เหตุการณ์นี้เกิดจากกระทู้ในเว็บไซท์ Pantip ที่ใช้ชื่อว่า “บัญชี Line โดนขโมยได้ง่ายๆ แม้จะลงทะเบียน Mail/Facebook ไว้ และยังใช้เบอร์เดิม” ซึ่ง จขกท. โดนแฮ็ก Line ข้อมูลหายหมด แถมโดนเปลี่ยนพาสเวิร์ดไป ทำให้ไม่สามารถล็อคอินกลับคืนมาได้อีกด้วย
จากเนื้อความทั้งหมดพอสรุปได้ประมาณนี้คือ
- จขกท. ไปต่างจังหวัด จู่ๆ แอพ Line เด้งแจ้งเตือนมาว่า มีการเข้าถึงด้วยอุปกรณ์อื่น ซึ่งไม่ใช่ตัวเอง
- จากนั้น Line ก็เด้งออก โดนเปลี่ยนพาสเวิร์ดใหม่ ทำให้ไม่สามารถล็อคอินกลับคืนได้
- จขกท. ได้แจ้งไปทาง Line ว่าโดนแฮ็ก และทาง Line แจ้งกลับมาว่า มีการ Log in ไอดีนี้ ผ่าน Facebook ซึ่ง จขกท. เคยได้ซิงค์ Line ไว้กับ Facebook มาก่อน (อีเมลเดียวกัน)
**ความเป็นไปได้คือ คนร้ายรู้รหัส Facebook ของ จขกท. แล้วล็อกอิน Line ด้วย Facebook เพื่อทำการแฮ็ก แต่ที่ไม่ได้แฮ็ก Facebook ด้วย เพราะ จขกท. ได้เปิด 2FA แล้ว (2FA คือการล็อคอิน 2 ขั้นตอน)
ทีมงานจึงเกิดความสงสัยว่า การล็อกอิน Line ด้วย Facebook บนมือถือเครื่องใหม่ แอพ Line จะไม่แจ้งให้ใส่ OTP หรือ 2FA ก่อน รวมถึงจะแจ้งเตือนในอุปกรณ์อื่นที่ได้ล็อกอินไว้ด้วยหรือไม่ โดยทีมงานได้ทำการทดลองดังนี้
- ล็อกอิน Line ไว้บน PC กับ มือถือเครื่องเก่า ไว้ก่อน
- ลิงก์ Line ไว้กับ Facebook (ตั้ง 2FA แล้ว) จากนั้นล็อกอิน Line ผ่าน Facebook ด้วย มือถือเครื่องใหม่
- บนมือถือเครื่องใหม่สามารถล็อกอินผ่าน Facebook ได้โดยที่ Line ไม่ถาม OTP หรือให้ใส่รหัสเพิ่ม 2FA ของ Facebook เลย
- Line ที่อยู่ในมือถือเครื่องเก่า และ PC เด้งหลุดออกทันที ไม่สามารถใช้งานได้
- กลับไปล็อกอินเข้าบน PC ใหม่ ก็ไม่มีการแจ้งเตือนว่า ถูกล็อกอินจากใครหรือที่ไหน แต่ข้อความ และรายชื่อผู้ติดต่ออยู่ครบ
- ส่วนบน มือถือเครื่องใหม่ ข้อความเหลือแค่บางส่วน แต่รายชื่อผู้ติดต่อยังอยู่ครบ
- สุดท้ายกลับไปล็อกอิน มือถือเครื่องเก่าคืนปรากฏว่า ข้อความหายหมด แต่รายชื่อยังอยู่ครบเหมือนเดิม (มือถือเครื่องใหม่ก็หลุดเด้งออก)
สรุปผลการทดลอง คือ Line ปล่อยให้คนสามารถล็อกอินผ่าน Facebook ได้ โดยไม่ถาม OTP หรือ 2FA แม้ว่าใน Facebook เองจะเปิด 2FA ไว้ก็ตาม ซึ่งในกรณีนี้เองก็ถือเป็นอีกช่องโหว่หนึ่งถ้าเราลิงก์ Line ไว้กับ Facebook และถ้าหากเกิดคนร้ายรู้อีเมลและพาสเวิร์ดของ Facebook เรา แม้จะล็อกอิน Facebook ไม่ได้เพราะเปิด 2FA แต่สามารถนำไปล็อกอิน Line กับมือถือเครื่องไหนก็ได้แทน โดยที่รายชื่อต่างๆ ยังอยู่ครบ ทำให้สามารถทักไปขอยืมเงินคนโน้นคนนี้ที่มีรายชื่ออยู่ในบัญชีเราได้ และยิ่งถ้าหากเราซิงค์กับพวกบัตรเครดิตหรือ Line Pay แล้วด้วยยิ่งอันตรายมาก
วิธีแก้ปัญหาในเบื้องต้น ตอนนี้เท่าที่ทำได้ก็คือ ควรยกเลิกลิงก์การเชื่อมต่อ Line กับ Facebook โดยไปที่ ตั้งค่า -> บัญชี -> แถบ Facebook กดยกเลิกการเชื่อมต่อ ซึ่งในอนาคตหวังว่าทีมงานของ Line หรือ Facebook จะเห็นช่องโหว่นี้และรีบแก้ไขปัญหาโดยเร็วที่สุดครับ
**อัปเดตล่าสุดตอนนี้ ถ้าหากจะล็อค Line ผ่าน Facebook ต้องใส่รหัส 2FA ของ Facebook แล้ว ถ้าเครื่องที่ใช้อยู่ไม่ได้ล็อคอิน Facebook นั้นทิ้งไว้ครับ
ที่มา : สมาชิกเว็บไซต์ Pantip kisschup
โดนเหมือกันคับ ขอบคุณที่มาเตือน ยกเลิกลิ้งกะเฟสบุ้คละ
มีไอ้พวกแฮ็คเข้ามาอยู่ในกลุ่มไลน์ด้วยนะ ยิ่งเป็นกรุ๊ปองค์กรยิ่งต้องระวัง
ผมเคยพบช่องโหว่ๆ คล้ายกับแบบนี้นานละ
ตอนนั้นเปลี่ยนมือถือใหม่ แต่ดันไปกดสมัครลายidใหม่ แต่ใช้เบอร์โทรเดิม emailเดิม แต่idเก่าไม่หาย เพราะloginค้างไว้อยู่ที่คอม
เลยทำให้มี2idลายแบบงงๆ จะloginกลับไปidเก่าโดยใช้emailเดิม แต่มันก็เข้าไปidใหม่ตลอด สุดท้ายลองกดlogin ผ่านfacebookที่ลิ้งเอาไว้ตอนไหนไม่รู้จำไม่ได้ เลยทำให้ได้ลายidเก่ามาแบบงงๆๆ
ตามที่เข้าใจนะครับ การที่ Line หรือจริงจะหมายถึง app ใด ๆ ก็ตาม ใช้ FB id ในการ login ได้
กระบวนการ login มันเกิดที่ facebook ไม่ใช่หรอครับ หลังจากยืนยันตัวตนได้แล้ว FB ถึงจะค่อยส่ง token กลับไปที่ App (กรณีนี้คือ LINE) เพื่อบอกว่า ok ยืนยันตัวได้แล้วหลังจากนี้ให้ใช้ token นี้ในการติดต่อขอข้อมูลบลาๆๆ นะ ซึ่งถ้ามี 2FA ก็ต้องมีการถามต่อไปเรื่อยๆ จนกว่าจะยืนยันตัวตนได้
ดังนั้นในกรณีนี้ FB ไม่มีการถามหา 2FA ดังนั้นจึงควรเผ่งเล็งไปที่ FB ด้วยสิครับ
ใช่ครับ จริงๆ ก็ต้องเพ่งเล็ง Facebook เป็นหลักด้วย ซึ่งล่าสุดตอนนี้ผมลองทดสอบอีกรอบปรากฏว่า ต้องใส่รหัส 2FA ของ Facebook แล้วครับ ถ้าจะล็อคอิน Line ผ่าน Facebook บนมือถือที่ไม่เคยล็อคอิน Facebook นั้นมาก่อน
.
ขอบคุณสำหรับข้อมูลครับผม
ขอบคุณครับ ที่เตือนจะได้ระวังไว้
🙂 🙂