หน้าแรก Vendors Google ข้อมูลบั๊กใน Google Issue Tracker รั่วไหลสู่แฮ็กเกอร์ทั่วโลก

ข้อมูลบั๊กใน Google Issue Tracker รั่วไหลสู่แฮ็กเกอร์ทั่วโลก

แบ่งปัน

Google Issue Tracker หรือที่รู้จักกันในชื่อ “Buganizer” เป็นระบบที่คอยรวบรวมและจัดเก็บข้อมูลช่องโหว่ใหม่ๆ ที่ยังไม่มีการแพทช์ เพื่อเปิดให้ “เฉพาะผู้ที่มีส่วนเกี่ยวข้อง” เข้ามาจัดการอัพเดตและใช้ประโยชน์จากฐานข้อมูลนี้ในการออกแพทช์อุดช่องโหว่ในอนาคต

แต่เมื่อเร็วๆ นี้ Alex Birsan นักล่าค่าหัวบั๊กชื่อดัง ได้ค้นพบช่องโหว่บนตัว Issue Tracker นี้เสียเอง ที่เปิดช่องให้สามารถยกระดับสิทธิ์การเข้าถึงเพื่อส่องดูช่องโหว่อื่นๆ ที่ตัวเองไม่เกี่ยวข้องได้อย่างละเอียดยิบ ซึ่งจริงๆ แล้วสิทธิ์ระดับนี้มีได้แค่พนักงานของกูเกิ้ลเท่านั้น

โดยช่องโหว่นี้มาจากจาวาสคริปต์ที่ทำให้แฮ็กเกอร์สามารถลบรายชื่อตัวเองออกจากรายการ CC ผ่านคำสั่งร้องขอ POST ซึ่งทาง Birsan ได้กล่าวในบล็อกของตนเองผ่าน Medium ว่าไม่ได้ถือวิสาสะเข้าไปสอดส่องข้อมูลบั๊กต้องห้ามอื่นด้วยตนเองแต่อย่างใด เพื่อรักษาจริยธรรมของอาชีพตนเอง

การเปิดเผยครั้งนี้เกิดขึ้นไม่นานหลังจากเกิดกรณีคล้ายกันนี้กับระบบตรวจติดตามบั๊กภายในบริษัทของไมโครซอฟท์ถูกรายงานโดยสำนักข่ายรอยเตอร์ว่า เมื่อปี 2556 มีการโจมตีระบบดังกล่าวโดยอดีตพนักงาน 5 คน ทั้งนี้ ระบบติดตามบั๊กลักษณะดังกล่าวถือเป็นขุมทรัพย์ของแฮ็กเกอร์ทั่วโลกที่ต้องการเพิ่มอาวุธด้าน Zero-day ให้กับตนเอง ด้วยการใช้ประโยชน์จากช่องโหว่เหล่านั้นก่อนที่จะมีแพ็ตช์ออกมาเป็นทางการ

ที่มา : https://threatpost.com/flaw-in-google-bug-tracker-exposed-reports-about-unpatched-vulnerabilities/128687