នៅឆ្នាំ 2019 នេះអ្នកគ្រាន់តែចុចលើ URL ដែលបង្កើតឡើងជាពិសេសគណនីហ្វេសប៊ុកផ្ទាល់ខ្លួនអ្នក អាចនឹងត្រូវវាយប្រហារដោយមិនចាំបាច់មានអន្តរកម្មបន្ថែមទៀត។ អ្នកស្រាវជ្រាវសន្តិសុខម្នាក់រកឃើញភាពងាយរងគ្រោះនៃកំហុសស្នើសុំឆ្លងតំបន់ (CSRF) ដ៏សំខាន់ នៅក្នុងវេទិកាប្រព័ន្ធផ្សព្វផ្សាយសង្គមដ៏ពេញនិយមបំផុតដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្លន់ គណនីហ្វេសប៊ុកដោយគ្រាន់តែបោកបញ្ឆោតអ្នកប្រើឱ្យចុចលើតំណ។
អ្នកស្រាវជ្រាវដោយឈ្មោះក្លែងក្លាយ “Samm0uda” រកឃើញភាពងាយរងគ្រោះបន្ទាប់ពីគាត់រកឃើញ ចំណុចខ្សោយ (facebook.com/comet/dialog_DONOTUSE/) ដែលអាចត្រូវគេកេងប្រវ័ញ្ច បើអត់ការ ការពារ CSRF និងគ្រប់គ្រងគណនីជនរងគ្រោះ។
អ្នកស្រាវជ្រាវរូបនេះនិយាយនៅលើប្លុករបស់គាត់ថា “វាអាចទៅរួចដោយសារតែចំណុចបញ្ចប់ ដែលងាយរងគ្រោះត្រូវការចំណុចចុងក្រោយហ្វេសប៊ុកដែលត្រូវជ្រើសរើសដោយអ្នកវាយប្រហាររួមជាមួយប៉ារ៉ាម៉ែត្រហើយធ្វើសំណើ POST ទៅចំណុចនោះបន្ទាប់ពីបន្ថែមប៉ារ៉ាម៉ែត្រ fb_dtsg”។
“ចំណុចនេះក៏មានទីតាំងស្ថិតក្រោមឈ្មោះដែនសំខាន់គឺ www.facebook.com ដែលធ្វើឱ្យវាកាន់តែ ងាយស្រួលសម្រាប់អ្នកវាយប្រហារដើម្បីបោកបញ្ឆោតជនរងគ្រោះឱ្យចូលទៅមើល URL”។អ្នកវាយប្រហារទាំងអស់ត្រូវបញ្ឆោតជនរងគ្រោះឱ្យចុច URL ហ្វេសប៊ុកដែលពិសេសដូចដែល រៀបរាប់នៅលើប្លុករបស់គាត់ដែលត្រូវរចនាឡើងដើម្បីអនុវត្តសកម្មភាពផ្សេងៗដូចជាការបង្ហោះអ្វីមួយនៅលើបន្ទាត់ពេលវេលារបស់ពួកគេផ្លាស់ប្តូរឬលុបរូបភាពប្រវត្តិរូបរបស់ពួកគេហើយថែមទាំង បញ្ឆោតអ្នកប្រើឱ្យលុបចោលគណនីហ្វេសប៊ុកទាំងមូលផងដែរ។
ការគ្រប់គ្រងគណនីពេញលេញរបស់ជនរងគ្រោះឬការបោកបញ្ឆោតពួកគេក្នុងការលុបគណនី ហ្វេសប៊ុកទាំងអស់តម្រូវឱ្យមានកិច្ចខិតខំប្រឹងប្រែងបន្ថែមទៀតពីក្រុមអ្នកវាយប្រហារព្រោះជនរងគ្រោះត្រូវបញ្ចូលពាក្យសម្ងាត់របស់ពួកគេមុនពេលលុបគណនី។ ដើម្បីធ្វើដូចនេះអ្នកស្រាវជ្រាវនិយាយថាវានឹងតម្រូវឱ្យជនរងគ្រោះទៅមើល URL ពីរដាច់ដោយ ឡែកមួយដើម្បីបន្ថែមអ៊ីម៉ែល ឬលេខទូរស័ព្ទដើម្បីបញ្ជាក់។ អ្នកស្រាវជ្រាវនិយាយថា “ដោយសារ តែចំណុចបញ្ចប់ធម្មតាដែលប្រើដើម្បីបន្ថែមអ៊ីម៉ែល ឬលេខទូរស័ព្ទមិនមានប៉ារ៉ាម៉ែត្រ ‘បន្ទាប់’ ដើម្បីប្តូរ ទិសអ្នកប្រើបន្ទាប់ពីសំណើជោគជ័យមួយ។ទោះជាយ៉ាងណាក៏ដោយអ្នកស្រាវជ្រាវនៅតែអាចទទួលគណនីពេញលេញជាមួយ URL តែមួយ ដោយស្វែងរកចំណុចចុងក្រោយដែលមានប៉ារ៉ាម៉ែត្រ ‘បន្ទាប់’ និងផ្តល់ការអនុញ្ញាតឱ្យប្រើកម្មវិធី ព្យាបាទជំនួសនិងទទួលនិមិត្តសញ្ញាប្រើប្រាស់ហ្វេសប៊ុករបស់ពួកគេ។
ជាមួយនឹងការចូលទៅកាន់លិខិតឆ្លងដែនអត្តសញ្ញាណរបស់ជនរងគ្រោះការវាយលុកនេះនឹងបន្ថែមអាស័យដ្ឋានអ៊ីម៉ែលដែលគ្រប់គ្រងដោយអ្នកប្រើដោយស្វ័យប្រវត្តិទៅគណនីរបស់ពួកគេដោយ អនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលយកគណនីពេញលេញដោយគ្រាន់តែកំណត់ពាក្យសម្ងាត់របស់ពួកគេឡើងវិញ និងចាក់សោអ្នកប្រើស្របច្បាប់ចេញពីគណនី Facebook របស់ពួកគេ។ ទោះបីជាគណនីហ្វេសប៊ុកពេញលេញត្រូវចូលពាក់ព័ន្ធនឹងសកម្មភាពជាច្រើនក៏ដោយអ្នកស្រាវជ្រាវ រូបនេះនិយាយថាការកេងប្រវ័ញ្ចដោយចុចតែមួយនេះនឹងអនុញ្ញាតឱ្យអ្នកប្រើដែលមានគំនិតអាក្រក់ ប្លន់គណនីហ្វេសប៊ុករបស់អ្នក “ក្នុងចក្ខុវិញ្ញាណ”។
ការវាយលុកគណនីនេះអាចកាត់បន្ថយប្រសិនបើអ្នកអនុញ្ញាតការសម្គាល់អត្តសញ្ញាណពីរ កត្តាសម្រាប់គណនីហ្វេសប៊ុករបស់អ្នកទប់ស្កាត់ពួក hacker ចូលក្នុងគណនីរបស់អ្នករហូតដល់ ឬលុះត្រាតែពួកគេផ្ទៀងផ្ទាត់លេខកូដសម្ងាត់ 6 ខ្ទង់ដែលផ្ញើទៅទូរសព្ទ័ដៃរបស់អ្នក។ទោះជាយ៉ាងណាក៏ដោយការកាត់បន្ថយណាមួយមិនអាចទប់ស្កាត់ពួក hacker ពីការធ្វើសកម្មភាព មួយចំនួនក្នុងនាមអ្នកដែលប្រើភាពងាយរងគ្រោះនេះដូចជា ការផ្លាស់ប្តូរ ឬលុបរូបភាព ឬអាល់ប៊ុម របស់អ្នក ឬ posting anything on your timeline។
លោក Samm0uda រាយការណ៍ពីភាពងាយរងគ្រោះជាមួយនឹងព័ត៌មានលំអិតនៃការកេងប្រវ័ញ្ច ទៅកាន់ហ្វេសប៊ុកនៅថ្ងៃទី 26 ខែមករា។ បណ្តាញសង្គមយក្សទទួលស្គាល់បញ្ហានេះហើយ ដោះស្រាយវានៅថ្ងៃទី 31 ខែមករាដោយផ្តល់រង្វាន់ដល់អ្នកស្រាវជ្រាវជាមួយ $ 25,000 ដែល ជាផ្នែកមួយនៃកម្មវិធីប្រាក់រង្វាន់របស់ហ្វេសប៊ុក៕
ប្រភពព័ត៌មាន៖
https://thehackernews.com/2019/02/hack-facebook-account-password.html
