หลายคนอาจสงสัยว่า เราสามารถแฮ็ค Instagram หรือ Facebook ได้หรือไม่ วันนี้ เรามีคำตอบแล้ว
Wesley Weinberg นักวิจัยด้านความปลอดภัยอาวุโสของ Synack ได้อออกมาเปิดเผยการค้นพบรายการช่องโหว่บน Facebook ซึ่งช่วยให้เขาสามารถเข้าถึงข้อมูลสำคัญที่เก็บอยู่ในเซิฟเวอร์ของ Instagram ได้ทันที อย่างไรก็ตาม แทนที่ Facebook จะตบรางวัลให้ Facebook กลับเตรียมเอาเรื่อง Weinberg ทางกฏหมายโทษฐานที่ไม่ยอมส่งมอบรายการช่องโหว่เหล่านั้นให้กับทีม
Weinberg อ้างว่า เขาถูกข่มขู่โดย Facebook ทันทีหลังจากที่เขาเปิดเผยรายการช่องโหว่และการตั้งค่าที่ผิดพลาดบน Facebook ซึ่งช่วยให้เข้าถึงข้อมูลสำคัญต่างๆที่เก็บอยู่บนเซิฟเวอร์ของ Instagram ได้ ซึ่งข้อมูลเหล่านั้นประกอบด้วย
- ซอร์สโค้ดของเว็บไซต์ Instagram
- SSL Certificate และ Private Key สำหรับ Instagram
- Key ที่ใช้สำหรับเซ็น Authentication Cookie
- รายละเอียดข้อมูลส่วนตัวของผู้ใช้และพนักงานของ Instagram
- ข้อมูลการพิสูจน์ตัวตนของเซิฟเวอร์อีเมล
- Key อื่นๆมากกว่าครึ่งโหลสำหรับฟังก์ชันที่สำคัญของ Instagram
Credit: The Hacker News
เริ่มต้นด้วยแฮ็คบั๊คบน Cookie ได้รหัสผ่านของพนักงาน
สิ่งที่ Weinberg ค้นพบ คือ บั๊ค Remote Code Execution (RCE) บน Session Cookie สำหรับใช้จำ Username/Password ของผู้ใช้งาน ซึ่งช่วยให้ Weinberg สามารถโจมตีเพื่อบังคับให้เซิฟเวอร์คายข้อมูลการพิสูจน์ตัวตนในฐานข้อมูลออกมาได้ หน่ึงในข้อมูลเหล่านั้นคือ Credential ของพนักงาน Instagram และ Facebook ถึงแม้ว่ารหัสผ่านที่ได้มาจะถูกเข้ารหัสด้วย “bcrypt” ก็ตาม แต่ Weinberg ก็สามารถแฮ็ครหัสผ่านที่ไม่แข็งแรงได้หลายรายการภายในเวลาไม่กี่นาที
แฮ็คต่อจนได้แม้กระทั่งไฟล์รูป Selfie
Weinberg ยังไม่หยุดแค่นั้น เขาพยามมองหาความผิดพลาดบน Configuration File ที่เขาค้นพบบนเซิฟเวอร์ Instagram และในที่สุดก็พบไฟล์ที่เก็บ Key สำหรับบัญชีผู้ใช้ Amazon AWS บริการบนระบบคลาวด์ที่เป็นโฮสต์ให้ Instagram Key เหล่านี้นำไปสู่ข้อมูลบน Amazon S3 ทั้ง 82 bukets (หน่วยของที่จัดเก็บข้อมูล) หลังจากที่พยายามแกะข้อมูลใน Bucket เหล่านั้น เขาก็สามารถเข้าถึงข้อมูลแทบทั้งหมดได้โดยไม่คาดคิดมาก่อน ข้อมูลเหล่านั้นประกอบด้วย
- ซอร์สโค้ดของ Instagram
- SSL Certificate และ Private Key ทั้ง instagram.com และ *.instagram.com
- API Key สำหรับใช้ต่อกับ Service อื่นๆ
- รูปภาพที่ผู้ใช้ Instagram อัพโหลดขึ้นไป
- ข้อมูลเนื้อหาต่างๆบนเว็บไซต์ Instagram
- ข้อมูล Credential ของ Email Server
- iOS/Android app signing keys
- ข้อมูลความลับอื่นๆ
“ด้วย Key ที่ผมได้มานั้น ผมสามารถปลอมตัวเป็นใครก็ได้บน Instagram ไม่ว่าจะเป็นผู้ที่ใช้บริการ หรือแม้แต่พนักงานของ Instagram เอง นอกจากนี้ ผมยังสามารถเข้าถึงข้อมูลบัญชีผู้ใช้ของคนอื่นๆ รวมทั้งรูปภาพทั้งหมดของพวกเขาได้อย่างง่ายดาย” — Weinberg ระบุใน Blog (www.exfiltrated.com/research-Instagram-RCE.php) ของเขา
แจ้งเรื่องไปยัง Facebook กลับถูกขู่กลับด้วยกฏหมาย
Weinberg ได้แจ้งเรื่องทุกอย่างที่เขาค้นพบไปยังทีมความปลอดภัยของ Facebook แต่แทนที่เขาจะได้รับรางวัลที่สามารถค้นพบช่องโหว่ได้ Facebook กลับปฏิเสธ โดยอ้างว่า Weinberg ละเมิดสิทธิ์ในการแอบเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และพนักงาน ซึ่งผิดต่อเงื่อนไขการรับรางวัลของ Facebook
นอกจากนี้ ต้นเดือนธันวาคมที่ผ่านมา Weinberg ยังอ้างว่า หัวหน้าของเขา Jay Kaplan CEO ของ Synack ได้รับสายข่มขู่จาก Alex Stamos หัวหน้าทีมความปลอดภัยของ Facebook เกี่ยวกับช่องโหว่ที่เขาค้นพบ ซึ่งส่งผลให้ผู้ใช้ของ Instagram และ Facebook ต้องเผชิญหน้ากับการภัยคุกคามครั้งใหญ่ รวมทั้งยังมีการระบุว่า Stamos ไม่อยากให้เรื่องนี้ไปถึงมือทีมกฏหมายของ Facebook แต่เขาก็ไม่แน่ใจว่าจำเป็นต้องใช้กฏหมายเข้ามาบังคับหรือเปล่า
อย่างไรก็ตาม Stamos ได้ออกมาปฏิเสธเรื่องดังกล่าว ระบุว่า เขาไม่ได้ใช้กฏหมายมาข่มขู่ทั้ง Synack หรือ Weinberg รวมถึงไม่ได้บอกด้วยว่าต้องไล่ Weinberg ออกจากบริษัท
Facebook ระบุเรื่องไม่ได้เป็นอย่างที่กล่าวอ้าง พร้อมตบเงินรางวัลให้
หลังจากที่ Weinberg ได้เปิดเผยเรื่องนี้บน Blog ของเขา Facebook ได้ออกมาชี้แจงเรื่องดังกล่าว โดยระบุว่า คำกล่าวอ้างของ Weinberg นั้นไม่เป็นความจริง Facebook ไม่เคยแจ้งว่าไม่ให้เขาเปิดเผยช่องโหว่ดังกล่าว เพียงแค่ต้องการไม่ให้เขาเปิดเผยข้อมูลสำคัญหรือข้อมูลส่วนบุคคลที่เขาเข้าถึงเท่านั้น
นอกจากนี้ Facebook ได้ออกมายืนยันแล้วว่า มีช่องโหว่ Remote Code Execution บนโดเมน sensu.instagram.com จริง และให้สัญญาว่าจะมอบเงินรางวัลจำนวน $2,500 เหรียญสหรัฐฯ ให้แก่ Weinberg และกลุ่มเพื่อนของเขาที่ค้นพบช่องโหว่นี้อย่างแน่นอน อย่างไรก็ตาม ช่องโหว่อื่นๆที่ Weinburg ค้นพบนั้น Facebook ไม่สามารถตบรางวัลให้ได้ เนื่องจากเขาละเมิดเงื่อนไขความเป็นส่วนบุคคลของผู้ใช้งานขณะทำการตรวจสอบช่องโหว่
ที่มา:
http://thehackernews.com/2015/12/how-to-hack-instagram.html
ที่มา2:
https://www.techtalkthai.com/instagram-hacked-sensitive-data-can-be-full-accessed/
ปล. แนะนำอย่างยิ่งหากใครที่ไม่มั่นใจ หรือ คิดว่ารหัสผ่านที่ตนเองใช้อยู่ง่ายต่อการที่บุคคลอื่นคาดเดาได้ง่ายๆก็
"ถึงเวลาเปลี่ยนรหัสผ่านของ Instagram และแน่นอน จะให้ดี เปลี่ยนรหัสผ่านเฟสบุ๊คเผื่อไว้ก่อนก็ดี และถ้าใช้รหัสเมล์อันเดียวกันกับเฟสและอินสตาแกรมด้วยก็แนะนำให้รีบเปลี่ยนรหัสผ่านกันด้วยละครับ"
ช็อค !! Instagram ถูกแฮ็คได้แล้ว ทะลุถึงข้อมูลเกือบทั้งเซิฟเวอร์ [ผ่านช่องโหว่จากเฟสบุ๊ค] (ทั้งผู้ใช้ตามบ้านและบริษัท)
Wesley Weinberg นักวิจัยด้านความปลอดภัยอาวุโสของ Synack ได้อออกมาเปิดเผยการค้นพบรายการช่องโหว่บน Facebook ซึ่งช่วยให้เขาสามารถเข้าถึงข้อมูลสำคัญที่เก็บอยู่ในเซิฟเวอร์ของ Instagram ได้ทันที อย่างไรก็ตาม แทนที่ Facebook จะตบรางวัลให้ Facebook กลับเตรียมเอาเรื่อง Weinberg ทางกฏหมายโทษฐานที่ไม่ยอมส่งมอบรายการช่องโหว่เหล่านั้นให้กับทีม
Weinberg อ้างว่า เขาถูกข่มขู่โดย Facebook ทันทีหลังจากที่เขาเปิดเผยรายการช่องโหว่และการตั้งค่าที่ผิดพลาดบน Facebook ซึ่งช่วยให้เข้าถึงข้อมูลสำคัญต่างๆที่เก็บอยู่บนเซิฟเวอร์ของ Instagram ได้ ซึ่งข้อมูลเหล่านั้นประกอบด้วย
- ซอร์สโค้ดของเว็บไซต์ Instagram
- SSL Certificate และ Private Key สำหรับ Instagram
- Key ที่ใช้สำหรับเซ็น Authentication Cookie
- รายละเอียดข้อมูลส่วนตัวของผู้ใช้และพนักงานของ Instagram
- ข้อมูลการพิสูจน์ตัวตนของเซิฟเวอร์อีเมล
- Key อื่นๆมากกว่าครึ่งโหลสำหรับฟังก์ชันที่สำคัญของ Instagram
Credit: The Hacker News
เริ่มต้นด้วยแฮ็คบั๊คบน Cookie ได้รหัสผ่านของพนักงาน
สิ่งที่ Weinberg ค้นพบ คือ บั๊ค Remote Code Execution (RCE) บน Session Cookie สำหรับใช้จำ Username/Password ของผู้ใช้งาน ซึ่งช่วยให้ Weinberg สามารถโจมตีเพื่อบังคับให้เซิฟเวอร์คายข้อมูลการพิสูจน์ตัวตนในฐานข้อมูลออกมาได้ หน่ึงในข้อมูลเหล่านั้นคือ Credential ของพนักงาน Instagram และ Facebook ถึงแม้ว่ารหัสผ่านที่ได้มาจะถูกเข้ารหัสด้วย “bcrypt” ก็ตาม แต่ Weinberg ก็สามารถแฮ็ครหัสผ่านที่ไม่แข็งแรงได้หลายรายการภายในเวลาไม่กี่นาที
แฮ็คต่อจนได้แม้กระทั่งไฟล์รูป Selfie
Weinberg ยังไม่หยุดแค่นั้น เขาพยามมองหาความผิดพลาดบน Configuration File ที่เขาค้นพบบนเซิฟเวอร์ Instagram และในที่สุดก็พบไฟล์ที่เก็บ Key สำหรับบัญชีผู้ใช้ Amazon AWS บริการบนระบบคลาวด์ที่เป็นโฮสต์ให้ Instagram Key เหล่านี้นำไปสู่ข้อมูลบน Amazon S3 ทั้ง 82 bukets (หน่วยของที่จัดเก็บข้อมูล) หลังจากที่พยายามแกะข้อมูลใน Bucket เหล่านั้น เขาก็สามารถเข้าถึงข้อมูลแทบทั้งหมดได้โดยไม่คาดคิดมาก่อน ข้อมูลเหล่านั้นประกอบด้วย
- ซอร์สโค้ดของ Instagram
- SSL Certificate และ Private Key ทั้ง instagram.com และ *.instagram.com
- API Key สำหรับใช้ต่อกับ Service อื่นๆ
- รูปภาพที่ผู้ใช้ Instagram อัพโหลดขึ้นไป
- ข้อมูลเนื้อหาต่างๆบนเว็บไซต์ Instagram
- ข้อมูล Credential ของ Email Server
- iOS/Android app signing keys
- ข้อมูลความลับอื่นๆ
“ด้วย Key ที่ผมได้มานั้น ผมสามารถปลอมตัวเป็นใครก็ได้บน Instagram ไม่ว่าจะเป็นผู้ที่ใช้บริการ หรือแม้แต่พนักงานของ Instagram เอง นอกจากนี้ ผมยังสามารถเข้าถึงข้อมูลบัญชีผู้ใช้ของคนอื่นๆ รวมทั้งรูปภาพทั้งหมดของพวกเขาได้อย่างง่ายดาย” — Weinberg ระบุใน Blog (www.exfiltrated.com/research-Instagram-RCE.php) ของเขา
แจ้งเรื่องไปยัง Facebook กลับถูกขู่กลับด้วยกฏหมาย
Weinberg ได้แจ้งเรื่องทุกอย่างที่เขาค้นพบไปยังทีมความปลอดภัยของ Facebook แต่แทนที่เขาจะได้รับรางวัลที่สามารถค้นพบช่องโหว่ได้ Facebook กลับปฏิเสธ โดยอ้างว่า Weinberg ละเมิดสิทธิ์ในการแอบเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และพนักงาน ซึ่งผิดต่อเงื่อนไขการรับรางวัลของ Facebook
นอกจากนี้ ต้นเดือนธันวาคมที่ผ่านมา Weinberg ยังอ้างว่า หัวหน้าของเขา Jay Kaplan CEO ของ Synack ได้รับสายข่มขู่จาก Alex Stamos หัวหน้าทีมความปลอดภัยของ Facebook เกี่ยวกับช่องโหว่ที่เขาค้นพบ ซึ่งส่งผลให้ผู้ใช้ของ Instagram และ Facebook ต้องเผชิญหน้ากับการภัยคุกคามครั้งใหญ่ รวมทั้งยังมีการระบุว่า Stamos ไม่อยากให้เรื่องนี้ไปถึงมือทีมกฏหมายของ Facebook แต่เขาก็ไม่แน่ใจว่าจำเป็นต้องใช้กฏหมายเข้ามาบังคับหรือเปล่า
อย่างไรก็ตาม Stamos ได้ออกมาปฏิเสธเรื่องดังกล่าว ระบุว่า เขาไม่ได้ใช้กฏหมายมาข่มขู่ทั้ง Synack หรือ Weinberg รวมถึงไม่ได้บอกด้วยว่าต้องไล่ Weinberg ออกจากบริษัท
Facebook ระบุเรื่องไม่ได้เป็นอย่างที่กล่าวอ้าง พร้อมตบเงินรางวัลให้
หลังจากที่ Weinberg ได้เปิดเผยเรื่องนี้บน Blog ของเขา Facebook ได้ออกมาชี้แจงเรื่องดังกล่าว โดยระบุว่า คำกล่าวอ้างของ Weinberg นั้นไม่เป็นความจริง Facebook ไม่เคยแจ้งว่าไม่ให้เขาเปิดเผยช่องโหว่ดังกล่าว เพียงแค่ต้องการไม่ให้เขาเปิดเผยข้อมูลสำคัญหรือข้อมูลส่วนบุคคลที่เขาเข้าถึงเท่านั้น
นอกจากนี้ Facebook ได้ออกมายืนยันแล้วว่า มีช่องโหว่ Remote Code Execution บนโดเมน sensu.instagram.com จริง และให้สัญญาว่าจะมอบเงินรางวัลจำนวน $2,500 เหรียญสหรัฐฯ ให้แก่ Weinberg และกลุ่มเพื่อนของเขาที่ค้นพบช่องโหว่นี้อย่างแน่นอน อย่างไรก็ตาม ช่องโหว่อื่นๆที่ Weinburg ค้นพบนั้น Facebook ไม่สามารถตบรางวัลให้ได้ เนื่องจากเขาละเมิดเงื่อนไขความเป็นส่วนบุคคลของผู้ใช้งานขณะทำการตรวจสอบช่องโหว่
ที่มา: http://thehackernews.com/2015/12/how-to-hack-instagram.html
ที่มา2: https://www.techtalkthai.com/instagram-hacked-sensitive-data-can-be-full-accessed/
ปล. แนะนำอย่างยิ่งหากใครที่ไม่มั่นใจ หรือ คิดว่ารหัสผ่านที่ตนเองใช้อยู่ง่ายต่อการที่บุคคลอื่นคาดเดาได้ง่ายๆก็
"ถึงเวลาเปลี่ยนรหัสผ่านของ Instagram และแน่นอน จะให้ดี เปลี่ยนรหัสผ่านเฟสบุ๊คเผื่อไว้ก่อนก็ดี และถ้าใช้รหัสเมล์อันเดียวกันกับเฟสและอินสตาแกรมด้วยก็แนะนำให้รีบเปลี่ยนรหัสผ่านกันด้วยละครับ"