แอปพลิเคชัน Instagram และ Facebook จะมีลิงก์เว็บไซต์ และโฆษณาต่าง ๆ มากมายภายในแอป โดยเมื่อผู้ใช้คลิกลิงก์เพื่อเปิดเว็บไซต์ แอปพลิเคชันจะเปิดเว็บไซต์ผ่านเว็บเบราว์เซอร์ของมันเอง ซึ่งจะมีการแทรกโค้ด JavaScript (connect.
Instagram และ Facebook บน iOS สามารถติดตามการใช้งานเว็ปไซต์ของผู้ใช้งานได้ผ่านทาง in-app browser
Instagram bug allowed crashing the app via image sent to device
ช่องโหว่บน Instagram ที่จะทำให้แฮกเกอร์สามารถเข้าถึงโทรศัพท์ของผู้ใช้ได้จากระยะไกล
Gal Elbaz นักวิจัยของ Check Point ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ที่สำคัญในแอปพลิเคชัน Instagram สำหรับ Android และ iOS โดยช่องโหว่จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์และเข้าความคุมบัญชี Instagram และโทรศัพท์ของผู้ใช้ได้จากระยะไกล
ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-189 เป็นช่องโหว่ heap buffer overflow ที่อยู่ในการประมวลผลรูปภาพ ช่องโหว่เกิดจากเมื่อ Instagram ใช้ third-party โค้ดที่ชื่อ Mozjpeg ซึ่งเป็นไลบรารีตัวเข้ารหัส JPEG แบบโอเพนซอร์สซึ่งมีจุดมุ่งหมายเพื่อลดแบนด์วิดท์และให้การบีบอัดที่ดีขึ้นสำหรับรูปภาพที่อัปโหลด ซึ่ง Check Point พบว่าฟังก์ชันการจัดการขนาดรูปภาพเมื่อแยกวิเคราะห์ภาพ JPEG มีข้อผิดพลาดที่ทำให้เกิดปัญหา integer overflow ระหว่างกระบวนการคลายการบีบอัด โดยสิ่งนี้จะทำให้ผู้โจมตีสามารถส่งรูปที่ถูกสร้างมาเป็นพิเศษไปยังเหยื่อ เช่นทางอีเมล, WhatsApp, SMS หรือบริการส่งข้อความอื่นๆ ซึ่งเมื่อผู้ใช้ทำการบันทึกรูปภาพและเปิดแอป Instagram การใช้ประโยชน์จากช่องโหว่จะเริ่มขึ้นทำให้ผู้โจมตีสามารถเข้าถึงบัญชี Instagram ของผู้ใช้, โทรศัพท์ของผู้ใช้ได้จากระยะไกลและยังสามารถทำให้แอป Instagram ของผู้ที่ตกเป็นเหยื่อ Crash ได้เว้นเเต่ผู้ใช้จะทำการลบทิ้งแล้วติดตั้งใหม่
นอกเหนือจากนี้ผู้โจมตียังสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการสอดเเนมผู้ใช้เนื่องจาก Instagram มีสิทธิ์การเข้าถึงมากมายในอุปกรณ์ซึ่งรวมถึงการเข้าถึงรายชื่อ, ที่เก็บข้อมูล, ตำแหน่งอุปกรณ์, กล้องและไมโครโฟน
หลังจากพบช่องโหว่ Check Point ได้ทำการแจ้ง Facebook เพื่อเเก้ไขช่องโหว่แล้ว ทั้งนี้ผู้ใช้ควรทำการอัปเดตแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี
ที่มา: bleepingcomputer.
Facebook admits to storing plaintext passwords for millions of Instagram users
Facebook ออกแถลงการณ์ยอมรับว่าได้เก็บรหัสผ่านของผู้ใช้ Instagram นับล้านผู้ใช้ในรูปแบบการจัดเก็บเป็นข้อความธรรมดาบน log ของเซิร์ฟเวอร์ภายใน
Facebook ออกแถลงการณ์เพื่ออัปเดตข้อมูลจากเหตุการณ์เมื่อเดือนที่แล้วที่พบว่ามีการจัดเก็บรหัสผ่านของผู้ใช้จำนวนมากในรูปแบบการจัดเก็บเป็นข้อความธรรมดาบน log ของเซิร์ฟเวอร์ภายใน ประกอบไปด้วยรหัสผ่านของผู้ใช้งาน Facebook Lite จำนวนหลายร้อยล้านผู้ใช้ รหัสผ่านของผู้ใช้ Facebook จำนวนหลายสิบล้านผู้ใช้และรหัสผ่านของบัญชี Instagram จำนวนหลายหมื่นผู้ใช้ แต่จากการตรวจสอบเพิ่มเติมล่าสุด Facebook พบว่ามีการจัดเก็บรหัสผ่านของบัญชี Instagram มากกว่านั้นเป็นจำนวนกว่าล้านผู้ใช้งาน
โดยรหัสผ่านดังกล่าวถูกจัดเก็บในรูปแบบข้อความธรรมดา (plain text) บน log ของเซิร์ฟเวอร์ภายในของ Facebook โดย log สามารถเข้าถึงได้โดยพนักงานของ Facebook เท่านั้น และจากการสอบสวนพบว่ายังไม่มีการใช้งานรหัสผ่านดังกล่าวในทางที่ผิดจากการพนักงานของ Facebook ซึ่งจะมีการแจ้งผู้ใช้งานที่ได้รับผลกระทบต่อไป
ทั้งนี้ผู้ใช้งาน Instagram ควรทำการเปลี่ยนรหัสผ่านเพื่อความปลอดภัย
ที่มา: www.
Instagram glitch exposed some user passwords
มีการเปิดเผยว่า Instagram ได้รับความเสียหายอย่างร้ายแรง ซึ่งรหัสผ่านของผู้ใช้งานถูกเปิดเผย
Instagram แจ้งผู้ใช้งานบางรายว่าอาจจะมีการเปิดเผยรหัสผ่านจากปัญหาด้านความปลอดภัยที่ไม่คาดคิด ซึ่งถูกค้นพบโดยทีมงานเองและส่งผลกระทบต่อผู้ใช้งานบางส่วน
ข่าวนี้ได้รับการรายงานครั้งแรกจาก The Information พบว่าเป็นปัญหาในส่วนของเครื่องมือที่ชื่อว่า "Download Your Data" ที่พัฒนาขึ้นมาให้ใช้งานโดน Instagram เมื่อเดือนเมษายน มีจุดประสงค์เพื่อให้ผู้ใช้งานทราบว่าข้อมูลส่วนตัวอะไรบ้างที่ถูกเก็บไปบ้าง เพื่อให้สอดคล้องกับกฎระเบียบการคุ้มครองข้อมูล หรือ General Data Protection Regulation (GDPR)
ทางบริษัทแจ้งให้ผู้ใช้ทราบว่าหากเคยใช้เครื่องมือ "Download Your Data" รหัสผ่านที่ใช้งานอยู่อาจจะถูกเปิดเผยโดยบังเอิญเพราะข้อมูลรหัสผ่านดังกล่าวจะถูกแสดงอยู่ใน URL และหากเป็นการใช้งานผ่านเครือข่ายสาธารณะ รหัสผ่านดังกล่าวอาจจะถูกเปิดเผยต่อผู้ไม่ประสงค์ได้ ทั้งนี้นักวิจัยด้านความปลอดภัยให้ความเห็นว่า Instagram น่าจะมีการจัดเก็บรหัสผ่านของผู้ใช้งานในลักษณะของ plain text ไว้สักที่หนึ่ง จึงส่งผลให้ข้อมูลรหัสผ่านที่เปิดเผยออกมาอยู่ในรูปแบบที่ไม่ได้ถูกทำการเข้ารหัส แม้จะถูกปฏิเสธโดย Instagram ในเวลาต่อมาก็ตาม
ทั้งนี้ Facebook ซึ่งเป็นเจ้าของโดยตรง ได้ยืนยันว่าข้อบกพร่องที่เกิดขึ้นนั้นได้รับการแก้ไขแล้ว นอกจากนี้ยังแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านเพื่อป้องกันความปลอดภัย
ที่มา: securityaffairs.
Instagram Expands 2FA Support Following Recent Wave of Account Hacks
Instagram ประกาศแผนการปรับปรุงกลไกการตรวจสอบสิทธิ์แบบ 2FA โดยการเพิ่มการตรวจสอบสิทธิ์จากแอพพลิเคชั่นภายนอกเพื่อเพิ่มความปลอดภัยให้กับบัญชีของผู้ใช้งานทั่วโลก
แต่เดิม Instagram มีการใช้งาน 2FA (การยืนยันแบบสองขั้นตอน) ผ่าน SMS เท่านั้น ซึ่งสองสัปดาห์ก่อนหน้าการประกาศนี้มีรายงานข่าวว่า ผู้ใช้งาน Instagram ถูก hack account ทั้งที่บาง account มีการเปิดใช้งาน 2FA แต่
สามารถโดนแฮกและทำการเปลี่ยนแปลงโปรไฟล์ บางรายถูกลบโพสข้อมูลเก่า รวมถึงการปิดการยืนยันตรวจ 2FA และเปลี่ยนแปลง email ให้เป็น email ใหม่ที่มี domain จากรัสเซีย
ตั้งแต่วันนี้เป็นต้นไปผู้ใช้ Instagram จะทยอยได้รับการรองรับ 2FA ด้วยรหัสที่สร้างขึ้นโดยแอปพลิเคชัน "authenticator" แทนรหัสที่ได้รับผ่านทาง SMS ได้ โดยน่าจะครอบคลุมผู้ใช้ทั่วโลกในอีกไม่กี่สัปดาห์นี้
ทั้งนี้การใช้งาน 2FA ผ่าน SMS ได้รับการเตีอนว่าไม่ปลอดภัย https://www.
Issue affecting access to Instagram accounts
ผู้ใช้ Instagram จำนวนหนึ่งได้แสดงความเห็นบน Twitter และ Reddit ว่าบัญชี Instagram ของพวกเขาถูกแฮ็กอย่างลึกลับ ทำให้ไม่สามารถล็อกอินกลับเข้าไปได้ และยังพบว่าบัญชีอีเมลที่ใช้ถูกเปลี่ยนเป็นโดเมน .ru
ผู้ที่ตกเป็นเหยื่อระบุว่า ชื่อบัญชี, รูปโปรไฟล์, รหัสผ่าน, ที่อยู่อีเมลที่เชื่อมโยงกับ Instagram รวมไปถึงบัญชี Facebook ที่เชื่อมต่ออยู่ ก็ถูกเปลี่ยนด้วย ซึ่งรูปโปรไฟล์ของพวกเขาถูกเปลี่ยนเป็นรูปภาพจากภาพยนตร์ยอดนิยม ได้แก่ Despicable Me 3 และ Pirates of the Caribbean
Mashable ระบุว่า ผู้ใช้ที่ได้รับผลกระทบจาก Instagram มีการเปิด Two-Factor Authentication (2FA) เพื่อพิสูจน์ตัวตนแต่ก็ยังได้รับผลกระทบจากการแฮ็ก อย่างไรก็ตามปัจจุบันยังไม่ได้รับการยืนยันแม้ว่าจะยังไม่ทราบว่าใครเป็นผู้อยู่เบื้องหลังการแฮ็กบัญชี Instagram แต่การใช้ที่อยู่อีเมลที่มาจากผู้ให้บริการอีเมลของรัสเซีย mail.
Instagram’s leaky API exposed celebrities’ contact details
Instagram ได้มีการออกประกาศเตือนผู้ใช้งานในกรณีที่มีกลุ่มแฮกเกอร์ได้โจมตีช่องโหว่บน API ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัว อาทิ อีเมลที่ใช้ในการสมัครสมาชิกและเบอร์โทรศัพท์ได้ โดยทาง Instagram ได้ดำเนินการแจ้งผู้ใช้งานที่ได้รับผลกระทบแล้ว และยืนยันว่าการโจมตีช่องโหว่ดังกล่าวนั้นไม่ได้ส่งผลให้ข้อมูลที่เป็นชื่อบัญชีผู้ใช้งานหรือรหัสผ่านรั่วไหล
ต่อมานักวิจัยด้านความปลอดภัยได้มีการค้นพบเว็บไซต์ซึ่งประกาศขายข้อมูลดังกล่าว โดยเปิดให้ผู้ที่ต้องการซื้อสามารถทำการค้นหาโดยใช้ชื่อบัญชีที่ต้องการและซื้อข้อมูลที่มีในราคา 10 ดอลลาร์สหรัฐฯ ต่อบัญชีผู้ใช้ได้
Recommendation: จากการตรวจสอบเบื้องต้น ข้อมูลที่รั่วไหลออกมาดังกล่าวบางส่วนมีข้อมูลของดาราและผู้มีชื่อเสียงในไทยเป็นจำนวนมาก แนะนำให้เตรียมการหากมีการนำข้อมูลไปใช้ในการหลอกลวงผู้อื่นต่อ รวมถึงเพิ่มมาตรการรักษาความปลอดที่จำเป็นครับ
ที่มา: theregister
Instagram Mobile App Issue Leads to Account Hijacking Vulnerability
นักวิจัยด้านความปลอดภัย Mazin Ahmed ได้ค้นพบช่องโหว่ของ Instagram ในระบบปฏิบัติการ Android ซึ่งแฮกเกอร์สามารถทำการ hijack เข้าไปขโมย session ของเหยื่อได้ เพราะ Instagram ยังมีการใช้ HTTP อยู่ ซึ่งเป็นส่งผลให้แฮกเกอร์สามารถเข้ามาดูข้อมูลส่วนตัวได้ เช่น รูปภาพ เและยังสามารถทำการแก้ไขโพสต่างๆ ได้อีกด้วย
ปัจจุบันทาง Facebook ที่เป็นเจ้าของ Instagram ได้รับทราบถึงช่องโหว่ดังกล่าวแล้ว และได้แจ้งว่าจะมีการอัพเดทให้เป็นเวอร์ชั่นใหม่ต่อไป
ที่มา : thehackernews
CSRF flaw in Instagram makes private profile set to public
นักวิจัยด้านความปลอดภัยชื่อ Lopez Martin ได้ค้นพบช่องโหว่ "Cross-site reference forgery (CSRF)" ของเว็บไซต์ Instagram หากเหยื่อหลงเชื่อกดลิงค์ที่แฮกเกอร์ได้สร้างขึ้นมา โดยใน page นั้นจะแอบแฝงด้วยสคริป ที่มีปุ่ม "submit"
หากผู้ใช้กดที่ปุ่มดังกล่าว profile Instagram ของผู้ใช้จะเป็น public ทันที โดยที่ผู้ใช้ไม่รู้ตัว
ล่าสุด เมื่อวันที่ 4 กุมภาพันธ์ 2557 ทาง Instagram ได้ออก patched แก้ไขช่องโหว่ดังกล่าวแล้ว
ที่มา : pinoyhacknews