Amazon ได้แก้ปัญหาเรื่องความปลอดภัยของระบบล็อกอินของแอพบนอุปกรณ์พกพา iOS และ Andriod แล้ว
โดย FireEye เป็นผู้พบช่องโหว่ที่ว่านั่นอยู่ที่จำนวนการใส่รหัสล็อกอินที่ไม่จำกัดจำนวนครั้ง ทำให้ Hacker สามารถจะเดาหรือสปินรหัสล็อกอินไปได้เรื่อยๆ จากปกติที่ระบบล็อกอินบนเว็บไซต์ของ Amazon.com สามารถใส่ผิดได้จำกัดเพียง 10 ครั้ง
จากนั้นระบบจะร้องขอให้กรอกตัวอักษรตามภาพ CAPTCHA เพื่อทดสอบว่าคุณเป็นมนุษย์มาทำการกรอกรหัส ไม่ใช่โปรแกรมที่พยามแฮ็ก เพราะโปรแกรมจะไม่สามารถเข้าใจตัวอักษรในภาพได้
ทั้งนี้ Amazon.com ทำการแก้ปัญหานี้แล้วสำหรับแอพบน iOS Android ที่เป็นช่องให้ Hacker สามารถเดาพาสเวิร์ดของผู้ใช้งานได้ไม่จำกัดบนอุปกรณ์พกพาสมาทโฟน แท็บเล็ต โดยนักวิจัยวิจัย Min Zheng, Tao Wei และ Hui Xue ซึ่งได้เขียนไว้ใน Blog ของ FireEye
ซึ่งพวกเค้าได้เตือนให้กับ Amazon ถึงปัญหาความปลอดภัยที่พบเมื่อวันที่ 30 มกราคม และมันก็ได้ถูกแก้ไขเรียบร้อยแล้วในวันที่ 19 กุมภาพันธ์
วิธีการที่ Amazon ใช้อีเมล์ลูกค้าเป็นชื่อยูสเซอร์เนม นั้นมีความเสี่ยง เช่น Hacker สามารถจะใช้พาสเวิร์ดแบบง่าย ที่นิยมใช้จำนวนมากมาทดสอบหมุนวนโดยโปรแกรมอัตโนมัติจนกว่าจะเข้าได้ โดยค้นหาอีเมล์จากอินเตอร์เน็ตและข้อมูลที่เกี่ยวข้องมาใช้ในการเดา
และผู้ใช้งานมักใช้พาสเวิร์ดเดียวทุกเว็บไซต์ เมื่อ Hacker มีบัญชีผู้ใช้งานคนหนึ่งอยู่ในมือ เค้าสามารถนำอีเมล์และรหัสของเหยื่อมาใช้ล๊อกอินเข้าระบบ Amazon ได้
นอกจากนี้ FireEye ยังบอกอีกว่า Amazon ไม่ได้มีการร้องขอให้ตั้งพาสเวิร์ด “strong” หรือแจ้งเตือนเมื่อผู้ใช้งานตั้งแบบง่ายเช่น 123456 หรือ 111111 ซึ่งทำให้บัญชีลูกค้าตกอยู่ในความเสี่ยง
นักวิจัยจาก FireEye ได้ทดสอบสร้างบัญชีผู้ใช้งานใหม่และเดาพาสเวิร์ดถึง 1,000 ครั้งจนสามารถ Crack ได้ในที่สุด
ที่มา: computerworld
