ตามประเด็นเฟซบุ๊กถูกแฮก: Access Token คืออะไร หลุดแล้วกระทบอย่างไร

เที่ยงคืนที่ผ่านมาเฟซบุ๊กออกข่าวที่กระเทือนโลกออนไลน์และวงการความปลอดภัยทั้งโลก จากฟีเจอร์ "View As" ที่ช่วยให้ผู้ใช้เฟซบุ๊กสามารถตรวจสอบการตั้งค่าของของตัวเอง ว่าเปิดสิทธิ์ให้คนต่างๆ เข้ามาเห็นข้อมูลอะไรบ้าง เช่นบางคนต้องการเปิดข้อมูลการทำงานให้เฉพาะเพื่อนเท่านั้น ขณะที่บางคนอาจจะเปิดให้ทุกคน หรือแม้แต่การบล็อคบางคนออกจากบางโพส

Access Token คืออะไร

ข้อที่ควรทำความเข้าใจก่อน คือ access token นั้นไม่ใช่รหัสผ่านที่เราใช้ล็อกอินเฟซบุ๊ก แต่เมื่อเป็นรหัสเฉพาะที่เมื่อเราล็อกอินแล้ว หรือเปิดให้แอพพลิเคชั่นอื่นเข้ามาเชื่อมต่อกับบัญชีเฟซบุ๊กของเรา ตัวเฟซบุ๊กก็จะสร้าง access token ที่เป็นตัวอักษรสุ่มความยาวหลายสิบตัว เพื่อส่งให้กับแอพ จากนั้นเมื่อแอพต้องการเรียกข้อมูลต่างๆ ของเราจากเซิร์ฟเวอร์เฟซบุ๊ก ก็จะสามารถใช้ access token นี้แนบไปกับข้อความขอข้อมูลหรือสั่งโพสข้อความบน timeline ของเรา เพื่อให้เฟซบุ๊กตรวจสอบว่าเป็นการเรียกที่ได้รับอนุญาตจากผู้ใช้

ภาพจัดการการล็อกอินแอพ โดยสามารถสั่งล็อกเอาท์แยกกันได้

แนวทางนี้ทำให้ตัวแอพไม่ต้องเก็บรหัสผ่านไว้ในแอพ และเฟซบุ๊กก็สามารถจัดการแอพต่างๆ แยกจากกันได้ เช่น เราสามารถล็อกเอาท์ อุปกรณ์แต่ละชิ้นแยกจากกันได้ เช่น เมื่อทำโทรศัพท์หาย ก็สามารถล็อกเอาท์เฟซบุ๊กออกจากโทรศัพท์ได้เลย โดยไม่กระทบกับเครื่องอื่น

ช่องโหว่เกิดขึ้นได้อย่างไร

ฟีเจอร์ View As ตอนนี้ถูกปิดไปแล้ว

Guy Rosen รองประธานเฟซบุ๊กอธิบายช่องโหว่ว่าประกอบไปด้วย 3 บั๊ก ประกอบกันจนเป็นช่องโหว่ร้ายแรง

1. เมื่อผู้ใช้อยู่ในหน้า View As ไม่ควรเห็นช่องโพสใดๆ เพราะหน้าจอมีไว้ตรวจสอบว่าเห็นข้อมูลอะไรบ้าง แต่ในกรณีที่หน้าจอมีช่องให้แสดงความยินดีวันเกิด กลับมีช่องให้โพสวิดีโอ แสดงขึ้นมาด้วย
2. ตัวอัพโหลดวิดีโอกลับสร้าง token ขึ้นโดยไม่จำเป็น
3. token ที่สร้างขึ้นมา กลายเป็น token ของเหยื่อที่ถูกนำชื่อมาใส่หน้า View As

Access Token หลุดแล้วร้ายแรงแค่ไหน

คำตอบสั้นๆ คือ แฮกเกอร์สามารถทำได้ทุกอย่างที่เฟซบุ๊กเปิดให้ทำโดยไม่ถามรหัส ซึ่งปกติคือการเปลี่ยนรหัสผ่านใหม่ที่ต้องการรหัสเดิม กรณีนี้ความเป็นไปได้คือแฮกเกอร์สามารถเข้ามาโพสในชื่อของเหยื่อได้ หรือไปกดไลค์ หรือตอบคอมเมนต์ตามที่ต่างๆ ในเฟซบุ๊กโดยอาจจะใช้ชื่อคนดัง

ความน่ากังวลต่อจากนั้นคือการเข้าถึงข้อมูล เนื่องจากคนร้ายได้รับ access token ทำให้สามารถเห็นข้อมูลได้ทั้งหมด แม้แต่โพสที่กำหนดสิทธิ์ไว้เป็น Only me หากคนร้ายดาวน์โหลดข้อมูลออกไปก็จะกลายเป็นคดีข้อมูลหลุดครั้งใหญ่ที่สุดครั้งหนึ่งในโลก เพราะไม่ใช่เพียงคนที่ได้รับผลกระทบ แต่ปริมาณข้อมูลของแต่ละคนก็มหาศาล ตัว Mark Zuckerberg ยืนยันว่าคนร้ายพยายามใช้ API ดูข้อมูลบางส่วน แต่ยังไม่สามารถยืนยันได้ว่ามีข้อมูลส่วนตัวหลุดไปหรือไม่

ที่สำคัญคือคนร้ายในกรณีนี้ ใช้ access token ที่ได้มา ล็อกอินเข้าบัญชีเหยื่อ แล้วไปแฮกคนอื่นๆ ต่อไปอีกเรื่อยๆ ทำให้จนตอนนี้เฟซบุ๊กเองยังไม่รู้ว่าจุดเริ่มต้นของแฮกเกอร์นี้อยู่ตรงไหน โดยข้อมูลล่าสุดคือแฮกเกอร์หรือกลุ่มแฮกเกอร์นี้ใช้ช่องโหว่นี้ขโมยล็อกอินไปแล้วถึง 50 ล้านบัญชี

เราควรทำอะไรบ้าง

เฟซบุ๊กยกเลิก access token ของผู้ใช้จำนวน 90 ล้านคน ที่อาจจะได้รับผลกระทบไปแล้ว (ผู้ใช้เหล่านี้ถูกนำชื่อไปใส่ช่อง View As ของผู้ใช้อื่น) คำแนะนำอย่างเป็นทางการของเฟซบุ๊กคือ แม้ว่าจะไม่ได้ถูกบังคับล็อกอินใหม่ แต่หากไม่สบายใจก็สามารถเข้าไปตรวจสอบรายชื่ออุปกรณ์ที่ล็อกอินอยู่ หากพบอุปกรณ์แปลกๆ ก็สามารถสั่งล็อกเอาท์ได้ หรือเพื่อให้สบายใจก็อาจจะล็อกเอาท์ทั้งหมด

สำหรับคนที่ระแวงกว่านั้น อาจจะตรวจสอบการใช้งานเฟซบุ๊กของตัวเองบน Activity log ว่ามีการกระทำผิดปกติบนบัญชีของเราหรือไม่ แต่กระบวนการอาจจะยาวนาน เพราะช่องโหว่มีอยู่มานานกว่าหนึ่งปี และเฟซบุ๊กยังไม่ได้แจ้งชัดเจนว่าการแฮกเริ่มต้นขึ้นเมื่อไหร่

ที่มา - ArsTechnica, Facebook