เมื่อช่วงปี 2010 ในสมัยที่เฟซบุ๊กยังไม่เข้ารหัสทั้งหมดเช่นทุกวันนี้แอพพลิเคชั่นหนึ่งที่ดังขึ้นมาคือ Firesheep ที่สามารถดักฟังข้อความของผู้ใช้บน Wi-Fi ที่ไม่เข้ารหัสได้ จนกระทั่งเฟซบุ๊กยอมเข้ารหัสบริการทั้งหมดในปี 2011 ตอนนี้บริษัทลูกของเฟซบุ๊ก คือ Instagram ก็โดนนักวิจัยสร้างแอพพลิเคชั่นแบบเดียวกันแล้ว โดยเตรียมสร้างเป็นแอพพลิเคชั่นที่ชื่อว่า Instasheep

Instagram เข้ารหัสเป็น HTTPS "เฉพาะ" เมื่อกำลังดูภาพที่ส่งตรงถึงตัวเรา แต่กลับไม่เข้ารหัสเมื่อเราดูไทม์ไลน์ตามปกติ แต่การเข้าถึงภาพที่ส่งตรงกลับใช้ cookie ชุดเดียวกับการดูไทม์ไลน์ที่ไม่เข้ารหัส

แนวทางการเจาะระบบเช่นนี้ไม่ใช่เรื่องแปลกใหม่นัก โดยเหยื่อจะต้องใช้ Wi-Fi ที่ไม่เข้ารหัส หรือเข้ารหัสแบบ WEP เพื่อให้ถอดรหัสได้ จากนั้นก็ดักฟังทุกข้อความที่ส่งไปยังเครื่อง i.instagram.com เพื่อตรวจหา cookie สำหรับการล็อกอิน จากนั้นใช้ cookie ชุดเดียวกันเข้า URL https://i.instagram.com/api/v1/direct_share/inbox/ เพื่อไปดึงภาพที่ส่งตรงถึงตัวเรา

กระบวนการนี้ไม่ได้ใช้ความรู้พิเศษอะไรนัก วิศวกรคอมพิวเตอร์ที่รู้จักเครื่องมือตรวจสอบเครือข่ายบ้างน่าจะทำได้เป็นส่วนใหญ่ ตัว Stevie Graham ผู้รายงานปัญหานี้ก็ระบุว่ากำลังสร้างเครื่องมือเฉพาะ หากสำเร็จเมื่อไหร่คนทั่วไปที่ไม่ต้องรู้อะไรนักก็อาจจะปลอมตัวเป็นคนอื่นได้โดยง่าย

ช่องโหว่แบบเดียวกันนี้เกิดขึ้นได้เสมอกับทุกเว็บที่ไม่ได้เข้ารหัสทั้งหมด ในไทยเองเว็บบอร์ดที่ไม่ใช่เว็บอีคอมเมิร์ช ก็มักไม่เข้ารหัสกันเป็นส่วนใหญ่

ที่มา - ArsTechnica, blognone