นักวิจัยด้านความปลอดภัย Stephen Sclafani ได้ค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญบน Facebook ที่อนุญาตให้แฮกเกอร์สามารถเข้าถึงบัญชีใดๆ ก็ได้ เพียงแค่ใช้ User ID ของเหยื่อ จากนั้นเขาสามารถอ่านข้อความส่วนตัว, ดูที่อยู่อีเมล์, สร้างหรือลบบันทึก รวมถึงเขาสามารถอัพเดตสถานะ, อัปโหลดภาพถ่ายและแท็กชื่อเพื่อนของเหยื่อได้
โดยเขาอธิบายในบล็อกของเขาว่า "misconfigured endpoint" อนุญาตให้ REST API เดิม เรียกใช้ facebook ในนามของผู้ใช้ใดๆ ก็ได้ โดยใช้เพียง User ID ของเหยื่อ

Stephen พบปัญหานี้ในวันที่ 23 เมษายนที่ผ่านมา และรายงานไปที่ Facebook และทาง Facebook ได้ทำการแก้ไขข้อผิดพลาดในวันที่ 30 เมษายน สำหรับการค้นหาและการรายงานข้อผิดพลาดดังกล่าว ทาง Facebook ได้มอบเงินรางวัลให้กับ Stephen จำนวน 20,000 ดอลล่าร์

ที่มา : ehackingnews