SOCRadar บริษัทด้านความปลอดภัยไซเบอร์ได้เปิดเผยรายงานระบุว่า Microsoft ทำข้อมูลภายในรั่วไหล ซึ่งเป็นข้อมูลที่เก็บตั้งแต่ปี 2017 มาจนถึงเดือนสิงหาคมปีนี้ รวมปริมาณ 2.4 TB

ข้อมูลที่หลุดออกมามีทั้งเอกสารภายในเกี่ยวกับการดำเนินของบริษัท, ข้อมูลผู้ใช้, รายละเอียดการสั่งซื้อและการเสนอขายผลิตภัณฑ์, รายละเอียดโครงการต่างๆ, ข้อมูลส่วนบุคคลที่ใช้ระบุตัวตนได้ รวมทั้งเอกสารอื่นที่อาจนำไปสู่การเปิดเผยทรัพย์สินทางปัญญาของบริษัท ทั้งนี้ SOCRadar ระบุว่าข้อมูลชุดนี้มาจากการปรับแต่งที่ผิดพลาดของ Azure Blob Storage

Nicky Mouha นักวิจัยกระบวนการเข้ารหัสลับรายงานถึงช่องโหว่ buffer overflow ในฟังก์ชั่นแฮช SHA-3 ของไลบรารี XKCP ซึ่งเป็นไลบรารีดั้งเดิมของทีมงานออกแบบกระบวนการแฮช Keccak และเสนอเข้าแข่งขัน SHA-3 จนชนะเป็นมาตรฐาน

ช่องโหว่นี้อาศัยการเรียกฟังก์ชั่นแฮช SHA-3 ด้วยข้อมูลขนาด 4GB จนซอฟต์แวร์ภายในเกิด integer overflow ความน่ากังวลของช่องโหว่นี้คือโค้ดถูกเขียนตั้งแต่ปี 2011 และมีการตรวจสอบจากหลายคนในช่วงแข่งขันเลือก SHA-3 และโค้ดนี้ถูกนำไปใช้ในไลบรารีจำนวนมาก

ทาง XKCP แพตช์ช่องโหว่นี้แล้ว คาดว่าซอฟต์แวร์อื่นๆ ก็น่าจะนำแพตช์นี้ไปใช้งานในการอัพเดตรอบต่อไป

โครงการโอเพนซอร์สฮาร์ดแวร์ Open Compute Project (OCP) ร่วมกับบริษัทยักษ์ใหญ่หลายรายคือ AMD, Google, Microsoft, NVIDIA เปิดตัวโครงการ Caliptra การสร้าง "รากแห่งความเชื่อถือ" (root of trust หรือ RoT) ลงไปที่ระดับชิปทุกประเภท

แนวคิด root of trust คือการให้ฮาร์ดแวร์สามารถยืนยันกันต่อได้เป็นชั้นๆ ว่าชั้นก่อนหน้าตัวเองปลอดภัย ไม่แปลกปลอม โดยใช้กระบวนการเข้ารหัสลับ (cryptography) ช่วยยืนยัน แต่ที่ผ่านมา การทำ RoT มักแยกส่วนกันตามผู้ผลิตฮาร์ดแวร์แต่ละชิ้น เช่น SoC แยกจากเมนบอร์ด ทำให้การตรวจสอบยืนยันทำได้ยาก โดยเฉพาะงานประมวลผลยุคใหม่ที่รันงานในคลาวด์ มีความซับซ้อนของฮาร์ดแวร์สูง แต่ก็ต้องการระดับความปลอดภัยที่สูงมาก

ธนาคารไทยพาณิชย์ประกาศอัพเดตแอป SCB Easy เวอร์ชั่นใหม่ห้ามไม่ให้บันทึกหน้าจอระหว่างการทำธุรกรรม โดยจะเริ่มปล่อยอัพเดตตั้งแต่วันที่ 17 ตุลาคมนี้

ก่อนหน้านี้มีเหตุลูกค้าธนาคารไทยพาณิชย์ถูกโอนเงินออกจากบัญชีรวม 1.4 ล้านบาท โดยทางธนาคารชี้แจงว่าเหตุเกิดจากลูกค้าถูกหลอกให้ติดตั้งโปรแกรม แม้จะไม่มีรายละเอียดว่าเป็นโปรแกรมอะไร แต่ทางธนาคารก็ระบุว่าคนร้ายอาจจะอาศัยการหลอกให้เหยื่อติดตั้งโปรแกรม remote desktop หรืออาจจะวิดีโอคอลแล้วหลอกให้เหยื่อแชร์หน้าจอ การป้องกันการบันทึกหน้าจอเช่นนี้จึงเป็นการลดความเสี่ยงกรณีเหล่านี้ลง

กูเกิลประกาศรองรับการล็อกอินแบบ Passkey บนโทรศัพท์แอนดรอยด์และเบราว์เซอร์โครม หลังจากก่อนหน้านี้แอปเปิลรองรับไปก่อนแล้ว ทำให้สามารถใช้โทรศัพท์ล็อกอินบริการต่างๆ ได้โดยไม่ต้องตั้งรหัสผ่านอีกต่อไป

Passkey เป็นมาตรฐานบน WebAuthn อีกทีหนึ่ง เปิดทางให้บริการต่างๆ สามารถยืนยันตัวตนผู้ใช้ด้วยกุญแจเข้ารหัสที่เก็บอยู่ในอุปกรณ์ของผู้ใช้ ทั้งโทรศัพท์มือถือและเบราว์เซอร์ โดยกุญแจนี้สามารถซิงก์ข้ามเครื่องไปมาได้ ในกรณีที่ผู้ใช้ต้องการล็อกอินบนอุปกรณ์ที่ไม่รองรับ Passkey แต่สร้างบัญชีไว้โดยไม่ได้ตั้งรหัสผ่าน ก็สามารถใช้งานตั้งล็อกอินผ่าน QR ได้ คล้ายกับการล็อกอิน LINE บนเดสก์ทอปทุกวันนี้

ก่อนหน้านี้ไม่นานมีคนอ้างว่าได้ซอร์สโค้ด BIOS/UEFI ของซีพียู​ Alder Lake (12th Gen) หลุดออกมาเผยแพร่ตามเว็บบอร์ดต่างๆ ล่าสุดอินเทลยืนยันแล้วว่าเป็นซอร์สโค้ดที่หลุดมาจริงๆ

อินเทลบอกว่าการหลุดของซอร์สโค้ดรอบนี้จะไม่กระทบกับช่องโหว่ความปลอดภัยใดๆ และบอกว่าซอร์สโค้ดอยู่ภายใต้โครงการ Bug Bounty อยู่แล้ว ดังนั้นถ้านักวิจัยความปลอดภัยมาอ่านซอร์สโค้ดแล้วเจอช่องโหว่ใหม่ ก็มารับรางวัลได้เลย (สูงสุด 100,000 ดอลลาร์ต่อช่องโหว่)

Binance อัพเดตความคืบหน้าของเหตุการณ์การแฮ็ก Binance Smart Chain ที่เกิดขึ้นเมื่อวานนี้

บริการเหรียญ BNB ของ Binance มีบล็อกเชนอยู่สองสายเชนคือ BNB Beacon Chain (BEP2) ที่มีเฉพาะเหรียญตัวเอง และ BNB Smart Chain (BEP20 หรือ BSC) ที่เข้ากันได้กับ Ethereum และใช้กับเหรียญอื่นได้ด้วย

บล็อกเชนทั้งสองสายเพิ่งประกาศรวมกันเมื่อต้นปีนี้ โดยใช้ชื่อใหม่ว่า BNB Chain ในทางปฏิบัติแล้ว บล็อกเชนสองสายยังแยกกันทำงาน แต่มี bridge ที่คอยเชื่อมสองเชนเข้าด้วยกัน ใช้ชื่อว่า BSC Token Hub และนี่คือจุดที่โดนแฮ็ก

Meta ออกคำเตือนด้านความปลอดภัย ระบุว่าทีมวิจัยพบแอปใน Android และ iOS มากกว่า 400 แอป ที่ออกมาในปีนี้ มีเป้าหมายเพื่อขโมยข้อมูลล็อกอิน Facebook และเข้าถึงการใช้งานแบบ Full Access ซึ่งแอปเหล่านี้สามารถดาวน์โหลดได้ผ่าน Google Play Store หรือ Apple App Store จำนวนผู้ใช้งานที่ได้รับผลกระทบมีประมาณ 1 ล้านคน

ทีมวิจัยของ Meta ไม่ได้ระบุรายชื่อแอปที่พบปัญหาดังกล่าว แต่ยกตัวอย่างการทำงานของแอปกลุ่มนี้ เช่น แอปแต่งรูป ที่บอกว่าเปลี่ยนรูปเซลฟี่ให้เป็นตัวการ์ตูน, แอป VPN ที่บอกว่าทำให้เล่นเน็ตเร็วขึ้น, แอปที่บอกว่าแฟลชมือถือจะสว่างขึ้น, แอปเกมที่พูดคุณสมบัติกราฟิก 3D เกินจริง, แอปดูดวง ฯลฯ

ปัจจุบันผู้ใช้ Cloudflare ทุกคนจะได้รับใบรับรองการเข้ารหัสเว็บ (SSL Certificate) ฟรีอัตโนมัติ โดยจะออกเป็นใบรับรองแบบ wildcard เช่น *.example.com แต่ก็มีผู้ใช้บางส่วนที่มี subdomain ซ้อนกันสองระดับขึ้นไป เช่น a.b.example.com หรือ a.b.c.example.com ซึ่งใบรับรองแบบฟรีไม่รองรับ

หากต้องการออกใบรับรองดังกล่าว ผู้ใช้ต้องเสียเงินสมัคร Advanced Certificate Manager (ACM) เดือนละ 10 ดอลลาร์สหรัฐ ที่สามารถออกใบรับรองให้ subdomain ได้ 50 ชื่อ แต่ก็มีข้อจำกัดว่าแอดมินต้องระบุชื่อทีละชื่อ ซึ่งไม่สะดวกและเสี่ยงต่อความผิดพลาด

แฮกเกอร์แฮก Binance Smart Chain (BSC) Token Hub บริการข้ามเชนระหว่าง BNB Beacon Chain และ Binance Smart Chain เอง ทำให้แฮกเกอร์ได้โทเค็น BNB ไป 2 ล้าน BNB รวมมูลค่าประมาณ 566 ล้านดอลลาร์ หรือกว่า 20,000 ล้านบาท

ทาง Binance หยุดการทำงานของ BSC ทันที ตอนนี้ validator ทั้งหมดไม่มีใครให้บริการยืนยันธุรกรรมแล้วทำให้คนร้ายไม่สามารถโอนเงินไปมาได้ แต่คาดว่ามีโทเค็นบางส่วนถูกโอนข้ามเชนไปก่อนแล้ว มูลค่าประมาณ 70-80 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 3,000 ล้านบาท และทาง Binance กำลังร่วมมือกับเชนต่างๆ เพื่อหยุดการโอนในเชนอื่นๆ อีกที

ที่มา - Bleeping Computer

Ubuntu Pro เป็นบริการ subscription ของบริษัท Canonical ที่ขยายเวลาดูแลแพตช์ความปลอดภัยให้แพ็กเกจซอฟต์แวร์ต่างๆ ของระบบนานเป็น 10 ปี เทียบกับดิสโทร LTS เวอร์ชันฟรีที่ซัพพอร์ตนาน 5 ปี (รูปแบบคล้ายกับ RHEL subscription ของฝั่ง Red Hat) โดยมีราคาเริ่มต้นที่ 225 ดอลลาร์ต่อเซิร์ฟเวอร์ต่อปี

ล่าสุด Canonical ประกาศแจกฟรี Ubuntu Pro สำหรับผู้ใช้งานส่วนตัว (personal license) จำนวนไม่เกิน 5 เครื่อง เพื่อขยายฐานลูกค้าให้มาลองใช้งานกันมากขึ้น

Wireshark โปรแกรมวิเคราะห์แพ็กเก็ตเน็ตเวิร์ค ออกเวอร์ชั่น 4.0 ปรับปรุงฟีเจอร์สำคัญสองจุดและฟีเจอร์ย่อยๆ อีกจำนวนมาก ส่วนที่ปรับปรุงได้แก่

ไมโครซอฟท์รายงานถึงกลุ่มแฮกเกอร์ ZINC ที่มีฐานอยู่ในเกาหลีเหนือพยายามโจมตีองค์กรจำนวนมาก ทั้งในสหรัฐฯ, สหราชอาณาจักร, อินเดีย, และรัสเซีย โดยอาศัยการหลอกเหยื่อประกอบกับการแปลงโปรแกรมโอเพนซอร์สที่ใช้งานได้จริง แต่มีฟีเจอร์มุ่งร้ายฝังอยู่ภายใน

ช่วงเริ่มต้นกลุ่ม ZINC จะแสดงตัวเป็นฝ่ายบุคคลที่ตามหาผู้สมัครให้กับบริษัทใหญ่ๆ แล้วติดต่อเหยื่อผ่านทาง LinkedIn จากนั้นจะพยายามหลอกล่อให้เหยื่อไปคุยกันผ่านทาง WhatsApp และส่งโปรแกรมให้เหยื่อ โดยโปรแกรมทำงานได้ตามปกติแต่แอบติดต่อเซิร์ฟเวอร์ของคนร้ายเพื่อขโมยข้อมูล

ไมโครซอฟท์ออกมายืนยันช่องโหว่ Zero-day 2 รายการ มีผลกระทบกับ Microsoft Exchange Server 2013, Exchange Server 2016 และ Exchange Server 2019 ซึ่งมีรายงานการถูกโจมตีด้วยช่องโหว่นี้แล้วในวงจำกัด

สองช่องโหว่คือ CVE-2022-41040 ที่เป็นช่องโหว่ใน Server-Side Request Forgery หรือ SSRF และ CVE-2022-41082 ที่โจมตีผ่าน Remote Code Execution หรือ RCE หากผู้โจมตีเข้าถึงสิทธิ PowerShell ได้ โดยในการโจมตีนั้นต้องเข้าถึงผ่าน CVE-2022-41040 ก่อน แล้วจึงส่งคำสั่งผ่าน CVE-2022-41082

Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท

Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง

ไมโครซอฟท์เริ่มเปิดฟีเจอร์หน่วงเวลา หากผู้ใช้พยายามเข้าถึงไฟล์แชร์ผ่านโปรโตคอล SMB แต่ใส่รหัสผ่านผิด โดยค่าเริ่มต้นจะเป็นการหน่วงเวลา 2 วินาที ทำให้ในกรณีที่แฮกเกอร์เข้าถึงเน็ตเวิร์คได้และพยายามสแกนรหัสผ่านก็จะใช้เวลานานขึ้นมาก เพราะเดิมสามารถยิงได้วินาทีละ 300 ครั้งเลยทีเดียว

ฟีเจอร์นี้ใส่มาใน Windows Insider และ Windows Server Insider ตั้งแต่เดือนมีนาคมที่ผ่านมา แต่ปิดการทำงานไว้เป็นค่าเริ่มต้น ในเดือนนี้ไมโครซอฟท์จะเริ่มเปิดการใช้งานเฉพาะ Window Insider ก่อน โดยปรับได้ทีละ 0.1 วินาที และได้สูงสุด 10 วินาที โดยไม่สามารถตั้งได้ว่าหากผิดซ้ำๆ แล้วให้หน่วงนานขึ้น

หลังจากมีข่าวเจ้าของบัญชีถูกถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE จนกระทั่งเงินถูกโอนออกจากบัญชี 1.4 ล้านบาท ทางธนาคารไทยพาณิชย์ก็แถลงชี้แจงว่าการถอนเงินไม่ได้เกิดจากความผิดปกติของธนาคาร แต่ผู้ถูกหลอกให้ติดตั้งโปรแกรมซึ่งอยู่นอกเหนือความรับผิดชอบของธนาคาร

ทางธนาคารไทยพาณิชย์ระบุว่าธนาคารไม่มีนโยบายส่งข้อความผ่านทาง SMS, อีเมล, LINE, หรือช่องทางออนไลน์ต่างๆ เพื่อขอข้อมูลส่วนตัวหรือรหัสผ่านลูกค้า

แถลงของธนาคารไม่ได้บอกรายละเอียดของเหตุการณ์ครั้งนี้โดยตรง แต่แนะนำ 3 ประเด็น ได้แก่

2K Games ประกาศแจ้งเตือนลูกค้าว่าพบการแฮ็กเข้ามายังระบบ help desk ของบริษัทภายนอกที่ 2K ใช้งาน (2K ไม่เปิดเผยชื่อ แต่จากภาพตัวอย่างคือ Zendesk) และพบการส่งข้อความ phishing ทางอีเมล หลอกให้ผู้ใช้กดลิงก์ประสงค์ร้าย

2K Games เตือนว่าหากพบอีเมลจากบัญชี 2K Games support ให้ไม่ต้องเปิดและคลิกลิงก์ใดๆ แต่หากกดไปแล้ว ก็ควรตรวจสอบรหัสผ่านของตัวเอง และพยายามเปิดใช้ระบบ MFA ของบัญชีต่างๆ เท่าที่ทำได้

ผู้ที่ได้รับอีเมลจาก 2K Support คือผู้ที่เคยเปิด ticket ผ่านระบบซัพพอร์ตของ 2K มาก่อน และอีเมลอยู่ในระบบของ 2K Support แม้เคยเปิด ticket มานานมากแล้วก็ตาม

จากข่าวมัลแวร์ดูดเงินคนไทยที่ปลอมตัวเป็นแอปกรมสรรพากร คำถามอย่างหนึ่งคือโปรแกรมป้องกันไวรัสทั้งหลายสามารถช่วยป้องกันมัลแวร์เหล่านี้ได้หรือไม่ ล่าสุดผมตรวจสอบค่าแฮชของไฟล์ APK จาก TTC-CERT พบว่าตอนนี้ยังไม่มีโปรแกรมป้องกันไวรัสตัวใดสามารถตรวจจับมัลแวร์ที่มุ่งโจมตีคนไทยตัวนี้ได้เลย ปัญหานี้อาจจะเป็นปัจจัยหนึ่งที่ทำให้มัลแวร์สามารถโจมตีคนไทยได้ต่อเนื่องเป็นเวลานาน

เมื่อวานนี้มีข่าวถึงเจ้าของบัญชีถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE โดยอ้างว่าค้างภาษี โดยเนื้อข่าวจาก CH3Plus ระบุว่าเมื่อกดลิงก์ไปแล้วโทรศัพท์ค้าง และภายหลังเงินก็ถูกโอนออกจากบัญชีต่างๆ รวมกว่า 1.4 ล้านบาท แม้ว่าเราจะตรวจสอบไม่ได้แน่ชัดว่าคนร้ายในกรณีนี้โจมตีโทรศัพท์เหยื่อได้อย่างไรหากเหยื่อเพียงแค่กดลิงก์ในข้อความ แต่รายงานจากศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ก็เคยวิเคราะห์มัลแวร์ที่รูปแบบใกล้เคียงกันอย่างมากเอาไว้

Uber ออกรายงานชี้แจงการถูกแฮ็กครั้งใหญ่เมื่อสัปดาห์ที่แล้ว จุดเริ่มต้นเกิดจากบัญชีพนักงานสัญญาจ้าง (Uber EXT) ถูกแฮ็กก่อน โดยคาดว่าแฮ็กเกอร์ใช้วิธีซื้อรหัสผ่านรั่วมาจากแหล่งใต้ดิน dark web อีกที

ระบบของ Uber มีการยืนยันตัวตน 2FA ช่วยป้องกันอยู่ แฮ็กเกอร์จึงพยายามล็อกอินอยู่หลายครั้ง และมีครั้งที่พนักงานรายนี้เผลอกดยืนยันการล็อกอิน (ของแฮ็กเกอร์) เลยเข้าระบบได้

จากนั้น แฮ็กเกอร์เข้าถึงบัญชีของพนักงานคนอื่นๆ ได้ และสุดท้ายได้สิทธิเข้า G-Suite กับ Slack และโพสต์ข้อความประกาศการแฮ็กใน Slack ของบริษัท

Kiwi Farms เว็บบอร์ดที่มีชื่อเรื่องรวมข้อมูลส่วนบุคคลเพื่อโจมตีบุคคลข้ามเพศ ตอนนี้โดนแฮ็กเรียบร้อย ถูกเข้าถึงข้อมูลอีเมล รหัสผ่าน และหมายเลขไอพี

Joshua Moon ผู้ก่อตั้ง Kiwi Farms บอกว่าบัญชีแอดมินบอร์ดของเขาโดนแฮ็ก ดังนั้นขอให้ผู้ใช้ทุกคนทำใจว่าข้อมูลข้างต้นทั้งหมดหลุดไปด้วย เขาขอให้ผู้ใช้อ่านวิธีป้องกันตัวจากเว็บไซต์ privacyguides.org แม้จะเกลียดเว็บนี้ก็ตาม

ตอนนี้ ระบบเว็บบอร์ดของ Kiwi Farms ถูกปิดไปชั่วคราว และจะเปิดระบบกลับมาโดยใช้แบ็คอัพของวันที่ 17 กันยายน

โครงการ Chromium ที่เป็นฐานของเบราว์เซอร์ Chrome ประกาศโครงการ Chrome Root Program และ Chrome Root Store เพื่อจัดการฐานข้อมูล root CA ที่สามารถออกใบรับรองเข้ารหัสแบบต่างๆ ได้

ที่ผ่านมา Chromium/Chrome ใช้ฐานข้อมูล root CA ของแพลตฟอร์มเป็นหลัก ทำให้ประสบการณ์ใช้งานต่างกันในแต่ละแพลตฟอร์ม เช่น บนระบบปฎิบัติการรุ่นเก่าๆ ก็อาจจะไม่สามารถเข้าเว็บที่ใบรับรองจาก root CA ใหม่ๆ ได้แม้จะใช้ Chrome รุ่นใหม่ก็ตาม อย่างไรก็ดี แม้จะใช้ฐานข้อมูลของระบบปฎิบัติการแต่ที่ผ่านมา Chrome ก็มีนโยบายเพิ่มเติมไม่ยอมรับ root CA บางรายอยู่แล้ว เช่น เหตุการณ์ถอดถอน root CA ของ Synmantec การมีโครงการ root CA ของตัวเองจะทำให้ตัวเบราว์เซอร์ควบคุมได้มากขึ้น

LastPass ออกรายงานสรุปการสอบสวนกรณีถูกแฮ็กระบบเมื่อปลายเดือนสิงหาคม โดยระบุว่าจ้างบริษัท Mandiant ที่เป็นผู้เชี่ยวชาญด้านการตรวจสอบความปลอดภัยมาช่วย

Uber ออกมาชี้แจงรายละเอียดเพิ่มเติม หลังมีข่าวว่าถูกแฮ็ก ทำให้เข้าถึงระบบภายในของบริษัทได้หลายตัว

โดย Uber บอกว่ายังไม่พบหลักฐาน ว่ามีข้อมูลผู้ใช้งานที่สำคัญหลุดออกไป เช่น ประวัติการเดินทาง, ปัจจุบันบริการทั้งหมดสามารถใช้งานได้ตามปกติ ส่วนระบบเครื่องมือภายในที่ปิดการใช้งานไปเมื่อวาน ตอนนี้กลับมาใช้งานตามเดิมแล้ว

Uber บอกจะให้รายละเอียดเพิ่มเติมเมื่อมีความคืบหน้า โดยเบื้องต้นได้ดำเนินการในขั้นตอนทางกฎหมายแล้ว

ที่มา: Uber