัครคอร์สความปลอดภัยคอมพิวเตอร์ของตาเล็ก วินโด้เก้าแปดเอสอี เป็นคอร์สออนไลน์ดูที่บ้านได้ ตอนขอเงินแม่มาเรียนก็บอกไปว่าเกรดไม่ดี ขอเงินเรียนพิเศษ

แต่ก่อนหน้านี้ก็ไม่ได้สนใจความปลอดภัยคอมพิวเตอร์?

ก่อนหน้านั้นก็คิดว่าอยากเป็น Web Developer เป็นหลัก ด้านความปลอดภัยคอมพิวเตอร์ก็เคยลองอ่านบทความดูบ้างแต่พบว่าไม่เข้าใจเท่าไหร่ แต่มีช่วงหนึ่งได้ไปเล่นเกม capture the flag (CTF) แล้วเห็นว่ามีคนทำได้กันเยอะ และลองเล่นเว็บ TRY2HACK มันมีเฉลยก็ได้ลองทำตาม ก็เจอว่าเราทำเว็บมาตั้งนานไม่เคยรู้ว่าภายในมันมีอะไรแบบนี้ด้วยก็เลยขอเรียนเพิ่มเติม

ตอนนี้เรียนจบรึยัง

ก็น่าจะดูครบแล้วครับ ดูเรียนก็ฟังผ่านๆ ไป บางครั้งก็เล่นเกมไปด้วยแล้วเปิดเสียงวิดีโอฟังไปด้วย ไม่เข้าใจตรงไหนก็กลับไปดูซ้ำอีกที แต่ที่เข้าใจจริงๆ ก็คงประมาณ 40%

มองว่าที่ได้รางวัลจากเฟซบุ๊กแบบนี้เพราะอะไร ได้ลองหลายช่องโหว่

น่าจะเป็นพรหมลิขิตมากกว่า เพราะมองบั๊กแล้วสงสัยว่าเขาทำยังไง บั๊กอื่นดูจะซับซ้อนจนทำตามลำบาก แต่บั๊กนี้ดูจะพอทำตามได้ก็ลองทำตามดู เพราะใช้แค่ Developer Tools เข้าไปแก้เท่านั้นนิดเดียวก็จะเปลี่ยนภาพหน้าอีเวนต์ได้แล้ว

[![upic.me](//upic.me/i/iv/12734236_954996141275251_3585059612620584429_n.png)](http://upic.me/show/58234836)

หลังจากรายงานกลับไปมาหลายรอบ เมื่อเฟซบุ๊กยืนยันว่ารายงานถูกต้องก็จะแจ้งจ่ายเงินแบบนี้

ตอนรายงานไปยังเฟซบุ๊กคิดยังไง คิดว่าจะได้เงินไหม

ตอนแรกไม่คิดว่าจะได้ แค่อยากบอกเขาเฉยๆ ว่าบั๊กที่เขาบอกว่าแก้แล้วยังมีบั๊กอยู่ ตอนรายงานด้วยความที่ภาษาไม่ดีเท่าไหร่ก็ใช้ Google Translate แปลรายงานไปให้ทางเฟซบุ๊กแล้วอัดวิดีโอแสดงให้เขาเห็นว่าบั๊กยังใช้งานได้อยู่ ระหว่างนั้นก็ถามคุณกิตตินันท์ (Kittinan Srithaworn - ตั๋น) ที่น่าจะเป็นคนไทยที่ได้รางวัลเป็นคนแรกว่าต้องส่งข้อมูลอะไรบ้าง

เฟซบุ๊กตอบกลับมาครั้งแรกก็บอกว่าที่เราแก้เป็นเฉพาะในเบราว์เซอร์เราอย่างเดียว หน้า เราก็พยายามตอบกลับไปอีกหลายครั้งว่ายังไม่ได้แก้ เรียกเพื่อนคนอื่นมาลองสร้างอีเวนต์แล้วเข้าไปแก้ให้ แล้วทำวิดีโอ

รออยู่ประมาณสามวันเขาก็ตอบกลับมารับว่าเป็นบั๊ก อาจจะเพราะเขาอ่านที่ผมอธิบายไม่เข้าใจ

คิดว่าต่อไปจะสนใจทำงานสายนี้ต่อไหม

ก็ถ้ามีโอกาสทำได้ก็ดีครับ จากก่อนหน้านี้ที่อยากทำเว็บเห็นเพื่อนรับงานแล้วก็พบว่าลำบากพอสมควร ทำงานสายนี้ก็ดูจะน่าสนุกกว่า

ที่มหาวิทยาลัยมีวิชาแนวนี้ให้เลือกไหม อยากให้มหาวิทยาลัยส่งเสริมอะไรบ้าง

มีวิชาปีสี่ครับ แต่ถ้าอยากให้มหาวิทยาลัยมีอะไรก็อยากให้มีการแข่ง CTF ในมหาวิทยาลัย เพราะผมเองก็เริ่มศึกษาจากตรงนั้น

อยากฝากอะไรถึงคนที่ทำกำลังศึกษาช่องโหว่เว็บไซต์แบบเดียวกันอยู่บ้าง

มันไม่สำคัญว่าเราเป็นคนไทยหรือคนต่างชาติ อยู่ที่ว่าเรามุ่งมั่นคือไม่ ถ้าสนใจก็ให้ติดตามคนที่ทำงานสายนี้เพราะพี่ๆ มักจะแชร์บทความกันมาให้อ่านอยู่เรื่อยๆ อยู่แล้ว

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

panurat2000 Tue, 05/04/2016 - 22:54

ในชือโครงการ Facebook Bug Bounty

ชือ => ชื่อ

ก็บอกว่าที่เราแก้เป็นเฉพาะในเบราว์เซอร์เราอย่างเดียว หน้า เราก็พยายามตอบกลับ

หน้า ?