เมื่อวาน Atul Agarwal ได้ post เกี่ยวกับ security concern ของ facebook ไว้ที่ seclists ซึ่งเป็นจุดที่ผมคิดว่าหลายๆ คนน่าจะเคยผ่านตามาบ้าง ถ้าเคยสังเกตุกันจะพบว่าเวลาเรา login หน้า facebook เราจะต้องใช้ email กับ password ทีนี้ ถ้าเราใส่ email ถูก แต่ใส่ password ผิดมันก็จะขึ้นเตือนดังรูป


[hpthank=5]

จากรูปจะเห็นว่า facebook ไม่ได้เตือนแค่ว่า password ผิดเท่านั้น แต่ยังแสดงรูป profile พร้อมทั้ง ชื่อกับนามสกุล อีกต่างหาก หลายๆ คนคงจะคิดว่า อ้าว ก็ช่างมันสิ ไม่เห็นเป็นไรเลย รูปเราเอง แต่ว่าจุดนั้นผู้ไม่หวังดีสามารถใช้ประโยชน์ได้โดยสมมติว่าผู้ไม่หวังดีมี email ของเหยื่ออยู่ในมือ อยากได้ข้อมูลเพิ่มเติม เค้าก็จะสามารถหาชื่อ นามสกุล พร้อมทั้งรูป ผ่านทาง facebook ได้ ถึงแม้ว่า เหยื่อจะตั้ง privacy ของ facebook ให้ hide email ไว้ หรือตั้งไม่ให้คนอื่นสามารถ search หาได้ก็ตาม ถ้า email ที่ใส่ในหน้า login เป็น email ของ user บน facebook จริง ข้อมูลรูป ชื่อ และนามสกุล ก็จะถูกแสดงอยู่ดี และข้อเท็จจริงที่ว่า ผู้ใช้ facebook จำนวนมากมาย ใช้ชื่อ นามสกุล และรูป profile เป็นข้อมูลจริง ทำให้ผู้ไม่หวังดีสามารถเก็บข้อมูลส่วนตัวของเหยื่อได้มากมาย แค่รู้ชื่อ นามสกุลจริงที่ผูกกับ email ได้ ก็มีโอกาสจะโดน phishing mail หลอกทำเป็นรู้จักได้แล้วครับ อย่างไรก็แล้วแต่ ทาง facebook ก็ได้แก้ไขข้อบกพร่องนี้อย่างรวดเร็ว ซึ่งตอนนี้ข้อมูลดังกล่าวก็จะไม่ถูกแสดงอีกต่อไป (รูปข้างล่างเป็นหน้าเตือน password ผิด หลังจากแก้ไขข้อบกพร่องแล้วครับ)




ที่มา: seclist fulldisclosur
[/hpthank]