Mohamed Ramadan ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการเปิดเผยปัญหาด้านความปลอดภัยของ Dropbox ซึ่งกระทบต่อทั้งผู้ใช้งานบนเว็บและแอพบน iOS ในขณะที่ Dropbox ปฏิเสธว่าเป็น "ช่องโหว่" ด้านความปลอดภัย ปัญหานี้คือการยินยอมให้มีการเอ็กซีคิวต์จาวาสคริปต์ที่ถูกฝังอยู่ในไฟล์ประเภท HTML และ SWF ได้เมื่อมีการอัพโหลดและแชร์ไปยังผู้ใช้งานอื่น การโจมตีอย่าง XSS มักจะใช้วิธีเดียวกันนี้ในการโจมตีและขโมยข้อมูลของผู้ใช้งาน

ทางด้าน Dropbox ได้ตอบอีเมลของ Ramadan ว่านี่ไม่นับเป็นช่องโหว่ด้านความปลอดภัยของ Dropbox เพราะจำเป็นต้องให้ผู้ใช้อัพโหลดและแชร์ไฟล์ อีกทั้งไฟล์ที่ถูกอัพโหลดไปจะอยู่บนโฮสต์ dl-web.

เด็กอายุ 14 ปีสองคนจาก Winnipeg ได้คิดค้นวิธีข้ามขั้นตอนระบบรักษาความปลอดภัยตู้ ATM ของ Bank of Montreal โดยที่ทั้งคู่ไม่ได้ใช้ความรู้ด้านการเขียนโค้ดหรือทักษะคอมพิวเตอร์ชั้นสูงอะไร ดูแค่คู่มือการใช้งานตู้ ATM ที่เผยแพร่ในอินเตอร์เน็ตเท่านั้น

Edmonton Journal รายงานข่าวว่า Matthew Hewlett และ Caleb Turon ได้ใช้อินเตอร์เน็ตค้นหาคู่มือการใช้งานตู้ ATM ของธนาคาร Bank of Montreal ในขณะที่นั่งในร้านขายของ พวกเค้าค้นพบวิธีในการเปลี่ยนโหมดใช้งานทั่วไปให้กลายเป็นโหมดผู้ดูแลได้ด้วยการใส่รหัสผ่าน default system

ถือว่าเป็นโชคดีของธนาคารที่เด็กทั้งสองคนนี้ไม่ได้มีความตั้งใจที่จะขโมยเงินจากตู้หรือติดตั้งซอฟท์แวร์เพื่อดักจับขโมยข้อมูลจากบัตรของผู้ใช้คนอื่นๆ เมื่อพวกเค้าแฮกตู้เอทีเอ็มได้สำเร็จ ก็เปลี่ยนหน้าจอต้อนรับให้กลายเป็นการแจ้งเตือน ว่าให้ไปใช้ตู้อื่น ตู้นี้ถูกแฮกแล้ว สิ่งแรกที่พวกเค้าทำหลังจากนั้นก็คือแจ้งธนาคารสาขาที่รับผิดชอบถึงช่องโหว่นี้

ที่มา : GIZMODO

เด็กอายุ 14 ปีสองคนจาก Winnipeg ได้คิดค้นวิธีข้ามขั้นตอนระบบรักษาความปลอดภัยตู้ ATM ของ Bank of Montreal โดยที่ทั้งคู่ไม่ได้ใช้ความรู้ด้านการเขียนโค้ดหรือทักษะคอมพิวเตอร์ชั้นสูงอะไร ดูแค่คู่มือการใช้งานตู้ ATM ที่เผยแพร่ในอินเตอร์เน็ตเท่านั้น

Edmonton Journal รายงานข่าวว่า Matthew Hewlett และ Caleb Turon ได้ใช้อินเตอร์เน็ตค้นหาคู่มือการใช้งานตู้ ATM ของธนาคาร Bank of Montreal ในขณะที่นั่งในร้านขายของ พวกเค้าค้นพบวิธีในการเปลี่ยนโหมดใช้งานทั่วไปให้กลายเป็นโหมดผู้ดูแลได้ด้วยการใส่รหัสผ่าน default system

ถือว่าเป็นโชคดีของธนาคารที่เด็กทั้งสองคนนี้ไม่ได้มีความตั้งใจที่จะขโมยเงินจากตู้หรือติดตั้งซอฟท์แวร์เพื่อดักจับขโมยข้อมูลจากบัตรของผู้ใช้คนอื่นๆ เมื่อพวกเค้าแฮกตู้เอทีเอ็มได้สำเร็จ ก็เปลี่ยนหน้าจอต้อนรับให้กลายเป็นการแจ้งเตือน ว่าให้ไปใช้ตู้อื่น ตู้นี้ถูกแฮกแล้ว สิ่งแรกที่พวกเค้าทำหลังจากนั้นก็คือแจ้งธนาคารสาขาที่รับผิดชอบถึงช่องโหว่นี้

ที่มา : GIZMODO

บริษัทด้านความปลอดภัย Eset รายงานข่าวโทรจันตัวใหม่ชื่อว่า “Simplelocker” มันพุ่งเป้าไปที่ข้อมูลที่ถูกเก็บไว้บนการ์ด SD ของสมาร์ทโฟนและแท็บเล็ต โดยเข้ารหัสไฟล์เพื่อเรียกเงินเป็นค่าไถ่ในการปลดล็อค โดยข้อความที่ปรากฎขึ้นบนหน้าจอนั้นเป็นภาษารัสเซียและให้จ่ายเงินเป็นสกุลของยูเครน

ผู้เชี่ยวชาญให้คำแนะนำว่า "เหล่าแฮกเกอร์จะเริ่มปล่อยมัลแวร์เข้ารหัสไฟล์ของเป้าหมาย โดยมีอุปกรณ์แอนดรอยด์เป็นเป้าหมายใหม่ ซึ่งผู้ใช้จะต้องระมัดระวังเป็นอย่างมาก หากติดตั้งแอพฯ ผ่านช่องทางอื่นที่ไม่ใช่ Play Store รวมถึงต้องกดดันให้ผู้ผลิตเครื่องหมั่นอัพเดทความปลอดภัยอย่างสม่ำเสมอเพื่อป้องกันช่องโหว่ต่างๆ"

Eset บอกว่าอุปกรณ์ที่ติดโทรจันเหล่านี้จะถูกล็อค สาเหตุเกิดขึ้นเพราะเจ้าของเครื่องเข้าไปดูคลิปอนาจาร เมื่อเครื่องถูกล็อคคุณจะต้องจ่ายเงินประมาณ 760 บาทเพื่อปลดล็อค โดยจะต้องโอนเงินผ่านระบบ MoneXy cash transfer ของยูเครน ภายใน 24 ชั่วโมงหลังจ่ายเงินเครื่องถึงจะใช้งานได้ตามปกติ แต่ถ้าไม่จ่ายข้อมูลที่เข้ารหัสไว้จะถูกลบ ไฟล์ที่ถูกเข้ารหัสก็จะมีตั้งแต่ไฟล์รูปภาพ jpeg และ gif, ไฟล์เอกสาร dox และ txt, ไฟล์วิดีโอ mkv, avi และ mp4

ที่มา : bbc

ESET Security Forum ของสเปน (http://securityforum.eset.es) ถูกแฮกโดยแฮกเกอร์ชาวอินโดนิเซียที่ใช้ชื่อว่า “Hmei7” เมื่อวันที่ 4 มิถุนายน 2557 โดยทางบริษัท ESET ได้ออกมายืนยันแล้วว่าแฮกเกอร์ได้เข้าถึงข้อมูลส่วนตัวของสมาชิกกว่า 2,700 คนได้
โดยสมาชิกที่ได้รับผลกระทบจะได้รับการแจ้งเตือน และแนะนำให้เปลี่ยนรหัสผ่านของบัญชีตัวเอง โดยมีการแนะนำให้เปลี่ยนรหัสผ่านในบริการอื่นๆ ที่ใช้รหัสผ่านเดียวกันอีกด้วย

ที่มา : securityweek

ช่วงค่ำเมื่อวานนี้ (11 มิ.ย. 57) หลายคนอาจจะประสบปัญหาเข้าใช้งาน Feedly ไม่ได้เป็นเวลาหลายชั่วโมง นั่นเป็นเพราะ Feedly ถูกโจมตีด้วย DDoS แถมผู้โจมตียังได้เรียกเงินสำหรับการหยุดยิง DDoS ถล่มอีกด้วย
ตอนนี้ Feedly กลับมาใช้งานได้ปกติแล้วโดยไม่ได้เสียเงินแต่อย่างใด แต่เป็นการปรับโครงสร้างของระบบ และทาง Feedly แจ้งว่าไม่มีข้อมูลใดๆ รั่วไหลจากการโจมตีครั้งนี้ พร้อมทั้งกำลังรวมกลุ่มกับผู้ที่ถูกโจมตีเพื่อดำเนินการทางกฎหมายกับผู้กระทำผิดต่อไป
เมื่อหลายเดือนก่อน Basecamp ก็ถูกโจมตีในลักษณะเช่นเดียวกันนี้ ไม่แน่ว่าการโจมตีครั้งนี้อาจจะเป็นผู้โจมตีรายเดียวกันก็เป็นได้

ที่มา : ars technica

มีการค้นพบช่องโหว่ใหม่บนแอพ TweetDeck โดยส่งผลให้แฮกเกอร์หรือผู้ไม่หวังดีสามารถสั่งรันสคริปต์อันตรายจากระยะไกลได้ผ่านทางช่องโหว่ประเภท XSS (Cross-Site Scripting) เพื่อขโมยข้อมูลผู้ใช้งานได้ ซึ่งมีการยืนยันแล้วว่าช่องโหว่นี้ มีผลกระทบต่อทั้งเว็บแอพพลิเคชั่นและแอพบนวินโดวส์
ในขณะนี้แม้ทาง TweetDeck จะประกาศว่ามีการแพตซ์ช่องโหว่นี้แล้ว แต่ยังมีผู้ใช้งานบางส่วนได้รับผลกระทบอยู่ ขอให้ผู้ใช้งานทำการออกจากระบบก่อนและงดใช้แอพ TweetDeck ก่อนชั่วคราวเพื่อความปลอดภัย สำหรับผู้ที่มีความกังวลเรื่องความปลอดภัย ขอให้ทำการยกเลิกการเข้าถึงจากแอพและเปลี่ยนรหัสผ่าน

ทาง TweetDeck ได้ทำการปิดให้บริการแอพชั่วคราวเพื่อแก้ไขปัญหาแล้ว

ที่มา : The verge

Monsanto เป็นบริษัทเคมีและเทคโนโลยีชีวภาพทางการเกษตรออกมายอมรับว่า มีแฮกเกอร์พยายามที่จะเข้าถึงเซิร์ฟเวอร์ โดยเหตุการณ์เกิดขึ้นเมื่อปลายเดือนมีนาคม ซึ่งมีผลกระทบต่อลูกค้าและพนักงานน้อยกว่า 1,300 ราย เซิร์ฟเวอร์ที่ได้รับผลกระทบมีข้อมูลที่สำคัญ ได้แก่ ชื่อของลูกค้า, ที่อยู่, หมายเลขประจำตัวผู้เสียภาษี, หมายเลขประกันสังคมและข้อมูลทางการเงิน

นอกจากนี้ยังมีการจัดเก็บข้อมูลของฝ่ายทรัพยากรบุคคลซึ่งรวมถึง ชื่อของพนักงาน, ที่อยู่, หมายเลขประกันสังคมและหมายเลขใบอนุญาตขับขี่ของพนักงานอีกด้วย แต่ทางบริษัทเชื่อว่าการละเมิดความปลอดภัยในครั้งนี้ไม่ได้มีความพยายามที่จะขโมยข้อมูลของลูกค้าไป

ที่มา : ehackingnews

Avast community forum ถูกแฮกเกอร์โจมตีฐานข้อมูลและขโมยข้อมูลต่างๆ ได้แก่ ชื่อผู้ใช้งาน, ที่อยู่อีเมล์, ชื่อเล่น และรหัสผ่านแบบ hashed (one-way encrypted) passwords ทำให้แฮกเกอร์นั้นใช้เวลาไม่นานที่จะ Crack ซึ่งการแฮกในครั้งนี้ไม่มีการเข้าถึง ข้อมูลทางการเงิน, ใบอนุญาต หรือข้อมูลอื่นๆ

Avast blog รายงานว่า การละเมิดความปลอดภัยครั้งนี้มีผลกระทบน้อยกว่า 0.2% (ประมาณ 400,000) ของผู้ใช้ Avast จำนวน 200 ล้านราย โดยทาง Avast แนะนำให้ผู้ใช้ที่มีการใช้รหัสผ่านเดียวกันกับทุกๆ เว็บไซต์ทำการเปลี่ยนรหัสผ่านทันที และเมื่อ Avast community forum กลับมาใช้งานได้อีกครั้ง ผู้ใช้ทุกคนจะต้องทำการตั้งรหัสผ่านใหม่เพื่อความปลอดภัย

ที่มา : ehackingnews

โครงการ Zero-Day Initiative (ZDI) ของเอชพีเปิดเผยบั๊ก CVE-2014-1770 หรือ ZDI-14-140 ที่เปิดเผยให้กับไมโครซอฟท์ตั้งแต่ช่วงเดือนตุลาคมปีที่แล้ว จนตอนนี้บั๊กนี้ครบระยะเวลารอแพตซ์จากผู้ผลิต 180 วัน ทาง ZDI ก็เปิดเผยบั๊กนี้ออกมา
บั๊กนี้อาศัยช่องโหว่ของออปเจกต์ CMarkup ทำให้แฮกเกอร์สามารถนำพอยเตอร์กลับมาใช้ใหม่ได้หลังคืนหน่วยความจำไปแล้ว (use-after-free) และแฮกเกอร์สามารถรันโค้ดภายใต้โปรเซสปัจจุบันได้
ไมโครซอฟท์ตอบกลับมายัง ZDI ยืนยันว่าพบบั๊กนี้จริงโดยผู้ใช้ต้องถูกล่อให้เปิดหน้าเว็บ หรือเปิดไฟล์ที่เจาะช่องโหว่นี้ การเปิดเว็บที่ถูกควบคุมเฉพาะเช่น การเปิดเว็บที่ฝังมาบนอีเมล์ใน Outlook หรือ Windows Mail ไม่สามารถเจาะช่องโหว่นี้ได้ และแนะนำให้ติดตั้ง Enhanced Mitigation Experience Toolkit (EMET) เพื่อลดความเสี่ยงจากบั๊กนี้
ทาง ZDI แจ้งไมโครซอฟท์ครั้งสุดท้ายเมื่อวันที่ 8 ที่ผ่านมาว่าครบกำหนดการเปิดเผยบั๊ก แล้วจึงเปิดเผยบั๊กออกมาในวันนี้

ที่มา : theregister