หลังจากมีข่าวกลุ่มแฮกเกอร์ร่วมทุนกัน ให้รางวัลผู้แฮก Touch ID Sensor ได้เป็นคนแรกเพียง 4 วัน Chaos Computer Club ก็ออกมาอ้างว่าทีมงานสามารถผ่านระบบ Touch ID Sensor ของ iPhone 5s ด้วยลายนิ้วมือเทียมที่ได้มาจากภาพถ่ายบนผิวแก้ว แถมยังบอกวิธีการทำเจ้าลายนิ้วมือเทียมไว้เป็นขั้นเป็นตอน พร้อมกับสรุปว่าไม่ควรใช้ลายนิ้วมือซึ่งไม่สามารถเปลี่ยนแปลงได้เป็นรหัสรักษาความปลอดภัย

อย่างที่ทราบกันว่า iPhone 5s นั้น มาพร้อมระบบอ่านลายนิ้วมือเพื่อปลดล็อคเครื่อง ถึงแม้จะยังไม่วางจำหน่าย แต่ก็มีกลุ่มแฮกเกอร์รวมตัวกันเพื่อเจาะระบบอ่านลายนิ้วมือนี้แล้ว

โดยโครงการนี้มีเว็บไซต์หลักคือ http://istouchidhackedyet.com/ เป็นการร่วมทุนระหว่างหลายๆ คน (และยังรับคนเพิ่มเรื่อยๆ) เพื่อเป็นรางวัลให้กับผู้ที่สามารถเจาะระบบ Touch ID Sensor ได้เป็นคนแรก โดยเงื่อนไขคือให้อัพโหลดวิดีโอการเก็บลายนิ้วมือจากที่ต่างๆ (หน้าจอ iPhone, แก้วน้ำ ฯลฯ) และนำลายนิ้วมือเหล่านั้นมาปลดล็อคเครื่องให้ได้ภายใน 5 ครั้ง (ก็คือก่อนเครื่องจะล็อคตัวเอง)

ณ ตอนนี้โครงการดังกล่าวระดมทุนได้มากกว่า 2,000 เหรียญสหรัฐแล้วครับ

League of Legends เกมออนไลน์แบบ MMO ชื่อดังอีกเกมหนึ่ง ประกาศว่าโดนแฮ็กเซิร์ฟเวอร์ฝั่งอเมริกาเหนือ (ไม่กระทบกับเซิร์ฟเวอร์ในภูมิภาคอื่นๆ รวมถึงไทยด้วย) ส่งผลให้ข้อมูลผู้ใช้ได้แก่ อีเมล ชื่อจริง และรหัสผ่านที่เข้ารหัสแล้ว (salted+hash) หลุดออกไป

นอกจากนี้ League of Legends ยังพบว่าข้อมูลการเงินบางส่วนที่มีหมายเลขบัตรเครดิตที่ถูกเข้ารหัส (salted+hashed) ถูกเจาะออกไปเช่นกัน ซึ่งทางผู้ให้บริการเกมจะติดต่อกับผู้ใช้ที่ได้รับผลกระทบทางอีเมล

League of Legends จะบังคับให้ผู้เล่นในอเมริกาเหนือเปลี่ยนรหัสผ่าน และเตรียมเพิ่มระบบยืนยันตัวตนทั้งทางอีเมลและ SMS ด้วย

จากข่าว เจอบั๊กวอลล์ Facebook แต่บริษัทไม่สนใจ เลยโพสต์ลงหน้าวอลล์ Zuckerberg ซะเลย ที่จบลงด้วยนาย Khalil ไม่ได้รับเงินรางวัล 500 ดอลลาร์จาก Facebook เพราะทำผิดเงื่อนไข

ด้านนาย Khalil ก็ให้สัมภาษณ์หลังจากนั้นว่าเขาผิดหวังที่ไม่ได้เงินรางวัล เพราะเขาตกงานมา 2 ปีแล้ว และเขาก็สามารถขายช่องโหว่นี้ให้กับแฮ็กเกอร์สายมืดได้ในราคาที่แพงกว่า 500 ดอลลาร์มาก แต่เขาก็เลือกจะไม่ทำเพราะเขาเชื่อมั่นในความดี (I'm a good guy)

ในงานสัมมนาด้านความปลอดภัย Black Hat ที่จัดขึ้นที่ลาส เวกัส สหรัฐอเมริกา นักวิจัยด้านความปลอดภัยนามว่า Aaron Grattafiori และ Josh Yavor แห่ง iSEC Partners ได้สาธิตวิธีการเจาะระบบของสมาร์ททีวียี่ห้อซัมซุงในรุ่นปี 2012 เพื่อบังคับให้เปิดกล้องของตัวเครื่องสมาร์ททีวีและเข้าไปล้วงข้อมูลในแอพสังคมออนไลน์ต่าง ๆ เช่น Facebook, Twitter หรือแม้แต่ Skype นอกจากนี้ยังสามารถเข้าถึงไฟล์และระบบการทำงานเบื้องต้นของสมาร์ททีวีได้อีกด้วย

Chromecast ต้นฉบับเป็นแค่ "ตัวรับ" ไฟล์มัลติมีเดียจากอินเทอร์เน็ตมาแสดงผลบนจอทีวี ไม่สามารถเล่นไฟล์มีเดียที่อยู่ในอุปกรณ์ร่วมเครือข่ายภายในด้วยกันได้ (แสดงได้เฉพาะแท็บจาก Chrome แต่แสดงไฟล์ไม่ได้)

อย่างไรก็ตาม Koushik Dutta หนึ่งในทีม CyanogenMod สามารถสร้างแอพที่ดึงไฟล์มัลติมีเดียจากแอนดรอยด์ ขึ้นไปแสดงบนจอทีวีที่ต่อกับ Chromecast ได้แล้ว

ตอนนี้แอพยังไม่ถูกปล่อยให้คนทั่วไปใช้งาน แต่ Dutta ก็สาธิตการทำงานของมันโดยใช้มือถือถ่ายคลิป แล้วแชร์ขึ้นทีวีให้ดูกันทันที

นักวิจัยความปลอดภัยนำเสนอกระบวนการเจาะการเข้ารหัสเพื่อหาข้อความในเว็บที่เข้ารหัส HTTPS ได้ภายใน 30 วินาทีที่งาน Black Hat

BREACH อาศัยการดักฟังผู้ใช้ที่เข้าเว็บที่เข้ารหัสและบีบอัดข้อมูลแบบ DEFLATE ซึ่งเบราว์เซอร์รองรับเป็นมาตรฐาน และต้องบังคับให้ผู้ใช้เข้าเว็บที่มีสคริปต์ฝังอยู่ ซึ่งหากดักฟังแล้วก็ทำได้ง่ายเพราะใช้การโจมตีแบบ man-in-the-middle แทรกโค้ดเข้าไปยังเว็บอื่นๆ ที่ไม่ได้เข้ารหัสได้

หลังจากที่ฝังสคริปต์ได้แล้ว สคริปต์จะเรียกหน้าข้อความโดยพยายามให้มีเนื้อความเป็นข้อความที่กำหนดได้ เช่นสั่งเรียกหน้า reply โดยกำหนดอีเมลลงไป หลังจากนั้นจึงดูขนาดของเนื้อหาที่ส่งกลับมาว่ามีขนาดเท่าใด

กลุ่ม GTVHacker นักพัฒนาบนแพลตฟอร์ม Google TV ประกาศว่าสามารถเข้าถึง root ของ Chromecast ได้แล้ว โดยอาศัยช่องโหว่ของระบบที่ค้นพบจากซอร์สโค้ดที่กูเกิลเผยแพร่เอาไว้

กลุ่ม GTVHacker ค้นพบว่าระบบปฏิบัติการของ Chromecast คล้ายกับ Android/Google TV มากกว่า Chrome OS อย่างไรก็ตามระบบปฏิบัติการถูกถอด Dalvik ออกไปจึงไม่น่าจะรันแอพ APK จาก Android/Google TV ได้

ตอนนี้การแกะ Chromecast ยังอยู่ในช่วงเริ่มต้น คาดว่าเราจะได้เห็นบรรดาแฮ็กเกอร์หาอะไรแปลกๆ มาเล่นกับ Chromecast ต่อไปครับ

ที่มา - GTVHacker

ผู้ใช้ Instagram จำนวนหนึ่งแจ้งปัญหาว่าพวกเขาโดนแฮ็กบัญชี โดยอาการคือ profile ถูกเพิ่ม URL แปลกๆ เข้ามา และบางบัญชีโพสต์ภาพ "น้ำปั่น" หรือ smoothie ทั้งที่เจ้าตัวไม่ได้ทำอะไร

ตอนนี้ยังไม่มีข้อมูลชัดเจนว่าปัญหาเกิดจากเซิร์ฟเวอร์ของ Instagram โดนแฮ็ก หรือผู้ใช้กลุ่มนี้โดนแฮ็กเสียเอง และทาง Instagram เองก็ยังไม่มีแถลงการณ์ใดๆ ในเรื่องนี้

เมื่อเดือนมิถุนายนก็เพิ่งมีข่าว Instagram ถูกแฮ็กมาแล้วรอบหนึ่งครับ อาการก็คล้ายๆ กันคือแฮ็กแล้วโพสต์ภาพผลไม้ลดน้ำหนัก

ที่มา - The Verge

The Syrian Electronic Army รายงานว่า พวกเขาได้แฮก Tango บริการวิดีโอแชทที่โด่งดัง แถมทวีตรูปเย้ยพร้อมบอกว่าสามารถขโมยข้อมูลไปได้ 1.5 เทระไบต์!

แฮกเกอร์กลุ่มนี้ได้บอกว่า ข้อมูลที่พวกเขาขโมยไปนั้นมีทั้งเบอร์โทรศัพท์, ข้อมูลที่อยู่ติดต่อ และอีเมลผู้ใช้ Tango กว่าล้านราย แต่ยังไม่เป็นที่แน่ชัดว่าฐานข้อมูลผู้ใช้ของ Tango นั้นได้รับผลกระทบมากเท่าไร และข้อมูลที่ถูกขโมยไปนั้นได้รับการเข้ารหัสหรือไม่

Tango ได้ทวีตว่ามีข้อมูลถูกขโมยจริง รายละเอียดทวีตดูได้ท้ายข่าวครับ

NAVER Japan (ซึ่งตอนนี้เป็น LINE Corporation แล้ว) ผู้ให้บริการสนทนาผ่านมือถือชื่อดัง ได้ตรวจพบการเข้าถึงของแฮกเกอร์จากภายนอกไปยังบริการได้แก่ NAVER Matome, N Drive, NAVER Photo Album และ pick and cafe ซึ่ง NAVER ได้ระงับบริการดังกล่าวในทันทีเพื่อไม่ให้มีผลกระทบต่อผู้ใช้งาน ผู้ใช้งานที่ได้รับผลกระทบจะไม่สามารถเข้าสู่ระบบได้จนกว่าจะเปลี่ยนรหัสผ่านที่ NAVER ได้ส่งอีเมลเตือนผู้ใช้ที่คาดว่าจะได้รับผลกระทบเพื่อเปลี่ยนรหัสผ่านแล้วและได้แนะนำให้เปลี่ยนรหัสผ่านของบริการอื่นๆ ที่ตั้งรหัสผ่านเดียวกันด้วย เท่าที่ทราบตอนนี้ยังไม่มีข้อมูลว่า LINE โดนแฮคนะครับ ส่วนท่านใดที่ใช้งานบริการดังที่กล่าวไปข้างต้น ไปเปลี่ยนรหัสผ่านด้วยนะครับ

ที่มา - อีเมลแจ้งเตือน

มีรายงานในวงการความปลอดภัยว่ากลุ่มแฮกเกอร์จีนชื่อ DNSCalc ซึ่งมีสมาชิกประมาณ 20 ราย (และเคยมีผลงานโจมตีเว็บ The New York Times) หันเป้าหมายมาโจมตีภาครัฐของอาเซียนแทน

กระบวนการของ DNSCalc จะใช้วิธีอัพโหลดไฟล์ .ZIP ชื่อที่เกี่ยวข้องกับ U.S.-ASEAN Business Council ลงใน Dropbox และแชร์ไฟล์ไปยังคนหรือหน่วยงานภาครัฐของอาเซียนแล้วหลอกว่าควรสนใจเอกสารชิ้นนี้ (เป็น phising แบบหนึ่ง) เมื่อเหยื่อดาวน์โหลดไฟล์มาขยายจะพบไฟล์ PDF และมัลแวร์ที่จะแอบฝังอยู่ในเครื่องของเรา

มัลแวร์ตัวนี้จะส่งข้อมูลไปยังบล็อกบนระบบ WordPress ของแฮกเกอร์ และส่งข้อมูลหมายเลข IP รวมทั้งเบอร์พอร์ตกลับไปยังต้นทาง

จากข่าว เว็บไซต์ของธนาคารออมสินถูกแฮก เมื่อวันที่ 4 กรกฎาคม 2556 ทางธนาคารออมสินได้ส่งจดหมายชี้แจงมายัง Blognone ว่าไม่ได้ถูกแฮกดังที่มีคนมาโพสต์กระทู้ใน Pantip.com ดังที่เป็นข่าว โดยจากการตรวจสอบของธนาคารแล้ว ไม่ได้มีเหตุเกิดขึ้นแต่อย่างใด

ผมแปะจดหมายฉบับเต็มไว้ให้ด้วย ถือเป็นการชี้แจงอย่างเป็นทางการของธนาคารออมสินครับ

เรื่อง ขอชี้แจงการ Hacker ระบบเว็บไซต์ของธนาคารออมสินผ่านระบบเว็บไซต์ Blognone

เรียน ผู้ดูแลระบบเว็บไซต์ Blognone

อัพเดต 8 กรกฎาคม 2556 ธนาคารออมสินชี้แจง เว็บไซต์ไม่ได้ถูกแฮกดังที่เป็นข่าว

วันนี้ (4 กรกฎาคม 2556) เวลา 20:50 น. (ขณะที่เขียนข่าวอยู่) เว็บไซต์หลักของธนาคารออมสิน ได้ถูกแฮกโดย TeamFBI โดยได้เปลี่ยนหน้าเว็บเป็นสีดำและมีข้อความเขียนว่า [ HaCkEd By team FBI ] พร้อมชื่อและอีเมลของคนในทีม

อัพเดต 23:06 น. ทางเว็บมาสเตอร์ธนาคารออมสินได้แก้ไขแล้วครับ

ที่มา - พันทิป

โอเปร่า ผู้ผลิตเบราว์เซอร์รายสำคัญอีกรายออกมาเปิดเผยว่าเมื่อวันที่ 19 ที่ผ่านมา เครือข่ายของบริษัทถูกแฮกเกอร์บุกรุก และถูกขโมยใบรับรองดิจิตอลเพื่อไปเซ็นในมัลแวร์

ยังไม่มีรายละเอียดของการโจมตีครั้งนี้มากนัก แต่โอเปร่าระบุว่าใบรับรองที่ถูกขโมยนั้นเป็นใบรับรองที่หมดอายุแล้ว แต่เนื่องจากการตรวจสอบใบรับรองนั้นทำโดยระบบปฎิบัติการ แม้ใบรับรองจะหมดอายุก็อาจจะติดตั้งได้

มัลแวร์ที่พบ จะเข้าหาไฟล์รหัสผ่านของ WS FTP และ CuteFTP ในเครื่อง จากนั้นจึงติดต่อเครื่องแม่และดาวน์โหลดไฟล์เพิ่มเติม

นักวิจัยด้านความปลอดภัยเผยว่าเขาค้นพบวิธีการที่จะแฮ็กอุปกรณ์ที่ใช้ระบบปฏิบัติการ iOS ได้สำเร็จภายใน 1 นาที โดยใช้เพียงที่ชาร์จไฟซึ่งได้รับการดัดแปลงพิเศษเท่านั้น

ทีมนักวิจัยจากสถาบัน Georgia Institute of Technology เผยว่าต้นแบบที่ชาร์จไฟซึ่งได้รับการดัดแปลงแบบพิเศษซึ่งพวกเขาเรียกมันว่า "Mactans" สามารถปล่อยมัลแวร์เข้าสู่อุปกรณ์ iOS ได้หลังจากเสียบสายชาร์จดังกล่าวเข้ากับอุปกรณ์เป็นเวลา 1 นาทีเท่านั้น

ช่องโหว่ของ Ruby on Rails ที่ถูกค้นพบในเดือนมกราคมปีนี้ กลายเป็นช่องทางสำคัญให้แฮ็กเกอร์เจาะเข้าไปยังเซิร์ฟเวอร์ที่ติดตั้ง Rails เอาไว้ และเปลี่ยนเซิร์ฟเวอร์เหล่านี้เป็น botnet สำหรับอาชญากรรมคอมพิวเตอร์ด้านอื่นๆ (เช่น มัลแวร์) ต่อไป

ช่องโหว่ตัวนี้ของ Rails มีความรุนแรงในระดับสูง (critical) เพราะเปิดโอกาสให้แฮ็กเกอร์ส่งโค้ดอันตรายเข้ามารันบนเซิร์ฟเวอร์ได้จากระยะไกล ทางทีมพัฒนา Rails ออกแพตช์แก้นานแล้วแต่ก็ยังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้อัพแพตช์ตาม และกลายเป็นเหยื่อของช่องโหว่นี้ในที่สุด

ผู้ใช้ Rails ควรอัพเกรดเป็นเวอร์ชัน 3.2.11, 3.1.10, 3.0.19, 2.3.15 ขึ้นไปครับ

เว็บไซต์ Drupal.org ที่เป็นชุมชนนักพัฒนา Drupal ถูกแฮกเกอร์เจาะเข้าไปอ่านฐานข้อมูลชื่อผู้ใช้, อีเมล, ประเทศ, และรหัสผ่านที่แฮชแล้วออกมาทั้งหมด ทีมงานกำลังสอบสวนว่ามีข้อมูลอื่นหลุดไปหรือไม่ แต่ขณะนี้ผู้ใช้ทุกคนจะต้องรีเซ็ตรหัสผ่านใหม่ทันทีที่ล็อกอิน

รหัสผ่านบน Drupal.org ทั้งหมดเข้ารหัสแบบแฮชและมีการเติมค่า salt เพื่อป้องกันการย้อนกลับรหัสผ่าน แต่มีรหัสผ่านในบัญชีเก่าอาจจะไม่มีค่า salt ผู้ใช้ที่ใช้รหัสซ้ำกับบริการอื่นจึงควรเปลี่ยนรหัสบนบริการอื่นด้วยเพื่อความปลอดภัย (และควรฝึกเลิกใช้รหัสซ้ำกันไปพร้อมกัน)

ทีมงานระบุว่าช่องโหว่เกิดจากเครื่องมือของผู้ให้บริการรายอื่นทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ ไม่ได้เข้ามาทางช่องโหว่ของ Drupal เองแต่อย่างใด

เว็บไซต์โซเชียลคอมเมิร์ซรายใหญ่ LivingSocial (ที่ Amazon ถือหุ้นอยู่บางส่วน) ประกาศว่าระบบของตัวเองถูกแฮ็ก และมีข้อมูลบางส่วนถูกขโมย

ประเภทของข้อมูลผู้ใช้ที่ LivingSocial ระบุว่าถูกขโมยคือ ชื่อ อีเมล ที่อยู่ วันเกิด รวมถึงรหัสผ่านที่ถูกเข้ารหัสและ hash/salt ไว้แล้ว ส่วนข้อมูลบัตรเครดิตและข้อมูลที่เกี่ยวข้องกับผู้ขายสินค้าไม่ถูกขโมยไปด้วย

LivingSocial แจ้งให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่านโดยทันที รวมถึงเปลี่ยนรหัสผ่านเดียวกันที่ใช้บนเว็บไซต์อื่นๆ ด้วย ส่วนประเด็นว่าโดนเจาะระบบได้อย่างไรกำลังอยู่ระหว่างการสอบสวน

ข่าวนี้ต่อเนื่องจากข่าวนักวิจัยชี้แค่ใช้สมาร์ทโฟน Android ก็แฮ็กระบบเครื่องบินโดยสารได้ โดยหลังจากที่ได้รับการตรวจสอบเรียบร้อยแล้ว FAA หรือทบวงการบินสหรัฐได้ออกมายืนยันแล้วว่าสมาร์ทโฟน Android ไม่สามารถนำมาใช้แฮ็กเครื่องบินโดยสารได้จริงอย่างที่นักวิจัยได้สาธิตไว้ โดย FAA ให้เหตุผลว่าการสาธิตของนักวิจัยนั้นทำกับระบบ ACARS ที่ติดตั้งอยู่บนพีซีที่ใช้สำหรับฝึกซ้อม และช่องโหว่ที่นักวิจัยใช้นั้นมีอยู่ในระบบ ACARS บนพีซีเท่านั้น ไม่สามารถนำเทคนิคดังกล่าวนี้มาใช้กับอุปกรณ์บนเครื่องบินที่ได้รับการรับรองแล้ว

ในงานสัมมนาว่าด้วยเรื่องความปลอดภัยที่ชื่อ Hack in the Box ซึ่งจัดขึ้นใน Amsterdam เมื่อไม่นานมานี้ มีการเปิดเผยความจริงที่น่าสนใจเรื่องหนึ่งว่าการแฮ็กระบบควบคุมเครื่องบินโดยสารด้วยสมาร์ทโฟน Android เพียงหนึ่งเครื่องนั้นสามารถทำได้จริงโดยนักวิจัยด้านความปลอดภัย

Hugo Teso นักวิจัยด้านความปลอดภัยใช้สมาร์ทโฟนยี่ห้อ Samsung รุ่นหนึ่งทำการแฮ็กและเข้ายึดระบบควบคุมเครื่องและระบบการแสดงผลของหน้าจอในห้องควบคุมการบิน โดยเขาสามารถเปลี่ยนเส้นทางการบิน และความเร็วในการเดินทางโดยใช้เซ็นเซอร์วัดอัตราเร่ง (accelerometer) ที่อยู่ในสมาร์ทโฟน หรือกล่าวอีกอย่างได้ว่าเขาสามารถแก้ไขข้อมูลเกี่ยวกับระบบนำร่องของเครื่องบินได้แทบทุกอย่าง

วันที่ 30 มีนาคมที่ผ่านมาเว็บไซต์หลักของนักร้องสาวชื่อดัง Jessie J ได้ถูกแฮกโดยการใส่ข้อความที่ไม่เหมาะสมเกี่ยวกับนักร้องสาว Lady Gaga ลงไปในเว็บว่า “The whole Universal Republic (Universal Music) can suck Lady Gaga’s d**k” โดยผลงานการแฮกครั้งนี้เป็นของกลุ่มที่มีชื่อว่า ‘Killuminati’ครับ

FBI เร่งตรวจสอบกรณีที่มีแฮกเกอร์ได้ทำการเปิดเผยข้อมูลสำคัญของทั้งดารานักแสดง เจ้าหน้าที่รัฐฯ ระดับสูง รวมไปถึงสตรีหมายเลขหนึ่ง ซึ่งข้อมูลดังกล่าวนั้นประกอบไปด้วยชื่อ วันเดือนปีเกิด หมายเลขประกันสังคม ที่อยู่ทั้งในอดีตและปัจจุบัน รวมไปถึงข้อมูลทางการเงินด้วย

โดยผู้ตกเป็นเหยื่อในครั้งนี้ได้แก่สตรีหมายเลขหนึ่ง Michelle Obama, Robert Mueller หัวหน้า FBI, Hillary Clinton รัฐมนตรีว่าการกระทรวงการต่างประเทศ รวมไปถึงศิลปิน ดาราและนักแสดงอย่าง Ashton Kutcher, Jay Z, Beyonce, Paris Hilton, Britney Spears เป็นต้น

ฝ่ายรักษาความปลอดภัยของบริษัท Evernote ตรวจพบความพยายามในการลักลอบที่จะเข้าถึงข้อมูลของบริการต่างๆ ของ Evernote ซึ่งจากการตรวจสอบเบื้องต้นยังไม่พบหลักฐานที่แสดงให้เห็นว่ามีการเข้าถึง หรือเปลี่ยนแปลงของข้อมูลใดๆ โดยการลักลอบเข้าถึงในครั้งนี้นั้นเป็นการพยายามเข้าถึงข้อมูลของผู้ใช้งาน Evernote ซึ่งรวมทั้งบัญชีผู้ใช้ อีเมล และรหัสผ่าน (ที่ผ่านการเข้ารหัสแล้ว)

ทั้งนี้ทาง Evernote ได้แจ้งผู้ใช้งานให้ทำการเปลี่ยนรหัสผ่านที่ใช้งานอยู่โดยด่วนผ่านทาง Evernote.com โดยรหัสผ่านใหม่นี้ไม่ควรใช้คำที่สามารถคาดเดาได้ง่าย และไม่ควรใช้รหัสผ่านเดียวกันกับบริการอื่นๆ หากมีการพบข้อมูลใดๆ ที่ส่งผลกระทบต่อผู้ใช้งาน ก็จะมีการรายงานให้ทราบโดยทันที

บริษัทด้านความปลอดภัย Duo ได้ทำการเผยแพร่ช่องโหว่ของ Two-factor-authentication หรือการพิสูจน์ตัวตนโดยใช้ 2 ปัจจัยหลักของกูเกิล หลังจากได้ทำการแจ้งไปยังฝ่ายความปลอดภัยตั้งแต่ช่วงเดือนกรกฎาคมปีที่แล้ว และได้รับการแก้ไขในวันที่ 21 ที่ผ่านมา โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้อย่างสมบูรณ์หากมีการเปิดใช้งาน Application-Specific-Passwords (ASPs) และมีการใช้การเข้าระบบอัตโนมัติไว้