เบอร์โทรศัพท์เก่าของคุณ อาจทำให้คุณถูกขโมย Facebook Account ได้
ปัญหาที่เกิดขึ้นในครั้งนี้เกิดขึ้นเนื่องจาก Facebook ยอมให้มีการเข้าถึง Facebook Account ได้ผ่านทางเบอร์โทรศัพท์เท่านั้น โดยไม่มีการถามถึงรหัสผ่านเดิมที่ใช้งานอยู่, แจ้งเตือนหรือยืนยันทาง Email หรือมีการ SMS แจ้งเตือนไปยังเบอร์โทรศัพท์อื่นๆ ที่ผูกกับ Account นั้นๆ อยู่เลย ทำให้ James Martindale ทำการทดลอง Recovery Account หรือกู้คืนบัญชีด้วยการใช้เบอร์โทรศัพท์เป็นหลักฐาน และเขาก็พบว่าเขาสามารถเข้าถึง Account นั้นๆ และทำการตั้งรหัสผ่านใหม่ หรือไม่เปลี่ยนรหัสผ่านเลยก็ได้
สิ่งที่ Facebook ทำหลังจากผู้ใช้งานทำการ Log In ด้วยเบอร์โทรศัพท์ และเลือกคำสั่ง Recover Your Account นั้น คือการที่ Facebook จะให้ผู้ใช้งานเลือกส่งโค้ดไปยัง Email หรือเบอร์โทรศัพท์ที่ผูกอยู่กับ Account นั้นๆ ได้ ซึ่งหากเราได้เบอร์โทรศัพท์ที่ผู้ใช้งานคนอื่นๆ เคยผูกเข้ากับ Facebook เอาไว้ เราก็จะสามารถใช้วิธีการนี้ในการเข้าถึง Account ของผู้ใช้งานคนนั้นได้ทันที และ Facebook ก็จะไม่ถามถึงรหัสผ่านเดิม และไม่ถามถึงชื่อ Account เลยด้วยซ้ำ แต่ให้กรอกรหัสผ่านใหม่ที่ต้องการได้เลย (แต่สามารถเลือก Skip เพื่อใช้รหัสผ่านเดิมต่อไปได้) เรียกได้ว่าสามารถแฮ็ค Account ที่ผูกกับโทรศัพท์นั้นได้อย่างง่ายดายก็ไม่ผิดนัก
ประเด็นนี้ถือว่าค่อนข้างมีปัญหาไม่น้อย เพราะทั่วโลกนั้นมีผู้ใช้งานที่ผูกเบอร์โทรศัพท์เข้ากับ Facebook Account อยู่มากมาย และการเปลี่ยนเบอร์โทรศัพท์นั้นก็เกิดขึ้นอยู่ตลอดเวลา ในขณะเดียวกัน Facebook เองก็ยอมให้มีการผูกเบอร์โทรศัพท์ได้หลายเบอร์ภายในแต่ละ Account ทำให้ผู้ใช้งานเองนั้นแทบจะไม่เคยลบเบอร์โทรศัพท์ที่ไม่ใช้แล้วออกจากบัญชีเลย ซึ่ง James Martindale ก็ได้แนะนำวิธีการป้องกันตัวเองให้ปลอดภัยขึ้นดังนี้
ทั้งนี้ก่อนหน้านี้ James Martindale ได้รายงานปัญหานี้ไปยัง Facebook แล้ว แต่ Facebook นั้นมองว่าเป็นความรับผิดชอบของผู้ใช้งานเองที่จะต้องลบเบอร์โทรศัพท์ที่ตนเองไม่ใช้แล้วออกจาก Facebook Account เสีย
สำหรับ Blog ฉบับเต็มสามารถอ่านได้ที่ https://medium.com/@jkmartindale/i-kinda-hacked-a-few-facebook-accounts-using-a-vulnerability-they-wont-fix-2f5669794f79 นะครับ
ที่มา: https://www.theregister.co.uk/2017/07/17/facebook_login_security/ |
