URL ที่มีช่องโหว่ทำให้สามารถเพิ่มที่อยู่อีเมลและควบคุมบัญชีได้โดยการรีเซ็ตรหัสผ่าน
คลิกเมาส์เพียงครั้งเดียว และทันใดนั้น บัญชี Facebook ของคุณอาจตกไปอยู่ในมือของผู้โจมตีได้ เครือข่ายโซเชียลเพิ่งปิดข้อบกพร่องที่น่ารังเกียจซึ่งนักวิจัยด้านความปลอดภัย “Samm0uda” เพิ่งค้นพบ
อนุญาตให้มีการสร้างลิงก์ที่ติดอยู่ซึ่งหากคลิกโดยผู้ใช้ที่ได้รับการรับรองความถูกต้อง จะอนุญาตให้มีการกระทำที่เป็นอันตรายต่างๆ ในบัญชี เช่น การโพสต์บทความบนผนังหรือการลบรูปโปรไฟล์
ลิงก์ที่ติดอยู่เหล่านี้ยังทำให้ผู้โจมตีสามารถเพิ่มอีเมลของตนเองลงในบัญชีของเหยื่อได้ ดังนั้นผ่านการรีเซ็ตรหัสผ่านเพื่อควบคุมรหัสผ่านได้อย่างสมบูรณ์ (เว้นแต่จะเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย)
การโจมตีเหล่านี้เกิดขึ้นได้เนื่องจาก URL ที่มีช่องโหว่ในโดเมน facebook.com ที่อนุญาตให้ดำเนินการคำขอ HTTP/POST บน URL อื่น ในขณะที่ข้ามการควบคุมการเข้าถึง
URL นี้คือ “https://www.facebook.com/comet/dialog_DONOTUSE/?url=” ในกรณีของการเพิ่มที่อยู่อีเมล การโจมตีเกี่ยวข้องกับ URL ที่ต่อเนื่องกันทั้งหมด ซึ่งจะดำเนินการโดยอัตโนมัติทีละรายการ ดังที่เห็นได้ในโพสต์ในบล็อกโดย Samm0uda.“การโจมตีอาจดูยาวนาน แต่สำเร็จได้ในพริบตา”เขาเน้นย้ำ
เมื่อต้องเผชิญกับปัญหานี้ Facebook จึงดำเนินการอย่างรวดเร็ว ผู้วิจัยแจ้งเตือนโซเชียลเน็ตเวิร์กเมื่อวันที่ 26 มกราคม เจ็ดวันต่อมา ความผิดก็ถูกปิด ผู้เชี่ยวชาญด้านความปลอดภัยได้รับเงินรางวัล 25,000 ดอลลาร์
แหล่งที่มา :
ข่าวแฮ็กเกอร์
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
