ดาวน์โหลดโปรแกรมฟรี
Facebook  Twitter  YouTube  News Letter  Rss Feed
ติดตามไทยแวร์ได้ที่นี่
  
ข่าวไอที
 
ส่งข่าวไอทีเข้าไทยแวร์ดอทคอม (Submit News to Thaiware.com)
 

Recommended for you

Which Disney Princess Are You? แอปฯ ดังบน Facebook หลุดข้อมูลผู้ใช้กว่า 120 ล้านราย

เมื่อ :
ผู้เข้าชม : 1,056
เขียนโดย :
Which Disney Princess Are You? แอปฯ ดังบน Facebook หลุดข้อมูลผู้ใช้กว่า 120 ล้านราย
0 Which+Disney+Princess+Are+You%3F+%E0%B9%81%E0%B8%AD%E0%B8%9B%E0%B8%AF+%E0%B8%94%E0%B8%B1%E0%B8%87%E0%B8%9A%E0%B8%99+Facebook+%E0%B8%AB%E0%B8%A5%E0%B8%B8%E0%B8%94%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5%E0%B8%9C%E0%B8%B9%E0%B9%89%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%81%E0%B8%A7%E0%B9%88%E0%B8%B2+120+%E0%B8%A5%E0%B9%89%E0%B8%B2%E0%B8%99%E0%B8%A3%E0%B8%B2%E0%B8%A2
A- A+

แอปฯ ตอบคำถามบน Facebook เป็นหนึ่งในแอปฯ ยอดนิยมที่มีผู้ใช้ชอบเล่นกันเป็นอย่างมาก ล่าสุดมีรายงานข่าวที่น่าตกใจเป็นอย่างมาก โดยแฮกเกอร์ที่ใช้ชื่อว่า De Ceukelaire ได้เขียนบทความบนเว็บ Medium เกี่ยวกับการค้นพบช่องโหว่ของพวกแอปฯ ตอบคำถาม ที่มีการเก็บข้อมูลส่วนตัวของผู้เล่น ซึ่งเขาได้ระบุถึงแอปฯ ยอดนิยมอย่าง Which Disney Princess Are You? (คุณคือเจ้าหญิงคนไหนในดิสนีย์) ที่มีผู้เล่นจำนวนมากถึง 120 ล้านคนต่อเดือน พัฒนาโดยบริษัท NameTests ว่ามีช่องโหว่ด้านการเก็บข้อมูลส่วนตัวของผู้ใช้ Facebook อย่าง ชื่อ, วันเกิด, รูป และรายชื่อเพื่อน เอาไว้ในไฟล์ JavaScript ซึ่งสามารถถูก "ล้วง" ได้อย่างง่ายดายจากบุคคลที่สาม 

Which Disney Princess Are You? แอปฯ ดังบน Facebook หลุดข้อมูลผู้ใช้กว่า 120 ล้านราย

De Ceukelaire ได้สังเกตพบว่า เมื่อตอบคำถามเสร็จ แอปฯ จะมีการแสดงข้อมูลส่วนตัว อย่างรูปโปรไฟล์ของเขาขึ้นมา ซึ่งเขารู้สึกตกใจที่ข้อมูลส่วนตัว สามารถถูกแสดงออกมาได้อย่างง่ายดาย เมื่อมีคำร้องขอจากแอปฯ 3rd Party โดยข้อมูลได้ปรากฏอยู่ใน http://nametests.com/appconfig_user 

ในทางทฤษฏีแล้ว NameTests ได้ดึงข้อมูลออกมาเพื่อใช้ในการแสดงผลลัพธ์ แต่ว่ามันก็เป็นช่องโหว่ที่เว็บไซต์ไม่ประสงค์ดีสามารถใช้ในการเข้ามา "ล้วง" ข้อมูลออกไปได้เช่นกัน

Which Disney Princess Are You? แอปฯ ดังบน Facebook หลุดข้อมูลผู้ใช้กว่า 120 ล้านราย

โดยตัว De Ceukelaire ได้ทำการทดสอบด้วยการสร้างเว็บไซต์หนึ่งขึ้นมาเพื่อเชื่อมต่อกับ NameTests หลังจากที่ได้ตัว Access token มา แฮกเกอร์สามารถใช้ Token ดังกล่าวในการเข้าไปล้วงข้อมูลของผู้ใช้ได้อย่างง่ายดาย สามารถดูการทดสอบได้จากวีดีโอด้านล่่างนี้เลยครับ

;

อย่างไรก็ตาม De Ceukelaire เผยว่า ทาง NameTests ได้ทำการปิดช่องโหว่ดังกล่าวแล้ว ด้วยการเปลี่ยนวิธีการทำงานของระบบ ตั้งแต่ช่วงเดือนมิถุนายน และได้แถลงกาณณ์ว่ายังไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้ในการล้วงข้อมูลจากบุคคลอื่น หรือถูกนำไปใช้ในทางที่ผิด อย่างไรก็ตามเราจะทำการสืบสวนเรื่องนี้อย่างละเอียด และเราจะเข้มงวดกับระบบรักษาความปลอดภัยในระบบให้มีความปลอดภัยมากยิ่งขึ้น

ส่วนทาง Facebook ก็ได้ออกมาชี้แจงเช่นกันผ่านทาง Data Abuse Bounty Program ว่านักวิจัยได้ชี้แจงปัญหานี้เข้ามา ซึ่งเราก็ได้ทำการประสานงานไปกับทาง NameTests เพื่อแก้ปัญหาช่องโหว่ดังกล่าว ซึ่งก็ได้ปิดเป็นที่เรียบร้อยในเดือนมิถุนายน 

ขณะนี้ Facebook ก็กำลังทำการตรวจสอบแอปฯ ต้องสงสัยที่มีแนวโน้มว่าจะมีการดึงข้อมูลของผู้ใช้ Facebook ไปหาประโยชน์ในทางที่ผิดอยู่ ซึ่งมีอยู่ประมาณ 200 แอปฯ ที่ถูกระงับไปเป็นที่เรียบร้อยแล้ว


ที่มา : www.theverge.com , en.nametests.com , medium.com

0 Which+Disney+Princess+Are+You%3F+%E0%B9%81%E0%B8%AD%E0%B8%9B%E0%B8%AF+%E0%B8%94%E0%B8%B1%E0%B8%87%E0%B8%9A%E0%B8%99+Facebook+%E0%B8%AB%E0%B8%A5%E0%B8%B8%E0%B8%94%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5%E0%B8%9C%E0%B8%B9%E0%B9%89%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%81%E0%B8%A7%E0%B9%88%E0%B8%B2+120+%E0%B8%A5%E0%B9%89%E0%B8%B2%E0%B8%99%E0%B8%A3%E0%B8%B2%E0%B8%A2
แบ่งปันหน้าเว็บนี้ผ่าน URL :
Keyword คำสำคัญ »
เขียนโดย
ระดับผู้ใช้ : Admin    Thaiware
แอดมินสายเปื่อย ชอบลองอะไรใหม่ไปเรื่อยๆ รักแมว และเสียงเพลงเป็นพิเศษ
 
 
 
 

ข่าวไอทีที่เกี่ยวข้อง



 

Recommended for you

 

แสดงความคิดเห็น

 

แผนผังเว็บไซต์ (XML Sitemap)
Thaiware Communication Co.,Ltd.

Copyright Notice

Creative Commons Attribution 3.0
Copyright 1999-2019

Thaiware.com is owned and operated by
Thaiware Communication Co., Ltd.