Grindr แอปสังคมออนไลน์สำหรับกลุ่ม LGBTQ มีบั๊กความปลอดภัยในระบบรีเซ็ตรหัสผ่าน ทำให้คนร้ายสามารถล็อกอินเข้าได้ทุกบัญชีเพียงแต่รู้อีเมลของเหยื่อเท่านั้น

ช่องโหว่นี้รายงานโดย Wassime Bouimadaghene ไปยัง Troy Hunt ผู้ก่อตั้งเว็บ have i been pwned และทาง Hunt ติดต่อ Scott Helme นักวิจัยความปลอดภัยไซเบอร์มาช่วยยืนยัน พบว่าเป็นช่องโหว่จริง

ปัญหาอยู่ที่ API ของการขอรีเซ็ตรหัสผ่านของ Grindr จะสร้างโทเค็นเพื่อส่งอีเมลยืนยันตัวตนไปยังเจ้าของบัญชี แต่ API นี้กลับคืนค่าโทเค็นกลับมาใน JSON ด้วยทำให้คนร้ายเพียงกรอกอีเมลก็ได้โทเค็นไปรีเซ็ตรหัสผ่านทันที

ปกติแล้ว เราเห็นกูเกิลออกแพตช์ความปลอดภัยให้กับ Android สายหลัก (AOSP) และรอมเวอร์ชันที่ใช้ในมือถือ Pixel ของตัวเองเท่านั้น

ล่าสุดทีมความปลอดภัย Android ประกาศโครงการ Android Partner Vulnerability Initiative (APVI) ช่วยหาช่องโหว่ความปลอดภัยให้กับรอมของพาร์ทเนอร์ OEM ด้วย โดยให้เหตุผลว่าต้องการช่วยปิดช่องโหว่ที่เกิดจากความผิดพลาดของ OEM ให้มากขึ้น

APVI มีหน้าเว็บรวมช่องโหว่ของ OEM ที่ค้นพบโดยทีมงานกูเกิล ตอนนี้มีช่องโหว่ของหลายแบรนด์ เช่น Huawei, Oppo, Vivo, Meizu, ZTE, Mediatek ซึ่งเกือบทั้งหมดก็แก้ไขไปหมดแล้ว

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ ETDA ประกาศแนวปฏิบัติในการรับมือเหตุการณ์ภัยคุกคามทางไซเบอร์เกี่ยวกับมัลแวร์เรียกค่าไถ่ (Ransomware) สำหรับหน่วยงานรัฐ โดยกำหนดแนวทางไว้กว้างๆ เช่น

โครงการ checkra1n ที่เป็นโครงการเจลเบรกอุปกรณ์ของแอปเปิลนับแต่ iPhone 5s ขึ้นมา ประกาศออกรุ่น 0.11.0 beta ที่มีฟีเจอร์สำคัญคือการเจลเบรก bridgeOS บนชิป Apple T2 บนเครื่องแมคได้สำเร็จ เปิดทางให้นักพัฒนาภายนอกเข้าแก้ไข Touch Bar บนเครื่องแมคในอนาคต

ชิป T2 เป็นชิปที่พัฒนาต่อมาจาก Apple A10 ใช้รัน bridgeOS มันสามารถทำงานแม้ตัวแมคจะปิดเครื่องอยู่ และตรวจสอบความถูกต้องของระบบปฎิบัติการก่อนบูตเครื่อง หากแก้ไขซอฟต์แวร์บนชิป T2 ได้สามารถดัดแปลงได้หลายอย่าง เช่น ทำธีมไอคอนบน Touch Bar ใหม่, ซ่อมเครื่องแมคด้วยตัวเอง, หรือโหลดระบบปฎิบัติการอื่นเพื่อบูต

บริษัทซอฟต์แวร์ความปลอดภัย McAfee ยื่นเอกสารต่อ ก.ล.ต. สหรัฐ เพื่อเตรียมขายหุ้น IPO กลับสู่ตลาดหลักทรัพย์อีกครั้ง โดยจะขายในตลาด Nasdaq และใช้ตัวย่อว่า "MCFE"

McAfee เคยอยู่ในตลาดหลักทรัพย์มาแล้วครั้งหนึ่ง จนโดนอินเทลซื้อกิจการในปี 2010 เลยออกจากตลาดหลักทรัพย์ไป แต่อินเทลก็ขายหุ้น 51% ของบริษัทออกในปี 2016 ให้กับบริษัทลงทุน TPG Capital ทำให้ McAfee กลายเป็นบริษัทอิสระ (ที่อินเทลถือหุ้นอยู่ 49%) และเตรียมกลับเข้าตลาดหลักทรัพย์อีกครั้ง

Universal Health Services (UHS) เครือโรงพยาบาลในสหรัฐฯ และสหราชอาณาจักรถูก ransomware โจมตีจนทำให้ไม่สามารถใช้ระบบคอมพิวเตอร์ใดๆ ได้อีก และตอนนี้เจ้าหน้าที่ทั้งหมดต้องกลับไปใช้ระบบแมนนวล กรอกเอกสารผ่านกระดาษและส่งผลจากห้องปฏิบัติการทางโทรศัพท์ และเจ้าหน้าที่ไม่สามารถเข้าถึงข้อมูลย้อนหลังที่อยู่ในคอมพิวเตอร์ได้

ทาง UHS ออกแถลงยอมรับว่าปิดระบบไอทีทั้งหมดจากปัญหาความมั่นคงปลอดภัยของระบบไอที และกำลังใช้กระบวนการสำรองในการทำงาน โดยยืนยันว่าคนไข้ได้รับการรักษาอย่างมีประสิทธิผลและปลอดภับ และไม่มีข้อมูลพนักงานหรือข้อมูลคนไข้หลุดออกไปแต่อย่างใด

ShopBack (ที่เพิ่งได้รับเงินเพิ่มทุน 45 ล้านดอลลาร์เมื่อปีที่แล้ว) ได้แจ้งผู้ใช้งานผ่านทางอีเมลว่า เมื่อวันที่ 17 กันยายน 2020 ได้ตรวจพบว่ามีการเข้าระบบโดยไม่ได้รับอนุญาต

จากประกาศของ ShopBack ข้อมูลที่ผู้ใช้ที่อาจจะหลุดออกไปได้แก่ อีเมล, ชื่อผู้ใช้งาน, ข้อมูลการติดต่อ, เพศ, วันเดือนปีเกิด และข้อมูลเลขบัญชีธนาคาร (สำหรับผู้ที่เคยทำการโอนเงินออกจาก ShopBack เข้าสู่บัญชีธนาคาร) รวมถึงข้อมูลการเข้าระบบในทางเลือกอื่นๆ ซึ่งจากที่ตรวจสอบผู้ใช้สามารถล็อกอินได้ด้วย Facebook และ Apple ID โดยทาง ShopBack ได้กล่าวว่าปัจจุบัน (ณ เวลาที่เขียนข่าว) ข้อมูลส่วนบุคคลที่ถูกเข้าถึงนั้นยังไม่ได้ถูกนำไปใช้ในทางที่ไม่ถูกต้อง

ในงาน Microsoft Ignite 2020 เมื่อคืนนี้ ไมโครซอฟท์ประกาศรีแบรนด์ผลิตภัณฑ์ด้านความปลอดภัย (แบบเสียเงิน) ที่กระจัดกระจายใหม่หมด โดยจุดกลุ่มให้เหลือ 2 แบรนด์คือ Microsoft 365 Defender สำหรับฝั่งไคลเอนต์ และ Azure Defender สำหรับฝั่งเซิร์ฟเวอร์ โดยใช้ร่วมกับบริการเก็บข้อมูลความปลอดภัย Azure Sentinel ที่เปิดตัวไปก่อนแล้ว

ศูนย์ความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA) ออกประกาศฉุกเฉินเตือนให้ผู้ดูแลระบบแพตช์ช่องโหว่ CVE-2020-1472 ที่กระทบเซิร์ฟเวอร์วินโดวส์ที่ทำหน้าที่ domain controller หลังจากช่องโหว่นี้มีโค้ดตัวอย่างออกมาเรียบร้อยแล้ว

ทาง CISA ระบุเหตุผลที่ต้องออกประกาศฉุกเฉิน 5 ประการ ได้แก่ มีโค้ดตัวอย่างแล้ว, domain controller มีใช้งานกันเป็นวงกว้าง, โอกาสถูกโจมตีมีสูง, หากคนร้ายโจมตีได้ความเสียหายจะร้ายแรงมาก, พบช่องโหว่ต่อเนื่องแม้มีแพตช์ออกมาแล้วนานกว่า 30 วัน

Let's Encrypt ประกาศเพิ่ม Root CA และ Intermediate CA ชุดใหม่สำหรับใช้ลายเซ็นดิจิทัลแบบ ECDSA P-384 ที่มีขนาดกุญแจสาธารณะเพียง 48 ไบต์ และขนาดลายเซ็น 96 ไบต์ เทียบกับ RSA-2048 ที่มีขนาดกุญแจสาธารณะถึง 256 ไบต์ และขนาดลายเซ็น 400 ไบต์ ทำให้ใบรับรองแต่ละใบที่มีทั้งกุญแจสาธารณะและลายเซ็น จะมีขนาดลดลงประมาณ 350 ไบต์

Root CA ตัวใหม่จะใช้ชื่อ "ISRG Root X2" ได้รับรองจาก "ISRG Root X1" ที่ได้อยู่ในฐานข้อมูลส่วนมากอยู่แล้ว โดย Root CA ใหม่จะมีอายุถึงปี 2040 แต่การออกใบรับรองจริงจะใช้ Intermediate CA สองตัว ได้แก่ Let's Encrypt E1 และ Let's Encrypt E2 ที่มีอายุ 5 ปี

อัพเดตต่อจากข่าว Mozilla ระงับบริการส่งไฟล์ Firefox Send ชั่วคราว หลังถูกใช้เป็นแหล่งกระจายมัลแวร์

ล่าสุด Mozilla ประกาศปิดบริการ Firefox Send (ร่วมกับบริการอีกตัวคือ Firefox Note) อย่างถาวร ด้วยเหตุผลเดิมคือถูกใช้เป็นแหล่งปล่อยมัลแวร์ และปัจจัยเรื่อง Mozilla ต้องปรับโครงสร้างองค์กร ปลดคน คุมค่าใช้จ่าย ทำให้ต้องตัดสินใจปิดบริการที่ไม่สำคัญออกไป

Mozilla ยืนยันว่าจะยังคงบริการกลุ่ม VPN และ Firefox Monitor ตัวเฝ้าระวังรหัสผ่านหลุด-ข้อมูลรั่วไหล ต่อไป

ทวิตเตอร์ประกาศว่า จะส่งคำเตือนผ่านแอปไปยังบัญชีนักการเมือง ผู้ว่าการรัฐ สำนักข่าว นักข่าวการเมือง หรือบัญชีผู้ใช้งานที่เป็นผู้เกี่ยวข้องกับการเลือกตั้งสหรัฐฯ โดยตรง ให้เปลี่ยนรหัสผ่านที่คาดเดาได้ยากขึ้น เพื่อความปลอดภัยในช่วงเลือกตั้งสหรัฐฯ ในต้นเดือนพฤศจิกายน และป้องกันไม่ให้เกิดเหตุการณ์คนดังในทวิตเตอร์ถูกแฮ็กอย่างกว้างขวาง

ทีมวิจัยจากบริษัท Secura ปล่อยสคริปต์ตรวจสอบช่องโหว่ CVE-2020-1472 หรือชื่อเล่น Zerologon ที่ไมโครซอฟท์ปล่อยแพตช์มาตั้งแต่เดือนสิงหาคม พร้อมกับรายงานวิเคราะห์ว่าการโจมตีช่องโหว่นี้ทำงานอย่างไร และทางบริษัท RiskSense Inc. นำไปแก้ไขต่อจนเป็นสคริปต์ทดสอบการโจมตี ทำให้ตอนนี้ช่องโหว่ CVE-2020-1472 นี้มีโค้ดต่อสาธารณะแล้ว หากใครยังไม่ได้แพตช์ควรรีบแพตช์โดยเร็ว

รายงานของ Secura แสดงให้เห็นว่าแฮกเกอร์สามารถอาศัยช่องโหว่ CVE-2020-1472 นี้เพื่อยึดสิทธิ์ Domain Admin ได้ ทำให้องค์กรที่ใช้ Active Directory ตกอยู่ในความเสี่ยงอย่างร้ายแรง

Zoom เปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (two-factor authentication) ในทุกบัญชีการใช้งานแล้ว เพื่อป้องกันไม่ให้เกิดเหตุการณ์แบบ zoombombing หรือการที่คนอื่นเข้ามาป่วนการประชุมได้อีก

Yubico เปิดตัวกุญแจ YubiKey 5C NFC ตัวใหม่ในไลน์ YubiKey 5 ที่เป็นการรวมเอารุ่น YubiKey 5C ที่เป็นหัว USB-C และ YubiKey 5 NFC ที่รองรับ NFC เข้าด้วยกัน

YubiKey 5C NFC รองรับโปรโตคอลยืนยันตัวตนไม่ต่างจาก YubiKey 5 รุ่นอื่น ๆ คือ FIDO2, FIDO, WebAuthn, smart card (PIV) , Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response วางจำหน่ายที่ราคา 55 เหรียญ (ราว 1,700 บาท)

ที่มา - Yubico

NTT Docomo ผู้ให้บริการเครือข่ายโทรศัพท์มือถือในญี่ปุ่น และยังให้บริการ e-Wallet หยุดรับลูกค้าใหม่หลังพบว่าลูกค้าถูกขโมยเงินออกจากบัญชีเป็นวงกว้าง โดยบริษัทยังไม่เปิดเผยว่าคนร้ายใช้ช่องโหว่ใดในการโจมตี แต่ผู้อำนวยการ Hiromitsu Takagi นักวิจัยความมั่นคงปลอดภัยไซเบอร์ก็ระบุว่าคนร้ายอาจจะอาศัยการไล่สุ่มเลขรหัส PIN ของธนาคารไปเรื่อยๆ โดยยังมีความเป็นไปได้อื่น เช่น คนร้ายอาจจะส่งอีเมลฟิชชิ่งหลอกเอารหัสจากเหยื่อ

เมื่อวันจันทร์ที่ผ่านมาโรงพยาบาลสระบุรีประกาศว่าระบบคอมพิวเตอร์ขัดข้องจนกระทั่งไม่สามารถใช้งานได้ ทำให้ทางโรงพยาบาลต้องขอให้ผู้มารับบริการนำเอกสาร รวมถึงรายการยาเดิมและตัวยาเดิมมารับบริการด้วย

คุณ Jarinya Jupanich แพทย์ที่โรงพยาบาลโพสเปิดเผยว่าสาเหตุเกิดจากระบบคอมพิวเตอร์ถูกมัลแวร์เรียกค่าไถ่โจมตี ทำให้ข้อมูลสูญหาย และไฟล์สำรองที่มีอยู่ไม่ถึงปัจจุบัน คาดว่ามัลแวร์ที่ติดมาเป็น VoidCrypt (.spade)

แนวทางการลดอายุใบรับรองการเข้ารหัสเว็บเป็นแนวทางที่ต่อเนื่องกันมาในช่วงห้าปีที่ผ่านมา จากเดิมสมัยก่อนที่เราเคยซื้อใบรับรองเข้ารหัสอายุยาวนานถึง 8 ปีได้ ในปี 2015 CA/Browser Forum ก็ลดเพดานอายุใบรับรองเหลือ 39 เดือน และในปี 2017 ก็ลดเพดานลงเหลือ 825 วัน วันนี้ก็เป็นวันสุดท้ายของการซื้อใบรับรองอายุ 2 ปี เนื่องจากใบรับรองที่ออกวันที่ 1 กันยายนเป็นต้นไป หากมีอายุเกิน 397 วันจะใช้งานกับเบราว์เซอร์หลักทั้ง Chrome, Firefox, และ Safari ไม่ได้อีกต่อไป

นักวิจัยจาก ETH Zurich รายงานถึงช่องโหว่ของโปรโตคอล EMV ที่ใช้ในบัตรเครดิตยอดนิยมทั่วโลก โดยช่องโหว่เปิดทางให้คนร้ายที่ขโมยบัตรไป สามารถจ่ายบิลที่วงเงินสูงๆ ได้โดยไม่ต้องใช้รหัส PIN แม้ตัวบัตรเครดิตจะกำหนดเพดานที่หากยอดจ่ายเกินเพดานจะต้องใช้ PIN ไว้ก็ตาม

สำหรับผู้ใช้บัตรเครดิตในไทยอาจจะไม่ชินนักเนื่องจากการยืนยันจ่ายเงินผ่านบัตรใช้ลายเซ็น แต่ในยุโรปหากวงเงินน้อยๆ การจ่ายแบบ Contactless จะสามารถแตะจ่ายได้ทันที แต่หากยอดชำระสูงขึ้นตัวเทอร์มินัลก็จะขึ้นถามรหัส PIN เพื่อยืนยันอีกครั้ง

เมื่อวานนี้ผู้ใช้แอป Microsoft Teams จำนวนมากได้รับ notification ประหลาด ข้อความจำนวนมากระบุว่าเป็นการทดสอบ วันนี้ทางเว็บ The Register ก็พูดคุยกับ Abhishek Dharani นักวิจัยความปลอดภัยที่เพิ่งรายงานช่องโหว่กุญแจ Firebase Cloud Messaging (FCM) หลุดไปกับตัวแอป โดย Dharani คาดว่ามีคนอื่นอ่านรายงานช่องโหว่ของเขาแล้วนำไปทดสอบกับแอปอื่นๆ

ช่องโหว่นี้เป็นช่องโหว่ของแอปที่เก็บรักษากุญแจ FCM ผิดพลาด โดยติดกุญแจไปกับตัวแอปจนคนร้ายสามารถดึงออกมาจากไฟล์ APK บนแอนดรอยด์ได้ แม้แต่กูเกิลเองก็พลาดในเรื่องนี้จน Dharani สามารถดึงกุญแจสำหรับแอป Google Hangouts และ Google Play Music ออกมาได้ ทำให้กูเกิลจ่ายเงินรางวัลสำหรับรายงานช่องโหว่ถึง 30,000 ดอลลาร์

Allison Husain นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ระบบตรวจสอบที่มาอีเมล SPF และ DMARC และการส่งต่ออีเมลของบริการ G Suite ที่ทำให้คนร้ายสามารถปลอมอีเมลเป็นอีเมลจากเหยื่อที่เป็นลูกค้า G Suite ได้อย่างแนบเนียน Allison ระบุว่าได้รายงานช่องโหว่นี้ให้กูเกิลรับรู้ตั้งแต่ 3 เมษายนที่ผ่านมา แต่กูเกิลกลับทิ้งช่องโหว่นี้ไว้นานกว่าสี่เดือน ทำให้ Allison ตัดสินใจเขียนบล็อกเปิดเผยช่องโหว่และกูเกิลก็แพตช์ช่องโหว่นี้ในไม่กี่ชั่วโมง

Google เตรียมยกระดับความปลอดภัย Chrome ขึ้นไปอีกขั้นให้แสดงว่าไม่ปลอดภัยหากกำลังกรอกฟอร์มประเภท mixed forms ที่ไม่ได้ส่งผ่าน HTTPS

ปัจจุบัน เมื่อ Chrome เจอ mixed form จะใช้วิธีหยุดแสดงไอคอนกุญแจที่ใช้กับ HTTPS แต่ทีมความปลอดภัยของ Chrome เห็นว่ายังไม่เพียงพอเพราะว่าข้อมูลที่ส่งยังเป็นแบบไม่ปลอดภัย จึงต้องยกระดับการแจ้งเตือนให้ชัดเจนกว่านี้

ที่งานประชุมวิชาการ USENIX ปีนี้ ทีมวิจัยจากมหาวิทยาลัย The University of Electro-Communications ในญี่ปุ่นและมหาวิทยาลัยมิชิแกน รายงานถึงการใช้เลเซอร์ยิงคำสั่งเข้าลำโพงอัจฉริยะ เช่น Google Home หรือ Amazon Echo เพื่อส่งคำสั่งจากนอกบ้าน นับเป็นการสาธิตถึงความเสี่ยงที่คนร้ายอาจจะควบคุมบ้านได้จากนอกบ้าน

งานวิจัยอาศํยโครงสร้างของไมโครโฟนแบบ MEMS ที่ใช้งานกันเป็นปกติ โดยชิปไมโครโฟนเหล่านี้ออกแบบให้ตรวจจับความเปลี่ยนแปลงของค่าการเก็บประจุของแผ่นไมโครโฟน แต่วงจรของชิปเองก็มีความไวต่อแสง เมื่อยิงแสงความเข้มสูงเข้าไปยังตัวชิปก็จะสามารถกระตุ้นให้เกิดสัญญาณในวงจร โดยวงจรอ่านค่าเสียงก็มักอ่านค่าแล้วส่งเข้าไปยังซอฟต์แวร์เหมือนเป็นสัญญาณเสียงปกติ

สถาบัน SANS องค์กรที่ให้บริการด้านความปลอดภัยไซเบอร์และออกใบรับรองด้านความปลอดภัยรายงานถึงเหตุการณ์ข้อมูลหลุดเนื่องจากทางองค์กรถูกโจมตีแบบฟิชชิ่ง ทำให้บัญชีของพนักงานที่ถูกโจมตีส่งต่ออีเมลไปยังคนร้าย โดยรวมมีข้อมูลถูกส่งออกไป 28,000 รายการ

คนร้ายอาศัยการหลอกว่าเป็นไฟล์ Excel แชร์มาทาง Office 365 แต่เมื่อเปิดดาวน์โหลดจะกลายเป็นการติดตั้งส่วนขยาย Office 365 แล้วตั้งฟิลเตอร์สำหรับส่งต่ออีเมล ฟิลเตอร์ตั้งหามุ่งเน้นหาข้อมูลการจ่ายเงิน โดยกรองคำสำคัญเช่น ธนาคาร (bank), โอนเงิน (transfer), การจ่ายเงิน (payment) ฯลฯ จนคนร้ายได้รับอีเมลทั้งหมด 513 ฉบับ จากพนักงานของ SANS คนเดียว