ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Imperva รายงานพบช่องโหว่บนฟีเจอร์ค้นหาของเฟสบุ๊กที่คอยแสดงผลการค้นหาตามคีย์เวิร์ดที่พิมพ์ ซึ่งเปิดให้ผู้โจมตีดูดข้อมูลส่วนตัวเกี่ยวกับผู้ใช้และเพื่อนไปใช้ประโยชน์ได้ ซึ่งถือเป็นกรณีฉาวอีกครั้งหนึ่งบนแพลตฟอร์มสังคมออนไลน์อันดับหนึ่งของโลกที่เพิ่งฉาวซ้ำๆ ไปไม่นาน
โดยเพจที่แสดงผลการค้นหานั้นมีส่วนของ iFrame ที่สัมพันธ์กับแต่ละผลการค้นหา ซึ่ง URL ของเฟรมย่อยพวกนี้ไม่ได้มีระบบป้องกันเพียงพอต่อการโจมตีแบบ Cross-Site Request Forgery (CSRF) อย่างไรก็ดี ช่องโหว่นี้ถูกเฟสบุ๊กแพ็ตช์เรียบร้อยก่อนจะเปิดเผยต่อสาธารณะ และไม่มีรายงานข้อมูลรั่วไหลจริงเหมือนกรณีก่อนหน้านี้
สำหรับกลไกการโจมตีผ่านบั๊กดังกล่าว ผู้โจมตีแค่ลวงให้ผู้ใช้เข้าเว็บไซต์อันตรายบนบราวเซอร์ที่เคยล็อกอินเฟสบุ๊กทิ้งไว้แล้ว ซึ่งบนหน้าเว็บจะมีโค้ดจาวาสคริปต์รันอยู่เบื้องหลังทันทีที่เหยื่อคลิกส่วนไหนก็ตามบนเว็บไซต์ ซึ่งจะเป็นการสั่งเปิดหน้าเฟสบุ๊กใหม่ที่มีพารามิเตอร์ต่อท้ายสำหรับการค้นหา พร้อมมีการเตรียมดูดข้อมูลการค้นหาจากเหยื่อไปพร้อมกัน
ซึ่งปกติแล้วการใช้ฟีเจอร์เสิร์ชบนเฟสบุ๊กนั้น สามารถเปิดเผยข้อมูลส่วนตัวที่เกี่ยวข้องกับบัญชีผู้ใช้นั้นๆ ได้ เช่น การตรวจสอบว่ามีเพื่อนที่มีชื่อตรงกับคีย์เวิร์ดไหม, กลไลค์เพจ, เป็นสมาชิกกลุ่มไหน, มีเพื่อนที่กดไลค์เพจเดียวกันไหม, มีรูปที่ถ่ายในตำแหน่งที่ตั้งหรือในประเทศต่างๆ ไหนบ้าง, หรือเคยโพสต์ไทม์ไลน์ที่มีข้อความคีย์เวิร์ดดังกล่าวไหม เป็นต้น
ที่มา : Thehackernews
