Google ปิดช่องโหว่แล้ว หลังทราบว่า เบอร์โทรคุณอาจรั่วไหลจากบัญชี Google แบบไม่รู้ตัว ทำให้ผู้ใช้บัญชี Google ทั่วโลกเสี่ยงข้อมูลรั่ว! หลังพบช่องโหว่ที่เพิ่งถูกค้นพบเมื่อไม่นานมานี้ ทำให้แฮกเกอร์สามารถเดาเบอร์โทรศัพท์ที่เชื่อมกับบัญชี Google ได้ง่ายดายกว่าที่คิด
ช่องโหว่ที่ว่านี้เกิดจากอะไร?
นักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า BruteCat พบช่องโหว่ใน แบบฟอร์มกู้ชื่อผู้ใช้ ของ Google เวอร์ชันที่ไม่เปิดใช้งาน JavaScript ซึ่งเปิดโอกาสให้แฮกเกอร์สามารถสุ่มเบอร์โทรไปเรื่อย ๆ (brute-force) ได้โดยไม่ถูกจำกัด
แฮกเกอร์ใช้ช่องโหว่นี้ยังไง?
- แฮกเกอร์ใช้ชื่อโปรไฟล์หรือชื่อบัญชีร่วมกับการเดาเบอร์โทรบางส่วน
- ระบบของ Google จะตอบกลับด้วยข้อมูลที่ช่วยให้เดาเบอร์เต็ม ๆ ได้
- พวกเขาใช้ IP หลายชุดเพื่อหลบการตรวจจับของ Google
- รวมถึงการข้าม CAPTCHA โดยการแทนที่พารามิเตอร์ ‘bgresponse=js_disabled’ ด้วยโทเค็น BotGuard ที่ถูกต้องจากฟอร์มที่เปิดใช้งาน JS
- ด้วยเทคนิคเหล่านี้ BruteCat จึงพัฒนาเครื่องมือ Brute-force (gpb) ที่สามารถวนซ้ำช่วงตัวเลขโดยใช้รูปแบบเฉพาะประเทศและกรองผลลัพธ์ที่ผิดพลาดออกไป
อันตรายแค่ไหน?
เมื่อเบอร์โทรของคุณรั่ว แฮกเกอร์อาจนำไปใช้โจมตีแบบ SIM swapping เพื่อยึดเบอร์ของคุณ และใช้เบอร์นั้นรีเซ็ตรหัสผ่านหรือข้ามระบบยืนยันตัวตนสองขั้นตอน (2FA) ได้
Google แก้ไขแล้วหรือยัง?
ล่าสุด Google ได้ ปิดช่องโหว่นี้ในวันที่ 6 มิถุนายน 2025 และให้รางวัลนักวิจัย $5,000 พร้อมปรับระดับความเสี่ยงของช่องโหว่จาก “ต่ำ” เป็น “กลาง”
แล้วเราจะป้องกันยังไงได้บ้างหลังเหตุการณ์นี้?
- หลีกเลี่ยงการเผยแพร่เบอร์โทรในพื้นที่สาธารณะ
- ให้เปิดใช้การยืนยันตัวตน 2 ขั้นตอนแบบใช้แอป เช่น Google Authenticator
- ลบเบอร์โทรศัพท์เก่านั้นออกจากบัญชี Google หากไม่จำเป็นต้องใช้ในการกู้บัญชี หาเบอร์ใหม่ของคุณมาใช้แทน
ถึงแม้ Google จะอุดช่องโหว่แล้ว แต่เหตุการณ์นี้ตอกย้ำว่า ข้อมูลเล็กน้อยอย่างเบอร์โทร ก็สามารถถูกใช้เป็นกุญแจสำคัญในการเข้ายึดบัญชีได้!
อ้างอิง bleepingcomputer cover Android
อ่านบทความและข่าวอื่นๆเพิ่มเติมได้ที่ it24hrs.com
Google ปิดช่องโหว่แล้ว! แต่เราป้องกันตัวต่ออย่างไร? หลังเบอร์โทรผู้ใช้งานรั่วไหลแบบไม่รู้ตัว
อย่าลืมกดติดตามอัพเดตข่าวสาร ทิปเทคนิคดีๆกันนะคะ Please follow us
Youtube it24hrs
Twitter it24hrs
Tiktok it24hrs
facebook it24hrs
