Facebook พบช่องโหว่ฟีเจอร์ View As ผู้ใช้ถูกขโมยบัญชีได้

ทาง Facebook ได้ออกประกาศว่า พบช่องโหว่ในระบบ โดยอยู่ในส่วนของฟีเจอร์ View As ที่ให้เราดูหน้าเพจโดยสมมติว่าเป็นเพื่อนของเราเข้ามาดูว่าเห็นอะไรบ้าง

โดยที่ช่องโหว่ดังกล่าว จะทำให้แฮกเกอร์สามารถขโมยบัญชีใครก็ได้ โดยมีผู้ใช้ได้รับผลกระทบรวมเกือบ 50 ล้านคน

เฟซบุ๊กรีเซ็ต token ของผู้ใช้ที่ได้รับผลกระทบทั้งหมด พร้อมกับรีเซ็ต token ของผู้ใช้ที่เคยถูกใช้ View As ในรอบปีที่ผ่านมา อีก 40 ล้านคน ทำให้ผู้ใช้ทั้งหมดล็อกอินหลุด และหลังจากล็อกอินเข้ามาแล้ว เฟซบุ๊กจะแจ้งเตือนว่าเกิดอะไรขึ้นอีกครั้ง

ผมเองก็ล็อกอินหลุดเมื่อช่วงเย็นที่ผ่านมา

วิศวกรพบช่องโหว่นี้ตั้งแต่วันที่ 25 ที่ผ่านมา และพบว่ามีแฮกเกอร์ใช้งานช่องโหว่นี้แล้ว โดยทางเฟซบุ๊กได้แจ้งเจ้าหน้าที่ตำรวจแล้ว แต่ตอนนี้กระบวนการสอบสวนยังไม่เสร็จสิ้น และยังไม่ยืนยันว่ามีบัญชีถูกขโมยไปแล้วกี่บัญชี

ช่องโหว่นี้กระทบเฉพาะ access token ที่เปิดให้แฮกเกอร์สามารถเข้ามากระทำแทนเรา เช่น โพสข้อความหรือไปกดไลค์เพจต่างๆ เมื่อทางเฟซบุ๊กปิดช่องโหว่แล้วไม่จำเป็นต้องเปลี่ยนรหัสแต่อย่างใด

ที่มา – Facebook

Facebook Comments
%d bloggers like this: