Anand Prakash แฮคเกอร์ชาวอินเดียพบวิธีที่จะสามารถแฮคบัญชีผู้ใช้ Facebook รายใดก็ได้ เขาได้แจ้งเรื่องช่องโหว่ดังกล่าวให้ Facebook ได้รับทราบ ซึ่งปัจจุบัน Facebook ก็ได้กำจัดช่องโหว่นั้น และมอบเงินรางวัลตอบแทนแก่ Prakash เป็นเงิน 15,000 ดอลลาร์

สำหรับวิธีการที่ Prakash แฮคบัญชีผู้ใช้ Facebook ของบุคคลอื่นนั้น เขาทำโดยโดยกดลิงก์แจ้งว่าลืมรหัสผ่าน ซึ่งโดยปกติ Facebook ก็จะให้รหัสผ่านชั่วคราวเป็นตัวเลข 6 หลักมาเพื่อให้ผู้ใช้ทำการป้อนเพื่อยืนยันตนเอง ซึ่ง Facebook จะจำกัดจำนวนครั้งที่ผู้ใช้สามารถป้อนรหัสผ่านชั่วคราวนี้ได้ ข้อจำกัดนี้มีเพื่อป้องกันวิธีการแฮคด้วยการ brute force (หมายถึงไล่กรอกตัวเลขทีละตัวในช่วง 000000 - 999999 จนกว่าจะล็อกอินได้สำเร็จ)

ทว่าหน้าเว็บ beta ของ Facebook (beta.facebook.com) กลับไม่มีข้อจำกัดจำนวนครั้งในการกรอกรหัสผ่านชั่วคราว นั่นทำให้ Prakash สามารถทำการ brute force จนล็อกอินเข้าสู่บัญชีใช้งาน Facebook ของบุคคลอื่นได้สำเร็จ ซึ่งจากตรงนั้น เขาสามารถดูข้อมูลส่วนตัว, เข้าถึงรูปภาพต่างๆ หรือดูรหัสบัตรเครดิตของเจ้าของบัญชีก็ยังได้ โดย Prakash ได้โพสต์วิดีโอแสดงวิธีการนี้ให้ดูบนบล็อกส่วนตัวของเขา

Prakash บอกว่าเขาได้แจ้งเรื่องช่องโหว่นี้ให้ Facebook ได้ทราบไปตั้งแต่วันที่ 22 กุมภาพันธ์ที่ผ่านมา หลังจากนั้นราว 1 สัปดาห์เขาก็ได้รับเงินตอบแทนการแจ้งช่องโหว่จาก Facebook มูลค่า 15,000 ดอลลาร์

ด้าน Melanie Ensign ตัวแทนงานความปลอดภัยของ Facebook ได้ออกมาชี้แจงเรื่องนี้ว่า ช่องโหว่ที่ Prakash พบนั้นเกิดขึ้นจากการที่ Facebook แก้ไขระบบหลังบ้านของเว็บ beta โดยปกติแล้วเว็บ beta เองก็มีการจำกัดจำนวนครั้งในการป้อนรหัสผ่านชั่วคราวเช่นเดียวกันกับหน้าเว็บหลัก และแน่นอนว่าในปัจจุบัน Facebook ก็ได้แก้ไขปัญหานี้ไปแล้ว

ที่มา - Gizmodo