Tags:
Node Thumbnail

เที่ยงคืนที่ผ่านมาเฟซบุ๊กออกข่าวที่กระเทือนโลกออนไลน์และวงการความปลอดภัยทั้งโลก จากฟีเจอร์ "View As" ที่ช่วยให้ผู้ใช้เฟซบุ๊กสามารถตรวจสอบการตั้งค่าของของตัวเอง ว่าเปิดสิทธิ์ให้คนต่างๆ เข้ามาเห็นข้อมูลอะไรบ้าง เช่นบางคนต้องการเปิดข้อมูลการทำงานให้เฉพาะเพื่อนเท่านั้น ขณะที่บางคนอาจจะเปิดให้ทุกคน หรือแม้แต่การบล็อคบางคนออกจากบางโพส

Access Token คืออะไร

No Description

ข้อที่ควรทำความเข้าใจก่อน คือ access token นั้นไม่ใช่รหัสผ่านที่เราใช้ล็อกอินเฟซบุ๊ก แต่เมื่อเป็นรหัสเฉพาะที่เมื่อเราล็อกอินแล้ว หรือเปิดให้แอพพลิเคชั่นอื่นเข้ามาเชื่อมต่อกับบัญชีเฟซบุ๊กของเรา ตัวเฟซบุ๊กก็จะสร้าง access token ที่เป็นตัวอักษรสุ่มความยาวหลายสิบตัว เพื่อส่งให้กับแอพ จากนั้นเมื่อแอพต้องการเรียกข้อมูลต่างๆ ของเราจากเซิร์ฟเวอร์เฟซบุ๊ก ก็จะสามารถใช้ access token นี้แนบไปกับข้อความขอข้อมูลหรือสั่งโพสข้อความบน timeline ของเรา เพื่อให้เฟซบุ๊กตรวจสอบว่าเป็นการเรียกที่ได้รับอนุญาตจากผู้ใช้

No Description

ภาพจัดการการล็อกอินแอพ โดยสามารถสั่งล็อกเอาท์แยกกันได้

แนวทางนี้ทำให้ตัวแอพไม่ต้องเก็บรหัสผ่านไว้ในแอพ และเฟซบุ๊กก็สามารถจัดการแอพต่างๆ แยกจากกันได้ เช่น เราสามารถล็อกเอาท์ อุปกรณ์แต่ละชิ้นแยกจากกันได้ เช่น เมื่อทำโทรศัพท์หาย ก็สามารถล็อกเอาท์เฟซบุ๊กออกจากโทรศัพท์ได้เลย โดยไม่กระทบกับเครื่องอื่น

ช่องโหว่เกิดขึ้นได้อย่างไร

No Description

ฟีเจอร์ View As ตอนนี้ถูกปิดไปแล้ว

Guy Rosen รองประธานเฟซบุ๊กอธิบายช่องโหว่ว่าประกอบไปด้วย 3 บั๊ก ประกอบกันจนเป็นช่องโหว่ร้ายแรง

  1. เมื่อผู้ใช้อยู่ในหน้า View As ไม่ควรเห็นช่องโพสใดๆ เพราะหน้าจอมีไว้ตรวจสอบว่าเห็นข้อมูลอะไรบ้าง แต่ในกรณีที่หน้าจอมีช่องให้แสดงความยินดีวันเกิด กลับมีช่องให้โพสวิดีโอ แสดงขึ้นมาด้วย
  2. ตัวอัพโหลดวิดีโอกลับสร้าง token ขึ้นโดยไม่จำเป็น
  3. token ที่สร้างขึ้นมา กลายเป็น token ของเหยื่อที่ถูกนำชื่อมาใส่หน้า View As

Access Token หลุดแล้วร้ายแรงแค่ไหน

คำตอบสั้นๆ คือ แฮกเกอร์สามารถทำได้ทุกอย่างที่เฟซบุ๊กเปิดให้ทำโดยไม่ถามรหัส ซึ่งปกติคือการเปลี่ยนรหัสผ่านใหม่ที่ต้องการรหัสเดิม กรณีนี้ความเป็นไปได้คือแฮกเกอร์สามารถเข้ามาโพสในชื่อของเหยื่อได้ หรือไปกดไลค์ หรือตอบคอมเมนต์ตามที่ต่างๆ ในเฟซบุ๊กโดยอาจจะใช้ชื่อคนดัง

ความน่ากังวลต่อจากนั้นคือการเข้าถึงข้อมูล เนื่องจากคนร้ายได้รับ access token ทำให้สามารถเห็นข้อมูลได้ทั้งหมด แม้แต่โพสที่กำหนดสิทธิ์ไว้เป็น Only me หากคนร้ายดาวน์โหลดข้อมูลออกไปก็จะกลายเป็นคดีข้อมูลหลุดครั้งใหญ่ที่สุดครั้งหนึ่งในโลก เพราะไม่ใช่เพียงคนที่ได้รับผลกระทบ แต่ปริมาณข้อมูลของแต่ละคนก็มหาศาล ตัว Mark Zuckerberg ยืนยันว่าคนร้ายพยายามใช้ API ดูข้อมูลบางส่วน แต่ยังไม่สามารถยืนยันได้ว่ามีข้อมูลส่วนตัวหลุดไปหรือไม่

ที่สำคัญคือคนร้ายในกรณีนี้ ใช้ access token ที่ได้มา ล็อกอินเข้าบัญชีเหยื่อ แล้วไปแฮกคนอื่นๆ ต่อไปอีกเรื่อยๆ ทำให้จนตอนนี้เฟซบุ๊กเองยังไม่รู้ว่าจุดเริ่มต้นของแฮกเกอร์นี้อยู่ตรงไหน โดยข้อมูลล่าสุดคือแฮกเกอร์หรือกลุ่มแฮกเกอร์นี้ใช้ช่องโหว่นี้ขโมยล็อกอินไปแล้วถึง 50 ล้านบัญชี

เราควรทำอะไรบ้าง

เฟซบุ๊กยกเลิก access token ของผู้ใช้จำนวน 90 ล้านคน ที่อาจจะได้รับผลกระทบไปแล้ว (ผู้ใช้เหล่านี้ถูกนำชื่อไปใส่ช่อง View As ของผู้ใช้อื่น) คำแนะนำอย่างเป็นทางการของเฟซบุ๊กคือ แม้ว่าจะไม่ได้ถูกบังคับล็อกอินใหม่ แต่หากไม่สบายใจก็สามารถเข้าไปตรวจสอบรายชื่ออุปกรณ์ที่ล็อกอินอยู่ หากพบอุปกรณ์แปลกๆ ก็สามารถสั่งล็อกเอาท์ได้ หรือเพื่อให้สบายใจก็อาจจะล็อกเอาท์ทั้งหมด

สำหรับคนที่ระแวงกว่านั้น อาจจะตรวจสอบการใช้งานเฟซบุ๊กของตัวเองบน Activity log ว่ามีการกระทำผิดปกติบนบัญชีของเราหรือไม่ แต่กระบวนการอาจจะยาวนาน เพราะช่องโหว่มีอยู่มานานกว่าหนึ่งปี และเฟซบุ๊กยังไม่ได้แจ้งชัดเจนว่าการแฮกเริ่มต้นขึ้นเมื่อไหร่

ที่มา - ArsTechnica, Facebook

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 29 September 2018 - 07:38 #1073428
hisoft's picture

ภาพไม่ขึ้นหลายจุดเลยครับ

By: bubbleball on 29 September 2018 - 08:25 #1073440
bubbleball's picture

ผมรู้จักคคนนึงที่แฮ๊กเป็นหลายสิบคดีครับ ไปแจ้ง บก ปอท คดีไม่คืบหน้า คาดว่าจะมาจากช่องโหว่นี้

By: KuLiKo
iPhoneWindows PhoneAndroidWindows
on 3 October 2018 - 21:27 #1074234 Reply to:1073440

ได้ข้ออ้างแบบเนียนๆ ซักที

By: syootakarn
iPhoneWindows PhoneAndroidBlackberry
on 29 September 2018 - 09:34 #1073445
syootakarn's picture

น่ากลัวมาก

By: myungz
In Love
on 29 September 2018 - 09:42 #1073446
myungz's picture

พวกแชร์ไลฟ์ แชร์ปาร์ตี้ในกลุ่มเฟซ
พวกโพสโฆษณาโดยไม่รู้ตัว
พวกนี้แหละโดนแฮ๊ก token แล้ว

ทำไมเฟซไม่มีปุ่มให้แจ้งง่ายๆหน่อย
พวกนี้มันทำเฟซเสียรายได้โฆษณานะ

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 1 October 2018 - 04:50 #1073656 Reply to:1073446
xenatt's picture

ส่วนใหญ่คนที่แชร์ Live จะรู้ตัวกันนะ อยากได้ของราคาพิเศษ อะไรก็ว่าไป มีซักกี่คนที่ได้จริงๆ


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project

By: labura on 1 October 2018 - 11:08 #1073698
labura's picture

ไปดูเครื่องที่ใช้งาน facebook มันบอกว่ากำลังใช้งานอยู่แต่มันไปอยู่จังหวัดอื่นอ่ะ เปลี่ยน password ก็แล้ว ทำยังไงดีครับ

By: totiz
ContributoriPhoneAndroidRed Hat
on 1 October 2018 - 12:11 #1073715 Reply to:1073698
totiz's picture

เข้าหน้าตามเนื้อข่าว หรืออันนี้ไปกด Logout แต่ละอุปกรณ์ได้เลยครับ
https://web.facebook.com/settings?tab=security&section=sessions&&_rdc=1&_rdr

By: labura on 1 October 2018 - 16:06 #1073757 Reply to:1073715
labura's picture

มันบอกว่า Active Now ครับ ไม่มีปุ่มให้ Log out

ทดสอบแล้วมันเครื่องตัวเอง แต่มันบอกว่าใช้ที่ มหาสารคาม

By: KuLiKo
iPhoneWindows PhoneAndroidWindows
on 3 October 2018 - 21:32 #1074235 Reply to:1073757

เน็ตบ้านเรามันชอบรวนอะครับ ตอนผมใช้ AIS Fibre อยู่นครปฐมมันก็ว่าผมล็อคอินจากเชียงใหม่...

By: viroth
ContributorBlackberryIn Love
on 1 October 2018 - 20:58 #1073799
viroth's picture

่logout อุปกรณ์ทั้งหมด เปิด 2step verification คงพอช่วยได้