Hasin Hayder, Rifat Nabi, และ Abu Ashraf Masnun ได้โพสต์ลงบนบล็อกของพวกเขาเกี่ยวกับช่องโหว่บน Facebook ที่ใช้ฟีเจอร์โพสต์โดยอีเมลในการโพสต์รูปภาพหรือข้อค วามลงในกลุ่มโดยเสมือนกับผู้เป็นเจ้าของอีเมลนั้นโพส ต์เอง
หลักการทำงานของช่องโหว่นี้ค่อนข้างง่ายมาก ผู้โจมตีจะใช้เซิฟเวอร์ SMTP หรือสคริปต์ในการส่งอีเมลโดยเปลี่ยนแปลงข้อมูลของอีเ มลผู้ส่งในส่วนหัวของอีเมลให้เป็นอีเมลของสมาชิกในกล ุ่มนั้นและทำการส่งไปยังอีเมลของกลุ่ม ช่องโหว่นี้เกิดขึ้นเพราะ Facebook ไม่ได้ตรวจสอบที่มาของอีเมลอย่างชัดเจนและถี่ถ้วน ระบบจึงทำการโพสต์ข้อความหรือรูปภาพนั้นๆ ลงในกลุ่มได้
ในเรื่องการแก้ไขนั้น Hayder แนะนำให้ Facebook ปิดฟีเจอร์ในการโพสต์โดยใช้อีเมลอย่างเร็วที่สุด หรืออาจจะใช้การสร้าง security token และให้ผู้ใช้งานนำไปใส่ในอีเมลเพื่อใช้ในการยืนยันแล ะใช้การส่งลิงก์กลับเพื่อยืนยันการโพสต์ด้วย
ต่อมาทางโฆษกของ Facebook ก็ได้ออกมากล่าวเกี่ยวกับเหตุการณ์นี้ว่าไม่น่าจะเป็ นช่องโหว่ของระบบแต่เป็นช่องโหว่ของ SMTP มากกว่า ถึงอย่างไรก็ตามก็ได้มีการแจ้งเตือนไว้แล้วในกรณีที่ มีการส่งอีเมลจากผู้ใช้ที่ไม่มีการระบุตัวตนที่แน่ชั ดรวมไปถึงการบล็อคบางอีเมลในลักษณะนี้ด้วย แต่อาจมีบางเคสที่ยังไม่ได้รับการบล็อคที่ถูกต้องจนท ำให้เกิดเหตุการณ์แบบนี้ขึ้น
ที่มา - The Next Web


อ่านต่อ...