Cybersecurity Privacy Social Media

Facebook: ไร้หลักฐานการใช้ Token จากเว็บไซต์ Third-Party ที่ถูกแฮกเกอร์แฮกไป

Facebook ยังคงไม่พบหลักฐานการใช้ Token ที่ถูกแฮกออกจากบัญชีไปมากกว่า 50 ล้านบัญชีของ Facebook

โซเชี่ยลมีเดียยักษ์ใหญ่ต้องเผชิญกับการสืบสวนของหน่วยงานคณะกรรมคุ้มครองข้อมูลของประเทศไอร์แลนด์

Facebook ประกาศว่าพวกเขาไม่พบหลักฐานที่แฮกเกอร์นำ Token ที่ใช้สำหรับล็อคอินจากเว็บไซต์อื่นไปใช้ในทางที่ผิด

ทุกอย่างเริ่มต้นขึ้นเมื่อวันที่ 28 กันยายน 2018 เมื่อแฮกเกอร์ล้วงข้อมูล Token ของบัญชี Facebook มากกว่า 50 ล้านบัญชีจากช่องโหว่ในฟีเจอร์ ‘View As’ และทำให้บัญชีผู้ใช้ Facebook มากกว่า 40 ล้านหลุดออกจากระบบ

“ทางเราได้วิเคราะห์บันทึกของแอปพลิเคชั่น Third Party ที่ติดตั้งหรือล็อคอินในช่วงเวลาดังกล่าว และไม่มีหลักฐานการนำ Token Facebook ไปใช้งาน” จาก Security Update Facebook

ข้อมูลของนักวิจัยจากมหาวิทยาลัย University of Illinois at Chicago มีเว็บไซต์ไม่ต่ำกว่า 42,000 เว็บไซต์ที่ใช้การล็อคอินผ่าน Facebook นี่คือความเสียหายที่เป็นไปได้จากเหตุการณ์ล้วงข้อมูล นี่รวมไปถึงบริการอย่าง Spotify, Tinder, AirBnb, และ Instagram

ซึ่งต่อมาทาง Facebook บอกว่าทีมพัฒนา (Developer) ของ Facebook เองได้ทำการรีเซ็ต Token ดังกล่าว เพื่อไม่ให้ Token เหล่านั้นสามารถนำกลับมาใช้ได้อีกครั้ง

ในเวลาเดียวกันสำนักข่าว Politico ก็รายงานว่า Facebook อาจจะต้องเผชิญกับบทลงโทษของกฎหมายคุ้มครองข้อมูล GDPR (General Data Protection Regulation) ที่ให้สิทธิในการป้องกันข้อมูลประชากรในสหภาพยุโรป ซึ่ง Facebook ทำผิดในฐานไม่สามารถคุ้มครองข้อมูลของผู้ใช้และปล่อยให้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนของผู้ใช้ Facebook นับล้านคนได้

การสอบสวนเป็นหน้าที่ของ Ireland’s Data Protection Commission (DPC) หรือคณะกรรมการคุ้มครองข้อมูลของประเทศไอร์แลนด์ ซึ่งทาง DPC เคยทวีตว่ามีผู้ใช้ที่อาศัยใน EU น้อยกว่า 10% จาก 50 ล้านที่ได้รับผลกระทบจากเหตุการณ์

Facebook บอกว่า “กำลังทำงานกับฝ่ายกฎหมายของ DPC และแบ่งปันข้อมูลเบื้องต้นจากเหตุการณ์” และวางแผนจะแจ้งข้อมูลให้ผู้ที่ได้รับผลกระทบ และพื้นที่ๆได้รับผลกระทบ

การป้องกันง่ายๆที่แนะนำได้ในตอนนี้ก็คือการออกจากระบบและล็อคอินกลับเข้ามาเพื่อรีเซ็ต Token ใหม่และยกเลิก Token เก่าออก

Author: Tomáš Foltýn
Source:
https://www.welivesecurity.com/2018/10/03/facebook-no-evidence-attackers-used-stolen-access-tokens-third-party-sites/
Translated by: Worapon H.

%d bloggers like this: