Secret Access Token คืออะไร
ก่อนทำความรู้จักกับ Secret Access Token ต้องกล่าวถึง Token ก่อน ซึ่ง Token กล่าวให้เข้าใจง่ายๆ คือ สิ่งที่ใช้แทน username และ password ถ้า Token ถูกสร้างขึ้นมาแล้ว และถูกคนอื่นขโมยไปก็จะสามารถใช้ Token นั้นเข้ามาใช้งานในระบบแทนเจ้าของ Token ได้ เพราะ Token ไม่ได้ถูกเก็บไว้ใน Database จึงไม่สามารถลบ Token นี้ออกจากระบบได้ Token ก็มีหลายประเภท ในบทความนี้จะกล่าวถึง Access Token
Access Token เกี่ยวข้องกับช่องโหว่ "View As" ของ Facebook อย่างไร
Access Token ไม่ใช่รหัสผ่านที่ผู้ใช้ login Facebook แต่เป็นรหัสเฉพาะที่เมื่อผู้ใช้ Login หรือเปิดให้แอพอื่นเข้ามาเชื่อมต่อบัญชี Facebook ของผู้ใช้ จากนั้น Facebook จะสร้าง Access Token ซึ่งสุ่มตัวอักษรต่างๆ มา เพื่อส่งให้แอพ จากนั้นเมื่อแอพต้องการเรียกข้อมูลต่างๆ ของผู้ใช้ผ่านเซิร์ฟเวอร์ Facebook จะสามารถใช้ Access Token แนบไปกับข้อความขอข้อมูลหรือโพสต์ข้อความบน timeline ผู้ใช้ได้ เพื่อให้ Facebook ตรวจสอบว่าเป็นการเรียกจากผู้ใช้ กล่าวสั้นก็คือ Access Token ใช้ขอ Resources นั้นเอง ทำให้แอพไม่ต้องเก็บรหัสผ่านไว้ และ Facebook สามารถจัดการแอพแยกออกจากกันไปเลย เช่น สามารถ ล็อกเอาท์ (Logout) บัญชี Facebook จากอุปกรณ์อื่นได้สามารถเลือกได้ว่าจะออกจากอุปกรณ์ตัวไหน โดยไม่กระทบกับอุปกรณ์อื่น ซึ่ง Secret Access Token เหมือนกุญแจ ที่ทำให้สามารถ Login เข้าใช้งานค้างไว้ โดยไม่ต้องกรอกรหัสผ่านในทุกครั้งที่ใช้งาน
ผลเสียเมื่อ Access Token หลุด
Hacker จะสามารถทำทุกอย่างที่ Facebook เปิดให้ทำแบบไม่ต้องขอรหัสผ่าน เช่น สามารถ Post ข้อความต่างๆ ในชื่อของเหยื่อได้ กดไลค์ หรือตอบข้อความต่างๆ ผลกระทบร้ายแรงคือ Hacker สามารถเห็นข้อมูลได้ของเหยื่อได้ทั้งหมด แม้แต่ที่กำหนดสิทธิไว้เป็น Only me และสามารถโดนดาวน์โหลดข้อมูลออกไปได้ Facebook ยืนยันว่าคนร้ายพยายามใช้ API ดูข้อมูลบางส่วน แต่ยังไม่สามารถยืนยันได้ว่ามีข้อมูลส่วนตัวหลุดไปหรือไม่ โดยข้อมูลล่าสุดคือแฮกเกอร์หรือกลุ่มแฮกเกอร์นี้ใช้ช่องโหว่นี้ขโมยล็อกอินไปแล้วถึง 50 ล้านบัญชี
อ้างอิงรูปภาพ : pixabay.com