Jump to content
News Ticker
  • ประกาศจากทีม straff
  • สาเหตุที่เพื่อนสมาชิกไม่เข้าเกณฑ์
  • ฟังเพลงเพลินๆ
  • ฟังเพลงลูกทุ่งอีสานเพราะๆ
  • ฟังเพลงเหนือม่วนๆ
  • ฟังเพลงใต้โดนใจ
  • ช่วงวันที่ 19-21 พ.ย. บริเวณความกดอากาศสูงกำลังปานกลางปกคลุมภาคเหนือ ภาคตะวันออกเฉียงเหนือตอนบน และทะเลจีนใต้ ประกอบกับหย่อมความกดอากาศต่ำ ปกคลุมอ่าวไทยและภาคใต้ตอนกลาง ทำให้ภาคใต้มีฝนเพิ่มขึ้นและมีฝนตกหนักบางแห่ง ส่วนในช่วงวันที่ 22-25 พ.ย. บริเวณความกดอากาศสูงกำลังค่อนข้างแรงอีกระลอกหนึ่งจากประเทศจีนจะแผ่เสริมลงมาปกคลุมภาคเหนือตอนบน ภาคตะวันออกเฉียงเหนือ และทะเลจีนใต้ ทำให้ประเทศไทยตอนบนมีฝนฟ้าคะนองเกิดขึ้นในระยะแรก หลังจากนั้นอุณหภูมิจะลดลง สำหรับมรสุมตะวันออกเฉียงเหนือที่พัดปกคลุมบริเวณอ่าวไทยและภาคใต้จะมีกำลังแรงขึ้น ทำให้ภาคใต้มีฝนตกต่อเนื่อง ส่วนคลื่นลมบริเวณอ่าวไทยและทะเลอันดามันมีกำลังปานกลาง อนึ่งในช่วงวันที่ 23-25 พ.ย. จะมีพายุโซนร้อนเคลื่อนตัวผ่านทะเลจีนใต้เข้ามาสลายตัวที่ชายฝั่งประเทศเวียดนาม
  • Red Bull TV
Sign in to follow this  
tequila

ตามประเด็นเฟซบุ๊กถูกแฮก: Access Token คืออะไร หลุดแล้วกระทบอย่างไร

Recommended Posts

เฟซบุ๊กออกข่าวที่กระเทือนโลกออนไลน์และวงการความปลอดภัยทั้งโลก จากฟีเจอร์ "View As" ที่ช่วยให้ผู้ใช้เฟซบุ๊กสามารถตรวจสอบการตั้งค่าของของตัวเอง ว่าเปิดสิทธิ์ให้คนต่างๆ เข้ามาเห็นข้อมูลอะไรบ้าง เช่นบางคนต้องการเปิดข้อมูลการทำงานให้เฉพาะเพื่อนเท่านั้น ขณะที่บางคนอาจจะเปิดให้ทุกคน หรือแม้แต่การบล็อคบางคนออกจากบางโพส

Access Token คืออะไร

No Description

ข้อที่ควรทำความเข้าใจก่อน คือ access token นั้นไม่ใช่รหัสผ่านที่เราใช้ล็อกอินเฟซบุ๊ก แต่เมื่อเป็นรหัสเฉพาะที่เมื่อเราล็อกอินแล้ว หรือเปิดให้แอพพลิเคชั่นอื่นเข้ามาเชื่อมต่อกับบัญชีเฟซบุ๊กของเรา ตัวเฟซบุ๊กก็จะสร้าง access token ที่เป็นตัวอักษรสุ่มความยาวหลายสิบตัว เพื่อส่งให้กับแอพ จากนั้นเมื่อแอพต้องการเรียกข้อมูลต่างๆ ของเราจากเซิร์ฟเวอร์เฟซบุ๊ก ก็จะสามารถใช้ access token นี้แนบไปกับข้อความขอข้อมูลหรือสั่งโพสข้อความบน timeline ของเรา เพื่อให้เฟซบุ๊กตรวจสอบว่าเป็นการเรียกที่ได้รับอนุญาตจากผู้ใช้

No Description

ภาพจัดการการล็อกอินแอพ โดยสามารถสั่งล็อกเอาท์แยกกันได้

แนวทางนี้ทำให้ตัวแอพไม่ต้องเก็บรหัสผ่านไว้ในแอพ และเฟซบุ๊กก็สามารถจัดการแอพต่างๆ แยกจากกันได้ เช่น เราสามารถล็อกเอาท์ อุปกรณ์แต่ละชิ้นแยกจากกันได้ เช่น เมื่อทำโทรศัพท์หาย ก็สามารถล็อกเอาท์เฟซบุ๊กออกจากโทรศัพท์ได้เลย โดยไม่กระทบกับเครื่องอื่น

 

ช่องโหว่เกิดขึ้นได้อย่างไร

No Description

ฟีเจอร์ View As ตอนนี้ถูกปิดไปแล้ว

Guy Rosen รองประธานเฟซบุ๊กอธิบายช่องโหว่ว่าประกอบไปด้วย 3 บั๊ก ประกอบกันจนเป็นช่องโหว่ร้ายแรง

  1. เมื่อผู้ใช้อยู่ในหน้า View As ไม่ควรเห็นช่องโพสใดๆ เพราะหน้าจอมีไว้ตรวจสอบว่าเห็นข้อมูลอะไรบ้าง แต่ในกรณีที่หน้าจอมีช่องให้แสดงความยินดีวันเกิด กลับมีช่องให้โพสวิดีโอ แสดงขึ้นมาด้วย
  2. ตัวอัพโหลดวิดีโอกลับสร้าง token ขึ้นโดยไม่จำเป็น
  3. token ที่สร้างขึ้นมา กลายเป็น token ของเหยื่อที่ถูกนำชื่อมาใส่หน้า View As

Access Token หลุดแล้วร้ายแรงแค่ไหน
คำตอบสั้นๆ คือ แฮกเกอร์สามารถทำได้ทุกอย่างที่เฟซบุ๊กเปิดให้ทำโดยไม่ถามรหัส ซึ่งปกติคือการเปลี่ยนรหัสผ่านใหม่ที่ต้องการรหัสเดิม กรณีนี้ความเป็นไปได้คือแฮกเกอร์สามารถเข้ามาโพสในชื่อของเหยื่อได้ หรือไปกดไลค์ หรือตอบคอมเมนต์ตามที่ต่างๆ ในเฟซบุ๊กโดยอาจจะใช้ชื่อคนดัง

ความน่ากังวลต่อจากนั้นคือการเข้าถึงข้อมูล เนื่องจากคนร้ายได้รับ access token ทำให้สามารถเห็นข้อมูลได้ทั้งหมด แม้แต่โพสที่กำหนดสิทธิ์ไว้เป็น Only me หากคนร้ายดาวน์โหลดข้อมูลออกไปก็จะกลายเป็นคดีข้อมูลหลุดครั้งใหญ่ที่สุดครั้งหนึ่งในโลก เพราะไม่ใช่เพียงคนที่ได้รับผลกระทบ แต่ปริมาณข้อมูลของแต่ละคนก็มหาศาล ตัว Mark Zuckerberg ยืนยันว่าคนร้ายพยายามใช้ API ดูข้อมูลบางส่วน แต่ยังไม่สามารถยืนยันได้ว่ามีข้อมูลส่วนตัวหลุดไปหรือไม่

ที่สำคัญคือคนร้ายในกรณีนี้ ใช้ access token ที่ได้มา ล็อกอินเข้าบัญชีเหยื่อ แล้วไปแฮกคนอื่นๆ ต่อไปอีกเรื่อยๆ ทำให้จนตอนนี้เฟซบุ๊กเองยังไม่รู้ว่าจุดเริ่มต้นของแฮกเกอร์นี้อยู่ตรงไหน โดยข้อมูลล่าสุดคือแฮกเกอร์หรือกลุ่มแฮกเกอร์นี้ใช้ช่องโหว่นี้ขโมยล็อกอินไปแล้วถึง 50 ล้านบัญชี

เราควรทำอะไรบ้าง
เฟซบุ๊กยกเลิก access token ของผู้ใช้จำนวน 90 ล้านคน ที่อาจจะได้รับผลกระทบไปแล้ว (ผู้ใช้เหล่านี้ถูกนำชื่อไปใส่ช่อง View As ของผู้ใช้อื่น) คำแนะนำอย่างเป็นทางการของเฟซบุ๊กคือ แม้ว่าจะไม่ได้ถูกบังคับล็อกอินใหม่ แต่หากไม่สบายใจก็สามารถเข้าไปตรวจสอบรายชื่ออุปกรณ์ที่ล็อกอินอยู่ หากพบอุปกรณ์แปลกๆ ก็สามารถสั่งล็อกเอาท์ได้ หรือเพื่อให้สบายใจก็อาจจะล็อกเอาท์ทั้งหมด

สำหรับคนที่ระแวงกว่านั้น อาจจะตรวจสอบการใช้งานเฟซบุ๊กของตัวเองบน Activity log ว่ามีการกระทำผิดปกติบนบัญชีของเราหรือไม่ แต่กระบวนการอาจจะยาวนาน เพราะช่องโหว่มีอยู่มานานกว่าหนึ่งปี และเฟซบุ๊กยังไม่ได้แจ้งชัดเจนว่าการแฮกเริ่มต้นขึ้นเมื่อไหร่

ที่มา - ArsTechnica, Facebook

  • Like 1

แชร์โพสต์นี้


Link to post
Share on other sites

ผมเคยเข้าไปดู Access Token ของ Facebook นานแล้ว เข้าง่ายมากครับ เข้า facebook และไปที่ https://www.facebook.com/ads/manager/...  ที่เป็นโฆษณา  และก็ใช้คำสั่ง find หาคำสั่ง token ก็จะเจอหางของคำสั่งยาวประมาณ 40-50 ตัวอักษร

ตอนนี้จะแสดงไว้แบบนี้แล้ว

Snap_2018_10.01_008.jpg.93478b23bd56764c35b6a877ec63be93.jpg

และผมเชื่อมั่นว่ามีคนรู้เหมือนผมไม่ต่ำกว่าล้านคน เพราะมีการบอกต่อๆ  กันไปเป็นปีแล้ว  เพื่อนๆ  ลองกดตามลิงค์ที่ผมบอกด้านบนไปก็ได้ ตอนนี้ลิงค์เปลี่ยนไปจากเดิมแล้ว

 

แชร์โพสต์นี้


Link to post
Share on other sites

เมื่อก่อนเราก็ใช้ API ติดต่อล็อกอินกับบอร์ดเหมือนกัน แต่เอาออกไปนานละ

  • Like 1

แชร์โพสต์นี้


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×