ESET Security Forum ของสเปน (http://securityforum.eset.es) ถูกแฮกโดยแฮกเกอร์ชาวอินโดนิเซียที่ใช้ชื่อว่า “Hmei7” เมื่อวันที่ 4 มิถุนายน 2557 โดยทางบริษัท ESET ได้ออกมายืนยันแล้วว่าแฮกเกอร์ได้เข้าถึงข้อมูลส่วนตัวของสมาชิกกว่า 2,700 คนได้
โดยสมาชิกที่ได้รับผลกระทบจะได้รับการแจ้งเตือน และแนะนำให้เปลี่ยนรหัสผ่านของบัญชีตัวเอง โดยมีการแนะนำให้เปลี่ยนรหัสผ่านในบริการอื่นๆ ที่ใช้รหัสผ่านเดียวกันอีกด้วย

ที่มา : securityweek

ในปัจจุบันเราจะเห็นข่าวข้อมูลรั่วไหลจากองค์กรและบริษัทต่างๆมากมาย ข้อมูลที่หลุดออกมาไม่ว่าจะเป็น ข้อมูลแผนการตลาด, ข้อมูลของลูกค้าที่ใช้บริการ, ข้อมูลบัตรเครดิตของลูกค้า, ข้อมูลเงินเดือนของพนักงาน และอื่นๆอีกมากมาย ส่งผลให้องค์กรหรือบริษัทเหล่านั้นสูญเสียและมีผลกระทบมากมาย โดยสิ่งที่องค์กรเหล่านั้นสูญเสียนั้นมีหลายๆสิ่งที่ไม่สามารถตีค่าเป็นตัวเงินได้ ไม่ว่าจะเป็น ความน่าเชื่อถือขององค์กร, ความเชื่อมั่นของลูกค้า, ชื่อเสียงขององค์กร, โอกาสในการทำธุรกิจ, ความสามารถในการสู้ในเชิงการค้า และอื่นๆอีกมากมาย ซึ่งสิ่งเหล่านี้จำเป็นต้องใช้เวลาค่อนข้างมาก อาจจะมากกว่าเวลาทั้งหมดที่ใช้หรือก่อตั้งองค์กรนั้นๆขึ้นมาก็เป็นได้ ทำให้บริษัทต่างๆล้วนเห็นความสำคัญต่อ Cyber Security หรือการป้องกันการโจรกรรมข้อมูลต่างๆจากแฮคเกอร์ โดยถือว่าเป็นภัยคุกคามจากภายนอก แต่หารู้ไม่ว่าภัยจากภายในองค์กรก็น่ากลัวไม่ยิ่งหย่อนไปกว่าภัยคุกคามจากภายนอกเลยทีเดียว

ในช่วงเดือนมกราคม 2014 เกิดเหตุการณ์ข้อมูลรั่วไหลซึ่งถือเป็นภัยภิบัติต่อชาวเกาหลีใต้เลยก็ว่าได้ เมื่อข้อมูลบัตรเครดิตจำนวน 105.8 ล้านใบและข้อมูลของเจ้าของบัตรจำนวน 15-20 ล้านรายถูกพนักงานที่เป็น Software Engineer ทำสำเนาออกไปด้วย USB Drive จาก 3 สถาบันการเงินของเกาหลีใต้คือ KB Kookmin Card, Lotte Card, และ NH Nonghyup โดยเหตุการณ์นี้นับว่าเป็นการรั่วไหลข้อมูลครั้งใหญ่ที่สุดของเกาหลีใต้เลยทีเดียว โดยเมื่อข่าวปรากฎขึ้นพบว่ามีลูกค้าถึงห้าแสนรายยื่นเรื่องขอทำบัตรใหม่แล้วและอีกทั้งยังมีกลุ่มลูกค้าอีก 130 คนยื่นเรื่องขอฟ้องแบบกลุ่มต่อบริษัทบัตรเครดิต และส่งผลให้ผู้บริหาร 27 คนได้ยื่นใบลาออก รวมถึง CEO ของ NH Nonghyup Card และผู้บริหารระดับสูงหลายคน ยื่นใบลาออกเพื่อรับผิดชอบกับเหตุการณ์ที่เกิดขึ้นเลยทีเดียว

ข้อมูลที่ถูกนำออกมาได้ถูกขายไปแล้วอย่างน้อยสองครั้ง โดยหลังจากตำรวจสามารถตามจับพนักงานคนดังกล่าวและผู้ซื้อรายหนึ่งได้แล้ว พบว่าการกระทำผิดนี้ทำมาแล้วเป็นเวลา 1 ปีครึ่งเลยทีเดียว โดยพนักงานคนดังกล่าวกล่าวว่าได้เขียนโปรแกรมสำหรับการหลบเลี่ยงการตรวจจับการโกงเงิน (anti-fraud software) ขึ้นในขณะที่ทำสำเนาข้อมูลจากเครื่องของสถาบันมาสู่ USB Drive ของพนักงานคนดังกล่าว

การเกิดเหตุรั่วไหลครั้งนี้ส่งผลต่อแบรนด์(Brand) และความน่าเชื่อถืออย่างมาก มีหลายบริษัทที่ต้องล้มละลายหรือไม่สามารถกลับมายืนในธุรกิจได้ เนื่องด้วยไม่สามารถกู้ชื่อเสียงกลับมาได้นั่นเอง โดยการป้องกันการรั่วไหลของข้อมูลเหล่านี้เราสามารถทำได้ด้วยการคอย audit พนักงานที่ทำงานกับข้อมูลที่สำคัญเหล่านี้อย่างสม่ำเสมอและติดตั้งระบบตรวจจับพฤติกรรมที่ผิดปกติของผู้ใช้งาน เพื่อคอยสอดส่องการใช้งานต่างๆ ซึ่งในกรณีนี้ พนักงานที่เป็นผู้ร้ายจำเป็นต้องมีสิทธิ์การเข้าถึงระบบงานและสำเนาข้อมูลออกมาจำนวนมาก หากเราตั้งค่าของระบบเตือนภัยให้มีการเตือน(Alert) เมื่อผู้ใช้งานมีการสำเนาข้อมูลจำนวนมากกลับมาจากเซอร์เวอร์ได้ ซึ่งหากผู้ดูแลระบบได้รับการเตือนก่อนหน้านี้ เหตุการณ์ทั้งหมดก็อาจไม่เกิดขึ้นและจะสามารถจับผู้กระทำความผิดได้ในทันทีก็เป็นได้

รูปภาพ infographic ค่าความเสียหายที่เกิดขึ้นในกรณีข้อมูลรั่วไหลต่างๆจากเว็บไซต์
http://www.

ในวันที่ 5/06/2014 ที่ผ่าน มีการเปิดเผยโดยนักวิจัยทางด้านความปลอดภัยที่ใช้ชือว่า Pinkie Pie ได้ตรวจพบช่องโหว่ใน function futex_requeue() ในไฟล์ kernel/futex.

การเข้ารหัสการสื่อสารข้อมูลระหว่างเครื่อง client และเครื่อง server เริ่มมีการใช้งานกันอย่างแพร่หลาย และ library ที่ใช้กันอย่างแพร่หลายคือ OpenSSL เพราะเป็น Open Source และสามารถใช้ได้ทั้งใน TLS, SSL Protocol ทำให้มีผู้นำไปพัฒนาใช้กับโปรแกรมประเภทต่างๆมากมาย แต่ในเมื่อวันที่ 7 เมษายน 2557 ที่ผ่านมามีการเปิดเผยช่องโหว่ OpenSSL ในส่วนของ Heartbeat extension จาก OpenSSL โดยผู้แจ้งคือ Riku, Antti และ Matti, ทีม security engineer จาก Codenomicon และ Neel Mehta จาก Google Security Team ช่องโหว่นี้กระทบทั้ง HTTPS, Email, Instant Messaging, VPN บางตัว หรือแม้แต่ Server ต่างๆที่ให้บริการกับ Mobile Application ต่างๆก็อาจมีช่องโหว่ได้เช่นกัน โดยช่องโหว่ดังกล่าวถูกตั้งชื่อว่า “Heartbleed” (CVE-2014-0160) ไม่ทราบเหมือนกันว่าทำไมถึงใช้ชื่อนี้ แต่อาจจะพยายามให้คล้ายกับชื่อเดิมก็เป็นได้ครับ

อะไรคือ Heartbeat Extensionและช่องโหว่ของ Heartbeat Extension เกิดขึ้นได้อย่างไร

Heartbeat extension (RFC 6520 Standard) เป็นส่วนเสริมของ OpenSSL โดยใช้เป็น Keep Alive packet มีส่วนประกอบด้วยกัน 2 ส่วนคือ request และ response กล่าวคือเป็นการตกลงกับ server ปลายทางว่าหลังจากจบการเชื่อมต่อที่เข้ารหัสแล้ว ให้ยังคงเก็บ session เปิดค้างไว้แม้ว่าจะไม่มีการส่งข้อมูลอะไรให้อีกก็ตาม นอกจากนี้ยังใช้ในการตกลงระหว่างทั้ง 2 ฝ่ายให้คุยกันได้อย่างราบรื่นอีกด้วย

การส่ง Request ตาม Standard นั้นจะกำหนดขนาดสูงสุดอยู่ที่ 16KByte (214 Byte) แต่โดยปกติ OpenSSL จะสร้าง request ที่สั้นกว่านั้นมาก โดยส่วนประกอบของ Heartbeat Request เป็นดังนี้

TLS1_HB_REQUEST ขนาด 1 Byte เป็นตัวกำหนดประเภทของ Message
Payload Length ขนาด 2 Byte เป็นตัวกำหนดขนาดของ Payload + Padding(ส่วนเติมเต็ม packet)
Sequence Number ของ Payload ขนาด 2 Byte
Payload ขนาด 18 Byte
Padding ขนาด 16 Byte

/* Enter response type, length and copy payload */
*bp++ = TLS1_HB_RESPONSE;
s2n(payload, bp);
memcpy(bp, pl, payload);
ตัวอย่าง Source Code ที่มีช่องโหว่ของ Heartbeat extension

แต่ประเด็นคือตอนรับข้อมูลไม่ได้ตรวจสอบดีนัก เนื่องด้วย Heartbeat extension จะตอบกลับด้วย copy ของ payload data ที่ได้รับตอน request ซึ่งเป็นตัวบ่งบอกว่าวงจรการเข้ารหัส (Encrypted circuit) ยังคงทำได้ปกติทั้ง 2 ฝั่ง ซึ่งหากผู้ส่ง Request มีการใส่ค่า payload ขนาดเล็กแต่กำหนด payload size เป็น 0xFFFF(65535 byte) ทาง OpenSSL จะไป copy 65535 byte จาก payload ที่ส่งไปและ memory ที่ใช้กับ connection ของผู้อื่นที่จบ connection พอดีมาให้แทน นั่นหมายความว่าหาก Heartbeat request ที่ส่งไปยังเว็บไซต์ที่เป็น HTTPS โดยไม่ได้ใส่ payload ใดๆลงไปแต่กลับกำหนดขนาดของ payload length เป็น 0xFFFF แทน จะทำให้ OpenSSL จะนำข้อมูล HTTP ของผู้อื่นทั้ง HTTP Request และ HTTP Response จะถูก copy จนครบ 65535 และส่งกลับมาให้เราแทน โดยข้อมูลเหล่านั้นอาจจะเป็นได้ทั้ง username, password, cookies, x.509 certificates เป็นต้น

รูปภาพตัวอย่างโครงสร้าง Heartbeat Request และ Response ที่เป็นปัญหา

มีเว็บไซต์ชื่อดังมากมายที่ได้รับผลกระทบจากช่องโหว่นี้ไม่ว่าจะเป็น www.

ช่วงค่ำเมื่อวานนี้ (11 มิ.ย. 57) หลายคนอาจจะประสบปัญหาเข้าใช้งาน Feedly ไม่ได้เป็นเวลาหลายชั่วโมง นั่นเป็นเพราะ Feedly ถูกโจมตีด้วย DDoS แถมผู้โจมตียังได้เรียกเงินสำหรับการหยุดยิง DDoS ถล่มอีกด้วย
ตอนนี้ Feedly กลับมาใช้งานได้ปกติแล้วโดยไม่ได้เสียเงินแต่อย่างใด แต่เป็นการปรับโครงสร้างของระบบ และทาง Feedly แจ้งว่าไม่มีข้อมูลใดๆ รั่วไหลจากการโจมตีครั้งนี้ พร้อมทั้งกำลังรวมกลุ่มกับผู้ที่ถูกโจมตีเพื่อดำเนินการทางกฎหมายกับผู้กระทำผิดต่อไป
เมื่อหลายเดือนก่อน Basecamp ก็ถูกโจมตีในลักษณะเช่นเดียวกันนี้ ไม่แน่ว่าการโจมตีครั้งนี้อาจจะเป็นผู้โจมตีรายเดียวกันก็เป็นได้

ที่มา : ars technica

ช่วงที่ผ่านมามีคนตั้งคำถามมากมายเกี่ยวกับการเก็บรหัสผ่าน(Password) ของเว็บไซต์ต่างๆทั่วโลกรวมถึงประเทศไทยด้วย ว่าการเก็บเป็นแบบข้อความโดยไม่มีการเข้ารหัส (plain text) สมควรหรือไม่ บางคนก็ว่าเว็บไซต์ไม่ได้มีการทำธุรกรรมออนไลน์ใดๆ ไม่จำเป็นต้องเก็บแบบเข้ารหัสหรอก ไม่ต้องให้ความสำคัญหรือจริงจังอะไร แต่หารู้ไม่ว่าการเก็บข้อมูล password แบบไม่เข้ารหัสนั้นแฝงไปด้วยภัยอันตรายมากมาย

เว็บไซต์กับรูปแบบการเก็บ Password

ไม่ว่าจะเป็นเว็บไซต์ของบริษัทชื่อดังหรือไม่ก็ตาม ก็ยังพบเห็นได้ทั่วไปกับพฤติกรรมการเก็บ Password แบบที่ไม่เข้ารหัส โดยถึงแม้ว่าเว็บไซต์เหล่านั้นจะไม่มีการทำธุรกรรมออนไลน์แต่อย่างใด แต่กลับมีการระบุให้ผู้ใช้งานทั่วไปที่ต้องการสมัครสมาชิกของเว็บไซต์เหล่านั้นกรอกข้อมูลสำคัญของตนเองในแบบฟอร์มการสมัครสมาชิกด้วยเช่นกัน นั่นหมายความว่าเว็บไซต์เหล่านั้นก็จะเก็บข้อมูลสำคัญของผู้ใช้งานไว้พร้อมกับการเก็บ password แบบไม่เข้ารหัสไว้นั่นเอง

รูปภาพตัวอย่างเว็บไซต์ที่เก็บ password แบบไม่เข้ารหัส

โดยปกติเว็บไซต์ทั่วไปจะมีการเก็บ Password เป็น 3 แบบด้วยกันคือ

การเก็บข้อมูลแบบ plain text คือการเก็บ password แบบไม่มีการเข้ารหัสแต่อย่างใด
การเก็บข้อมูลแบบเข้ารหัส แต่สามารถถอดรหัสได้
การเก็บโดยใช้เป็นแบบ one-way hashing คือการเข้ารหัสแบบทางเดียว กล่าวคือเมื่อทำการเข้ารหัสไปแล้ว จะไม่สามารถทำกระบวนการย้อนกลับหรือถอดรหัส(decryption) ได้อีก

รูปภาพตัวอย่างการใช้งาน Hash function

นั่นหมายความว่าหากเราทดสอบด้วยการ “ลืม password (forgot password)” กับเว็บไซต์ใดๆ แล้วเว็บไซต์ส่ง email กลับมายังฝั่งผู้ใช้งานพร้อมกับ password ของผู้ใช้ นั่นหมายความว่าเว็บไซต์เหล่านั้นมีการเก็บ password เป็นแบบ 1, 2 แน่นอน และมักจะพบว่าเป็นแบบที่ 1 อีกด้วย

ภัยจากการเก็บ Password แบบไม่เข้ารหัส

ถ้ามองแบบผิวเผิน การเก็บ Password แบบไม่เข้ารหัสก็น่าจะไม่มีพิษมีภัยอะไร แต่จริงๆ แล้วมันทำให้เกิดภัยอันตรายต่างๆ ได้มากมายเช่น

การปลอมแปลงตัวตน(Impersonate Person) ในปัจจุบันการใช้งานเว็บไซต์ใดๆ จะมี username เปรียบเสมือนตัวแทนของเรา ไม่ว่าเราจะกระทำสิ่งใดก็แล้วแต่ในเว็บไซต์นั้นๆ เช่น การเขียนข้อความลงในกระทู้ภายในเว็บไซต์ การส่งข้อความให้กับผู้ใช้งานอื่น เป็นต้น เปรียบเสมือนเป็นการกระทำของตัวเราเอง โดยทางเว็บไซต์จะเก็บการกระทำต่างๆ จากผู้ใช้งานลง log file หากมีการเก็บ password เป็นแบบ plain text จะทำให้ผู้ดูแลเว็บไซต์หรือใครก็แล้วแต่ที่สามารถเข้าถึง database ที่เก็บ password นั้นๆ ได้ สามารถปลอมแปลงเป็นผู้ใช้งานใดๆ ก็ได้ ซึ่งอาจนำไปสู่กาสร้างสถานการณ์และโยนความผิดกับผู้ใช้งานใดๆ ก็เป็นได้
การได้มาซึ่งข้อมูลสำคัญของบุคคล(Internal Threat & Information Leak)
จากที่กลาวไปก่อนหน้านี้ว่า ยังมีเว็บไซต์หลายเว็บไซต์ที่ให้ผู้สมัครสมาชิกจำเป็นต้องกรอกข้อมูลสำคัญของผู้ใช้งานเช่น เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วัน/เดือน/ปีเกิด เป็นต้น หากผู้ดูแลสามารถทราบถึง password ที่ไม่ได้เข้ารหัสของผู้ใช้งานได้ ก็อาจจะเข้าถึงข้อมูลสำคัญเหล่านี้ได้ และอาจนำข้อมูลสำคัญเหล่านี้ไปใช้ในทางที่ผิดต่อไปได้
การเข้าถึง account อื่นๆของผู้ใช้งาน (Using same password in multiple account)มีหลายท่านที่มีการใช้งาน username, password เหมือนๆกันในหลายๆเว็บไซต์ หรือในหลายๆ email account นั่นหมายความว่าหากเว็บไซต์หนึ่งในนั้นสามารถถูกเข้าถึง password ที่ไม่ได้เข้ารหัสไว้ได้ ไม่ว่าจะเกิดจากการถูกแฮ็ค หรือผู้ดูแลระบบเข้าถึงข้อมูลดังกล่าวเองก็ตามที ผู้ที่ได้ password นั้นไปก็จะสามารถเข้าถึง account ในเว็บไซต์อื่นๆที่มีความสำคัญของผู้ใช้งานได้ รวมถึงผู้ที่ได้ password อาจไปแก้ไข password ของผู้ใช้งานนั้นได้อีกด้วย
การหลอกล่อมาเพื่อให้ได้ password (Phishing with genuine website) *** หากมี Hacker สามารถเจาะเข้าไปในเว็บไซต์ชื่อดังที่มีชื่อเสียงแต่กลับเก็บ password เป็นแบบ plain text ได้ Hacker อาจพยายามหลอกล่อให้ผู้อื่นเข้ามาสมัครเว็บไซต์ชื่อดังดังกล่าว เพื่อหวังผลทางด้านโปรโมชั่นหรือรับข่าวสารใดๆก็แล้วแต่ เมื่อมีเหยื่อติดกับ Hacker ก็จะได้ทั้ง password ซึ่งอาจจะมีการใช้ร่วมกับเว็บไซต์อื่น, รวมถึงข้อมูลส่วนตัวที่สำคัญอื่นๆก็เป็นได้

*** อ้างอิงแนวคิดนี้จาก http://pantip.

มีการค้นพบช่องโหว่ใหม่บนแอพ TweetDeck โดยส่งผลให้แฮกเกอร์หรือผู้ไม่หวังดีสามารถสั่งรันสคริปต์อันตรายจากระยะไกลได้ผ่านทางช่องโหว่ประเภท XSS (Cross-Site Scripting) เพื่อขโมยข้อมูลผู้ใช้งานได้ ซึ่งมีการยืนยันแล้วว่าช่องโหว่นี้ มีผลกระทบต่อทั้งเว็บแอพพลิเคชั่นและแอพบนวินโดวส์
ในขณะนี้แม้ทาง TweetDeck จะประกาศว่ามีการแพตซ์ช่องโหว่นี้แล้ว แต่ยังมีผู้ใช้งานบางส่วนได้รับผลกระทบอยู่ ขอให้ผู้ใช้งานทำการออกจากระบบก่อนและงดใช้แอพ TweetDeck ก่อนชั่วคราวเพื่อความปลอดภัย สำหรับผู้ที่มีความกังวลเรื่องความปลอดภัย ขอให้ทำการยกเลิกการเข้าถึงจากแอพและเปลี่ยนรหัสผ่าน

ทาง TweetDeck ได้ทำการปิดให้บริการแอพชั่วคราวเพื่อแก้ไขปัญหาแล้ว

ที่มา : The verge

เมื่อวันที่ 7 เมษายน 2557 ที่ผ่านได้มีนักวิจัยทางด้านความปลอดภัยพบช่องโหว่ที่รุนแรงที่สุดตั้งแต่มีโลกของอินเตอร์เน็ตมา นั่นคือช่องโหว่ของ OpenSSL ที่ชื่อว่า Heartbleed ช่องโหว่ดังกล่าวกระทบกับเว็บไซด์และระบบชื่อดังต่างๆที่มีการใช้งาน OpenSSL ไม่ว่าจะเป็น Gmail, Yahoo mail, ผลิตภัณฑ์ของ Juniper, ผลิตภัณฑ์ของ CISCO และอื่นๆอีกมากมาย หากมองว่าผมกระทบความรุนแรงมีตั้งแต่ระดับ 1 – 10 ช่องโหว่นี้ถือว่ามีความรุนแรงในระดับ 11 เลยทีเดียว ช่องโหว่ดังกล่าวมีสิ่งที่ทำให้ระดับความรุนแรงสูงเนื่องด้วย 3 ประการ

แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการขโมย username, password ของผู้ใช้งานเว็บไซด์ต่างๆได้ นั่นทำให้
แฮ็คเกอร์สามารถขโมย user/password ของผู้ใช้งานทั่วไปจากเว็บไซด์การให้บริการทางการเงินออนไลน์(Internet Banking) เพื่อทำการโอนเงินของเหยื่อเหล่านั้น
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของอุปกรณ์เครือข่ายต่างๆ(network device) เพื่อแก้ไขค่า config ใดๆของระบบได้(เช่น การเพิ่ม rule “Allow any any” เพื่อให้สามารถเข้าถึงเน็ตเวิร์คภายในได้ทั้งหมาดจากภายนอก)
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของเว็บไซด์ใดๆ จากนั้นแก้ไขค่า config ของเว็บไซด์นั้นๆ(เช่น การเพิ่ม user ของแฮ็คเกอร์เป็น admin ใหม่ของเว็บไซด์ เป็นต้น)
และยิ่งสำคัญไปกว่านั้น มีหลายๆคน(โดยเฉพาะ IT Admin)มักจะใช้ password เดียวกันในหลายๆ account.

เมื่อวันที่ 7 เมษายน 2557 ที่ผ่านได้มีนักวิจัยทางด้านความปลอดภัยพบช่องโหว่ที่รุนแรงที่สุดตั้งแต่มีโลกของอินเตอร์เน็ตมา นั่นคือช่องโหว่ของ OpenSSL ที่ชื่อว่า Heartbleed ช่องโหว่ดังกล่าวกระทบกับเว็บไซด์และระบบชื่อดังต่างๆที่มีการใช้งาน OpenSSL ไม่ว่าจะเป็น Gmail, Yahoo mail, ผลิตภัณฑ์ของ Juniper, ผลิตภัณฑ์ของ CISCO และอื่นๆอีกมากมาย หากมองว่าผมกระทบความรุนแรงมีตั้งแต่ระดับ 1 – 10 ช่องโหว่นี้ถือว่ามีความรุนแรงในระดับ 11 เลยทีเดียว ช่องโหว่ดังกล่าวมีสิ่งที่ทำให้ระดับความรุนแรงสูงเนื่องด้วย 3 ประการ

แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการขโมย username, password ของผู้ใช้งานเว็บไซด์ต่างๆได้ นั่นทำให้
แฮ็คเกอร์สามารถขโมย user/password ของผู้ใช้งานทั่วไปจากเว็บไซด์การให้บริการทางการเงินออนไลน์(Internet Banking) เพื่อทำการโอนเงินของเหยื่อเหล่านั้น
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของอุปกรณ์เครือข่ายต่างๆ(network device) เพื่อแก้ไขค่า config ใดๆของระบบได้(เช่น การเพิ่ม rule “Allow any any” เพื่อให้สามารถเข้าถึงเน็ตเวิร์คภายในได้ทั้งหมาดจากภายนอก)
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของเว็บไซด์ใดๆ จากนั้นแก้ไขค่า config ของเว็บไซด์นั้นๆ(เช่น การเพิ่ม user ของแฮ็คเกอร์เป็น admin ใหม่ของเว็บไซด์ เป็นต้น)
และยิ่งสำคัญไปกว่านั้น มีหลายๆคน(โดยเฉพาะ IT Admin)มักจะใช้ password เดียวกันในหลายๆ account.

เมื่อวันที่ 7 เมษายน 2557 ที่ผ่านได้มีนักวิจัยทางด้านความปลอดภัยพบช่องโหว่ที่รุนแรงที่สุดตั้งแต่มีโลกของอินเตอร์เน็ตมา นั่นคือช่องโหว่ของ OpenSSL ที่ชื่อว่า Heartbleed ช่องโหว่ดังกล่าวกระทบกับเว็บไซด์และระบบชื่อดังต่างๆที่มีการใช้งาน OpenSSL ไม่ว่าจะเป็น Gmail, Yahoo mail, ผลิตภัณฑ์ของ Juniper, ผลิตภัณฑ์ของ CISCO และอื่นๆอีกมากมาย หากมองว่าผมกระทบความรุนแรงมีตั้งแต่ระดับ 1 – 10 ช่องโหว่นี้ถือว่ามีความรุนแรงในระดับ 11 เลยทีเดียว ช่องโหว่ดังกล่าวมีสิ่งที่ทำให้ระดับความรุนแรงสูงเนื่องด้วย 3 ประการ

แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการขโมย username, password ของผู้ใช้งานเว็บไซด์ต่างๆได้ นั่นทำให้
แฮ็คเกอร์สามารถขโมย user/password ของผู้ใช้งานทั่วไปจากเว็บไซด์การให้บริการทางการเงินออนไลน์(Internet Banking) เพื่อทำการโอนเงินของเหยื่อเหล่านั้น
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของอุปกรณ์เครือข่ายต่างๆ(network device) เพื่อแก้ไขค่า config ใดๆของระบบได้(เช่น การเพิ่ม rule “Allow any any” เพื่อให้สามารถเข้าถึงเน็ตเวิร์คภายในได้ทั้งหมาดจากภายนอก)
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของเว็บไซด์ใดๆ จากนั้นแก้ไขค่า config ของเว็บไซด์นั้นๆ(เช่น การเพิ่ม user ของแฮ็คเกอร์เป็น admin ใหม่ของเว็บไซด์ เป็นต้น)
และยิ่งสำคัญไปกว่านั้น มีหลายๆคน(โดยเฉพาะ IT Admin)มักจะใช้ password เดียวกันในหลายๆ account.