พบช่องโหว่รีเซ็ท Apple ID แค่รู้อีเมล กับวันเกิด พร้อมวิธีการแก้ไขเบื้องต้น

[25-มีนาคม-2556] หลังจากที่ Apple ได้เปิดตัว two-step verification หรือระบบการล็อคอิน 2 ชั้นบน iCloud และ Apple ID ไปเมื่อไม่นานมานี้ ล่าสุด ได้มีผู้ค้นพบช่องโหว่ความปลอดภัยขนาดใหญ่บน Apple ID ที่ใครๆ ก็สามารถเข้ามารีเซ็ท Apple ID ของเราได้ เพียงแค่รู้วันเกิด และอีเมลครับ

แน่นอนว่า ข้อมูลวันเกิด และอีเมล ในปัจจุบัน หาได้ไม่ยากแล้ว ยกตัวอย่างเช่น ข้อมูลส่วนตัวของผู้ใช้บน Facebook หรือจะเสิร์จผ่าน Google ก็สามารถค้นเจอได้เช่นกัน

อย่างไรก็ดี ช่องโหว่ดังกล่าว จะใช้ไม่ได้ผลก็ต่อเมื่อ ผู้ใช้ไม่ได้เปิดใช้งาน two-step verification ครับ ฉะนั้น ท่านใดที่เปิดใช้งานระบบการล็อคอิน 2 ชั้นไปแล้ว ก็หายห่วงในจุดนี้ไปได้เลย โดยช่องโหว่ดังกล่าว เกิดขึ้นมาจากการดัดแปลง URL และการตอบคำถามข้อมูลวันเกิด บนหน้าเว็บไซต์ iForgot ของ Apple นั่นเองครับ

แต่ล่าสุด Apple ได้ถอดหน้าเว็บเพจ iForgot ออกเป็นที่เรียบร้อยแล้ว เพื่อแก้ปัญหาดังกล่าว ซึ่งวิธีการแก้ไขปัญหา การแฮกรหัส Apple ID ที่ง่ายที่สุดก็คือ ไปเปิดใช้งาน two-step verification หรือระบบการล็อคอิน 2 ชั้น แทน แต่ทว่า บริการดังกล่าว ยังมีปัญหาในการดำเนินงานที่ล่าช้าอยู่ เพราะต้องใช้เวลาดำเนินการถึง 3 วันนั่นเองครับ ถ้าหากท่านใดที่ยังใช้บริการดังกล่าวไม่ได้ แนะนำให้ไปเปลี่ยนข้อมูลวันเกิดของตัวเองเสียก่อน แล้วค่อยเปลี่ยนกลับทีหลัง เมื่อบริการดังกล่าว เปิดใช้งานได้เป็นปกติครับ

** เว็บไซต์ iForgot เป็นบริการรีเซ็ทรหัสผ่าน ในกรณีที่ผู้ใช้ลืมรหัสผ่านของ Apple ID
** ระบบ two-step verification เป็นระบบการล็อคอินคล้ายกับบริการของธนาคารออนไลน์ในปัจจุบัน นั่นก็คือ ล็อกอินด้วยรหัสผ่านปกติ 1 ชั้น จากนั้น Apple จะส่งรหัส 4 ตัวมาให้ เพื่อเป็นการยืนยันตัวตนของเราอีกทีหนึ่ง

---------------------------------------
รายละเอียดเพิ่มเติม : slashgear.com , gizmodo.com

Update : 25/03/2013

Apple ID