iPad 2 and $1,000 gift cards offered by scammers

Typosquatting (หรือการพิมพ์ผิดที่ติดตัวอักษรใกล้เคียง เช่น youtrube, wikipeida) เป็นเครื่องมือที่เหล่า Scammer มักใช้เพื่อหลอกเอาผลประโยชน์จากผู้ใช้งานที่กำลังหาหน้าที่ถูกต้อง โดยจะส่งผลให้ผู้ที่พิมพ์ผิดนั้นๆ ถูก redirect ไปยังหน้าที่มอบรางวัลต่างๆ (ตามภาพประกอบ) ซึ่งจะให้เลือกรางวัลต่างๆที่แสดงบนหน้าเว็ป ซึ่งไม่ว่าจะเป็นรางวัลใดผู้ที่ต้องการรับรางวัลจะต้องกรอกอีกเมลและชื่อ ข้อมูลที่อยู่ที่ต้องการให้ส่งของรางวัลไปให้ ซึ่งหากผู้ใช้งานไม่ได้ระมัดระวังและอ่านข้อมูลในส่วนของ Privacy Policy จะไม่ทราบเลยว่า เราได้ให้ความยินยอมกับเจ้าของไซต์ให้สามารถแชร์ข้อมูลกับ Third Party ได้ด้วยโดยไม่ต้องได้รับความยินยอมเพิ่มเติมแต่อย่างใด ดังนั้นควรระมัดระวังการให้ข้อมูลส่วนตัวเมื่อมีการร้องขอจากเว็ปไซต์ใดๆ โดยเฉพาะอย่างยิ่งของฟรี

ที่มา: Help Net Security

ช่องโหว่ FB โชว์ภาพถ่าย Zuckerberg

พบข้อผิดพลาดในโค้ดการทำงานของ Facebook ที่เปิดโอกาสให้ผู้ใช้สามารถเข้าถึงภาพถ่ายของผู้ใช้คนอื่นๆ บน Facebook ได้ ซึ่งรวมถึงภาพถ่ายของ Mark Zuckerberg โดยไม่ต้องได้รับอนุญาตจากเจ้าของบัญชีผู้ใช้แต่อย่างใด

โดยเป็นภาพของใครก็ได้ ซึ่งให้เหตุผลว่า เป็นภาพโป๊เปลือยไม่เหมาะสม (nudity or pornography) คุณจะพบกับออปชันที่ระบุว่า ต้องการเลือกภาพอื่นๆ เข้ารวมไปกับรายงานที่ต้องการแจ้งด้วย หรือไม่? ซึ่งเมื่อเลือกออปชันนี้ คุณจะสามารถดูภาพถ่ายเร็วๆ นี้จากโปรไฟล์ของผู้ใช้คนเดียวกันได้ เพื่อกำหนดว่า ภาพไหนบ้างไที่ไม่เหมาะสม นั่นหมายความว่า คุณก็จะสามารถเห็นภาพถ่ายอื่นๆ ของผู้ใช้เหล่านี้ได้ ล่าสุด Facebook ได้ยกเลิกคุณสมบัติการทำงานนี้ออกจากทางเว็บไซต์เรียบร้อยแล้ว

ที่มา: ARIP

Four Romanians Indicted for Hacking Subway, Other Retailers

ชาวโรมาเนีย 4 คนถูกกล่าวหาในกรณีการแฮกระบบเก็บเงินจากบัตรจาก 150 ร้านอาหารในสถานีรถไฟฟ้าใต้ดินและ 50 ร้านค้าที่ไม่ได้ระบุชื่อ ตามข้อมูลการฟ้องร้อง แฮกเกอร์ได้เข้าถึงข้อมูลเครดิตการ์ดของลูกค้ามากกว่า 80,000 ราย และสวมสิทธิ์ทำการสั่งซื้อสินค้าต่าง ๆ มูลค่ากว่าล้านดอลล่าร์

นับตั้งแต่ปี 2008 จนถึงพฤษภาคม 2011 แฮกเกอร์ได้เข้าถึงระบบจ่ายเงิน ณ จุดขาย มากกว่า 200 แห่ง เพื่อติดตั้ง key logger และโปรแกรมสำหรับการดักจับข้อมูล ซึ่งทำให้แฮกเกอร์สามารถขโมยข้อมูลทั้งเครดิตการ์ด, เดบิต และ Gift Card นอกจากนั้นยังติดตั้ง Backdoors ไว้ในระบบเพื่อให้สามารถเข้าถึงข้อมูลได้อีกด้วย

ที่มา: Hack In The Box

Coca-Cola Norway Hacked by Greek Hacking Scene (GHS)

บริษัทยักษ์ใหญ่อย่าง Coca-Cola ถูกแฮ้กหน้าเว็ปไซต์โดยกลุ่มแฮ้คเกอร์ชาวกรีก โดยเว็ปไซต์ดังกล่าวเป็นเว็ปไซต์ Coca-Cola ของประเทศนอร์เวย์ถูก Deface หน้าเพจไป จุดสำคัญของข่าวนี้คือ บริษัทใหญ่อย่าง Coca-Cola ที่เป็นที่รู้จักทั่วโลกและมีระบบ Infrastructure ของ Akamai ยังไม่สามารถต้านทานการแฮ้กจากกลุ่มแฮ้กเกอร์กลุ่มนี้ได้

ที่มา: thehackernews

XSS Vulnerability in Google Code site

พบช่องโหว่ Cross-sited Scripting บนเว็ปไซต์ Google Code โดยจากภาพประกอบเป็นการ Proof of Concept ช่องโหว่ดังกล่าว โดยใส่สคริปรูปแบบการใช้ Cross-sited scripting และคลิกปุ่ม DEBUG CODE ก็จะพบ Pop-up แสดงว่า XSS ได้สำเร็จ

ในขณะที่ +Pirate แสดงอีก Proof of Concept  วิธีหนึ่งที่สามารถ XSS ได้สำเร็จเช่นกัน

ที่มา: thehackernews

DNS cache poisoning attack on Google, Gmail, YouTube, Yahoo, Apple

 

แฮกเกอร์ชื่อ “AlpHaNiX” ได้ทำการเปลี่ยนแปลงแก้ไขหน้าเพจของ Google, Gmail, Youtube, Yahoo, Apple และโดเมนอื่นๆของประเทศคองโก โดยใช้วิธีการ DNS cache poisoning

*DNS cache poisoning เป็นวิธีการโจมตีผ่านทาง DNS (Domain Name System) โดยการโจมตีนี้จะเกิดขึ้นเมื่อ cache ในฐานข้อมูลของ DNS server ที่ไม่ได้รับมาจากแหล่ง DNS ที่ถูกต้องหรือเชื่อถือได้ โดยข้อมูลนั้นๆ อาจมาจากการโจมตีที่สร้างขึ้นบน DNS server นั้นๆ ซึ่งสาเหตุอาจผลของการปรับแต่ง DNS Cache ที่ไม่ถูกต้องโดยไม่ตั้งใจ หรือซอร์ตแวร์ DNS application ที่ใช้ไม่เหมาะสม

ที่มา: thehackernews

MySQL.com Once again Compromised using Sql Flaw

 

เว็ปไซต์ MySql.com ถูกแฮกอีกครั้งหนึ่งแล้ว โดยถูกโจมตีด้วยวิธี SQL Injection ด้วยฝีมือของแฮกเกอร์ที่ชื่อว่า "D35M0ND142”

หลังจากเมื่อเดิอนกันยายนที่ผ่านมาเคยถูกโจมตีไปแล้วครั้งหนึ่งและเว็ปไซต์ถูกฝังมัลแวร์เอาไว้

ที่มา: thehackernews

XSS Vulnerability On Twitter Found by 15 Years Old Expert

Belmin Vehabovic เด็กชายผู้ซึ่งเป็น Ethical Hacker ด้วยวัยเพียง 15 ปี พบช่องโหว่ XSS บน Twitter ซึ่งเขาได้แจ้ง Report ไปยัง Twitter พร้อมกับโพสช่องโหว่ดังกล่าวบน Twitter ของเขา ปัจจุบันช่องโหว่ดังกล่าวได้ถูกแก้ไขแล้ว

นอกจากนั้นเขายังพบช่องโหว่บน Facebook และ Paypal โดย Tweet บนหน้า Twitter ของเขา และยังได้รับเงิน 700 USD จาก Facebook ตอบแทนการพบช่องโหว่บน Facebook อีกด้วย

ที่มา: thehackernews

Android Bloatware, Another Serious Android Privacy Issue

ทีมนักวิจัยจากมหาวิทยาลัยนอร์ทแคโรไลน่าสเตทพบช่องโหว่ด้านความปลอดภัยจากสมาร์ทโฟนที่เป็น Android โดยให้ทีมแฮ้คเกอร์ที่เป็น Black Hat ทดสอบโจมตีช่องโหว่ต่างๆ ซึ่งผลที่ได้สามารถเข้าถึงข้อมูลการใช้โทรศัพท์, ลบข้อมูลในโทรศัพท์, โทรศัพท์หรือส่งข้อความไปยังหมายเลขที่มีค่าบริการสูง, อ่านข้อความส่วนตัวและอีเมล รวมไปถึงลบสิทธิ์ของเจ้าของสมาร์ทโฟนนั้นๆออกไปได้

โดยสามารถดูรายละเอียดเพิ่มเติมและคลิปการทดสอบได้จากลิงค์ที่มาได้ครับ

ที่มา: thehackernews