နည္းပညာေလ့လာတဲ့သူတခ်ဳိ႕ ရဲ႕ ေတြ႕ရွိခ်က္ေတြအရ  လူမႈကြန္ယက္ Website တစ္ခုျဖစ္တဲ့ Facebook ရဲ႕ Video File ေတြကုိ Hackers ေတြဟာ အလြယ္တကူ ဖ်က္ႏုိင္ေၾကာင္းသိရပါတယ္။

Security Researcher တစ္ေယာက္ျဖစ္တဲ့ Dan Melamed ဟာ ၂၀၁၆ June မွာ  Facebook အသုံးျပဳသူေတြ Share ထားတာ ဒါမွမဟုတ္ တင္ထားတဲ့ Video ဖုိင္ ေတြကုိ ခြင့္ျပဳခ်က္ယူစရာမလုိပဲ Disable Commenting လုပ္ရုံနဲ႕ ဖ်က္ပစ္ႏုိင္ေၾကာင္းကုိ ရွာေတြ႕ခဲ့တယ္လုိ႕သိရပါတယ္။

ဒီအားနည္းခ်က္ကုိ  အသုံးျပဳတဲ့သူေတြကုိ ေျပာျပဖုိ႕ Melamed ဟာ Facebook Page မွာ ပထမဆုံး Public Event တစ္ခုကုိ Create လုပ္ခဲ့ျပီး ဒီပြဲမွာ ေဆြးေႏြးႏိုင္ဖုိ႕ အတြက္ Video ဖုိင္တစ္ခုကုိ Upload လုပ္ခဲ့ပါတယ္။

Video ကုိ တင္ေနတဲ့အခ်ိန္မွာပဲ Mealmed ဟာ စမ္းသပ္တဲ့ အေနနဲ႕ Browser အားလုံးအတြက္ အသုံးျပဳႏုိင္တဲ့ Web Debugging Proxy တစ္ခု ျဖစ္တဲ့ Fiddler ကုိ သုံးျပီး Post Request လုပ္ခဲ့ပါတယ္။ ျပီးတဲ့အခါမွာ  Video တစ္ခု ရဲ႕ ID Value ကုိ သူ႕ရဲ႕ Video ID Value အသစ္နဲ႕ အစားထုိးျပီး Social Media Platform ေပၚ တင္ခဲ့ပါတယ္။

Facebook ဟာ ဒီ Issue ကုိ Server Error လုိ႕ တုံ႕ျပန္ခဲ့ျပီး Example: “ This content is no longer available” လုိ႕ေဖာ္ျပေၾကာင္းသိရပါတယ္။ ဒါေပမယ့္ Video ဖုိင္အသစ္ကေတာ့ ေအာင္ျမင္စြာနဲ႕ တင္ႏုိင္တယ္လုိ႕ သိရပါတယ္။

ဒီTask ကုိစမ္းသပ္တာ ျပီးတာနဲ႕ Melamed ဟာ သူ႕ရဲ႕ Event Post ကုိ ဖ်က္ပစ္ခဲ့ျပီး ေနာက္ဆုံးမွာ Attached Video ကုိပါ Delete လုပ္ခဲ့ပါတယ္။

ဒီအားနည္းခ်က္ဟာ ဘယ္လုိ အလုပ္လုပ္တယ္ဆုိတာ တစ္ဆင့္ခ်င္းဆီ ေျပာထားတာကုိသိခ်င္တယ္ဆုိရင္ေတာ့ Video ကုိ ဖ်က္ေနတဲ့အခ်ိန္မွာ Attack လုပ္ထားတာကုိ ျပသထားတဲ့ Proof-Of-Concept Video မွာ ၾကည့္ႏုိင္ပါတယ္။

https://youtu.be/ybyEdza3f6Q

Melamed ဟာ Facebook ရဲ႕ အားနည္းခ်က္ေတြကုိ Securtiy Team ကုိ  ျပန္လည္ျပင္ဆင္ႏုိင္ဖုိ႕အတြက္ ဒီႏွစ္အစမွာ သတင္းပုိ႕ခဲ့ပါတယ္။ အားနည္းခ်က္ေတြကုိ ျပင္ဆင္ျပီးတဲ့အခါ Social Media Giant ျဖစ္တဲ့ Facebook ဟာ သူ႕ရဲ႕ သတင္းေပးပုိ႕မႈ နဲ႕ ၾကဳိးစားအားထုတ္မႈအတြက္ ေဒၚလာ ၁ေသာင္း ဆုခ်ီးျမွင့္ခဲ့ပါတယ္။

Attackers ေတြ အေနနဲ႕ ဒီလုိမ်ဳိး Facebook က Video File ေတြကုိ Delete လုပ္ဖုိ႕ ခ်ဥ္းကပ္တဲ့ ျဖစ္စဥ္ဟာ ပထမဆုံး အၾကိမ္မဟုတ္ပါဘူး။ Bug မုဆုိးေတြဟာ စဥ္ဆက္မျပတ္ တုိက္ခုိက္မႈေတြကုိ ရွာေဖြေနျပီး Social Media Platform လုံျခဳံေရးနဲ႕ ကာကြယ္ႏုိင္ေရးအတြက္ အားနည္းခ်က္ေတြကုိ သတင္းပုိ႕လ်က္ ရွိေၾကာင္း သိရပါတယ္။

Ref : Hacker news

Jan ( Akhayar)