Twitter เปิดเผยว่าไม่ได้ล็อกผู้ใช้ออกจากบัญชีหลังจากรีเซ็ตรหัสผ่าน

หลายสัปดาห์หลังจากที่อดีตหัวหน้าฝ่ายรักษาความปลอดภัยของ Twitter กล่าวหาว่าบริษัทมี การจัดการความปลอดภัยทางไซเบอร์ที่ผิดพลาด ตอนนี้ Twitter ได้ แจ้งให้ ผู้ใช้ทราบถึงข้อบกพร่องซึ่งไม่ได้ปิดเซสชันการเข้าสู่ระบบที่ใช้งานอยู่ทั้งหมดของผู้ใช้บน Android และ iOS หลังจากรีเซ็ตรหัสผ่านของบัญชีแล้ว ปัญหานี้อาจมีนัยยะสำหรับผู้ที่รีเซ็ตรหัสผ่านเนื่องจากเชื่อว่าบัญชี Twitter ของตนอาจมีความเสี่ยง อาจเป็นเพราะอุปกรณ์สูญหายหรือถูกขโมย เป็นต้น

สมมติว่าใครก็ตามที่ครอบครองอุปกรณ์สามารถเข้าถึงแอปได้ พวกเขาจะมีสิทธิ์เข้าถึงบัญชี Twitter ของผู้ใช้ที่ได้รับผลกระทบได้อย่างเต็มที่

ใน บล็อกโพสต์ Twitter อธิบายว่าได้เรียนรู้เกี่ยวกับจุดบกพร่องที่ทำให้บัญชี “บางบัญชี” สามารถเข้าสู่ระบบบนอุปกรณ์หลายเครื่องได้หลังจากที่ผู้ใช้รีเซ็ตรหัสผ่านโดยสมัครใจ

โดยปกติ เมื่อมีการรีเซ็ตรหัสผ่าน โทเค็นของเซสชันที่ทำให้ผู้ใช้ลงชื่อเข้าใช้แอปจะถูกเพิกถอนด้วยเช่นกัน แต่สิ่งนี้ไม่ได้เกิดขึ้นบนอุปกรณ์มือถือ Twitter กล่าว อย่างไรก็ตาม เซสชันของเว็บไม่ได้รับผลกระทบและถูกปิดอย่างเหมาะสม

Twitter อธิบายข้อบกพร่องที่เกิดขึ้นหลังจากการเปลี่ยนแปลงที่ทำขึ้นเมื่อปีที่แล้วกับระบบที่เปิดใช้งานการรีเซ็ตรหัสผ่าน ซึ่งหมายความว่าจุดบกพร่องดังกล่าวยังคงมีอยู่เป็นเวลาหลายเดือนโดยไม่มีใครตรวจพบ เพื่อแก้ไขปัญหานี้ Twitter ได้แจ้งผู้ใช้ที่ได้รับผลกระทบโดยตรง นำพวกเขาออกจากเซสชันที่เปิดอยู่ในอุปกรณ์ต่างๆ ในเชิงรุก และแจ้งให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้ง อย่างไรก็ตาม บริษัทไม่ได้ให้รายละเอียดว่ามีผู้ได้รับผลกระทบกี่คน

“เรามีความรับผิดชอบในการปกป้องความเป็นส่วนตัวของคุณอย่างจริงจัง และโชคร้ายที่สิ่งนี้เกิดขึ้น” Twitter เขียนในประกาศ ซึ่งสนับสนุนให้ผู้ใช้ ตรวจสอบเซสชันที่เปิดอยู่ เป็นประจำจากการตั้งค่าของแอพ

ปัญหานี้เป็นเหตุการณ์ด้านความปลอดภัยล่าสุดของบริษัทในช่วงไม่กี่ปีที่ผ่านมา แม้ว่าจะไม่ได้รุนแรงเท่าในอดีตก็ตาม เช่นเดียวกับข้อบกพร่องที่รายงานเมื่อเดือน ที่แล้วซึ่งมีการเปิดเผยบัญชี Twitter อย่างน้อย 5.4 ล้านบัญชี ในกรณีดังกล่าว ช่องโหว่ด้านความปลอดภัยได้อนุญาตให้ผู้คุกคามสามารถรวบรวมข้อมูลในบัญชีผู้ใช้ Twitter ซึ่งถูกลงรายการเพื่อขายในฟอรัมอาชญากรรมทางอินเทอร์เน็ต

เมื่อเดือนพฤษภาคมที่ผ่านมา Twitter ถูกบังคับให้ จ่ายเงิน 150 ล้านดอลลาร์ในข้อตกลง กับ Federal Trade Commission สำหรับการใช้ข้อมูลส่วนบุคคลที่ผู้ใช้ให้มาเพื่อรักษาความปลอดภัยบัญชีของตน เช่น อีเมลและหมายเลขโทรศัพท์ เพื่อวัตถุประสงค์ในการกำหนดเป้าหมายโฆษณา และในปี 2019 Twitter ได้เปิดเผยจุดบกพร่องที่แชร์ข้อมูลตำแหน่งของผู้ใช้บางส่วน กับพันธมิตร และอีกรายการหนึ่งซึ่งนำไปสู่ การแชร์ข้อมูลผู้ใช้กับพันธมิตร นอกจากนี้ ยังพบปัญหาที่นักวิจัยด้านความปลอดภัยใช้ข้อบกพร่องในแอป Android เพื่อ จับคู่หมายเลขโทรศัพท์ 17 ล้านหมายเลข กับบัญชีผู้ใช้ Twitter

แม้ว่า Twitter จะมีความโปร่งใสเกี่ยวกับข้อบกพร่องที่พบและการแก้ไขที่เกิดขึ้น แต่ปัญหาด้านความปลอดภัยทางไซเบอร์โดยรวมของบริษัทขณะนี้อยู่ภายใต้การตรวจสอบที่เพิ่มมากขึ้นภายหลังการ ร้องเรียนของผู้แจ้งเบาะแสที่ยื่น โดย Peiter “Mudge” Zatko อดีตหัวหน้าฝ่ายรักษาความปลอดภัยของบริษัทในเดือนสิงหาคม

Zatko กล่าวหาว่า บริษัท ประมาทในการรักษาความปลอดภัยของแพลตฟอร์มโดยอ้างถึงปัญหาต่าง ๆ รวมถึงการขาดความปลอดภัยของอุปกรณ์ของพนักงาน, การขาดการป้องกันรอบ ๆ รหัสแหล่งที่มาของ Twitter, การเข้าถึงข้อมูลที่สำคัญของพนักงานในวงกว้างและบริการ Twitter, ช่องโหว่ที่ยังไม่ได้แก้ไขจำนวนหนึ่ง, การขาด การเข้ารหัสข้อมูลสำหรับข้อมูลที่เก็บไว้ เหตุการณ์ด้านความปลอดภัยจำนวนมากเกินไป และอื่นๆ รวมถึงภัยคุกคามต่อความมั่นคงของชาติ

ในบริบทนี้ บั๊กที่น้อยกว่าอย่างที่เปิดเผยในสัปดาห์นี้อาจไม่ถูกพิจารณาว่าเป็นความผิดพลาดครั้งเดียวโดยบริษัท แต่เป็นอีกตัวอย่างหนึ่งของปัญหาด้านความปลอดภัยในวงกว้างที่ Twitter ซึ่งสมควรได้รับความสนใจมากขึ้น

Twitter เปิดเผยว่าไม่ได้ล็อกผู้ใช้ออกจากบัญชีหลังจากรีเซ็ตรหัสผ่าน โดย Sarah Perez ที่เผยแพร่ครั้งแรกบน TechCrunch

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น