fbpx
Hacking

เตือนภัย !!! พบช่องโหว่ Line โดน Hack จากการล็อคอินผ่าน Facebook แม้ใส่รหัส 2FA ไว้ก็ตาม

เหตุการณ์นี้เกิดจากกระทู้ในเว็บไซท์ Pantip ที่ใช้ชื่อว่า “บัญชี Line โดนขโมยได้ง่ายๆ แม้จะลงทะเบียน Mail/Facebook ไว้ และยังใช้เบอร์เดิม” ซึ่ง จขกท. โดนแฮ็ก Line ข้อมูลหายหมด แถมโดนเปลี่ยนพาสเวิร์ดไป ทำให้ไม่สามารถล็อคอินกลับคืนมาได้อีกด้วย

จากเนื้อความทั้งหมดพอสรุปได้ประมาณนี้คือ

  • จขกท. ไปต่างจังหวัด จู่ๆ แอพ Line เด้งแจ้งเตือนมาว่า มีการเข้าถึงด้วยอุปกรณ์อื่น ซึ่งไม่ใช่ตัวเอง
  • จากนั้น Line ก็เด้งออก โดนเปลี่ยนพาสเวิร์ดใหม่ ทำให้ไม่สามารถล็อคอินกลับคืนได้
  • จขกท. ได้แจ้งไปทาง Line ว่าโดนแฮ็ก และทาง Line แจ้งกลับมาว่า มีการ Log in ไอดีนี้ ผ่าน Facebook ซึ่ง จขกท. เคยได้ซิงค์ Line ไว้กับ Facebook มาก่อน (อีเมลเดียวกัน)

**ความเป็นไปได้คือ คนร้ายรู้รหัส Facebook ของ จขกท. แล้วล็อกอิน Line ด้วย Facebook เพื่อทำการแฮ็ก แต่ที่ไม่ได้แฮ็ก Facebook ด้วย เพราะ จขกท. ได้เปิด 2FA แล้ว (2FA คือการล็อคอิน 2 ขั้นตอน)

 

ทีมงานจึงเกิดความสงสัยว่า การล็อกอิน Line ด้วย Facebook บนมือถือเครื่องใหม่ แอพ Line จะไม่แจ้งให้ใส่ OTP หรือ 2FA ก่อน รวมถึงจะแจ้งเตือนในอุปกรณ์อื่นที่ได้ล็อกอินไว้ด้วยหรือไม่ โดยทีมงานได้ทำการทดลองดังนี้

  • ล็อกอิน Line ไว้บน PC กับ มือถือเครื่องเก่า ไว้ก่อน
  • ลิงก์ Line ไว้กับ Facebook (ตั้ง 2FA แล้ว) จากนั้นล็อกอิน Line ผ่าน Facebook ด้วย มือถือเครื่องใหม่
  • บนมือถือเครื่องใหม่สามารถล็อกอินผ่าน Facebook ได้โดยที่ Line ไม่ถาม OTP หรือให้ใส่รหัสเพิ่ม 2FA ของ Facebook เลย
  • Line ที่อยู่ในมือถือเครื่องเก่า และ PC เด้งหลุดออกทันที ไม่สามารถใช้งานได้
  • กลับไปล็อกอินเข้าบน PC ใหม่ ก็ไม่มีการแจ้งเตือนว่า ถูกล็อกอินจากใครหรือที่ไหน แต่ข้อความ และรายชื่อผู้ติดต่ออยู่ครบ
  • ส่วนบน มือถือเครื่องใหม่ ข้อความเหลือแค่บางส่วน แต่รายชื่อผู้ติดต่อยังอยู่ครบ
  • สุดท้ายกลับไปล็อกอิน มือถือเครื่องเก่าคืนปรากฏว่า ข้อความหายหมด แต่รายชื่อยังอยู่ครบเหมือนเดิม (มือถือเครื่องใหม่ก็หลุดเด้งออก)

สรุปผลการทดลอง คือ Line ปล่อยให้คนสามารถล็อกอินผ่าน Facebook ได้ โดยไม่ถาม OTP หรือ 2FA แม้ว่าใน Facebook เองจะเปิด 2FA ไว้ก็ตาม ซึ่งในกรณีนี้เองก็ถือเป็นอีกช่องโหว่หนึ่งถ้าเราลิงก์ Line ไว้กับ Facebook และถ้าหากเกิดคนร้ายรู้อีเมลและพาสเวิร์ดของ Facebook เรา แม้จะล็อกอิน Facebook ไม่ได้เพราะเปิด 2FA แต่สามารถนำไปล็อกอิน Line กับมือถือเครื่องไหนก็ได้แทน โดยที่รายชื่อต่างๆ ยังอยู่ครบ ทำให้สามารถทักไปขอยืมเงินคนโน้นคนนี้ที่มีรายชื่ออยู่ในบัญชีเราได้ และยิ่งถ้าหากเราซิงค์กับพวกบัตรเครดิตหรือ Line Pay แล้วด้วยยิ่งอันตรายมาก

วิธีแก้ปัญหาในเบื้องต้น ตอนนี้เท่าที่ทำได้ก็คือ ควรยกเลิกลิงก์การเชื่อมต่อ Line กับ Facebook โดยไปที่ ตั้งค่า -> บัญชี -> แถบ Facebook กดยกเลิกการเชื่อมต่อ ซึ่งในอนาคตหวังว่าทีมงานของ Line หรือ Facebook จะเห็นช่องโหว่นี้และรีบแก้ไขปัญหาโดยเร็วที่สุดครับ

**อัปเดตล่าสุดตอนนี้ ถ้าหากจะล็อค Line ผ่าน Facebook ต้องใส่รหัส 2FA ของ Facebook แล้ว ถ้าเครื่องที่ใช้อยู่ไม่ได้ล็อคอิน Facebook นั้นทิ้งไว้ครับ

 

ที่มา : สมาชิกเว็บไซต์ Pantip  kisschup

6 Comments

  1. Avatar

    krypton2 Post on July 22, 2019 at 11:25 pm

    #1010131

    โดนเหมือกันคับ ขอบคุณที่มาเตือน ยกเลิกลิ้งกะเฟสบุ้คละ

  2. Noemotion90

    Noemotion90 Post on July 23, 2019 at 12:25 am

    #1010133

    มีไอ้พวกแฮ็คเข้ามาอยู่ในกลุ่มไลน์ด้วยนะ ยิ่งเป็นกรุ๊ปองค์กรยิ่งต้องระวัง

  3. Avatar

    m269484388 Post on July 23, 2019 at 7:49 am

    #1010135

    ผมเคยพบช่องโหว่ๆ คล้ายกับแบบนี้นานละ
    ตอนนั้นเปลี่ยนมือถือใหม่ แต่ดันไปกดสมัครลายidใหม่ แต่ใช้เบอร์โทรเดิม emailเดิม  แต่idเก่าไม่หาย เพราะloginค้างไว้อยู่ที่คอม
     เลยทำให้มี2idลายแบบงงๆ  จะloginกลับไปidเก่าโดยใช้emailเดิม แต่มันก็เข้าไปidใหม่ตลอด สุดท้ายลองกดlogin ผ่านfacebookที่ลิ้งเอาไว้ตอนไหนไม่รู้จำไม่ได้  เลยทำให้ได้ลายidเก่ามาแบบงงๆๆ

  4. switch_on

    switch_on Post on July 23, 2019 at 1:23 pm

    #1010151

    ตามที่เข้าใจนะครับ การที่ Line หรือจริงจะหมายถึง app ใด ๆ ก็ตาม ใช้ FB id ในการ login ได้

    กระบวนการ login มันเกิดที่ facebook ไม่ใช่หรอครับ หลังจากยืนยันตัวตนได้แล้ว FB ถึงจะค่อยส่ง token กลับไปที่ App (กรณีนี้คือ LINE) เพื่อบอกว่า ok ยืนยันตัวได้แล้วหลังจากนี้ให้ใช้ token นี้ในการติดต่อขอข้อมูลบลาๆๆ นะ ซึ่งถ้ามี 2FA ก็ต้องมีการถามต่อไปเรื่อยๆ จนกว่าจะยืนยันตัวตนได้

    ดังนั้นในกรณีนี้ FB ไม่มีการถามหา 2FA ดังนั้นจึงควรเผ่งเล็งไปที่ FB ด้วยสิครับ

    • Dude Lebowski

      Dude Lebowski Post on July 23, 2019 at 3:48 pm

      #1010155

      ใช่ครับ จริงๆ ก็ต้องเพ่งเล็ง Facebook เป็นหลักด้วย ซึ่งล่าสุดตอนนี้ผมลองทดสอบอีกรอบปรากฏว่า ต้องใส่รหัส 2FA ของ Facebook แล้วครับ ถ้าจะล็อคอิน Line ผ่าน Facebook บนมือถือที่ไม่เคยล็อคอิน Facebook นั้นมาก่อน 
      .
      ขอบคุณสำหรับข้อมูลครับผม

  5. Avatar

    devilshop Post on July 24, 2019 at 10:43 am

    #1010185

    ขอบคุณครับ ที่เตือนจะได้ระวังไว้ 🙂 🙂

Leave a Reply

To Top