นักวิจัยของ Symantec พบเครื่องมือของ Java ที่สามารถใช้การเข้าถึงจากระยะไกลได้(Remote Access) ได้ถูกนำมาใช้โดยแนบมากับอีเมลฟิชชิ่ง โดยกำหนดเป้าหมายไปยังหน่วยงานภาครัฐ Andrea Lelli นักวิจัยของ Symantec ชี้แจงว่าเอกสารในอีเมลจะประกอบด้วยไฟล์ 2 ไฟล์ ได้แก่ ไฟล์ PDF และไฟล์ Java ที่มีชื่อเลียนแบบเอกสารที่ถูกต้องตามกฎหมาย เพื่อหลอกให้ผู้ใช้คลิกเปิดเอกสารปลอมดังกล่าว หากผู้ใช้ทำการเปิดไฟล์เอกสารดังกล่าวขึ้นมา แอพพลิเคชัน Java จะเริ่มการทำงาน ( Java จะเริ่มการทำงานได้นั้นจะต้องมีการติดตั้ง Java บนเครื่องคอมพิวเตอร์ของผู้ใช้อยู่ก่อนแล้ว)  การโจมตีดังกล่าวสามารถที่จะควบคุมคอมพิวเตอร์ของเป้าหมายได้อย่างเต็มรูปแบบและสามารถทำการโจมตีจากระยะไกล(Remote Attack)มายังเครื่องเป้าหมายได้ ที่สำคัญมากกว่านั้น การโจมตีดังกล่าวยังสามารถทำงานบนระบบปฏิบัติการที่นอกเหนือจาก Windows ได้

ที่มา : securityweek

ในโปรโมชั่นส่งเสริมการขายของซัมซุง สำหรับมือถือในตระกูลกาแล็คซี่ ซัมซุงได้ประกาศที่จะปล่อยเพลงจากอัลบั้มใหม่ของศิลปินระดับโลกอย่าง Jay Z ให้ได้ฟังฟรีก่อนใคร เพียงแค่ดาวน์โหลดแอพพลิเคชั่นที่ชื่อว่า ‘JAY Z Magna Carta’ แต่ล่าสุดมีการโต้แย้งว่า การกระทำของแอพพลิเคชั่นดังกล่าวเข้าข่ายสปายแวร์ เนื่องจากแอพพลิเคชั่นดังกล่าวจะมีการติดตามตำแหน่งที่อยู่ของผู้ใช้ ,เก็บหมายเลขโทรศัพท์ที่ใช้งาน รวมถึงไอดีของอุปกรณ์และแอพพลิเคชั่นที่ใช้งานอีกด้วย โดยแอพพลิเคชั่น ‘JAY Z Magna Carta’ เป็นแอพพลิเคชั่นบนแอนดรอยด์ที่เปิดให้ดาวน์โหลดฟรีสำหรับมือถือเฉพาะรุ่นเท่านั้น ซึ่งได้แก่ Galaxy S 4, Galaxy S III และ Galaxy Note II แอพพลิเคชั่นนี้ถูกนักวิจารณ์เพลง Jon Pareles จาก New York Times มองว่าเข้าข่ายซอฟต์แวร์ที่ไม่ถูกต้อง โดยมีการเข้าถึงข้อมูลส่วนตัวมากเกินไป เช่นมีการติดตามตำแหน่งที่อยู่ของผู้ใช้งาน หรือ มีการเก็บข้อมูลอื่น ๆ ของผู้ใช้งาน

ที่มา : appleinsider

พบช่องโหว่บน DropBox ที่ทำให้ผู้โจมตีสามารถทะลุระบบ two-factor authentication ของเป้าหมายได้ โดยช่องโหว่นี้เกิดจากการที่ไม่มีการตรวจสอบอีเมลที่ใช้ในการสมัครบัญชีใหม่ ซึ่งนั้นทำให้แฮกเกอร์ทำแค่เพียงสมัครบัญชีใหม่ที่ใช้ชื่อเหมือนบัญชีของเป้าหมายและใส่จุดลงไปซักจุดในอีเมลแอดเดรส หลังจากนั้นก็เปิดระบบ two-factor authentication เอาไว้และเซฟ emergency code ที่สร้างขึ้นมา ขั้นตอนต่อไปก็คือลงชื่อออกจากบัญชีที่สร้างขึ้นมาแล้วเข้าไปยังบัญชีของเป้าหมายโดยใช้ Username และ password ที่ดักจับมาได้ หลังจากเข้าสู่ระบบแล้วระบบจะถามหารหัส OTP ให้กดเลือกไปที่ “I Lost My Phone” หลังจากนั้นทางเว็บไซต์จะให้ใส่ emergency code ที่สามารถทำให้เข้าใช้งานโดยไม่ต้องผ่านระบบ two-factor authentication และสามารถล็อกอินเข้าใช้งาน Dropbox ได้อย่างสมบูรณ์

ที่มา : thehackernews

พบช่องโหว่บน DropBox ที่ทำให้ผู้โจมตีสามารถทะลุระบบ two-factor authentication ของเป้าหมายได้ โดยช่องโหว่นี้เกิดจากการที่ไม่มีการตรวจสอบอีเมลที่ใช้ในการสมัครบัญชีใหม่ ซึ่งนั้นทำให้แฮกเกอร์ทำแค่เพียงสมัครบัญชีใหม่ที่ใช้ชื่อเหมือนบัญชีของเป้าหมายและใส่จุดลงไปซักจุดในอีเมลแอดเดรส หลังจากนั้นก็เปิดระบบ two-factor authentication เอาไว้และเซฟ emergency code ที่สร้างขึ้นมา ขั้นตอนต่อไปก็คือลงชื่อออกจากบัญชีที่สร้างขึ้นมาแล้วเข้าไปยังบัญชีของเป้าหมายโดยใช้ Username และ password ที่ดักจับมาได้ หลังจากเข้าสู่ระบบแล้วระบบจะถามหารหัส OTP ให้กดเลือกไปที่ “I Lost My Phone” หลังจากนั้นทางเว็บไซต์จะให้ใส่ emergency code ที่สามารถทำให้เข้าใช้งานโดยไม่ต้องผ่านระบบ two-factor authentication และสามารถล็อกอินเข้าใช้งาน Dropbox ได้อย่างสมบูรณ์

ที่มา : thehackernews

เว็บไซต์ของบริษัทวิดีโอเกมส์ (Nintendo) ของประเทศญี่ปุ่น ถูกแฮก ขโมยรหัสผ่าน และทางบริษัทได้แจ้งเตือนไปยังสมาชิกให้ทำการเปลี่ยนรหัสผ่านของตนเอง

Nintendo ได้ยืนยันว่ามีการละเมิดความปลอดภัย โดยมีความพยายามเข้าถึงระบบโดยไม่ได้รับอนุญาต 23,926 ครั้ง ระหว่างวันที่ 9 มิถุนายน ถึง 4 กรกฎาคม
ซึ่งแฮกเกอร์ได้เข้าถึงข้อมูลส่วนตัวของสมาชิก รวมทั้งชื่อ, ที่อยู่, หมายเลขโทรศัพท์ และที่อยู่อีเมล ทางบริษัทจึงส่งอีเมล์แจ้งไปยังสมาชิกให้ทำการเปลี่ยนรหัสผ่านใหม่

ที่มา : ehackingnews

ไมโครซอฟท์ออกแพทซ์อังคารนี้ (9 ก.ค. 56) สำหรับเดือนกรกฎาคม ซึ่งมีหนึ่งช่องโหว่ใน Kernel ที่สามารถยกระดับสิทธิ์ได้ และแก้ไขอีก 6 ช่องโหว่ที่สำคัญ

แพทช์ดังกล่าวจะแก้ไขช่องโหว่ใน Microsoft Windows, .Net Framework, Silverlight และสามารถนำไปใช้ได้กับทุกเวอร์ชั่น ทั้ง Internet Explorer 6 บน Windows XP และ Internet Explorer 10บน Windows 8

บ่อยครั้งที่ผู้บุกรุกจะโจมตีโดยให้เหยื่อทำการติดตั้งมัลแวร์โดยใช้วิธี drive-by download (ผู้บุกรุกจะทำการส่ง code อันตราย มาทำงานบนแอพลิเคชั่น จากนั้นจะทำการสั่งรันมัลแวร์ payload ซึ่งโดยปกติจะไม่มีการแจ้งเตือนใดๆ ไปยังผู้ใช้งาน)

นอกจากนี้ยังมีช่องโหว่ใน Windows Kernel ฟังก์ชั่น EPATHOBJ::pprFlattenRec (CVE-2013-3660) ที่เปิดเผยโดยนักวิจัยด้านความปลอดภัย Tavis Ormandy

ที่มา : thehackernews

ตำรวจแคนาดาที่มีความผิดฐานวางแผนที่จะลงสปายแวร์ไว้ในมือถือ BlackBerry ของภรรยาได้ถูกสั่งลดตำแหน่งลง 2 ขั้นหลังจากถูกงดการจ่ายเงินเดือนมา 2 ปี ในคำสารภาพนั้นเขาได้อ้างต่อศาลว่า เขาไม่รู้ว่าการวางแผนที่จะทำอาชญากรรมทางไซเบอร์จะเป็นความผิด สปายแวร์ที่เขาการดาวน์โหลดมานั้นสามารถบันทึกการพูดคุย, บันทึกการรับ-ส่ง SMS และ สามารถจับตาดูตำแหน่งของมือถือบนแผนที่ GPS ได้ โดยข้อมูลที่ได้มานั้นจะถูกโพสต์ลงบนเว็บไซต์เฉพาะและสามารถเข้ามาดูจากที่ไหนก็ได้ เขาได้ทำการซื้อสปายแวร์โดยใช้ชื่อและบัตรเครดิตของเขาในการซื้อจากเว็บไซต์โฆษณาของสหรัฐอเมริกา คดีของตำรวจคนนี้เป็นหนึ่งในคดีแรกๆที่ผู้ซื้อถูกจับกุมภายใต้กฎหมายใหม่ จากกฎหมายนี้ทำให้แอพลิเคชั่นบางอันกลายเป็นแอพพลิเคชั่นที่ผิดกฎหมาย อย่างเช่นแอพพลิเคชั่นที่โพสต์ว่าเราอยู่ที่ไหน เป็นต้น

ที่มา : nakedsecurity

คณะกรรมการอาหารและยาของสหรัฐอเมริกา(อย.)ได้ปิดเว็บไซต์ที่จำหน่ายยาที่ไม่ได้รับ อย. เป็นจำนวน 1,677 เว็บไซต์ โดยใช้ชื่อปฎิบัติการว่า Pangea โดยเว็บไซต์เหล่านี้ได้มีการใช้ใบรับรองปลอมเพื่อหลอกให้ผู้ซื้อในสหรัฐอเมริกาเชื่อว่าเว็บไซต์เหล่านี้เป็นเว็บไซต์ขายยาของชาวแคนาดาที่ถูกกฎหมาย และในเว็บไซต์เหล่านี้ยังขายยาที่มีการตีตรายี่ห้อที่เป็นที่นิยมและพิมพ์ใบรับรอง อย.ปลอมขึ้นมาใช้อีกด้วย ที่ชาวสหรัฐชอบซื้อยาจากเว็บไซต์ขายยาของชาวแคนาดานั้นมาจากการที่กฎหมายของประเทศแคนาดาระบุว่าประชาชนของแคนาดาจะได้รับส่วนลดเมื่อมีการซื้อยาจากร้านขายยาในแคนาดา แต่ว่าการจะซื้อยาได้นั้นต้องมีใบสั่งซื้อที่ออกมาจากแพทย์ก่อนถึงจะซื้อยาได้ แต่กฎหมายนี้ไม่ได้ครอบคลุมถึงร้านขายยาของชาวแคนาดาที่ตั้งอยู่นอกประเทศแคนาดา ทำให้มีการขายยาให้กับชาวต่างชาติโดยมีการควบคุมเพียงเล็กน้อยเท่านั้น จากช่องโหว่นี้ทำให้เกิดการขายยาปลอมโดยแอบอ้างว่าเป็นร้านขายยาของชาวแคนาดา คณะกรรมมาธิการของ อย. Margaret Hamburg ได้ให้สัมภาษณ์กับทาง CNN ว่า “จากการตรวจสอบยาที่ขายตามเว็บไซต์ขายยาปลอมเหล่านี้ ได้พบว่ายาเหล่านั้นไม่มีส่วนผสมใดๆที่ออกฤทธิ์ตรงกับยาที่ขายแม้แต่นิดเดียว” ยาที่นิยมใช้ในการหลอกขายมีดังต่อไปนี้

Avandaryl
Generic Celebrex
Levitra Super Force และ Viagra Super Force
Clozapine

ที่มา : nakedsecurity

เมื่อวันที่ 4 กรกฎาคม 2556 เวลาประมาณ 20:00 น.  เว็บไซต์หลักของธนาคารออมสิน ได้ถูกแฮกโดย TeamFBI ซึ่งได้ทำการเปลี่ยนหน้าเว็บไซต์เป็นสีดำและมีข้อความเขียนว่า [ HaCkEd By team FBI ] พร้อมชื่อและอีเมลของคนในทีม

ล่าสุดเมื่อเวลาประมาณ 23:06 น. ทางเว็บมาสเตอร์ของธนาคารออมสินได้แก้ไขแล้ว

ที่มา : blognone

วิศวกรรักษาความปลอดภัยชื่อ Ben Lincoln กล่าวถึงโทรศัพท์โมโตโรล่ารุ่น Droid X2 ว่าในการส่งข้อมูล เช่น ชื่อผู้ใช้, email, รหัสผ่าน, และพิกัด gps ที่ถูกส่งไปยังเว็บไซต์ที่เป็นเจ้าของโดยโมโตโรล่า
ซึ่งข้อมูลเหล่านี้จะถูกส่งผ่านการเชื่อมต่อ HTTP ซึ่งอาจมีช่องโหว่ทำให้ผู้โจมตีสามารถดักจับข้อมูลเหล่านี้ได้ เมื่อผู้ใช้มีการใช้อินเตอร์เน็ตสาธารณะ (wireless)

ที่มา : ehackingnews