Facebook เผลอปล่อยช่องทางที่อนุญาตให้คนร้ายสามารถแฮกบัญชีใดๆ ก็ได้

Facebook เพิ่งทำการแพชช่องโหว่อันตรายที่อนุญาตให้คนร้ายสามารถเข้าถึงข้อมูลทั้งหมดของผู้ใช้ใดๆ ก็ได้ โดยไม่ได้รับอนุญาต

 

โดยช่องโหว่ดังกล่าวถูกพบโดย Anand Prakash บนฟังก์ชั่นเกี่ยวกับการ reset รหัสผ่านของบัญชี Facebook ซึ่งโดยปกติเมื่อเราต้องการ reset รหัสผ่าน ทาง Facebook จะให้เราใส่ email หรือเบอร์โทรศัพท์ และจะส่งเลข PIN เป็นตัวเลข 6 หลักไปยัง email หรือเบอร์โทรศัพท์ และจะมีช่องบนเว็บให้ใส่รหัสดังกล่าว เพื่อแก้ไขรหัสผ่านต่อไป

 

ซึ่งหากมีคนพยายามเดา เลข 6 หลัก ดังกล่าวบนเว็บ Facebook ระบบจะล็อคเมื่อมีการพิมพ์ผิดไป 10 ถึง 12 ครั้ง แต่ Prakash พบว่าบนหน้า Facebook’s beta website (beta.facebook.com) เผลอปล่อยให้เดาได้เรื่อยๆ โดยไม่ได้ล็อคจำนวนครั้งไว้ ทำให้คนร้ายสามารถใช้โปรแกรมช่วยยิงรหัสไปได้เรื่อยๆ จนกระทั่งถูกต้อง และเข้าบัญชีได้สำเร็จ ทาง Facebook ยินดีจ่าย Prakash เป็นจำนวนเงิน US$15,000 ผ่านช่องทาง bug bounty program (ประมาณ 5 แสนกว่าบาท แสดงถึงความร้ายแรงของช่องโหว่นี้)

 

Ref.

https://www.grahamcluley.com/2016/03/facebook-hack-account-bug/