Europol หรือตำรวจของสหภาพยุโรปประกาศทลายบริการ phishing-as-a-service สร้างเว็บหลอกเอารหัสผ่านอย่างง่ายที่เปิดให้บริการมาหลายปี มีลูกค้ากว่าหมื่นราย รวมเว็บหลอกลวงมากกว่า 40,000 โดเมน

ลูกค้าแต่ละรายจ่ายค่าบริการเริ่มต้นเดือนละ 179 ดอลลาร์สหรัฐฯ หรือประมาณ 6,000 บาท จะสามารถสร้างเว็บหลอกลวงของธนาคารหรือไปรษณีย์ต่างๆ ทั่วโลกจากตัวเลือก 170 เว็บไซต์ได้ทันที นอกจากนี้ยังมีโปรแกรม LabRat สำหรับมอนิเตอร์เหยื่อว่าถูกหลอกหรือยัง เพื่อดึง OTP ล็อกอินขั้นตอนที่สองไปใช้งานได้ทันที

ผู้ใช้บัญชี Sec Reporter บนแพลตฟอร์ม Bugzilla ของ Mozilla รายงานถึงช่องโหว่ของบริการขายใบรับรองเข้ารหัส SSL.com ที่มีช่องโหว่ยืนยันตัวตนเจ้าของโดเมนผิดพลาด จนทำให้คนร้ายสามารถออกใบรับรองโดเมนอื่นๆ ที่ไม่ใช่เจ้าของได้

บั๊กนี้อาศัยกระบวนการยืนยันเจ้าของโดเมนแบบ email to DNS TXT นั่นคือการประกาศให้ติดต่ออีเมลใดๆ ที่ประกาศไว้ใน TXT record บน DNS อย่างไรก็ดี แทนที่ SSL.com จะออกใบรับรองให้กับโดเมนที่ประกาศ TXT record กลับออกใบรับรองของโดเมนในอีเมลแทน

ความผิดพลาดนี้ทำให้คนร้ายสามารถใช้อีเมลฟรีใดๆ แล้วออกใบรับรองของโดเมนใหญ่ๆ เช่น gmail.com, yahoo.com, หรือ icloud.com ได้ และใช้ดักฟังการสื่อสารของโดเมนเหล่านี้ในอนาคต

CISA หน่วยงานความมั่นคงไซเบอร์สหรัฐฯ ประกาศต่ออายุสัญญาดูแลฐานข้อมูล CVE กับ MITRE Corporation เรียบร้อยแล้ว หลังจากสัญญากำลังจะหมดอายุวันนี้

สัญญาดูแลฐานข้อมูลจะหมดอายุวันที่ 16 เมษายน แต่ทาง CISA ได้ขยายสัญญาในคืนวันที่ 15 เมษายน พร้อมกับขอบคุณผู้มีส่วนเกี่ยวข้องที่อดทน

ก่อนหน้านี้ CVE Foundation ออกมาประกาศว่าหากรัฐบาลสหรัฐฯ ไม่จ่ายค่าดูแลฐานข้อมูล CVE ก็จะย้ายโครงการมายังมูลนิธิเพื่อหาทุนและสร้างโครงสร้างมาดูแลต่อไป แต่ในเมื่อวันนี้รัฐบาลสหรัฐฯ จ่ายค่าดูแลโครงการต่อแล้วก็คงอยู่ในรูปแบบเดิมต่อไปอีกระยะหนึ่ง

กูเกิลอัปเดต Google Play services เวอร์ชัน 25.14 ให้กับผู้ใช้ Android ซึ่งรายการเปลี่ยนแปลงเกี่ยวกับความปลอดภัยและความเป็นส่วนตัวในอัปเดตนี้ระบุว่า

[โทรศัพท์] ฟีเจอร์นี้จะช่วยให้อุปกรณ์รีสตาร์ทโดยอัตโนมัติหากถูกล็อกเป็นเวลา 3 วันติดต่อกัน

MITRE Corporation ผู้ดูแลเว็บไซต์ CVE.org บริการฐานข้อมูลช่องโหว่ซอฟต์แวร์ ส่งจดหมายเวียนถึงกรรมการ CVE ว่ารัฐบาลทรัมป์ไม่ต่อสัญญาว่าจ้างให้ดูแลฐานข้อมูล ส่งผลให้สัญญาจบลงในวันนี้ซึ่งอาจจะกระทบต่อการให้บริการต่อไป

CVE เป็นการให้หมายเลขประจำตัวช่องโหว่ เพื่อให้ติดตามอ้างอิงช่องโหว่ต่างๆ ได้ง่ายขึ้น เช่น ช่องโหว่ Shellshock คือ CVE-2014-6271, Heartbleed คือช่องโหว่ CVE-2014-0160 เดิมฐานข้อมูลนี้เป็นบริการของ MITRE ที่บริษัทติดตามช่องโหว่ต่างๆ แต่ภายหลังก็เป็นบริการสาธารณะที่ CISA หน่วยงานความปลอดภัยไซเบอร์สหรัฐฯ จ่ายเงินสปอนเซอร์ให้ทาง MITRE ดูแลให้

CA Browser Forum ผ่านมติ SC-081 ที่เสนอโดยแอปเปิล, Sectigo, กูเกิล, และมอซิลล่า ระบุให้จำกัดอายุใบรับรองเข้ารหัสเหลือไม่เกิน 47 วัน ภายในเดือนมีนาคม 2029

ข้อเสนอนี้เริ่มต้นโดย Clint Wilson วิศวกรผู้ดูแลโครงการ root certification authority ของแอปเปิล โดยข้อเสนอแรกระบุให้จำกัดเวลาเหลือ 45 วันแต่ก็มีการปรับแก้จนเป็น 47 วัน และขยายช่วงเวลาจากเดิมกำหนดเส้นตายไว้ปี 2027 เป็นปี 2029

ผลการลงคะแนนฝั่งเบราว์เซอร์เห็นด้วยทั้งหมด ขณะที่ฝั่ง CA เห็นด้วย 25 เสียง งดออกเสียง 5 เสียง ไม่มีคนโหวตค้าน

มตินี้รวมถึงการลดอายุการใช้ข้อมูลยืนยันเจ้าของชื่อ ให้เหลือเพียง 10 วัน ตามข้อเสนอเดิม ไม่มีการแก้ไขแต่อย่างใด

กูเกิลเปิดตัวชุดบริการความปลอดภัยครบวงจรในชื่อ Google Unified Security ที่งาน Google Cloud Next '25

Google Unified Security มีองค์กรประกอบ 5 ส่วนหลักคือ

สำนักข่าว Bloomberg อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าออราเคิลกำลังแจ้งลูกค้าถึงเหตุการณ์เซิร์ฟเวอร์ของบริษัทถูกแฮก และแฮกเกอร์ที่ใช้ชื่อบัญชี rose87168 ประกาศขายข้อมูลจากฐานข้อมูล LDAP รวม 6 ล้านรายการ โดยแหล่งข่าวระบุว่าออราเคิลแจ้งลูกค้าว่ากำลังให้ FBI และ CrowdStrike เข้ามาสอบสวนเหตุการณ์ครั้งนี้

ทาง BleepingComputer ได้รับตัวอย่างไฟล์จากแฮกเกอร์ พบว่าไฟล์ประกอบไปด้วยชื่อบัญชี, อีเมล, ชื่อจริง, และข้อมูลระบุตัวตนได้อื่นๆ รวมถึงรหัสผ่านที่แฮชไว้

แฮกเกอร์ทิ้งหลักฐานไว้บนเซิร์ฟเวอร์เมื่อวันที่ 1 มีนาคมที่ผ่านมา เป็นเครื่องยืนยันว่าเซิร์ฟเวอร์ถูกแฮกจริง

ไปรษณีย์ไทยออกมายอมรับว่าข้อมูลรั่วไหล หลังจากแฮกเกอร์ประกาศขายข้อมูลบน BreachForum เมื่อวันเสาร์ 29 มีนาคมที่ผ่านมา

ข้อมูลที่คนร้ายประกาศขาย มีทั้งหมด 19 ล้านรายการ น่าจะเป็นข้อมูลระบบ CRM โดยระบุ ชื่อ, นามสกุล, อีเมล, วันเกิด, ข้อมูลติดต่อ, สาขาที่ใช้บริการบ่อย, คะแนนสะสม, ข้อมูลการใช้บริการ

ทางไปรษณีย์ไทยระบุว่าได้ปิดช่องทางเข้าถึงข้อมูลนี้ จากนั้นแจ้งสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการข้อมูลส่วนบุคคล (สคส.) ตลอดจนดำเนินการทางด้านกฎหมายแล้ว

ที่มา - ไปรษณีย์ไทย

ไทยคือประเทศแรก ๆ ที่กูเกิลนำร่องใช้ฟีเจอร์ Google Play Protect ในปี 2024 เพื่อบล็อกความพยายามในการติดตั้งแอปที่อาจมีความเสี่ยงจากแหล่งที่มาที่ไม่รู้จักบนอินเทอร์เน็ต (sideloading) ซึ่งในประเทศไทยหน่วยงานที่ร่วมดำเนินงานกับกูเกิลก็คือกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี)

กูเกิลบอกว่าจนถึงตอนนี้ Google Play Protect ช่วยบล็อกการติดตั้งแอปที่อาจมีความเสี่ยงไปแล้วกว่า 6.6 ล้านครั้ง บนอุปกรณ์ Android ในประเทศไทย 1.4 ล้านเครื่อง

อย่างไรก็ตาม มิจฉาชีพมักจะใช้วิศวกรรมสังคมในการหลอกลวงผู้ใช้ให้ปิด Google Play Protect และดาวน์โหลดแอปที่เป็นอันตรายจากแหล่งที่มาที่ไม่รู้จักบนอินเทอร์เน็ต

ไมโครซอฟท์มี Microsoft Security Copilot เป็น AI ช่วยวิเคราะห์หาช่องโหว่ความปลอดภัยมาตั้งแต่ปี 2023 ล่าสุดไมโครซอฟท์ออกมาโชว์ผลงานแล้วว่า Security Copilot ช่วยให้ค้นหาช่องโหว่ได้จริง

ช่องโหว่ที่ค้นพบในรอบนี้เจอกับซอฟต์แวร์ bootloader สายโอเพนซอร์สหลายตัว เช่น GRUB2 ที่นิยมใช้ในลินุกซ์, U-boot, Barebox (สองตัวหลังนิยมใช้ในระบบปฏิบัติการฝังตัว) แนวทางที่ไมโครซอฟท์ใช้คือให้ทีมวิจัยช่องโหว่ Microsoft Threat Intelligence สั่งพร็อมต์ให้ Security Copilot ไล่หาช่องโหว่ประเภท integer overflow ที่เป็นไปได้จากโค้ดของซอฟต์แวร์ bootloader เหล่านี้ แทนการนั่งไล่อ่านโค้ดเองด้วยมนุษย์

กูเกิลประกาศเพิ่มวิธีการเข้ารหัส (encryption) แบบใหม่ให้กับอีเมล Gmail แบบบัญชีองค์กร

วิธีเข้ารหัสอีเมลที่ใช้กันในปัจจุบัน คือ Secure/Multipurpose Internet Mail Extensions (S/MIME) ที่มักต้องใช้ปลั๊กอินหรือส่วนเสริมในการเข้ารหัส-ถอดรหัสทั้งฝั่งผู้ส่งและผู้รับ แอดมินไอทีองค์กรมีความยุ่งยากในการติดตั้ง ออกใบรับรองดิจิทัลให้ผู้ใช้เป็นรายคน รวมถึงการใช้งานของฝั่งผู้ใช้เองที่ยุ่งยาก ส่งผลให้การเข้ารหัสอีเมลไม่ได้แพร่หลายอย่างที่ควรจะเป็น

ซอฟต์แวร์ตระกูล Data Loss Prevention (DLP) ป้องกันความลับองค์กรรั่วไหล มักใช้เทคนิค DLL injection ฝังโค้ด (ไฟล์ DLL) ของซอฟต์แวร์ DLP ลงไปในซอฟต์แวร์ตัวอื่น เช่น เว็บเบราว์เซอร์ เพื่อมอนิเตอร์พฤติกรรมการเข้าเว็บของผู้ใช้งาน ว่าได้อัพโหลดข้อมูลขององค์กรลงไปหรือไม่ ไม่ว่าจะตั้งใจหรือไม่ก็ตาม

จากกรณี นายชยพล สท้อนดี สมาชิกสภาผู้แทนราษฎรกรุงเทพมหานคร พรรคประชาชน เปิดเผยปฏิบัติการ IO ของกองทัพในการอภิปรายไม่ไว้วางใจวันนี้ (25 มีนาคม 2568)

ทางพรรคประชาชน ได้เปิดเอกสารทั้งหมดที่ใช้ในการอภิปรายออกสู่สาธารณะด้วย เอกสารชุดนี้ทำให้เราเห็นโครงสร้างองค์กร Cyber Team ของกองทัพ ที่มีหน่วยต่างๆ แบ่งหน้าที่รับผิดชอบกัน, คำสั่งที่เซ็นแต่งตั้งกำลังพล, ยุทธศาสตร์ทั้งเชิงรุก "ใส่ร้ายเป้าหมาย" และเชิงรับ "ตอบโต้ประเด็น", มีรายชื่อเพจ IO ของกองทัพที่ทำงานเผยแพร่ข่าวสารตามวาระที่กำหนด

นอกจากปฏิบัติการด้านข้อมูลข่าวสาร (IO) แล้ว การโจมตีของกองทัพยังมีประเด็นด้านเทคโนโลยี มีข้อมูลที่น่าสนใจคือ

วันนี้ระหว่างการอภิปรายไม่ไว้วางใจนายกรัฐมนตรี นายชยพล สท้อนดี สมาชิกสภาผู้แทนราษฎรกรุงเทพมหานคร พรรคประชาชน เปิดเผยถึงรายงานคณะทำงานความมั่นคงพิเศษในการโจมตีเป้าหมายรูปแบบต่างๆ แบ่งเป็นสี่แนวทาง ได้แก่ การสแปมข้อความไปยังช่องทางต่างๆ, รายงานบัญชีเพื่อหวังให้บัญชีถูกระงับ, ส่งลิงก์ฟิชชิ่งล่อล่วงผ่านข้อความ, และเจาะรหัสผ่านด้วยการสุ่มรหัสผ่าน

รายงานที่เผยมาระบุว่า Cyber Team นี้ค้นหาข่าวกรองไซเบอร์โดยอาศัยการตรวจสอบข้อมูลที่เคยหลุดมาก่อนของเป้าหมาย เช่น พบข้อมูลรหัสผ่านของ คุณสฤณี อาชวานันทกุล ในแพลตฟอร์มต่างๆ แม้จะเป็นรหัสผ่านที่ใช้ไม่ได้แล้วแต่ก็เป็นแนวทางในการยิงรหัสผ่าน (brute force) เป้าหมายต่อไป

ทีมวิจัยความปลอดภัยของ Wiz รายงานถึงชุดช่องโหว่ CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, และ CVE-2025-1974 เรียกรวมๆ ว่า IngressNightmare เป็นช่องโหว่ของ Ingress NGINX Controller ที่ได้รับความนิยมสูง

Ingress NGINX เป็นโครงการโอเพนซอร์สภายใต้ Kubernetes ทำหน้าที่สร้าง reverse proxy ให้กับบริการภายในของ Kubernetes ปัญหาคือ Controller เปิด Admission Webhook ให้เข้าถึงได้โดยไม่ต้องล็อกอิน และเมื่อผู้ใช้ยิงคำสั่ง AdmissionReview เข้าไปแล้ว NGINX Controller จะตรวจคอนฟิกด้วยคำสั่ง nginx -t

ไมโครซอฟท์เปิดตัว Microsoft Security Copilot ในปี 2023, ออกตัวจริงในปี 2024 มาถึงวันนี้ปี 2025 ก็ประกาศฟีเจอร์ใหม่ Agentic AI จำนวน 11 รูปแบบ เพื่อช่วยงานตรวจสอบความปลอดภัยด้านต่างๆ

ความน่าสนใจคือ Security Copilot agent ที่เปิดตัว มี agent ของไมโครซอฟท์เอง 6 ตัว และ agent ของพาร์ทเนอร์ภายนอกอีก 5 ตัว ที่มาสร้างระบบ agent บนแพลตฟอร์ม Security Copilot

ทีมวิจัยความปลอดภัยไซเบอร์ของกูเกิล ออกมาเรียกร้องให้วงการไอทีสร้างมาตรฐานความปลอดภัยของหน่วยความจำ (memory safety standards)

กูเกิลบอกว่าตอนนี้เราเห็นการสร้างภาษาโปรแกรมที่เป็น memory-safety มากขึ้นเรื่อยๆ ทั้งภาษาใหม่แบบ Kotlin, Rust หรือซับเซ็ตของภาษาเก่า เช่น Safe Buffers for C++ ซึ่งพิสูจน์แล้วว่าช่วยลดช่องโหว่ด้านหน่วยความจำลงได้มาก

ความคืบหน้าของข่าว VSCode ถอด Material Theme หลังพบนักพัฒนาอาจใส่โค้ดมุ่งร้าย จนต้องถอดธีมออกจาก Visual Studio Marketplace ชั่วคราว

ฝั่งของ Mattia Astorino หรือ @equinusocio ผู้สร้างธีมนี้ยืนยันว่า เขาไม่ได้ฝังโค้ดประสงค์ร้ายใดๆ และธีมนี้ไม่ได้อัพเดตมานานมากแล้ว โค้ดส่วนที่ไมโครซอฟท์สงสัยมาจากสคริปต์สร้างไฟล์ JSON ในกระบวนการทำให้โค้ดอ่านยาก (obfuscation) โดยไลบรารีเก่าจาก sanity.io ตั้งแต่ปี 2016

ไลบรารี ruby-saml ไลบรารีที่เป็นส่วนประกอบสำคัญของการทำ single sign-on บริการจำนวนมาก มีช่องโหว่จากความผิดพลาดในการ parse ค่า XML เปิดทางให้แฮกเกอร์สามารถปลอมตัวเป็นผู้ใช้อื่นได้

ช่องโหว่นี้ถูกพบจากโครงการรายงานช่องโหว่ของ GitHub ที่กำลังพิจารณาย้ายมาใช้ไลบรารี ruby-saml หลังจากเคยใช้งานมาตั้งแต่ปี 2014 แต่ถอดออกไปใช้ไลบรารีของตนเอง เมื่อพิจารณานำกลับมาใช้อีกครั้งจึงเปิด test environment ให้นักวิจัยเข้ามาทดสอบ

Mozilla แจ้งเตือนให้ผู้ใช้ Firefox เวอร์ชันเก่าคือ 128 ลงไป (หรือ 115 ESR ถ้าเป็นรุ่นซัพพอร์ตระยะยาวสำหรับองค์กร) อัพเดตเบราว์เซอร์เป็นเวอร์ชันใหม่ เนื่องจากใบรับรอง root certificate หมดอายุในวันนี้ (14 มีนาคม 2025)

Firefox ใช้ root certificate ใบนี้ในการตรวจสอบส่วนขยาย (add-on) ว่าเชื่อถือได้หรือไม่ เป็นส่วนขยายที่ผ่านการรับรองจาก Mozilla จริงไหม รวมถึงใช้ตรวจสอบเนื้อหาที่มี DRM (เช่น ภาพยนตร์ในบริการสตรีมมิ่ง) หากใบรับรองหมดอายุจะไม่สามารถตรวจสอบข้อมูลเหล่านี้ได้

ใบรับรองนี้จะมีผลกับทั้ง Firefox เวอร์ชันเดสก์ท็อปและ Android ส่วนเวอร์ชัน iOS ไม่มีผลเพราะใช้ใบรับรองต่างกัน

Jérôme Meyer นักวิจัยความปลอดภัยจาก Nokia Deepfield ในเครือ Nokia เผยรายละเอียดของ Twitter/X โดนยิง DDoS จนล่มไปเมื่อวันจันทร์ที่ผ่านมา

Meyer บอกว่าเซิร์ฟเวอร์ของ Twitter/X ไม่ได้มีระบบป้องกัน DDoS ที่ดีพอ ตัวเซิร์ฟเวอร์เปิดออกสู่อินเทอร์เน็ตโดยตรง ไม่มีอะไรมาขวางกั้นเพื่อชะลอการโจมตี

ส่วน Ciaran Martin อดีตหัวหน้าศูนย์ความมั่นคงไซเบอร์ของสหราชอาณาจักร บอกว่าเซิร์ฟเวอร์ของ Twitter/X ไม่ได้ใช้ระบบป้องกันของ Cloudflare ครบทั้งหมด ถ้าให้เทียบคือมีประตู 4 บาน แล้วมีล็อคชั้นเยี่ยม 3 บาน แต่อีกประตูไม่ได้ล็อคไว้

Chrome Web Store เปลี่ยนนโยบายการแทรก affiliate ใหม่ หลังจากเกิดเหตุการณ์ Honey บริการค้นหาคูปองของ PayPal นำโค้ด affiliate ของตัวเองไปทับลิงก์ที่ผู้ใช้กดผ่านช่องทางของเหล่าอินฟลูเอนเซอร์ชื่อดังจำนวนมาก

เนื่องจากช่องทางใช้งานหลักของ Honey คือส่วนขยาย (extension) ของ Chrome ทำให้มันสามารถติดตามการเบราว์เว็บของผู้ใช้ได้ และเมื่อผู้ใช้กำลัง Checkout ตัว Honey ก็จะพยายามค้นหาคูปองพร้อมกับเปลี่ยน cookie สำหรับแสดงตัวผู้แนะนำสินค้า affiliate เป็นของตัวเอง

OPPO ประเทศไทย ประกาศอัปเกรดระบบปฏิบัติการ ColorOS 15 เพื่อเพิ่มความปลอดภัย และความเป็นส่วนตัวสำหรับผู้ใช้งาน ผ่าน Payment Protection ที่ช่วยแจ้งเตือนเมื่อพบการโจรกรรมทางการเงิน และการชำระเงินที่ผิดปกติ

นอกจากนี้ ยังมี StrongBox ทำหน้าที่เหมือนตู้นิรภัยดิจิทัล เก็บรหัสผ่าน และข้อมูลสำคัญไว้ในฮาร์ดแวร์ ป้องกันการโจรกรรมข้อมูล หรือการติดตั้งแอปพลิเคชันโดยไม่ได้รับอนุญาต รวมทั้งส่งสัญญาณฉุกเฉินเมื่อเกิดเหตุอันตราย ผ่านการกดปุ่มล็อคอย่างน้อย 5 ครั้ง สามารถติดต่อเบอร์ฉุกเฉิน บันทึกวิดีโอขณะเกิดเหตุ และแชร์โลเคชันกับผู้ติดต่อแบบเรียลไทม์

Broadcom เตือนลูกค้าเกี่ยวกับช่องโหว่ของ VMware ระดับรุนแรง (critical) ทั้งหมด 3 รายการ ซึ่งมีรายงานการโจมตีแล้วจาก Microsoft Threat Intelligence Center โดยผู้โจมตีสามารถเข้าถึงสิทธิระดับผู้ดูแลหรือ root ทำให้เลี่ยงการป้องกันบนแซนด์บ็อกซ์แล้วเข้าถึง hypervisor ได้ จึงแนะนำให้ลูกค้าแพตช์ป้องกันโดยเร็วที่สุด

ผลิตภัณฑ์ของ VMware ที่ได้รับผลกระทบได้แก่ VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation และ Telco Cloud Platform

ช่องโหว่ 3 รายการได้แก่ CVE-2025-22224 เป็นช่องโหว่ VCMI Heap Overflow, CVE-2025-22225 ทำให้ VMX สามารถควบคุมระดับเคอร์เนลได้ และ CVE-2025-22226 เป็นการเข้าถึง HGFS