ข้อบกพร่อง SSL อาจถูกนำมาใช้เพื่อหลอกลวง Twitter

นักวิจัยด้านความปลอดภัยของไอบีเอ็มกล่าวว่าข้อบกพร่องในโปรโตคอลที่ใช้เพื่อรักษาความปลอดภัยการสื่อสารผ่านทางอินเทอร์เน็ตอาจใช้ในการสับบัญชี Twitter ได้

สัปดาห์ที่ผ่านมา Anil Kurmus ได้แสดงให้เห็นว่าข้อบกพร่องในโปรโตคอล SSL (Secure Sockets Layer) เคยชินหลอกลวงให้เหยื่อส่งข้อความ Twitter ที่มีข้อมูลรหัสผ่านของตน สำหรับข้อบกพร่องที่จะใช้ประโยชน์แฮ็กเกอร์จะต้องหาทางเข้าสู่เครือข่ายของเหยื่อโดยการเปิดตัวสิ่งที่เรียกว่าการโจมตีแบบแมนนอลดังนั้นจึงเป็นเรื่องยากที่จะส่งผลกระทบต่อผู้ใช้ Twitter จำนวนมาก เทคนิคนี้ ปัญหาดังกล่าวได้รับการแก้ไขโดย Twitter แต่ก็มีผู้เชี่ยวชาญด้านความปลอดภัยที่สงสัยว่าเว็บไซต์จำนวนมากอาจประสบปัญหาที่คล้ายคลึงกัน

กลุ่ม บริษัท อินเทอร์เน็ตหลายแห่งได้พยายามแก้ไขปัญหา SSL ตั้งแต่วันที่ 5 พฤศจิกายนที่ผ่านมาโดยไม่ได้ตั้งใจ สาธารณะในรายการสนทนา แต่มีการถกเถียงกันถึงความร้ายแรงของข้อบกพร่อง ไม่นานหลังจากที่บักเก็บไว้เป็นความลับนักวิจัยของไอบีเอ็มทอมครอสกล่าวว่าส่วนใหญ่โปรแกรมประยุกต์เว็บที่สำคัญจะไม่ได้รับผลกระทบจากปัญหานี้

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ]

"น่าเสียดายที่สถานการณ์เลวร้ายยิ่งกว่าที่ฉันคิดไว้"

การใช้งานเว็บเมลโดยเฉพาะอย่างยิ่งอาจมีความเสี่ยงจากการโจมตีครั้งนี้ และผู้เชี่ยวชาญด้านความปลอดภัยก็กังวลว่าแอ็พพลิเคชันอื่น ๆ เช่นฐานข้อมูลอาจมีความเสี่ยง

Twitter.com อ่อนแอต่อข้อบกพร่องเนื่องจากทำสิ่งที่เรียกว่าการเจรจาต่อรองของลูกค้าภายใต้ SSL การเจรจาต่อรองใหม่ของไคลเอ็นต์ช่วยให้เว็บไซต์สามารถขอให้ผู้ใช้ Twitter สำหรับใบรับรอง SSL หลังจากที่ผู้ใช้เชื่อมต่ออยู่กับไซต์แล้ว เป็นเครื่องมือที่มีประโยชน์สำหรับไซต์ที่ให้ผู้ใช้เข้าสู่ระบบโดยใช้สมาร์ทการ์ดหรือไซต์ที่ จำกัด การเข้าถึงกลุ่มผู้ใช้เว็บที่กำหนดไว้ล่วงหน้าบางกลุ่ม แต่จนกว่าข้อบกพร่องจะได้รับการแก้ไขการเจรจาต่อลูกค้าใหม่จะเปิดประตูโจมตี SSL ด้วย

ที่นั่น น่าจะเป็นเว็บไซต์จำนวนมากเช่น Twitter ที่อนุญาตให้มีการเจรจาต่อรองกับลูกค้าเพียงเพราะมีโปรโตคอล SSL และตัวตายตัวแทน TLS (Transport Layer Security) กล่าวโดย Marsh Ray ซึ่งเป็นหนึ่งในนักพัฒนา PhoneFactor ที่ค้นพบปัญหาดังกล่าว "หลายคนไม่ได้ตระหนักว่าพวกเขาทำมัน" เขากล่าว

ข่าวดีก็คือเว็บไซต์จำนวนมากสามารถปิดการใช้งานได้ทันทีซึ่งดูเหมือนว่า Twitter ได้ทำมาแล้ว Twitter ไม่ตอบสนองต่อข้อความที่ขอความเห็นเกี่ยวกับเรื่องนี้

ตาม Ray ผู้คนควรตระหนักว่าในขณะที่ข้อบกพร่อง SSL ไม่ใช่ภัยพิบัติ "นี่เป็นข้อผิดพลาดร้ายแรงและผู้คนต้องแก้ไขปัญหานี้"