Which Disney Princess Are You? แอพฯ ดังบน Facebook หลุดข้อมูลผู้ใช้กว่า 120 ล้านราย
แอพฯ ตอบคำถามบน Facebook เป็นหนึ่งในแอพฯ ยอดนิยมที่มีผู้ใช้ชอบเล่นกันเป็นอย่างมาก ล่าสุดมีรายงานข่าวที่น่าตกใจเป็นอย่างมาก โดยแฮกเกอร์ที่ใช้ชื่อว่า De Ceukelaire ได้เขียนบทความบนเว็บ Medium เกี่ยวกับการค้นพบช่องโหว่ของพวกแอพฯ ตอบคำถาม ที่มีการเก็บข้อมูลส่วนตัวของผู้เล่น ซึ่งเขาได้ระบุถึงแอพฯ ยอดนิยมอย่าง Which Disney Princess Are You? (คุณคือเจ้าหญิงคนไหนในดิสนีย์) ที่มีผู้เล่นจำนวนมากถึง 120 ล้านคนต่อเดือน พัฒนาโดยบริษัท NameTests ว่ามีช่องโหว่ด้านการเก็บข้อมูลส่วนตัวของผู้ใช้ Facebook อย่าง ชื่อ, วันเกิด, รูป และรายชื่อเพื่อน เอาไว้ในไฟล์ JavaScript ซึ่งสามารถถูก "ล้วง" ได้อย่างง่ายดายจากบุคคลที่สาม
De Ceukelaire ได้สังเกตพบว่า เมื่อตอบคำถามเสร็จ แอพฯ จะมีการแสดงข้อมูลส่วนตัว อย่างรูปโปรไฟล์ของเขาขึ้นมา ซึ่งเขารู้สึกตกใจที่ข้อมูลส่วนตัว สามารถถูกแสดงออกมาได้อย่างง่ายดาย เมื่อมีคำร้องขอจากแอพฯ 3rd Party โดยข้อมูลได้ปรากฏอยู่ใน http://nametests.com/appconfig_user
ในทางทฤษฏีแล้ว NameTests ได้ดึงข้อมูลออกมาเพื่อใช้ในการแสดงผลลัพธ์ แต่ว่ามันก็เป็นช่องโหว่ที่เว็บไซต์ไม่ประสงค์ดีสามารถใช้ในการเข้ามา "ล้วง" ข้อมูลออกไปได้เช่นกัน
โดยตัว De Ceukelaire ได้ทำการทดสอบด้วยการสร้างเว็บไซต์หนึ่งขึ้นมาเพื่อเชื่อมต่อกับ NameTests หลังจากที่ได้ตัว Access token มา แฮกเกอร์สามารถใช้ Token ดังกล่าวในการเข้าไปล้วงข้อมูลของผู้ใช้ได้อย่างง่ายดาย สามารถดูการทดสอบได้จากวีดีโอด้านล่่างนี้เลยครับ
อย่างไรก็ตาม De Ceukelaire เผยว่า ทาง NameTests ได้ทำการปิดช่องโหว่ดังกล่าวแล้ว ด้วยการเปลี่ยนวิธีการทำงานของระบบ ตั้งแต่ช่วงเดือนมิถุนายน และได้แถลงกาณณ์ว่ายังไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้ในการล้วงข้อมูลจากบุคคลอื่น หรือถูกนำไปใช้ในทางที่ผิด อย่างไรก็ตามเราจะทำการสืบสวนเรื่องนี้อย่างละเอียด และเราจะเข้มงวดกับระบบรักษาความปลอดภัยในระบบให้มีความปลอดภัยมากยิ่งขึ้น
ส่วนทาง Facebook ก็ได้ออกมาชี้แจงเช่นกันผ่านทาง Data Abuse Bounty Program ว่านักวิจัยด้านชี้แจงปัญหานี้เข้ามา ซึ่งเราก็ได้ทำการประสายงานไปกับทาง NameTests เพื่อแก้ปัญหาช่องโหว่ดังกล่าว ซึ่งก็ได้ปิดเป็นที่เรียบร้อยในเดือนมิถุนายน
ขณะนี้ Facebook ก็กำลังทำการตรวจสอบแอพฯ ต้องสงสัยที่มีแนวโน้มว่าจะมีการดึงข้อมูลของผู้ใช้ Facebook ไปหาประโยชน์ในทางที่ผิดอยู่ ซึ่งมีอยู่ประมาณ 200 แอพฯ ที่ถูกระงับไปเป็นที่เรียบร้อยแล้ว