Paypal vulnerability can enable malicious hacker to delete any account

นักวิจัยด้านความปลอดภัยชื่อว่า “Ionut Cernica” พบข้อบกพร่องที่สำคัญในระบบของผู้ใช้จาก Paypal ซึ่งสามารถอนุญาตให้ผู้ไม่หวังดีลบบัญชี PayPal และลงทะเบียนบัญชีใหม่ โดยใช้ชื่อผู้ใช้ของบัญชีที่ถูกลบออกได้

ปัจจุบันช่องโหว่ได้รับการแก้ไขแล้ว

ที่มา : pinoyhacknews

Paypal vulnerability can enable malicious hacker to delete any account

นักวิจัยด้านความปลอดภัยชื่อว่า “Ionut Cernica” พบข้อบกพร่องที่สำคัญในระบบของผู้ใช้จาก Paypal ซึ่งสามารถอนุญาตให้ผู้ไม่หวังดีลบบัญชี PayPal และลงทะเบียนบัญชีใหม่ โดยใช้ชื่อผู้ใช้ของบัญชีที่ถูกลบออกได้

ปัจจุบันช่องโหว่ได้รับการแก้ไขแล้ว

ที่มา : pinoyhacknews

Short Password Reset code vulnerability allows hackers to brute-force many websites

เมื่อวานนี้ (20 สิงหาคม) มีรายงานช่องโหว่การใช้งานเว็บจากแฮกเกอร์ชาวอินเดีย เขาได้ให้รายละเอียดเกี่ยวกับช่องโหว่นี้ว่า เป็นขั้นตอนของการรีเซตรหัสผ่านที่สามารถทำให้ผู้โจมตีทำการ Brute Force เว็บไซต์ได้ โดยเว็บไซต์ที่ไม่มีการป้องกันในการรีเซตรหัสผ่านด้วยระบบยืนยันตัวตนของ CAPTCHA

ผู้โจมตีที่ใช้เบราว์เซอร์ Firefox ที่มี Fireforce add-on ซึ่งออกแบบมาเพื่อทำการโจมตีแบบ Brute Force ในรูปแบบ GET และ POST ซึ่งเทคนิคดังกล่าวจะโจมตีไปยังเว็บไซต์ที่ใช้ระบบรีเซ็ทรหัสผ่านที่ไม่ปลอดภัย โดยจะส่งรหัสไปยังมือถือหรืออีเมล์ของผู้ใช้ในการยืนยันตัวตน

ที่มา : thehackernews

กลุ่มความปลอดภัยร่วมลงขัน ให้เงินรางวัลคนแฮ็กวอลล์ Zuckerberg

จากข่าว พบบั๊กวอลล์ Facebook แต่บริษัทไม่สนใจ จึงโพสต์ลงในหน้าวอลล์ของ Zuckerberg และจบลงด้วยนาย Khalil ไม่ได้รับเงินรางวัล 500 ดอลลาร์จาก Facebook เพราะทำผิดเงื่อนไข

ด้านนาย Khalil ก็ให้สัมภาษณ์หลังจากนั้นว่าเขาผิดหวังที่ไม่ได้เงินรางวัล เพราะเขาตกงานมา 2 ปีแล้ว และเขาก็สามารถขายช่องโหว่นี้ให้กับแฮกเกอร์ได้ในราคาที่แพงกว่า 500 ดอลลาร์มาก แต่เขาก็เลือกจะไม่ทำเพราะเขาเชื่อมั่นในความดี

หนึ่งในทีมความปลอดภัยของ Facebook ได้ชี้แจงผ่านเว็บ Hacker News ว่าที่ปฏิเสธบั๊กของ Khalil เป็นเพราะเขามีอุปสรรคด้านการสื่อสารภาษาอังกฤษ และแจ้งข้อมูลกับ Facebook ไม่ละเอียดพอ แต่สมาชิกทีมอีกคนหนึ่งก็ให้สัมภาษณ์กับเว็บ Wired โดยยอมรับว่าบริษัทเองก็ผิดที่ไม่สอบถามข้อมูลให้ละเอียดกว่านี้

หลังจากเรื่องนี้เป็นข่าว ผู้เชี่ยวชาญด้านความปลอดภัย Marc Maiffret ก็ประกาศระดมทุนเพื่อเป็นรางวัลแก่ Khalil โดย Maiffret ให้ความเห็นว่าบั๊กที่ Khalil ค้นพบถือเป็นบั๊กใหญ่ที่มีมูลค่าสูงมาก และสามารถนำไปใช้ประโยชน์ด้านอาชญากรรมคอมพิวเตอร์ได้เลย ซึ่งเขามองว่า Khalil โดนโกง และต้องการให้กำลังใจ Khalil ด้วยการระดมทุนครั้งนี้ Maiffret บอกว่าสิ่งที่ Khalil ทำเป็นเรื่องดี แม้กระบวนการอาจผิดไปบ้าง แต่ในภาพรวมแล้วเขากำจัดบั๊กสำคัญไปได้หนึ่งบั๊ก ก่อนที่จะมีคนอื่นพบเจอและนำไปใช้ในทางเสียหาย

Maiffret ตั้งเป้าระดมเงินทุน 10,000 ดอลลาร์ โดยเขาจ่าย 3,000 ดอลลาร์ และตอนนี้ระดมทุนได้ 8,630 ดอลลาร์แล้ว

ที่มา : blognone

Important Security Update and Password Reset

League of Legends เกมส์ออนไลน์ ประกาศว่าถูกแฮกเซิร์ฟเวอร์ฝั่งอเมริกาเหนือ ซึ่งไม่กระทบกับเซิร์ฟเวอร์ในภูมิภาคอื่นๆ รวมถึงประเทศไทยด้วย ส่งผลให้ข้อมูลผู้ใช้ได้แก่ ชื่อผู้ใช้ อีเมล และรหัสผ่านที่เข้ารหัสแล้ว (salted password hashes) หลุดออกไป
นอกจากนี้ League of Legends ยังพบว่าข้อมูลการเงินบางส่วนที่มีหมายเลขบัตรเครดิตที่ถูกเข้ารหัสนั้น ถูกเจาะออกไปเช่นกัน ซึ่งทางผู้ให้บริการเกมจะติดต่อกับผู้ใช้ที่ได้รับผลกระทบทางอีเมล
League of Legends จะบังคับให้ผู้เล่นในอเมริกาเหนือเปลี่ยนรหัสผ่าน และเตรียมเพิ่มระบบยืนยันตัวตนทั้งทางอีเมลและ SMS ด้วย

ที่มา : leagueoflegends

Important Security Update and Password Reset

League of Legends เกมส์ออนไลน์ ประกาศว่าถูกแฮกเซิร์ฟเวอร์ฝั่งอเมริกาเหนือ ซึ่งไม่กระทบกับเซิร์ฟเวอร์ในภูมิภาคอื่นๆ รวมถึงประเทศไทยด้วย ส่งผลให้ข้อมูลผู้ใช้ได้แก่ ชื่อผู้ใช้ อีเมล และรหัสผ่านที่เข้ารหัสแล้ว (salted password hashes) หลุดออกไป
นอกจากนี้ League of Legends ยังพบว่าข้อมูลการเงินบางส่วนที่มีหมายเลขบัตรเครดิตที่ถูกเข้ารหัสนั้น ถูกเจาะออกไปเช่นกัน ซึ่งทางผู้ให้บริการเกมจะติดต่อกับผู้ใช้ที่ได้รับผลกระทบทางอีเมล
League of Legends จะบังคับให้ผู้เล่นในอเมริกาเหนือเปลี่ยนรหัสผ่าน และเตรียมเพิ่มระบบยืนยันตัวตนทั้งทางอีเมลและ SMS ด้วย

ที่มา : leagueoflegends

Twitter says accounts were not compromised despite hacker's claims

แฮกเกอร์ที่ปฏิบัติงานภายใต้ปฏิบัติการที่ชื่อว่า “Mauritania Attacker” ถึงเขาอ้างว่าได้ทำการปล่อยข้อมูลบัญชีของผู้ใช้งานทวิตเตอร์มากกว่า 15,000 บัญชี แต่เจ้าหน้าที่ของทวิตเตอร์ได้ออกมากล่าวว่าบริการของทวิตเตอร์ไม่ได้รับผลกระทบแต่อย่างใด
pro-Islam hacker เป็นฉายาที่ได้มาจากตอนที่เขาอาศัยอยู่ที่กลุ่มประเทศแอฟริกาตะวันตกเฉียงเหนือซึ่งเขาได้ทำการโพสต์ข้อมูลบัญชีทวิตเตอร์ทั้งหมด 15,167 บัญชี บนเว็บไซต์ Zippyshare และแฮกเกอร์ได้อ้างว่าสามารถเข้าถึงบัญชีผู้ใช้งานได้มากกว่านี้อีกด้วย
บัญชีของผู้ใช้งานที่อยู่ในรายการจะประกอบด้วย ชื่อทวิตเตอร์, หมายเลขประจำตัวที่เป็นตัวเลข และ OAuth token ส่วน Password ไม่ได้ถูกบุกรุก แต่ข้อมูล OAuth อาจจะเป็นข้อมูลทั้งหมดที่แฮกเกอร์ต้องการนำไปใช้ในการเข้าถึงข้อมูลบัญชีทวิตเตอร์

ที่มา : hack in the box

เตือนภัยไวรัส(Virus) สร้างผู้ติดตามปลอม(Follower) บน Instargram

มีรายงานเตือนผู้ใช้ Instagram ว่า เหล่า Follower ที่ติดตามคุณผ่านทาง Instagram อาจจะเป็นไวรัสที่มากด Like ก็เป็นได้ ซึ่งไวรัสดังกล่าวชื่อว่า “Zeus” ที่เคยระบาดบน Internet เมื่อปี 2010 เพื่อใช้ในการขโมยเงินในธนาคารสหรัฐอเมริกากว่า 70 ล้านดอลลาร์มาแล้ว  แต่การกลับมาครั้งนี้มาอยู่บน Instagram โดยสร้างผู้ติดตาม (Follower) เพื่อถล่ม like โดยเฉพาะเหล่าดาราคนดังบน Instagram ซึ่งมีผู้ติดตามจำนวนมาก ไม่แน่อาจเพราะการตลาดที่คนจำนวนมาก สามาถเรียกค่าตัวหารายได้ เลยใช้วิธีลัดสร้าง follower ปลอมเพื่อกระหน่ำกด Like ก็เป็นได้ งานหนักที่ต้องจัดการเหล่า follower นี้ก็คือ ทีมงานนักพัฒนา Instagram เพราะด้วยตัวไวรัสนี้กระทบกับระบบของ Instagram ไม่น้อย

อย่างไรก็ตาม หากมีคนที่ไม่รู้จักกด Like พร้อม comment หาคุณ โดยเนื้อหาความเห็นมีลิงค์ url ด้วยต้องระวัง อย่าคลิ๊ก เพราะลิงค์ที่แนบนี้อาจนำพาสู่ไวรัสได้ เช่นเดียวกันกับที่เคยเกิดขึ้นบน twitter และ facebook

ที่มา : it24hrs

Cybercriminals capture Images of people watching porn to trick them to pay ransom

Ransomware ตัวใหม่ หลอกผู้ใช้ว่าเป็น ”Australian Federal Police” พยายามเปิดเว็บแคมขณะที่ผู้ใช้งานกำลังดูเว็บไซต์ที่เป็นสื่อลามกอนาจาร และทำการ Capture ภาพไว้

เมื่อผู้ใช้ถูก Capture ภาพ มัลแวร์ดังกล่าวจะทำการล็อค Desktop ของผู้ใช้ และแสดงข้อความแจ้งเตือนว่า “ผู้ใช้งานได้ทำการละเมิดกฎหมายของรัฐบาลกลางที่เกี่ยวข้องกับสื่อลามกอนาจารเด็ก, ลิขสิทธิ์ หรือความเป็นส่วนตัว”
ตามรายงานของ WAToday กล่าวว่า ผู้ที่ตกเป็นเหยื่อจะต้องจ่ายเงินจำนวน $100 - $199 ภายใน 72 ชั่วโมง หากผู้ใช้ไม่ทำตามเงื่อนไขดังกล่าว ข้อมูลในดิสก์จะถูกลบทันที ซึ่งผู้ใช้งานหลายคนยอมรับว่าถูกแฮกในขณะที่ใช้งาน Facebook

ที่มา : ehackingnews

Cybercriminals capture Images of people watching porn to trick them to pay ransom

Ransomware ตัวใหม่ หลอกผู้ใช้ว่าเป็น ”Australian Federal Police” พยายามเปิดเว็บแคมขณะที่ผู้ใช้งานกำลังดูเว็บไซต์ที่เป็นสื่อลามกอนาจาร และทำการ Capture ภาพไว้

เมื่อผู้ใช้ถูก Capture ภาพ มัลแวร์ดังกล่าวจะทำการล็อค Desktop ของผู้ใช้ และแสดงข้อความแจ้งเตือนว่า “ผู้ใช้งานได้ทำการละเมิดกฎหมายของรัฐบาลกลางที่เกี่ยวข้องกับสื่อลามกอนาจารเด็ก, ลิขสิทธิ์ หรือความเป็นส่วนตัว”
ตามรายงานของ WAToday กล่าวว่า ผู้ที่ตกเป็นเหยื่อจะต้องจ่ายเงินจำนวน $100 - $199 ภายใน 72 ชั่วโมง หากผู้ใช้ไม่ทำตามเงื่อนไขดังกล่าว ข้อมูลในดิสก์จะถูกลบทันที ซึ่งผู้ใช้งานหลายคนยอมรับว่าถูกแฮกในขณะที่ใช้งาน Facebook

ที่มา : ehackingnews