หากคุณใช้ Whatsapp คุณควรระมัดระวังเกี่ยวกับการแชร์ตำแหน่งที่ตั้งของคุณ WhatsApp จะมีการเข้ารหัสด้วย SSL ซึ่งหมายความว่าในการติดต่อสื่อสารจะปลอดภัยจากการโจมตีแบบ man-in-the-middle

นักวิจัยจาก UNH Cyber Forensics Research &Education Group เปิดเผยว่าบริการแชร์ตำแหน่งที่ตั้งของ WhatsApp สามารถเปิดเผยสถานที่ของคุณให้กับแฮกเกอร์หรือหน่วยงานลับได้
ในขณะที่ใช้งานแชร์ตำแหน่งที่ตั้งบน WhatsApp ผู้ใช้จำเป็นที่จะต้องค้นหาตำแหน่งที่ตั้งของตัวเองเป็นครั้งแรกบน Google Map หลังจากที่ได้ตำแหน่งที่ตั้งจาก Google Map แล้ว WhatsApp จะดึงสถานที่และรูปขนาดย่อจากบริการ Google Map มา Share เป็น message icon

เนื่องจาก WhatsApp ดาวน์โหลดภาพสถานที่ตั้งผ่าน Google ซึ่งทาง Google ไม่ได้ทำการเข้ารหัสทำให้ผู้โจมตีสามารถโจมตีแบบ man-in-the-middle  ได้

ที่มา : thehackernews

Samsung Galaxy S5  ได้ออกพีเจอร์ในการสแกนลายนิ้วมือ เพื่อใช้ในการระบุตัวตนของผู้ใช้งาน โดยนักวิจัยทางด้านความปลอดภัยของ SRLabs สามารถแฮกระบบสแกนลายนิ้วมือได้สำเร็จ โดยสร้างลายนิ้วมือปลอมด้วยการลอกลายนิ้วมือจากกาว  และสามารถที่ผ่านการตรวจสอบของระบบสแกนลายนิ้วมือไปได้  และระบบสแกนลายนิ้วมือของ Galaxy S5 มีการอนุญาตให้มีการสแกนนิ้วมือได้อย่างต่อเนื่อง โดยไม่มีการตรวจสอบพาสเวิร์ด เมื่อมีการพยายามสแกนลายนิ้วมือหลายๆ ครั้ง

ผู้ใช้งาน Samsung Galaxy S5 สามารถที่จะโอนเงินให้กับผู้อื่นใน PayPal ได้ โดยการสแกนลายนิ้วมือของผู้ใช้เพื่อเป็นการยืนยัน แต่ถ้าเป็นการแฮกเข้าไป แฮกเกอร์สามารถที่จะเข้าถึงบัญชีของผู้ใช้ PayPal ได้ และเชื่อมต่อกับบัญชีธนาคาร โดยที่ไม่มีการตรวจสอบพาสเวิร์ด

ที่มา : thehackernews

Flickr (yahoo เป็นเจ้าของ) ซึ่งเป็นการจัดการภาพถ่ายออนไลน์ที่ใหญ่ที่สุด เมื่อเร็วๆ นี้นักวิจัยด้านความปลอดภัยจากอียิปต์ชื่อว่า "Ibrahim Raafat" ได้พบช่องโหว่ SQL injection บน Flickr Photo Books และรีโมทโค้ดจากระยะไกล เมื่อโจมตีสำเร็จ อาจทำให้ผู้โจมตีขโมยฐานข้อมูลและรหัสผ่าน (MYSQL) ผู้ดูแลระบบได้

ที่มา : thehackernews

Kristoffer Von Hassel วัย 5 ขวบ ชาวอเมริกัน ได้ค้นพบช่องโหว่ในการล็อกอินเข้า Xbox LIVE บนเครื่อง Xbox One ซึ่งสามารถล็อกอินเข้าบัญชีของพ่อเขาได้โดยไม่ต้องรู้รหัสผ่าน เริ่มจากใส่พาสเวิร์ดผิดในครั้งแรก และใส่เพียง space ในครั้งสอง ก็สามารถล็อกอินเข้าบัญชีของพ่อเขาโดยง่าย

เมื่อทางไมโครซอฟท์ทราบเรื่อง จึงให้รางวัล Kristoffer ด้วยเงินจำนวน 50 เหรียญ (ประมาณ 1,500 บาท), เกมส์ฟรี 4 เกมส์ และบัญชี Xbox LIVE Gold เป็นเวลา 1 ปีฟรีๆ

ที่มา : theverge

Kristoffer Von Hassel วัย 5 ขวบ ชาวอเมริกัน ได้ค้นพบช่องโหว่ในการล็อกอินเข้า Xbox LIVE บนเครื่อง Xbox One ซึ่งสามารถล็อกอินเข้าบัญชีของพ่อเขาได้โดยไม่ต้องรู้รหัสผ่าน เริ่มจากใส่พาสเวิร์ดผิดในครั้งแรก และใส่เพียง space ในครั้งสอง ก็สามารถล็อกอินเข้าบัญชีของพ่อเขาโดยง่าย

เมื่อทางไมโครซอฟท์ทราบเรื่อง จึงให้รางวัล Kristoffer ด้วยเงินจำนวน 50 เหรียญ (ประมาณ 1,500 บาท), เกมส์ฟรี 4 เกมส์ และบัญชี Xbox LIVE Gold เป็นเวลา 1 ปีฟรีๆ

ที่มา : theverge

เว็บไซต์ของนิตยสาร Wired ซึ่งเป็นที่นิยมในอเมริกาถูกบล็อกโดย Google และ Chrome เมื่อผู้ใช้ที่พยายามจะเข้าถึงเว็บไซต์ดังกล่าวจะได้รับข้อความแจ้งเตือนว่า "เว็บไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ" จากผลการค้นหาของ Google จะไม่แสดงหน้าแจ้งเตือนนี้

อย่างไรก็ตามเมื่อพยายามเข้าถึง 'wired.

Symantec ออกรายงานวิเคราะห์มัลแวร์กลุ่มที่เข้ารหัสข้อมูลผู้ใช้เพื่อเรียกเป็นตัวประกัน (Ransomware) ตัวที่ระบาดก่อนหน้านี้คือ Cryptolocker ตอนนี้มีรายงานมัลแวร์ในกลุ่มเดียวกันตัวใหม่คือ CryptoDefence ที่พัฒนาขึ้นมามาก

CryptoDefence จะถูกส่งไปยังเครื่องของเหยื่อผ่านทางสแปมเมล์ เมื่อติดลงในเครื่องแล้ว มัลแวร์จะเริ่มส่งข้อมูลเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์ สร้างคู่กุญแจ RSA-2048 แล้วส่งกุญแจลับกลับไปยังเซิร์ฟเวอร์พร้อม Screenshot ของเหยื่อ

เมื่อเข้ารหัสแล้วมัลแวร์จะทิ้งไฟล์บอกให้เหยื่อติดต่อกลับ ด้วยการติดตั้งเบราว์เซอร์เพื่อเชื่อมต่อผ่าน Tor จากนั้นจึงให้เข้าเว็บที่ซ่อนไว้ในเครือข่าย Tor แล้วเรียกค่าถอดรหัสจากเหยื่อ 500 ดอลลาร์ ภายในเวลาที่กำหนด หากเหยื่อไม่ยอมทำตามจะเพิ่มค่าถอดรหัสเป็น 1000 ดอลลาร์โดยให้เหยื่อจ่ายเงินผ่าน Bitcoin

ทีมงาน Symantec ติดตามมัลแวร์ตัวนี้พบว่ามี Bitcoin address อยู่สองชุดที่ใช้รับเงินจากเหยื่อ เมื่อดูรายการเงินเข้าออกพบว่าผู้สร้างCryptoDefence ได้รับเงินไปแล้วถึง 34,000 ดอลลาร์ภายในระยะเวลาเพียงเดือนกว่าๆ (บัญชีแรกเปิดวันที่ 28 กุมพาพันธ์ที่ผ่านมา)

ตัวกุญแจ RSA นั้นสร้างขึ้นในเครื่องของเหยื่อเองผ่าน CryptoAPI ของวินโดวส์ อย่างไรก็ดีการอิมพลีเมนต์ของมัลแวร์ตัวนี้มีข้อผิดพลาดทำให้ไฟล์กุญแจลับถูกซ่อนไว้ในเครื่องของเหยื่อเอง ทาง Symantec สามารถใช้ไฟล์นี้นำมากู้ไฟล์ให้ลูกค้าได้

ที่มา : securityweek

พบบั๊กร้ายแรงในไลบรารี OpenSSL ตระกูล 1.0.1 ที่ออกมาตั้งแต่ปี 2012 จากบั๊กในส่วนของ heartbeat ทำให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำใดๆ ออกมาได้ ตอนนี้แพทซ์ของบั๊กนี้เริ่มปล่อยให้ดาวน์โหลดแล้ว และผู้ดูแลระบบทุกคนควรอัพเกรดทันที

OpenSSL 1.0.1 ติดตั้งไปกับ Ubuntu ตั้งแต่รุ่น 12.04.4, Debian Wheezy, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, และ OpenSUSE 12.2 โดยมีผลตั้งแต่ OpenSSL 1.0.1 มาถึง 1.0.1f และเพิ่งได้รับการแก้ไขในรุ่น 1.0.1g เมื่อวานนี้

การที่แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำได้ทำให้แฮกเกอร์อาจจะอ่าน private key ของการเข้ารหัส รายชื่อผู้ใช้ในระบบสำหรับข้อมูลอื่นๆ และข้อมูลสำคัญอื่นๆ เดเบียนจัดให้บั๊กนี้มีความร้ายแรงระดับ grave ซึ่งเป็นขั้นรองสุดท้ายถัดจาก critical

บั๊กนี้พบโดยทีมวิศวกรความปลอดภัยของ Codenomicon และฝ่ายความปลอดภัยของกูเกิล หมายเลข CVE-2014-0160 คงต้องรออีกพักใหญ่ๆ กว่าจะมีรายละเอียดฉบับเต็มให้อ่านกัน

ที่มา : pcworld

สองแฮกเกอร์ชาวปากีสถานที่เรียกตัวเองว่า "Kai-h4xOrR And Trojan" ได้ทำการ Deface หน้าเว็บไซต์โดเมนย่อยของ BSNL บางส่วน

หน้าเพจที่ถูก Defaced คือ

•    http://learntelecom.

อย่างที่ทราบกันว่าสำนักงานความมั่นคงแห่งชาติของสหรัฐ (NSA) มีพฤติกรรมสอดแนมและดักฟังข้อมูลส่วนตัวต่างๆ โดยเฉพาะข้อมูลจากอีเมล์และ Messenger ต่างๆ ของ Yahoo! และ Google ซึ่งทั้งสองบริษัทเป็นเป้าหมายหลักในโครงการ Muscular ของ NSA
เพื่อเพิ่มความมั่นใจในข้อมูลส่วนตัวของลูกค้า ก่อนหน้านี้ทาง Google ได้ประกาศว่าได้เข้ารหัสทราฟฟิกระหว่างเซิร์ฟเวอร์เรียบร้อยแล้ว ขณะที่ Yahoo! ก็เคยประกาศว่าจะเข้ารหัสข้อมูลทั้งหมดภายในไตรมาสแรกของปีนี้

มาคราวนี้ทาง Yahoo! มีอัพเดตเพิ่มเติมว่านอกจากเว็บหลักที่ได้ถูกเข้ารหัสไปแล้วนั้น ทาง Yahoo! ได้ทำการเข้ารหัสทั้งหมดของศูนย์ข้อมูลเรียบร้อยแล้วตั้งแต่วันที่ 31 มีนาคมที่ผ่านมา และจะปล่อยเวอร์ชั่นใหม่ของ Yahoo! messenger และ ICQ ที่ถูกเข้ารหัสทั้งหมดภายในเดือนหน้า

ที่มา : techubcrunch