เมื่อเช้าวานนี้ Facebook ได้ประกาศพบช่องโหว่ในระบบรักษาความปลอดภัย ซึ่งแฮ็กเกอร์สามารถใช้วิธีการ ‘Access Token’ เพื่อเข้าถึงข้อมูลบัญชีผู้ใช้งาน (Token คือรหัสผ่านจำลองที่ Facebook สุ่มขึ้นมาเพื่อเชื่อมต่อผู้ใช้งานเข้ากับแอปพลิเคชั่นอื่น) และ ช่องโหว่นี้ได้สร้างความเสียให้แก่ผู้ใช้งานทั่วโลกกว่า 50 ล้านคน !
Facebook บังคับให้ผู้ใช้งานกว่า 90 ล้านบัญชี Log-In เข้าระบบใหม่เพื่อความปลอดภัย หลังจากความเสียความเกิดขึ้น Facebook แถลงกับสื่อว่าช่องโหว่ดังกล่าวเริ่มถูกใช้งานตั้งแต่เดือนกรกฎาคมของปี 2017
Facebook กล่าวเพิ่มเติมว่าทีมพัฒนาของบริษัทได้แก้ไขปัญหานี้แล้วและได้เตือนนักกฏหมายของประเทศสหรัฐฯ ว่าช่องโหวนี้ไม่ใช่ความผิดพลาดของวิศวกรรมระบบแต่อย่างใด อย่างไรก็ตาม ความผิดพลาดดังกล่าวก็ยังถูกใช้งานโดยแฮ็กเกอร์และองค์กรผิดกฏหมาย เพื่อแสวงหาประโยชน์จากข้อมูลบัญชีผู้ใช้งานทั่วโลก
Facebook ยังรายงานอีกว่าทีมวิศวกรระบบของบริษัททราบถึงช่องโหว่ในระบบตั้งแต่วันที่ 25 เดือนกันยายน แต่พวกเขาป้องกันการโจมตีไม่ทัน เนื่องจากทุกอย่างเกิดขึ้นก่อนหน้านี้แล้ว
นาย Mark Zuckerberg ผู้ดำรงตำแหน่ง CEO ของบริษัทได้เขียนลงใน Page ของเขาว่า “เรายังไม่รู้แน่ชัดว่าบัญชีผู้ใช้งานกว่า 50 ล้านบัญชีได้ถูกขโมยข้อมูลไปจริงหรือไม่ แต่เราพยายามควบคุมสถานการณ์และสืบสวนเหตุการณ์อย่างละเอียด เราจะมาอัปเดตสถานการณ์เมื่อทราบข้อมูลมากกว่านี้”
ความผิดพลาดดังกล่าวเกิดขึ้นกับฟีเจอร์ ‘View As’ ที่เปิดโอกาสให้ผู้ใช้งานเห็น Profile ของตัวเองผ่านมุมมองจาก Profile ของคนอื่น แฮ็กเกอร์ใช้ฟีเจอร์นี้ในการเข้าถึง Token ของบัญชีผู้ใช้งาน และแฝงตัวเป็นผู้ใช้งาน Log-In เข้าระบบแทน ในตอนนี้ Facebook ได้ปิดการใช้งานฟีเจอร์ ‘View As’ เป็นที่เรียบร้อยแล้ว
Facebook กล่าวกับสื่อเพิ่มเติมว่าฟีเจอร์อัปโหลดวิดีโอเป็นอีกหนึ่งสาเหตุของความผิดพลาดบนระบบรักษาความปลอดภัยตั้งแต่เดือนกรกฎาคมของปีที่แล้ว ซึ่งฟีเจอร์อัปโหลดวิดีโอมี Bugs ด้วยกันถึงสามตัว แฮ็กเกอร์สามารถใช้โอกาสนี้เข้าถึงข้อมูลผู้ใช้งาน อย่างไรก็ตาม Facebook ยืนยันว่าข้อมูลบัตรเครดิตของผู้ใช้งานทุกคนไม่หลุดออกไปอย่างแน่นอน
https://twitter.com/kevinroose/status/1045727569495162880
I asked Facebook how sophisticated the hackers were and whether this could be nation-state activity. Rosen says attack was "complex" and leveraged three multiple bugs that interacted together. "We may never know" the identity of the hackers, Rosen adds.
— Dustin Volz (@dnvolz) September 28, 2018
ข่าวเรื่องช่องโหว่ในระบบของ Facebook แพร่สะพัดออกมาเมื่อแฮ็กเกอร์ชาวไต้หวันนามว่า Chang Chi-yuan ขู่ที่จะลบ Page ของนาย Mark Zuckerberg เพื่อประกาศให้ผู้คนและตัวบริษัทเองรับรู้ว่ามีความผิดพลาดเกิดขึ้นในระบบรักษาความปลอดภั อย่างไรก็ตาม Facebook ให้ข้อมูลว่าช่องโหว่จากฟีเจอร์ ‘View As’ ไม่มีความเกี่ยวข้องใดใดกับการประทุษร้ายของนาย Chang Chi-yuan
ถือว่าเป็นเคราะห์ร้ายของ Facebook นับตั้งแต่นาย Alex Stamos อดีตหัวหน้าระบบรักษาความปลอดภัย ขอลาออกจากบริษัท และ Facebook ไม่มีแผนที่จะหาคนมาแทนในตำแหน่งนั้น แต่โฆษกประจำบริษัทยืนยันกับสื่อว่า “บริษัทจะหาวิธีที่ดีที่สุด” เพื่อปกป้องข้อมูลของผู้ใช้งาน
หลังจากข่าวความเสียหายเริ่มถูกประกาศออกไปเป็นวงกว้าง ผู้ใช้งาน Facebook หลายรายรายงานว่า Facebook เริ่มทยอยบล็อคโพสต์และข่าวที่เกี่ยวข้องกับการโจรกรรมข้อมูลในครั้งนี้ โดยเฉพาะข่าวที่ออกมาจากสำนักข่าวอย่าง The Associated Press และ The Guardian การกระทำดังกล่าวตอกย้ำความผิดพลาดของบริษัทที่รับไม่ได้กับความผิดพลาดที่เกิดขึ้นด้วยฝีมือตัวเอง
Facebook is preventing users from posting The Guardian's report on the Facebook data breach. Ouch. https://t.co/IGU685PjdK pic.twitter.com/GGGrKqBZEc
— Jed Bracy (@JedBracy) September 28, 2018
Facebook แก้ตัวกับสื่อว่าข่าวทั้งหมดถูกแชร์ออกไปด้วยจำนวนครั้งที่มหาศาล ทำให้ระบบ Spam Detection เข้าใจผิด ผู้ใช้งานทั้งหมดสามารถกลับมาแชร์ข่าวได้ตามปกติ และบริษัท “ต้องขออภัยสำหรับความไม่สะดวกที่เกิดขึ้นในครั้งนี้”
