เรื่องมีอยู่ว่านักวิจัยด้านความปลอดภัยนามว่า Inti De Ceukelaire ได้เขียนลง Medium ของเขาว่าสามารถส่องลิงก์ส่วนตัวที่แชร์กันระหว่างผู้ใช้ใน Facebook Messenger ได้!
ก่อนจะเข้าสู่รายละเอียดของการทดสอบนี้ De Ceukelaire อธิบายเรื่องการจัดการเรื่องลิงก์ของ Facebook ไว้ว่า เมื่อผู้ใช้แชร์ลิงก์ลง Facebook ด้วยทางใดก็ตาม ระบบ Facebook Crawler จะเก็บรายละเอียดของเว็บเช่นหัวเรื่อง, รายละเอียดและภาพประกอบของเว็บพร้อมทั้งกำหนด unique id ขึ้นมาให้ลิงก์นี้ จากนั้นจะเก็บข้อมูลทั้งหมดลงฐานข้อมูลไว้ ต่อมาเมื่อมีผู้ใช้นำลิงก์มาแชร์ลง Facebook อีกครั้ง ระบบก็ดึงข้อมูลของเว็บจากฐานข้อมูลที่เคยเก็บไว้มาแสดงได้ทันที ไม่ต้องเสียเวลาดึงข้อมูลซ้ำอีกรอบ
De Ceukelaire บอกว่าจริงๆ แล้วข้อมูลบน Facebook ทั้งหมดก็จัดการด้วย unique id ทั้งนั้น จึงทำให้นักพัฒนาสามารถเรียกดูข้อมูลผ่าน Facebook Graph API Explorer ด้วย id เหล่านั้นได้อย่างง่ายดาย เช่น นำ user id ไปกรอกก็จะได้ชื่อออกมา แต่มีข้อแม้เดียวว่าข้อมูลใดๆ ที่ถูกตั้งเป็นส่วนตัวไว้ก็ไม่สามารถเข้าถึงได้เหมือนกัน
De Ceukelaire จึงเริ่มทดสอบด้วยการสร้างไฟล์ Google Docs ขึ้นมา โดยในนั้นมีรหัสผ่านพิมพ์ไว้ จากนั้นส่งลิงก์ไปหาเพื่อนทาง Facebook Messenger ตอนนี้เองที่ลิงก์ถูกเก็บข้อมูลลงฐานข้อมูลแล้ว เค้าจึงให้เพื่อนใช้เครื่องมือ Facebook Debugger หา unique id ซึ่งมันปรากฎเป็นลิงก์ Graph API นั่นเอง เมื่อนำเลขนั้นไปผ่าน Graph API Explorer โดยเติม ?fields=url ต่อท้าย ผลปรากฎว่า Facebook แสดง url ของเว็บนั้นๆ ขึ้นมาซะอย่างงั้น เค้าจึงทดสอบอีกครั้งโดยการทำ script ขึ้นมา โดยสุ่ม unique id ไปเรื่อยๆ ผลปรากฎว่ามีลิงก์แสดงออกมาด้วย
เค้าจึงรายงานปัญหานี้ให้ทาง Facebook ทราบ คำตอบที่ได้รับกลับมาคือ Facebook ตั้งใจทำสิ่งนี้อยู่แล้ว ไม่ใช่บั๊กแต่อย่างใด และเค้าเองก็ไม่สามารถใช้งานเครื่องมือสำหรับนักพัฒนาของ Facebook ได้อีกด้วย เนื่องจากมีการเรียกใช้ข้อมูลมากเกินไป ถ้าคำตอบของ Facebook เป็นแบบนี้แล้ว คำตอบที่ดีที่สุดสำหรับผู้ใช้อย่างเราๆ ก็คงต้องหลีกเลี่ยงการแชร์ลิงก์ส่วนตัวที่สำคัญลงสังคมออนไลน์แล้วหละครับ
ที่มา : Inti De Ceukelaire Blog ผ่าน The Next Web
from Blognone https://www.blognone.com/node/82208
via IFTTT
