พบช่องโหว่บน DropBox ที่ทำให้ผู้โจมตีสามารถทะลุระบบ two-factor authentication ของเป้าหมายได้ โดยช่องโหว่นี้เกิดจากการที่ไม่มีการตรวจสอบอีเมลที่ใช้ในการสมัครบัญชีใหม่ ซึ่งนั้นทำให้แฮกเกอร์ทำแค่เพียงสมัครบัญชีใหม่ที่ใช้ชื่อเหมือนบัญชีของเป้าหมายและใส่จุดลงไปซักจุดในอีเมลแอดเดรส หลังจากนั้นก็เปิดระบบ two-factor authentication เอาไว้และเซฟ emergency code ที่สร้างขึ้นมา ขั้นตอนต่อไปก็คือลงชื่อออกจากบัญชีที่สร้างขึ้นมาแล้วเข้าไปยังบัญชีของเป้าหมายโดยใช้ Username และ password ที่ดักจับมาได้ หลังจากเข้าสู่ระบบแล้วระบบจะถามหารหัส OTP ให้กดเลือกไปที่ “I Lost My Phone” หลังจากนั้นทางเว็บไซต์จะให้ใส่ emergency code ที่สามารถทำให้เข้าใช้งานโดยไม่ต้องผ่านระบบ two-factor authentication และสามารถล็อกอินเข้าใช้งาน Dropbox ได้อย่างสมบูรณ์

ที่มา : thehackernews

เว็บไซต์ของบริษัทวิดีโอเกมส์ (Nintendo) ของประเทศญี่ปุ่น ถูกแฮก ขโมยรหัสผ่าน และทางบริษัทได้แจ้งเตือนไปยังสมาชิกให้ทำการเปลี่ยนรหัสผ่านของตนเอง

Nintendo ได้ยืนยันว่ามีการละเมิดความปลอดภัย โดยมีความพยายามเข้าถึงระบบโดยไม่ได้รับอนุญาต 23,926 ครั้ง ระหว่างวันที่ 9 มิถุนายน ถึง 4 กรกฎาคม
ซึ่งแฮกเกอร์ได้เข้าถึงข้อมูลส่วนตัวของสมาชิก รวมทั้งชื่อ, ที่อยู่, หมายเลขโทรศัพท์ และที่อยู่อีเมล ทางบริษัทจึงส่งอีเมล์แจ้งไปยังสมาชิกให้ทำการเปลี่ยนรหัสผ่านใหม่

ที่มา : ehackingnews

ไมโครซอฟท์ออกแพทซ์อังคารนี้ (9 ก.ค. 56) สำหรับเดือนกรกฎาคม ซึ่งมีหนึ่งช่องโหว่ใน Kernel ที่สามารถยกระดับสิทธิ์ได้ และแก้ไขอีก 6 ช่องโหว่ที่สำคัญ

แพทช์ดังกล่าวจะแก้ไขช่องโหว่ใน Microsoft Windows, .Net Framework, Silverlight และสามารถนำไปใช้ได้กับทุกเวอร์ชั่น ทั้ง Internet Explorer 6 บน Windows XP และ Internet Explorer 10บน Windows 8

บ่อยครั้งที่ผู้บุกรุกจะโจมตีโดยให้เหยื่อทำการติดตั้งมัลแวร์โดยใช้วิธี drive-by download (ผู้บุกรุกจะทำการส่ง code อันตราย มาทำงานบนแอพลิเคชั่น จากนั้นจะทำการสั่งรันมัลแวร์ payload ซึ่งโดยปกติจะไม่มีการแจ้งเตือนใดๆ ไปยังผู้ใช้งาน)

นอกจากนี้ยังมีช่องโหว่ใน Windows Kernel ฟังก์ชั่น EPATHOBJ::pprFlattenRec (CVE-2013-3660) ที่เปิดเผยโดยนักวิจัยด้านความปลอดภัย Tavis Ormandy

ที่มา : thehackernews

ตำรวจแคนาดาที่มีความผิดฐานวางแผนที่จะลงสปายแวร์ไว้ในมือถือ BlackBerry ของภรรยาได้ถูกสั่งลดตำแหน่งลง 2 ขั้นหลังจากถูกงดการจ่ายเงินเดือนมา 2 ปี ในคำสารภาพนั้นเขาได้อ้างต่อศาลว่า เขาไม่รู้ว่าการวางแผนที่จะทำอาชญากรรมทางไซเบอร์จะเป็นความผิด สปายแวร์ที่เขาการดาวน์โหลดมานั้นสามารถบันทึกการพูดคุย, บันทึกการรับ-ส่ง SMS และ สามารถจับตาดูตำแหน่งของมือถือบนแผนที่ GPS ได้ โดยข้อมูลที่ได้มานั้นจะถูกโพสต์ลงบนเว็บไซต์เฉพาะและสามารถเข้ามาดูจากที่ไหนก็ได้ เขาได้ทำการซื้อสปายแวร์โดยใช้ชื่อและบัตรเครดิตของเขาในการซื้อจากเว็บไซต์โฆษณาของสหรัฐอเมริกา คดีของตำรวจคนนี้เป็นหนึ่งในคดีแรกๆที่ผู้ซื้อถูกจับกุมภายใต้กฎหมายใหม่ จากกฎหมายนี้ทำให้แอพลิเคชั่นบางอันกลายเป็นแอพพลิเคชั่นที่ผิดกฎหมาย อย่างเช่นแอพพลิเคชั่นที่โพสต์ว่าเราอยู่ที่ไหน เป็นต้น

ที่มา : nakedsecurity

คณะกรรมการอาหารและยาของสหรัฐอเมริกา(อย.)ได้ปิดเว็บไซต์ที่จำหน่ายยาที่ไม่ได้รับ อย. เป็นจำนวน 1,677 เว็บไซต์ โดยใช้ชื่อปฎิบัติการว่า Pangea โดยเว็บไซต์เหล่านี้ได้มีการใช้ใบรับรองปลอมเพื่อหลอกให้ผู้ซื้อในสหรัฐอเมริกาเชื่อว่าเว็บไซต์เหล่านี้เป็นเว็บไซต์ขายยาของชาวแคนาดาที่ถูกกฎหมาย และในเว็บไซต์เหล่านี้ยังขายยาที่มีการตีตรายี่ห้อที่เป็นที่นิยมและพิมพ์ใบรับรอง อย.ปลอมขึ้นมาใช้อีกด้วย ที่ชาวสหรัฐชอบซื้อยาจากเว็บไซต์ขายยาของชาวแคนาดานั้นมาจากการที่กฎหมายของประเทศแคนาดาระบุว่าประชาชนของแคนาดาจะได้รับส่วนลดเมื่อมีการซื้อยาจากร้านขายยาในแคนาดา แต่ว่าการจะซื้อยาได้นั้นต้องมีใบสั่งซื้อที่ออกมาจากแพทย์ก่อนถึงจะซื้อยาได้ แต่กฎหมายนี้ไม่ได้ครอบคลุมถึงร้านขายยาของชาวแคนาดาที่ตั้งอยู่นอกประเทศแคนาดา ทำให้มีการขายยาให้กับชาวต่างชาติโดยมีการควบคุมเพียงเล็กน้อยเท่านั้น จากช่องโหว่นี้ทำให้เกิดการขายยาปลอมโดยแอบอ้างว่าเป็นร้านขายยาของชาวแคนาดา คณะกรรมมาธิการของ อย. Margaret Hamburg ได้ให้สัมภาษณ์กับทาง CNN ว่า “จากการตรวจสอบยาที่ขายตามเว็บไซต์ขายยาปลอมเหล่านี้ ได้พบว่ายาเหล่านั้นไม่มีส่วนผสมใดๆที่ออกฤทธิ์ตรงกับยาที่ขายแม้แต่นิดเดียว” ยาที่นิยมใช้ในการหลอกขายมีดังต่อไปนี้

Avandaryl
Generic Celebrex
Levitra Super Force และ Viagra Super Force
Clozapine

ที่มา : nakedsecurity

เมื่อวันที่ 4 กรกฎาคม 2556 เวลาประมาณ 20:00 น.  เว็บไซต์หลักของธนาคารออมสิน ได้ถูกแฮกโดย TeamFBI ซึ่งได้ทำการเปลี่ยนหน้าเว็บไซต์เป็นสีดำและมีข้อความเขียนว่า [ HaCkEd By team FBI ] พร้อมชื่อและอีเมลของคนในทีม

ล่าสุดเมื่อเวลาประมาณ 23:06 น. ทางเว็บมาสเตอร์ของธนาคารออมสินได้แก้ไขแล้ว

ที่มา : blognone

วิศวกรรักษาความปลอดภัยชื่อ Ben Lincoln กล่าวถึงโทรศัพท์โมโตโรล่ารุ่น Droid X2 ว่าในการส่งข้อมูล เช่น ชื่อผู้ใช้, email, รหัสผ่าน, และพิกัด gps ที่ถูกส่งไปยังเว็บไซต์ที่เป็นเจ้าของโดยโมโตโรล่า
ซึ่งข้อมูลเหล่านี้จะถูกส่งผ่านการเชื่อมต่อ HTTP ซึ่งอาจมีช่องโหว่ทำให้ผู้โจมตีสามารถดักจับข้อมูลเหล่านี้ได้ เมื่อผู้ใช้มีการใช้อินเตอร์เน็ตสาธารณะ (wireless)

ที่มา : ehackingnews

วิศวกรรักษาความปลอดภัยชื่อ Ben Lincoln กล่าวถึงโทรศัพท์โมโตโรล่ารุ่น Droid X2 ว่าในการส่งข้อมูล เช่น ชื่อผู้ใช้, email, รหัสผ่าน, และพิกัด gps ที่ถูกส่งไปยังเว็บไซต์ที่เป็นเจ้าของโดยโมโตโรล่า
ซึ่งข้อมูลเหล่านี้จะถูกส่งผ่านการเชื่อมต่อ HTTP ซึ่งอาจมีช่องโหว่ทำให้ผู้โจมตีสามารถดักจับข้อมูลเหล่านี้ได้ เมื่อผู้ใช้มีการใช้อินเตอร์เน็ตสาธารณะ (wireless)

ที่มา : ehackingnews

แอปเปิ้ลได้ออกอัพเดท 3 ช่องโหว่ใน OS X เดสก์ท็อปแพลตฟอร์ม
บริษัทแอปเปิ้ลกล่าวว่า การอัพเดทจะแก้ไขช่องโหว่ที่อาจทำให้ผู้โจมตีจากระยะไกลสั่งรันโค้ดบนระบบ OS X หรือเซิร์ฟเวอร์ได้

ช่องโหว่แรก คือ ช่องโหว่ในไฟล์ภาพยนตร์ที่ชื่อว่า Sorenson หากผู้ใช้เปิดภาพยนตร์ที่สร้างขึ้นมาพิเศษ ผู้โจมตีจะสามารถสั่งรันโค้ดจากระยะไกลบนระบบที่เป็นเป้าหมายได้

ช่องโหว่ที่สอง คือ รันโค้ดจากระยะไกลในไฟล์หนังที่มีการเข้ารหัสแบบ H.264 เมื่อถูกโจมตีสำเร็จ จะอนุญาตให้เครื่องของผู้ใช้ติดมัลแวร์จากระยะไกลได้

ช่องโหว่ที่สาม คือ buffer overflow ในการจัดการข้อมูล mvhd และจะป้องกันการโจมตีที่คล้ายกันโดยใช้ไฟล์ภาพยนตร์ที่สร้างขึ้นมาเป็นพิเศษ

แอปเปิ้ลให้คำแนะนำแก่ผู้ใช้ทุกคนที่ใช้ OS X Snow Leopard รวมทั้ง OS X Mountain Lion และ Lion Server ให้อัพเดทระบบเพื่อที่จะป้องกันการโจมตีจากผู้ไม่หวังดี

ที่มา : v3

E-hacking news พบสแปมตัวใหม่ของ Facebook โดยใช้หัวข้อที่ชื่อ "Adriana Lima FuckTape! "
อาชญากรบนโลกไซเบอร์ได้นำมาใช้เป็นวิธีการใหม่เพื่อหลอกลวงผู้ใช้งาน facebook

เมื่อเหยื่อทำการคลิ๊กที่ภาพ จะปรากฎ Message box ถามคุณว่า “Move the favicon out of the box” ถ้าเหยื่อทำตามขั้นตอนทั้งหมด บัญชีของเหยื่อจะถูกแฮกเกอร์ควบคุมทันที

เมื่อไหร่ก็ตาม ถ้าเหยื่อทำการลาก Favicon ซึ่งจะเป็นการลาก URL ไปเปิดในเบราว์เซอร์ขนาดเล็ก การกระทำดังกล่าว หมายถึง คุณกำลังทำการมอบ Faecbook access token ให้กับแฮกเกอร์โดยไม่เจตนา
โดยแฮกเกอร์สามารถที่จะโพสต์ข้อความจากบัญชี Facebook ของคุณได้ โดยใช้จาก token ที่ขโมยมา

ที่มา : ehackingnews