●概述：
Samsung手機用戶，可於雲端設定個人化服務，自然不免身分驗證程序，然經烏克蘭軟體抓漏好手Artem Moskowsky測試，發覺三星官網入口，囿於辨識用戶請求時，安全性過低，存在不同程度之跨站台請求偽造漏洞，且實際探勘這3項CSRF均可奏效，能窺伺、竄改用戶個資；停用2-factor authentication身分驗證；甚至強行置換安全提問與答案，重設密碼後假冒受害者身分，三星獲報後已修正web安全性設計，並餽贈獎金$13300。
●編註：
(1)三星帳號管理系統Cross-site request forgery缺陷
由於在Samsung.com所建置web app，對於來自用戶端的請求，只依賴表頭“referer”參數提供資料加以辨識，以資判斷請求合法性，如此粗率的安全機制，產生3個不同程度CSRF遺患。
(1-1)中級風險：在security.samsungmobile.com網站，駭客能窺伺用戶隱私，甚至竄改姓名等資料。
(1-2)高級風險：停用2-factor authentication (2FA)，亦稱雙元驗證，同樣是security.samsungmobile.com，降低身分識別強度後，更容易入侵。
(1-3)嚴重風險：最危險的出現在account.samsung.com，人們忘記密碼時，系統可詢問當事人方知的隱私訊息，再重設密碼，駭客探勘CSRF後，竟能換掉三星帳號之安全提問與答案，接管其帳號。
(2)資料勘誤
引用securitynewspaper官網貼文(https://www.securitynewspaper.com/2018/12/15/vulnerability-in-samsung-exposed-user-accounts/)，發現文內指出弱點發現者為”Artem Mokowsky”，然考據其他資安媒體與研究者個人網站(http://moskowsky.com/ 、 https://twitter.com/mskwsky)，均顯示”Artem Moskowsky”，雖姓名誤植影響甚微，然搜尋相關資訊時，恐一時不察，被引導至惡意網站，請讀者留意。
(3)CSRF概念
跨站台請求偽造(Cross-site request forgery：CSRF）攻擊，是挾制用戶在已登入的Web程式上執行非自願操作，XSS利用人對網站的信任，而CSRF利用網站對瀏覽器的信任，CSRF攻擊者以惡意鏈結訛詐用戶，操作瀏覽器去存取一個曾經成功認證身分的網站，並暗地執行某些工作(如郵件、訊息、轉帳、購物)，由於該用戶browser已通過認證，因登入資訊尚未過期，故網站完全相信是真正用戶在執行，基礎驗證功能只能證實請求來自某人瀏覽器，卻不能保證是用戶自願發出。
由於惡意網址不拘形式，可能藏身於網頁任一角落，駭客也不需真正控制惡意網址所在網站，只需將其寄生在正當的論壇、部落格即可，server若疏於防禦，即使用戶閱覽熟稔網頁亦也有風險，攻擊者無法直接獲取用戶帳密、個資，只是假裝用戶名義，經瀏覽器執行不當操作。
由於CSRF本質在於欺騙用戶連結特定URL，故牽涉敏感資料時，要求瀏覽器提供非cookie，且無法事先偽造的資料，token，在表單中的一個資料項目token係偽亂數，隨form同步提交給server以供校驗。