Facebook ไม่มีพบหลักฐานของผู้บุกรุกที่สามารถเข้าถึงแอพฯ อื่นๆ (third-party) ได้
จากกรณีเมื่อสุดสัปดาห์ที่ผ่านมา Facebook เปิดเผยว่าพบว่ามี access token มากกว่า 50 ล้านบัญชีรั่วไหล หลายคนกลัวว่า Token ที่ถูกขโมยไปจะถูกนำไปใช้ในการเข้าถึงบริการอื่น ๆ (third-party) ซึ่งรวมถึง Instagram และ Tinder ผ่านทาง Facebook login แต่ข่าวดีล่าสุดจาก Guy Rosen ซึ่งเป็น Facebook Security VP ระบุว่าไม่พบหลักฐานใดๆ ที่สามารถพิสูจน์ว่าบริการอื่นๆ จาก third-party ที่ใช้งานผ่านทาง Facebook login ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้
แต่นั่นไม่ได้หมายความว่า Token ที่ถูกเพิกถอนจาก Facebook จะไม่ก่อให้เกิดภัยคุกคามต่อบริการอื่น ๆ (third-party) ปัจจัยดังกล่าวนั้นขึ้นอยู่กับเว็บไซต์ดังกล่าวว่าได้มีการใช้งาน Facebook official SDKs เพื่อทำการตรวจสอบผู้ใช้งานของตนหรือไม่ โดย SDKs ที่ปรับปรุงนี้ จะช่วยผู้พัฒนา (developer) สามารถตรวจสอบได้เองว่าผู้ใช้งานคนไหนที่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้ แม้ว่า Facebook จะประกาศว่าไม่พบการเข้าถึงบริการของแอพฯอื่นๆ จากเหตุการณ์ในครั้งนี้ แต่บริการบางอย่าง เช่น Uber ก็ยังคงทำตามขั้นตอนที่จำเป็นเพื่อปกป้องผู้ใช้ของตน โดยการสั่งให้ session ทั้งหมดหลังเหตุการณ์นี้ที่ยังค้างอยู่ในระบบให้หมดอายุการใช้งานทันที และตรวจสอบเหตุการณ์ครั้งนี้ด้วยตนเอง
จากประเด็นการโจมตีในช่องโหว่นี้ส่งผลให้สหภาพยุโรป (EU) อาจปรับเงิน Facebook ได้ถึง 1.63 พันล้านดอลลาร์ (ประมาณ 5.1 หมื่นล้านบาท) ตามกฎการคุ้มครองข้อมูลทั่วไป (GDPR) ทั้งนี้ที่ผ่านมา EU ยังไม่เคยใช้ GDPR เป็นเครื่องมือลงโทษปรับผู้กระทำผิดมากนัก กรณีนี้จึงเป็นที่น่าจับตาว่า EU จะลงโทษ Facebook หรือไม่ และมากน้อยแค่ไหน
ที่มา : zdnet , thehackernews
You must be logged in to post a comment.