Wall Street Journal ระบุว่าได้รับรายงานของบริษัทด้านความปลอดภัยไซเบอร์ Finite State ที่ชี้ว่าอุปกรณ์เครือข่ายของ Huawei มีแนวโน้มจะถูกโจมตีจากแฮกเกอร์ได้มากกว่าแบรนด์คู่แข่งอื่นๆ ซึ่งรายงานชิ้นนี้ถูกส่งมอบให้รัฐบาลสหรัฐและสหราชอาณาจักรแล้วด้วย

นักวิจัยได้นำเฟิร์มแวร์สำหรับอุปกรณ์เครือข่ายสำหรับองค์กรของ Huawei กว่า 10,000 ตัว มาทดสอบผ่านอุปกรณ์กว่า 500 ชิ้น ก่อนจะพบว่าเฟิร์มแวร์กว่า 55% มีช่องโหว่อย่างน้อยๆ 1 ช่องโหว่ ซึ่งถือว่าสูงกว่าค่าเฉลี่ยที่เจอในอุปกรณ์ของคู่แข่งค่อนข้างมาก โดยช่องโหว่เหล่านั้นรายงานระบุว่ามีสิทธิจะเป็น backdoor ก็ได้ด้วยซ้ำไป (potential backdoor)

Oracle ประกาศและแจ้งเตือนลูกค้า Oracle WebLogic ให้อัพเดตแพตช์อุดช่องโหว่ CVE-2019-2729 ซึ่งเป็นช่องโหว่ Zero-Day ที่มีคะแนน CVSS ถึง 9.8 จาก 10 ที่เปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดทางไกลและเข้ายึดเครื่องได้โดยไม่ต้องยืนยันตัวตนใดๆ

Oracle WebLogic เวอร์ชันที่ได้รับผลกระทบคือ 10.3.6.0.0, 12.1.3.0.0, และ 12.2.1.3.0 โดยนักวิจัยด้านความปลอดภัยจาก KnownSec 404 ระบุว่ามีความพยายามโจมตีผ่านช่องโหว่นี้แล้วด้วย

Blognone มีโอกาสได้พูดคุยกับผู้บริหารของ RSA บริษัทด้านความปลอดภัยในเครือ Dell Technologies ที่เดินทางมาประเทศไทยช่วงสัปดาห์ที่แล้ว

Ted Kamionek รองประธานอาวุโส Global Sales ของ RSA ให้ภาพรวมของอุตสาหกรรมความปลอดภัยไซเบอร์ว่า ปัญหาหลักๆ ตอนนี้คือขาดคนที่มีทักษะด้านนี้ มีจำนวนเท่าไรก็ไม่พอ แนวทางแก้ไขจึงเป็นการใช้ machine learning (ML) เข้ามาช่วยตรวจจับภัยคุกคามในชั้นต้น

WeTransfer บริการส่งไฟล์ขนาดใหญ่ออกประกาศแจ้งเตือนผู้ใช้ว่าระหว่างวันที่ 16-17 มิถุนายนที่ผ่านมาระบบมีปัญหาทำให้ส่งอีเมลถึงผู้ใช้ผิดคน ส่งผลให้อีเมลแจ้งการส่งไฟล์ถูกส่งไปยังบุคคลอื่น

ตอนนี้ยังไม่มีข้อมูลว่าผู้ใช้ที่ได้รับผลกระทบมีมากน้อยเพียงใด แต่ทาง WeTransfer ระบุว่าอยู่ระหว่างการแจ้งเตือนผู้ใช้ที่ได้รับผลกระทบ และแจ้งหน่วยงานรัฐที่เกี่ยวข้องแล้ว

รายงานไม่พูดถึงข้อมูลอื่นที่หลุดออกไป แต่ระบุว่าได้ล็อกเอาท์ผู้ใช้บางส่วนและบังคับให้ตั้งรหัสผ่านใหม่เพื่อความปลอดภัย แสดงว่าระหว่างมีปัญหาอาจมีการเข้ายึดบัญชีกันด้วย

ทาง WeTransfer ระบุว่าตอนนี้อยู่ระหว่างการสอบสวนและจะแจ้งรายละเอียดเพิ่มเติมภายหลัง

Cloudflare เปิดตัว time.cloudflare.com ระบบซิงค์เวลาฟรีรองรับทั้ง Network Time Protocol (NTP) และ Network Time Security (NTS)

time.cloudflare.com สามารถใช้เป็นแหล่งซิงค์เวลาของอุปกรณ์ใดก็ได้ที่รองรับระบบ NTP ซึ่งจะเรียกใช้งานจากศูนย์ข้อมูลของ Cloudflare ที่กระจายอยู่กว่า 180 เมืองทั่วโลก โดยจะเลือกศูนย์ข้อมูลที่ใกล้ผู้ใช้ที่สุด และศูนย์ข้อมูลทั้งหมดจะซิงค์เข้ากับเซิร์ฟเวอร์ stratum 1 เพื่อให้ได้ค่าเวลาที่แม่นยำที่สุด

การโจมตี Spectre, Meltdown, และ Rowhammer เปิดทางให้ซอฟต์แวร์มุ่งร้ายสามารถเข้าไปอ่านหน่วยความจำส่วนที่ไม่ได้รับอนุญาต แม้ว่าโดยทั่วไปแล้วกระบวนการจะทำงานได้ช้า และมีความผิดพลาดอยู่บ้าง แต่หากคนร้ายสามารถดึงข้อมูลสำคัญที่มีขนาดเล็ก เช่น กุญแจเข้ารหัส, รหัสผ่าน ก็จะสร้างความเสียหายได้อย่างมาก ตอนนี้โครงการ Secure Shell (SSH) ก็รับโค้ดใหม่ เพื่อป้องกันปัญหานี้

เกิดเหตุเหยื่อ Ransomware ยอมจ่ายค่าไถ่อีกครั้ง จากกรณีที่ศาลากลางของเมือง Riviera Beach เมืองเล็กๆ ทางตะวันออกของรัฐฟลอริด้า ตอนเหนือของไมอามีตคิด Ransomware จากการที่เจ้าหน้าที่เปิดลิงก์มุ่งร้ายจากอีเมลและแพร่มัลแวร์แพร่ไปทั่วเน็ตเวิร์คของศาลากลางจนไม่สามารถใช้งานได้

เมื่อวันจันทร์ที่ผ่านมา สภาเมืองจึงมีมติเอกฉันท์ยอมจ่ายค่าไถ่ให้แฮกเกอร์เป็นบิทคอยน์ทั้งหมด 65 บิทคอยน์ มูลค่าราว 600,000 เหรียญเพื่อให้แฮกเกอร์ปลดล็อกไฟล์ในระบบทั้งหมด อย่างไรก็ตามผู้เชี่ยวชาญด้านความปลอดภัยเห็นแย้งว่า สภาเมืองเหมือนกำลังพนันจากการจ่ายค่าไถ่ครั้งนี้ เพราะไม่มีอะไรยืนยันว่าแฮกเกอร์จะยอมปลดล็อกไฟล์ให้ รวมถึงจะยิ่งส่งเสริมให้เกิดการโจมตีในลักษณะนี้มากยิ่งขึ้น

ผู้ใช้เว็บเบราว์เซอร์ทุกวันนี้คงคุ้นเคยกับบริการ Google Safe Browsing ของกูเกิล ที่แจ้งเตือนหน้าเว็บไม่ปลอดภัยเป็นสีแดงเต็มหน้าจอ ปัจจุบันเบราว์เซอร์ที่เรียกใช้ Safe Browsing API ไม่ได้มีแค่ Chrome แต่ยังรวมถึง Firefox และ Safari ด้วย

ล่าสุดกูเกิลออกส่วนขยาย Suspicious Site Reporter สำหรับ Chrome ให้ผู้ใช้ช่วยกันรายงานเว็บไซต์น่าสงสัยเข้าไปยังกูเกิลอีกช่องทางหนึ่ง เป้าหมายเพื่อให้บ็อตของกูเกิลเข้าไปตรวจสอบเว็บไซต์นั้นได้เร็วขึ้น และส่งผลให้ Safe Browsing ทำงานได้แม่นยำกว่าเดิม

Firefox ออกแพตช์ฉุกเฉินใน Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่ออุดช่องโหว่ CVE-2019-11707 ซึ่งเป็นช่องโหว่ระดับวิกฤติในฟังก์ชัน .pop() ที่เปิดโอกาสให้แฮกเกอร์รันสคริปต์ JavaScript และเข้าควบคุมเครื่องได้จากทางไกล

ช่องโหว่นี้ถูกค้นพบโดย Samuel Groß จากทีม Google Project Zero และทีมงาน Coinbase Security โดยช่องโหว่นี้ถูกนำไปใช้ผ่านการโจมตีด้วย spear phishing แล้ว ดังนั้นใครใช้ Firefox ควรรีบอัพเดตเบราว์เซอร์ด่วน

ที่มา - ThreatPost

ปัญหาเรื่องการโดนแฮ็กบัญชี Instagram หรือโดนขโมยบัญชี ไม่ได้มีเฉพาะแค่บ้านเรา แต่เป็นปัญหาใหญ่ของผู้ใช้ Instagram ทั่วโลก

ล่าสุด Instagram กำลังทดสอบวิธีการกู้คืนบัญชีแบบใหม่ที่ง่ายกว่าเดิม สามารถกู้คืนได้จากในแอพ Instagram โดยตรง โดยที่ไม่ต้องไปกรอกฟอร์มผ่านหน้าเว็บแบบที่เป็นอยู่ในปัจจุบัน

เมื่อสั่งขอกู้คืนบัญชีตามระบบใหม่ของ Instagram เราจะได้รหัสมาเป็นตัวเลข 6 หลัก เพื่อส่งให้เพื่อนของเราใน Instagram ช่วยยืนยันตัวตนว่าเป็นเราจริงๆ และยังช่วยให้แฮ็กเกอร์ขโมยบัญชีของเราได้ยากขึ้นอีกด้วย

ทีมวิจัยความปลอดภัยไซเบอร์ของ Netflix เปิดเผยช่องโหว่เคอร์เนลลินุกซ์และ FreeBSD 4 รายการที่เกี่ยวข้องกับฟีเจอร์ minimum segmentation size (MSS) และ TCP Selective Acknowledgement (SACK) ในโปรโตคอล TCP

ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2019-11477 หรือ SACK Panic ที่คนร้ายสามารถเปิดการเชื่อมต่อด้วยค่า MSS ระดับต่ำสุด และยิง SACK ด้วยลำดับที่ออกแบบมาเฉพาะทำให้เคอร์เนลลินุกซ์ panic ไปได้ทันที ช่องโหว่นี้กระทบเคอร์เนลลินุกซ์ตั้งแต่เวอร์ชั่น 2.6.29 ที่ออกตั้งแต่ปี 2009 เป็นต้นมา

ทางแก้คือการแพตช์เคอร์เนล หรือปิดฟีเจอร์ SACK ผ่านทาง /proc/sys/net/ipv4/tcp_sack

Armin Razmjou นักวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ของ Vim และ Neovim ที่เปิดทางให้คนร้ายสามารถรันโค้ดในเครื่องของเหยื่อได้ เพียงแค่เปิดไฟล์ขึ้นมา

ช่องโหว่นี้อาศัยฟีเจอร์ modeline ที่ Vim จะอ่านค่าคอนฟิกในไฟล์ที่เปิดขึ้นมาเพื่อปรับค่าแสดงผลให้ถูกต้อง เช่น ขนาดแท็บ หรือความกว้างหน้าจอ โดยการตั้งค่าใน modeline จะถูกจำกัดให้รันอยู่ใน sandbox ทำให้ไม่สามารถยุ่งเกี่ยวกับสภาพแวดล้อมอื่นนอกจากตัวไฟล์เองได้

แต่ modeline กลับรองรับคำสั่ง source ที่รันสคริปต์นอก sandbox อีกที กลายเป็นช่องโหว่ให้คนร้ายสร้างไฟล์ที่ขึ้นต้นด้วยคำสั่ง modeline และรันสคริปต์ตามที่คนร้ายต้องการ Razmjou สาธิตสร้างไฟล์มุ่งร้ายถึงระดับที่เปิด shell ให้คนร้ายเข้ามาควบคุมเครื่องได้ เพียงแค่เปิดไฟล์

Cellebrite ผู้ผลิต Universal Forensic Extraction Device (UFED) อุปกรณ์ดึงข้อมูลจากอุปกรณ์เคลื่อนที่เช่นโทรศัพท์หรือแท็บเล็ต โฆษณาว่าเวอร์ชั่นล่าสุดนั้นสามารถปลดล็อกอุปกรณ์ iOS ได้ โดยรองรับตั้งแต่ iOS 7 มาจนถึง iOS 12.3 ที่เพิ่งออกมาไม่นานนัก

กระบวนการรักษาความปลอดภัยของ iOS นั้นค่อนข้างแน่นหนา โดยเมื่อล็อกหน้าจอแล้วจะกลายเป็นการเข้ารหัสอุปกรณ์ไปพร้อมกัน ทำให้การดึงข้อมูลออกจากอุปกรณ์ที่ล็อกไว้ทำได้ยาก ที่ผ่านมามีผู้ผลิตหลายรายพยายามหาทางข้ามกระบวนการป้องกันของแอปเปิล และสร้างอุปกรณ์ออกมาขาย จนใน iOS 12 นั้นแอปเปิลถึงกับล็อกพอร์ต USB หากล็อกหน้าจอไว้นานเกิน 1 ชั่วโมง ให้ชาร์จไฟได้อย่างเดียว

Yubico ผู้ผลิตกุญแจยืนยันตัวตนรายงานปัญหาบั๊กในกุญแจ YubiKey ซีรีส์ FIPS ที่รันเฟิร์มแวร์เวอร์ขัน 4.4.2 และ 4.4.4 ที่ตัวเลขที่ถูกสร้างขึ้นไม่ได้ถูกสุ่มขึ้นมาทั้งหมด โดยปัญหานี้เกิดขึ้นเฉพาะการสุ่มตัวเลขครั้งแรกทุกครั้งหลังเสียบกุญแจ

Yubico ระบุว่ากุญแจแบบ RSA ตัวเลขที่ไม่สุ่มอยู่ที่ไม่เกิน 80 บิตจาก 2056 บิต ขณะที่กุญแจแบบ ECDA และ ECC จะหนักหน่อยเพราะไม่สุ่มไป 80 บิตจาก 256 บิต ส่วนทางแก้ปัญหาทาง Yubico ระบุว่าได้แจ้งลูกค้า เรียกคืนกุญแจเก่าและเปลี่ยนเป็นกุญแจรุ่นใหม่ให้บ้างแล้ว

อย่างไรก็ตามกุญแจ FIPS เวอร์ชัน 4.4.5 และกุญแจรุ่นอื่นๆ ของ YubiKey ไม่ได้รับผลกระทบใดๆ

ก่อนหน้านี้ Google ประกาศว่าสามารถใช้สมาร์ทโฟนแอนดรอยด์เป็นโทเคนยืนยันตัวตน 2 ชั้น สำหรับการล็อกอินแอคเคาท์ Google บน ChromeOS, macOS และ Windows 10 ด้วยโปรโตคอล CTAP2 ของ FIDO

ล่าสุดฟีเจอร์นี้รองรับบนอุปกรณ์ iOS แล้ว โดยรองรับเฉพาะ iOS เวอร์ชัน 10 ขึ้นไป ส่วนฝั่งแอนดรอยด์ต้องเป็นแอนดรอยด์ 7.0 ขึ้นไปเช่นเดิมและเพิ่มสมาร์ทโฟนของตัวเองให้เป็น Security Key ได้ในหน้า 2-step Verification (ต้องเปิดตัวเลือกนี้ด้วย) ในหมวด Security ของแอคเคาท์ Google

บริษัทขนาดใหญ่มักจัดงานแข่งขันด้านเทคโนโลยีคล้ายๆ กันในรอบปี เช่น งานเขียนโปรแกรมอย่าง Google Code Jam หรืองานแข่งด้านความปลอดภัยไซเบอร์ในกลุ่ม Capture the Flag (CTF) เมื่อวันที่ 1 ถึง 3 มิถุนายนที่ผ่านมาเฟซบุ๊กก็เพิ่งจัดงาน Facebook CTF ไป แต่ความน่าแปลกใจคือทีมที่ชนะที่หนึ่งคือทีม "Visit g.co/ctf" ที่เป็น URL ไปยังเว็บงานแข่งขัน Google CTF ที่กำลังจัดในวันที่ 22-23 มิถุนายนนี้

หลังจากนั้นบัญชีทวิตเตอร์ @GoogleVRP ผู้จัดงาน Google CTF ก็ออกมาแสดงความยินดีกับผู้ชนะ

Mozilla ประกาศเพิ่มฟีเจอร์ด้านความเป็นส่วนตัวจำนวนมาก โดยไฮไลต์ในครั้งนี้คือการเปิด Enhanced Tracking Protection เป็นค่าเริ่มต้น ซึ่งระบบนี้จะบล็อคคุกกี้จาก third-party tracker บน Firefox เพื่อป้องกันการติดตามผู้ใช้

ระบบบล็อคคุกกี้นี้ จะบล็อคจากรายการใน Disconnect ซึ่งหาก Enhanced Tracking Protection เปิดใช้งานแล้วจะไม่มีการแสดงสัญลักษณ์ใด ๆ แต่ผู้ใช้เข้าไซต์ใดก็ตามแล้วระบบบล็อคก็จะแสดงไอคอนโล่ขึ้นมาบนแอดเดรสบาร์ สามารถคลิกเข้าไปเพื่อดูรายละเอียดการบล็อคคุกกี้ได้ และหากต้องการหยุดระบบบล็อคแยกตามไซต์ก็สามารถสั่งปิดได้เช่นกัน

บริษัทด้านความปลอดภัยเครือข่าย Palo Alto Networks ประกาศเข้าซื้อกิจการ 2 สตาร์ทอัพด้านความปลอดภัย โดยบริษัทแรกคือ Twistlock ซึ่งพัฒนาระบบความปลอดภัยสำหรับคอนเทนเนอร์ มูลค่า 410 ล้านดอลลาร์ ส่วนอีกบริษัทคือ PureSec ซึ่งเป็นสตาร์ทอัพด้านปลอดภัยของ serverless โดยไม่ได้เปิดเผยมูลค่าที่เข้าซื้อ

ความนิยมที่มากขึ้นของคอนเทนเนอร์ทำให้ประเด็นความปลอดภัยถูกยกขึ้นมาพูดถึงมากขึ้น และ Palo Alto Networks ก็ตัดสินใจเข้าลงทุนซื้อกิจการที่เกี่ยวข้องเพื่อเสริมเข้ามาในผลิตภัณฑ์ที่มีอยู่แล้วนั่นเอง

Twistlock ปัจจุบันมีลูกค้าระดับบริษัท Fortune 100 อยู่มากกว่า 25% ส่วน PureSec นั้นเป็นสตาร์ทอัพใหม่ที่เพิ่งเพิ่มทุนไป 10 ล้านดอลลาร์

ทีมงานศูนย์รับมือภัยไซเบอร์ไมโครอฟต์ (Microsoft Security Response Center - MSRC) เขียนบล็อคแจ้งเตือนช่องโหว่ CVE-2019-0708 ที่ไมโครซอฟท์ออกแพตช์พิเศษให้เมื่อกลางเดือนพฤษภาคมที่ผ่านมา หลังจากมีรายงานจาก Errata Security ระบุว่ายังมีคอมพิวเตอร์ที่ไม่ได้แพตช์และเชื่อมต่ออินเทอร์เน็ตสูงถึงหนึ่งล้านเครื่อง

ในทางวิศวกรรมซอฟต์แวร์ การที่โค้ดมีความซับซ้อนมากขึ้นเรื่อยๆ ก็มีโอกาสที่จะพบบั๊กต่างๆ รวมถึงช่องโหว่ความปลอดภัยมากขึ้นเป็นเงาตามตัว ทำให้เรามักไม่พบช่องโหว่ในโปรแกรมง่ายๆ นัก แต่ล่าสุด Travis Ormandy จาก Project Zero ก็ระบุว่าเขาพบช่องโหว่รันโค้ดบนโปรแกรม Notepad บนวินโดวส์

Notepad ของวินโดวส์เป็นโปรแกรมง่ายๆ ที่ใช้แก้ไขไฟล์เท็กซ์อย่างเดียว แต่เป็นโปรแกรมที่ติดมากับวินโดวส์เสมอแม้แต่ Windows Core

Travis บอกเพียงว่าช่องโหว่นี้เป็นช่องโหว่ memory corruption ซึ่งเป็นคำกว้างๆ ของบั๊กเมื่อโปรแกรมเมอร์ ใช้หน่วยความจำที่ไม่ได้กำหนดค่าล่วงหน้า หรือใช้หน่วยความจำเกินที่จองไว้ ตอนนี้เขาแจ้งช่องโหว่ไปยังไมโครซอฟท์แล้ว ไมโครซอฟท์มีเวลา 90 วันเช่นเดียวกับช่องโหว่อื่นของ Project Zero

GitHub เปิดตัวฟีเจอร์ความปลอดภัยเพิ่มเติมงานงาน GitHub Satellite โดยมีฟีเจอร์สำคัญคือ Dependabot ที่สแกนหาไลบรารีที่เราใช้งานและส่ง pull request อัพเดตไลบรารีให้เองหากเวอร์ชั่นที่ใช้อยู่มีช่องโหว่ความปลอดภัย, และแท็บ Security เป็นพื้นที่พัฒนาแพตช์ความปลอดภัยสำหรับโครงการต่างๆ ก่อนที่จะเปิดเผยต่อสาธารณะ

นอกจากฟีเจอร์ใหม่สองรายการนี้ ยังมีฟีเจอร์ย่อย เช่น

กูเกิลแถลงถึงความผิดพลาดในการอิมพลีเมนต์ฟีเจอร์ในหน้าจอคอนโซลของ G Suite ทำให้รหัสผ่านของผู้ใช้จำนวนหนึ่งถูกเก็บไว้โดยไม่ได้แฮช โดยมีสองฟีเจอร์ด้วยกัน คือ

• ฟีเจอร์กู้คืนรหัสผ่านโดยผู้ดูแล เริ่มใช้มาตั้งแต่ปี 2005 และยกเลิกไปแล้ว
• กระบวนการสมัครใช้งาน G Suite เมื่อเดือนมกราคมที่ผ่านมา เก็บรหัสผ่านไม่ได้แฮชโดยไม่ตั้งใจไว้ไม่เกิน 14 วัน

กูเกิลแจ้งเตือนผู้ดูแลบัญชี G Suite ที่ได้รับผลกระทบทั้งหมดแล้ว และหากผู้ใช้ยังไม่ยอมรีเซ็ตรหัสก็จะบังคับรีเซ็ตอีกครั้งเพื่อความปลอดภัย โดยกูเกิลขออภัยในความผิดพลาดครั้งนี้

ที่มา - Google Cloud Blog

ProtonMail ออกแอป Android เวอร์ชัน 1.11 โดยเพิ่มฟีเจอร์ใหม่สองอย่าง คือระบบปลดล็อกแอปด้วยลายนิ้วมือ และการยืนยันลิงก์

สำหรับระบบปลดล็อกแอปด้วยลายนิ้วมือ ผู้ใช้สามารถเปิดได้โดยไปที่การตั้งค่าของแอปและเลือกแท็บ PIN จากนั้นจะต้องตั้งค่า PIN และเมื่อตั้งค่า PIN แล้วให้เลือก Use Fingerprint ก็เป็นอันเสร็จสิ้น โดยผู้ใช้เข้าแอป ProtonMail ก็จะถามหาลายนิ้วมือ แต่ถ้าไม่มีหรือสแกนไม่ติดก็สามารถกด PIN แทนได้

ถัดไปคือการยืนยันลิงก์ คือเมื่อกดลิงก์ในอีเมลแล้ว ProtonMail จะมีระบบยืนยันลิงก์อีกครั้งโดยขึ้นเป็นกล่องแสดงว่าผู้ใช้กำลังจะไปตามลิงก์ไหน เพื่อป้องกันการกดลิงก์พลาด รวมถึงลิงก์หลอกที่มักจะปรากฏในอีเมล phising

Project Zero ของกูเกิลแชร์การรวบรวมข้อมูลช่องโหว่ที่มีการโจมตีก่อนแก้ไข (zero-day exploit/0day) นับจากปี 2014 หรือย้อนหลังไป 5 ปีที่ผ่านมา ระบุทั้งหมายเลข CVE, ผู้ผลิต, ชื่อสินค้า, ประเภทช่องโหว่, กลุ่มผู้โจมตี, วันที่พบการโจมตี, และวันที่ออกแพตช์แก้ไข

การรวบรวมนี้ทำให้เข้าใจการโจมตีได้ดีขึ้น เช่น โดยเฉลี่ยจะพบการโจมตีโดยไม่มีแพตช์ทุก 17 วันต่อช่องโหว่ (ในความจริงห่างกว่านี้มาก เพราะการโจมตีหลายครั้งใช้หลายช่องโหว่รวมกันเป็นชุด), ระยะเวลาที่มีรายงานไปจนถึงผู้ผลิตออกแพตช์เฉลี่ย 15 วัน, และ 68% ของช่องโหว่เป็นปัญหา memory-corruption

กูเกิลออกประกาศแจ้งเตือนกุญแจ Titan Security Key ที่เปิดตัวไปเมื่อปีที่แล้ว ว่าการคอนฟิกเฟิร์มแวร์ผิดพลาดทำให้แฮกเกอร์สามารถดักรับข้อความยืนยันการล็อกอินได้, หรือระหว่างการ pair ระหว่างอุปกรณ์ (โทรศัพท์, โน้ตบุ๊ก) กับตัวกุญแจ แฮกเกอร์สามารถสร้างอุปกรณ์มาปลอมเป็นกุญแจเพื่อเข้าควบคุมเครื่องภายหลังได้

คนโจมตีต้องอยู่ในระยะสัญญาณ Bluetooth เพื่อโจมตีช่องโหว่นี้ โดยมีระยะประมาณ 10 เมตร และการล็อกอินด้วย USB และ NFC ไม่มีผลใดๆ โดยการใช้ล็อกอินสองขั้นตอนต้องใช้รหัสผ่านร่วมด้วย การใช้กุญแจยังคงลดความเสี่ยงจากการถูกหลอกให้เข้าเว็บปลอม (phishing) และลดความเสี่ยงในกรณีรหัสผ่านหลุด