១. ព័ត៌មានទូទៅ
កាលពីថ្ងៃទី២៩ ខែកញ្ញា ឆ្នាំ២០១៨ ក្រុមហ៊ុនហ្វេសប៊ុកបានធ្វើការចេញផ្សាយអំពីការអាប់ដេតបញ្ហាសន្តិសុខទៅលើប្រព័ន្ធរបស់ខ្លួនទាក់ទងទៅនឹងការវាយប្រហារមួយដែលបានប៉ៈពាល់ទៅដល់គណនីអ្នកប្រើប្រាស់ប្រមាណជា ៥០លាននាក់។
អ្នកវាយប្រហារបានធ្វើការវាយលុកទៅលើចំនុចខ្សោយ (zero-day) ដែលមាននៅក្នុងមុខងារ “View As” របស់ហ្វេសប៊ុក ដើម្បីចូលទៅកាន់កាប់គណនីរបស់អ្នកប្រើប្រាស់។
មុខងារ “View As” អាចអនុញ្ញាតឲ្យអ្នកប្រើប្រាស់ធ្វើការត្រួតពិនិត្យទៅលើ Facebook profile របស់ខ្លួនក្នុងលក្ខណៈដែលមិត្តភ័ក្រមើល, មិត្តភ័ក្រនៃមិត្តភ័ក្រមើល និងសម្រាប់សាធារណៈជនមើល។
ចំណុចខ្សោយនេះអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការលួចយកនូវ Access Tokens ដែលពួកគេអាចធ្វើការចូលទៅកាន់គណនីអ្នកប្រើប្រាស់ និងវេបសាយរបស់ភាគីទីបីដែលអ្នកប្រើប្រាស់ទាំងនោះបានធ្វើការ Logged in ចូលជាមួយនឹងគណនីហ្វេសប៊ុក (credentials)។
២. អ្នកប្រើប្រាស់ដែលរងផលប៉ៈពាល់
ក្រុមហ៊ុនបានធ្វើការជួសជុលនូវចំណុចខ្សោយទាំងនោះរួចរាល់ហើយ ហើយបានធ្វើការបិទមុខងារ “View As” ជាបណ្តោះអាសន្នផងដែរ ក្នុងខណៈពេលដែលខ្លួនកំពុងតែធ្វើការត្រួតពិនិត្យទៅលើបញ្ហានោះ។
ក្រុមហ៊ុនក៏បានធ្វើការ reset ទៅលើ Access Tokens ទាំង៥០លាននាក់នោះរួចរាល់ហើយ។ អ្នកប្រើប្រាស់ដែលរងផលប៉ៈពាល់នឹងត្រូវបានជូនដំណឹង ដោយគណនីរបស់ខ្លួននឹងត្រូវបាន logged out ដែលទាមទារឲ្យអ្នកធ្វើការ Log in សារជាថ្មី។ អ្នកប្រើប្រាស់មិនចាំបាច់ធ្វើការផ្លាស់ប្តូរ ពាក្យសម្ងាត់ថ្មីឡើយ។
៣. ផលប៉ៈពាល់
– អ្នកវាយប្រហារអាចធ្វើការអាក់សេសទៅលើ personal information ដែលមាននៅក្នុងគណនីអ្នកប្រើប្រាស់
– អាចធ្វើការបន្លំ ឬការវាយប្រហារទៅលើអ្នកដទៃដោយប្រើប្រាស់គណនីទាំងនោះ
៤. ការណែនាំ
– អ្នកប្រើប្រាស់គួរតែមានការប្រយ័ត្នប្រយែងនៅពេលទទួលបានអ៊ីម៉ែល
– អ្នកគួរតែធ្វើការឃ្លាំមើលនូវសញ្ញានៃការប្រើប្រាស់គណនីហ្វេសប៊ុកខុសគោលដៅ
– មិនទាន់មានភស្តុតាងថាអ្នកប្រើប្រាស់ត្រូវធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់នៅឡើយទេ។ ប៉ុន្តែវាជាការល្អបើសិនជាអ្នកធ្វើការផ្លាស់ប្តូរវា
– អ្នកប្រើប្រាស់គួរតែដាក់ដំណើរការមុខងារ 2-factor authentication (2FA) ដើម្បីពង្រឹងសន្តិសុខបន្ថែមទៀត
– សម្រាប់ព័ត៌មានបន្ថែមអំពីបញ្ហាសន្តិសុខនិងឯកជនភាពនៃការប្រើប្រាស់ហ្វេសប៊ុក សូមចុចទីនេះ
៥. ឯកសារយោង
https://newsroom.fb.com/news/2018/09/security-update/
https://gizmodo.com/50-million-facebook-accounts-affected-in-massive-securi-1829394250
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.