Google เชื่อมโยงเหตุการณ์ระบบ Cloud ขัดข้องครั้งใหญ่กับปัญหาจากการจัดการ API

Google ระบุว่า ปัญหาที่เกี่ยวกับระบบการจัดการ API เป็นสาเหตุของเหตุการณ์ระบบ Google Cloud ขัดข้องครั้งใหญ่เมื่อวันที่ 12 มิถุนายน 2025 ที่ผ่านมา ซึ่งส่งผลให้บริการของ Google และแพลตฟอร์มออนไลน์อื่น ๆ หลายแห่ง ต้องหยุดชะงักไป

(more…)

RubyGems ที่เป็นอันตรายปลอมเป็น Fastlane เพื่อขโมยข้อมูล API ของ Telegram

แพ็กเกจ RubyGems ที่เป็นอันตราย 2 รายการ ซึ่งปลอมเป็นปลั๊กอินของ Fastlane CI/CD ยอดนิยม จะเปลี่ยนเส้นทาง API request ของ Telegram ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม เพื่อดักจับ และขโมยข้อมูล (more…)

ช่องโหว่ใน Verizon Call Filter API เปิดเผยประวัติการโทรเข้าของลูกค้า

ช่องโหว่ในฟีเจอร์ Call Filter ของ Verizon ทำให้ลูกค้าสามารถเข้าถึงบันทึกการโทรเข้าของหมายเลข Verizon Wireless อื่น ๆ ได้ ผ่าน API request ที่ไม่ปลอดภัย

ช่องโหว่นี้ถูกพบโดยนักวิจัยด้านความปลอดภัย Evan Connelly เมื่อวันที่ 22 กุมภาพันธ์ 2025 และ Verizon ได้แก้ไขช่องโหว่นี้ในเดือนถัดมา อย่างไรก็ตาม ระยะเวลาที่ช่องโหว่นี้เปิดเผยต่อสาธารณะยังไม่เป็นที่ทราบแน่ชัด

แอปพลิเคชัน Call Filter ของ Verizon เป็นเครื่องมือฟรีที่ช่วยให้ผู้ใช้งานสามารถตรวจจับสแปม และบล็อกสายเรียกเข้าโดยอัตโนมัติ ส่วนเวอร์ชันแบบเสียเงินจะเพิ่มความสามารถในการค้นหาหมายเลขที่เป็นสแปม, มีตัววัดความเสี่ยง, บล็อกสายโทรเข้าตามประเภทของผู้โทร และแสดงหมายเลขโทรเข้าแม้ไม่อยู่ในรายชื่อผู้ติดต่อ

อุปกรณ์ Android และ iOS ที่มีคุณสมบัติตรงตามเงื่อนไขซึ่งซื้อโดยตรงจาก Verizon จะมีแอปพลิเคชันเวอร์ชันฟรีถูกติดตั้งไว้ และเปิดใช้งานเป็นค่าเริ่มต้น และคาดว่ามีการใช้งานบนอุปกรณ์หลายล้านเครื่อง

Connelly เปิดเผยกับ BleepingComputer ว่า เขาทดสอบเฉพาะแอปพลิเคชันบน iOS เท่านั้น อย่างไรก็ตามแอปพลิเคชันบน Android อาจได้รับผลกระทบเช่นกัน เนื่องจากปัญหาอยู่ที่ API ของฟีเจอร์ ไม่ใช่ตัวแอปพลิเคชันโดยตรง

การเปิดเผยประวัติการโทร

ขณะใช้งานแอป Call Filter Connelly พบว่าแอปพลิเคชันเชื่อมต่อกับ API ที่ https://clr-aqx.

Google แก้ไขช่องโหว่ที่อาจเปิดเผยที่อยู่อีเมลของผู้ใช้งาน YouTube ได้

Google แก้ไขช่องโหว่สองรายการที่เมื่อใช้ในการร่วมกัน อาจสามารถทำให้ที่อยู่อีเมลของบัญชี YouTube ถูกเปิดเผย ซึ่งอาจทำให้เกิดการละเมิดความเป็นส่วนตัวสำหรับผู้ใช้งานที่เข้าใช้งานเว็บไซต์แบบไม่ระบุตัวตน (more…)

Microsoft กำลังทดสอบการรองรับ Third-party Passkeys บน Windows 11

ปัจจุบัน Microsoft กำลังทดสอบการอัปเดต API ของ WebAuthn ที่จะเพิ่มการรองรับการใช้งานของ third-party passkey สำหรับการยืนยันตัวตนแบบไม่ใช้รหัสผ่านบน Windows 11

โดย Passkeys จะใช้การยืนยันตัวตนแบบ biometric เช่น ลายนิ้วมือ และการจดจำใบหน้า เพื่อเป็นทางเลือกที่ปลอดภัย และสะดวกสบายกว่าการใช้รหัสผ่านแบบดั้งเดิม ซึ่งช่วยลดความเสี่ยงจากการละเมิดข้อมูลอย่างมีนัยสำคัญ

Microsoft ได้ร่วมมือกับผู้ให้บริการข้อมูล credential เช่น 1Password, Bitwarden และอื่น ๆ มาตั้งแต่ต้นเดือนตุลาคม ซึ่งเป็นช่วงเวลาที่บริษัทได้ประกาศเป็นครั้งแรกว่าจะสร้างโมเดลการยืนยันตัวตนแบบปลั๊กอินสำหรับ passkeys ใน Windows

ตามที่บริษัทได้เปิดเผยในวันนี้ ผู้ใช้งานจะสามารถเลือกใช้ผู้ให้บริการ third-party passkey ได้เพิ่มเติม นอกเหนือจากผู้ให้บริการ passkey ที่มีอยู่ของ Windows เพื่อสำหรับการยืนยันตัวตนผ่าน Windows Hello โดยใช้ passkey เดียวกันที่สร้างไว้ในอุปกรณ์มือถือ

ทีม Windows Insider ระบุว่า "เรากำลังปล่อยการอัปเดตสำหรับ WebAuthn APIs เพื่อรองรับโมเดลการยืนยันตัวตนแบบปลั๊กอินสำหรับ passkeys"

"ในอีกไม่กี่เดือนข้างหน้า ผู้ใช้งาน Windows จะสามารถเลือกผู้ให้บริการ third-party เป็นตัวเลือกเพิ่มเติมควบคู่ไปกับผู้ให้บริการ passkey ที่มีอยู่ของ Windows ในขณะที่ผู้ใช้ยังคงรักษาประสบการณ์การใช้งานเดิมไว้ได้"

ข้อความใน WebAuthn flows จะถูกส่งต่อไปยังปลั๊กอิน และการตอบกลับจะถูกส่งกลับไปยังแอปพลิเคชัน WebAuthn client ซึ่งทำให้ปลั๊กอินสามารถสร้าง และยืนยันตัวตนด้วย passkeys เมื่อได้รับ request จากผู้ใช้งาน

การอัปเดตเหล่านี้กำลังเผยแพร่ให้กับผู้ใช้ Windows Insider ใน Beta Channel ได้ใช้งานในวันนี้ โดยจะต้องติดตั้ง Preview Build 22635.4515 (KB5046756) นอกจากนี้ Microsoft ยังขอให้ลูกค้าที่ใช้ฟีเจอร์ใหม่นี้แชร์ความคิดเห็นผ่านแพลตฟอร์ม Feedback Hub ภายใต้หมวดหมู่ Privacy > Passkey

Microsoft ยังได้ปล่อย source code เพื่อช่วยนักพัฒนาสร้างปลั๊กอินของตัวเองเพื่อรองรับแพลตฟอร์ม passkey ของตนเอง

บริษัทได้เข้าร่วมกับ FIDO Alliance และแพลตฟอร์มหลักอื่น ๆ เพื่อสนับสนุนให้ passkeys เป็นวิธีการลงชื่อเข้าใช้แบบ passwordless ตามมาตรฐาน โดยรองรับ Web Authentication (WebAuthn) หรือที่เรียกว่า FIDO credentials

ล่าสุดในเดือนพฤษภาคม Microsoft ได้ปล่อยการรองรับการยืนยันตัวตนด้วย passkey สำหรับบัญชี Microsoft ส่วนบุคคลหลังจากได้เพิ่มตัวจัดการ passkey ในตัว Windows Hello ด้วยการอัปเดตฟีเจอร์ Windows 11 22H2

วันนี้ Microsoft ยังเริ่มปล่อยฟีเจอร์ใหม่ที่ช่วยให้ผู้ใช้สามารถกลับมาทำงานกับไฟล์ OneDrive จากโทรศัพท์ iOS และ Android บน Windows 11 PC ที่ติดตั้ง Windows 11 Beta Preview build ล่าสุดสำหรับ Insiders

ในประกาศที่แยกออกมา บริษัทได้เปิดตัว Microsoft Edge Game Assist (Preview) ซึ่งเป็นเว็บเบราว์เซอร์ในเกมที่ได้รับการปรับแต่งสำหรับการเล่นเกมบน PC ซึ่งจะแสดงอยู่บนหน้าจอเกมใน Game Bar

ที่มา : bleepingcomputer

พบช่องโหว่ระดับ Critical ใน Versa Director

CISA ได้เน้นย้ำถึงช่องโหว่ใน Versa Director ของ Versa Networks ซึ่งเป็นแพลตฟอร์ม centralized management สำหรับโซลูชัน Secure SD-WAN และ SASE ช่องโหว่นี้ถูกติดตามในหมายเลข CVE-2024-45229 เป็นช่องโหว่ที่เกิดจากการตรวจสอบข้อมูลที่ไม่ถูกต้อง และส่งผลกระทบต่อหลายเวอร์ชันของซอฟต์แวร์ องค์กรที่ใช้เวอร์ชันที่มีช่องโหว่ของ Versa Director ควรเร่งดำเนินการอัปเดตแพตซ์ทันทีเพื่อป้องกันความปลอดภัยของเครือข่ายในองค์กร

(more…)

T-Mobile ยืนยันเหตุการณ์ข้อมูลรั่วไหลครั้งที่สองในปี 2023

T-Mobile ยืนยันเหตุการณ์ข้อมูลรั่วไหลครั้งที่สองในปี 2023 ภายหลังจากพบว่าผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้าหลายร้อยรายเป็นเวลามากกว่าหนึ่งเดือน โดยเหตุการณ์เริ่มตั้งแต่ปลายเดือนกุมภาพันธ์ 2566

เมื่อเปรียบเทียบกับเหตุการณ์ข้อมูลรั่วไหลก่อนหน้านี้ของ T-Mobile ซึ่งส่งผลกระทบต่อลูกค้ากว่า 37 ล้านคน เหตุการณ์นี้ส่งผลกระทบต่อลูกค้าเพียง 836 ราย แต่อย่างไรก็ตาม ข้อมูลดังกล่าวมากเกินพอที่อาจทำให้บุคคลที่ได้รับผลกระทบถูกโจรกรรมข้อมูลส่วนบุคคล และถูกโจมตีแบบฟิชชิ่งได้

โดย T-Mobile ระบุในจดหมายแจ้งเตือนเหตุการณ์ข้อมูลรั่วไหล ที่ส่งถึงบุคคลที่ได้รับผลกระทบในวันศุกร์ที่ 28 เมษายน 2023 ว่า "ในช่วงเดือนมีนาคม 2023 T-Mobile ได้รับการแจ้งเตือนถึงเหตุการณ์ผิดปกติ และระบุได้ว่าผู้โจมตีสามารถเข้าถึงข้อมูลลูกค้าจำนวนหนึ่งจากบัญชีของ T-Mobile ระหว่างปลายเดือนกุมภาพันธ์ถึงมีนาคม 2023"

T-Mobile ระบุว่าผู้โจมตีไม่สามารถเข้าถึงบันทึกการโทร หรือข้อมูลบัญชีการเงินของบุคคลที่ได้รับผลกระทบ แต่ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้นั้นมีข้อมูลเพียงพอสำหรับการถูกนำมาใช้ในการโจรกรรมข้อมูล

แม้ว่าข้อมูลที่รั่วไหลจะแตกต่างกันไปสำหรับลูกค้าแต่ละรายที่ได้รับผลกระทบ เช่น "ชื่อ-นามสกุล, ข้อมูลติดต่อ, หมายเลขบัญชี, หมายเลขโทรศัพท์ที่เกี่ยวข้อง, รหัส PIN ของบัญชี T-Mobile, หมายเลขประกันสังคม, บัตรประจำตัวประชาชน, วันเกิด, ยอดคงเหลือภายในระบบของ T-Mobile เป็นต้น

หลังจากตรวจพบเหตุการณ์ผิดปกติ T-Mobile ได้ทำการรีเซ็ตรหัส PIN ของบัญชี สำหรับลูกค้าที่ได้รับผลกระทบ และใช้บริการตรวจสอบการใช้งานบัตรเครดิต และตรวจจับการโจรกรรมข้อมูลประจำตัวให้กับลูกค้าที่ได้รับผลกระทบฟรีเป็นเวลา 2 ปีผ่าน Transunion myTrueIdentity

เหตุการณ์นี้ถือเป็นครั้งที่สองในปีนี้ที่ T-Mobile พบเหตุการณ์ข้อมูลรั่วไหล โดยมีการเปิดเผยเหตุการณ์ข้อมูลรั่วไหลก่อนหน้านี้เมื่อวันที่ 19 มกราคม ภายหลังจากที่ผู้โจมตีขโมยข้อมูลส่วนบุคคลของลูกค้ากว่า 37 ล้านรายโดยใช้ Application Programming Interface (API) ที่มีช่องโหว่ในเดือนพฤศจิกายน 2022

โดย T-Mobile ตรวจพบเหตุการณ์ผิดปกติของผู้โจมตีได้ในวันที่ 5 มกราคม และสามารถตัดการเข้าถึงระบบได้ภายใน 24 ชั่วโมง

T-Mobile ระบุว่าข้อมูลที่ถูกขโมยในเดือนมกราคมเป็น "ข้อมูลพื้นฐานของลูกค้า" รวมถึง "ชื่อ-ที่อยู่สำหรับการเรียกเก็บเงิน, อีเมล, หมายเลขโทรศัพท์, วันเกิด, หมายเลขบัญชี T-Mobile

โดยนับตั้งแต่ปี 2018 พบเหตุการณ์ข้อมูลรั่วไหลอื่น ๆ อีก 7 รายการจากผู้ให้บริการโทรศัพท์เคลื่อนที่ ซึ่งรวมถึงเหตุการณ์ข้อมูลรั่วไหลของลูกค้า T-Mobile เกือบ 3% จากลูกค้าทั้งหมด

เหตุการณ์อื่น ๆ ที่เกี่ยวข้อง T-Mobile ในช่วงไม่กี่ปีที่ผ่านมา ดังนี้ :

ในปี 2019 เหตุการณ์ข้อมูลรั่วไหลของลูกค้าแบบเติมเงินจำนวนหนึ่ง
ในเดือนมีนาคม 2020 พนักงานของ T-Mobile ได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหล ที่เปิดเผยข้อมูลส่วนบุคคล และข้อมูลทางการเงิน
ในเดือนธันวาคม 2020 ผู้โจมตีเข้าถึงข้อมูลเครือข่ายที่เป็นข้อมูลของลูกค้า (หมายเลขโทรศัพท์, บันทึกการโทร)
ในเดือนกุมภาพันธ์ 2021 แอปพลิเคชัน T-Mobile ภายในถูกเข้าถึงโดยผู้โจมตีโดยไม่ได้รับอนุญาต
ในเดือนสิงหาคม พ.ศ. 2021 แฮ็กเกอร์ brute-forced ผ่านระบบเครือข่าย ทำให้สามารถเข้าถึงระบบ Testing environment ของ T-Mobile
ในเดือนเมษายน พ.ศ. 2022 กลุ่ม Lapsus$ โจมตีระบบเครือข่ายของ T-Mobile โดยใช้ข้อมูล credentials ที่ถูกขโมยมา

ที่มา : bleepingcomputer.

Google เปิดโครงการ Open Source Vulnerabilities (OSV) ฐานข้อมูลช่องโหว่โอเพนซอร์สจากโครงการ OSS-Fuzz

 

Google เปิดโครงการฐานข้อมูลช่องโหว่ Open Source Vulnerabilities (OSV) ซึ่งรวมรายการของช่องโหว่ในโครงการโอเพนซอร์สเอาไว้ ในปัจจุบันข้อมูลจาก OSV นั้นมาจากผลลัพธ์ของโครงการ OSS-Fuzz ซึ่งใช้เทคนิคแบบ Fuzzing ในการค้นหาช่องโหว่

เมื่อ OSS-Fuzz ค้นพบช่องโหว่ OSV จะทำหน้าที่หลักในการ triage ข้อมูลของช่องโหว่นั้นให้สามารถเข้าถึงได้จากช่องทางหรือแพลตฟอร์มอื่น ๆ โดยโครงการที่มีอยู่ก่อนหน้าอย่าง CVE ก็สามารถอ้างอิงรูปแบบของ OSV ในการอ้างถึงรายละเอียดของช่องโหว่ได้ ในขณะเดียวกันผู้ใช้งานและผู้พัฒนาก็สามารถอ้างอิงช่องโหว่ผ่านทางระบบ API ของ OSV ได้ด้วย

ผู้ที่สนใจสามารถเข้าถึง OSV ได้ที่ osv.

OpenWRT Forum ถูกบุกรุกและถูกขโมยข้อมูล แจ้งผู้ใช้ทำการเปลื่ยนรหัสผ่านใหม่โดยด่วน

เมื่อวันเสาร์ที่ 16 มกราคม 2021 ที่ผ่านมาฟอรัม OpenWRT ได้ถูกโจมตีซึ่งทำให้บัญชีผู้ใช้และบัญชีผู้ดูแลระบบของฟอรัม OpenWRT ตกอยู่ในความเสี่ยงจากการบุกถูกบุกและความเสี่ยงจากการอาจทำให้ถูกเปิดเผยข้อมูลของผู้ใช้

การโจมตีเกิดขึ้นในเวลาประมาณ 04:00 นาฬิกา (GMT) เมื่อทีมดูแลระบบตรวจพบบุคคลที่ไม่ได้รับอนุญาตเข้าถึงผู้ดูแลระบบและพยายามทำการคัดลอกรายการที่มีรายละเอียดเกี่ยวกับผู้ใช้ในฟอรัมและข้อมูลที่เกี่ยวข้องอื่นๆ ผู้บุกรุกใช้บัญชีของผู้ดูแลระบบ OpenWRT เข้าสู่ระบบโดยไม่ผ่านการตรวจสอบ Two-factor authentication (2FA) ซึ่งการบุกรุกครั้งนี้ผู้บุกรุกได้ทำการขโมย Email address และข้อมูลการจัดการของผู้ใช้ฟอรัมไปทั้งหมด

อย่างไรก็ตามทางทีมผู้ดุแลระบบฟอรัม OpenWRT ได้ทำการรีเซ็ตรหัสผ่านทั้งหมดในฟอรัมเพื่อความปลอดภัยและทำให้คีย์ API ทั้งหมดที่ใช้สำหรับกระบวนการพัฒนาโปรเจ็กต์หมดอายุ ผู้ใช้ที่เข้าสู่ระบบต้องตั้งรหัสผ่านใหม่ด้วยตนเองจากเมนูเข้าสู่ระบบ โดยระบุชื่อผู้ใช้และปฏิบัติตามคำแนะนำในการรับรหัสผ่านใหม่

ทั้งนี้ผู้ใช้อาจตกอยู่ในความเสี่ยงจากอีเมลฟิชชิง ซึ่งผู้ใช้อย่าคลิกลิงก์ที่แนบมากับอีเมล แต่ให้พิมพ์ URL ของฟอรัม OpenWRT ใหม่ด้วยตนเอง เพื่อป้องกันการรีไดเร็คไปยังเว็บไซต์ของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยค้นพบ API ของ AWS มากกว่า 20 รายการที่จะสามารถทำให้ผู้โจมตีดักจับข้อมูลของผู้ใช้ได้

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบ API ของ Amazon Web Services (AWS) มากกว่า 20 รายการที่สามารถนำไปใช้เพื่อรับข้อมูลของภายในขององค์กรและใช้ประโยชน์จากข้อมูลเพื่อทำการโจมตีเป้าหมายแบบกำหนดบุคคลที่อยู่ภายในองค์กร

นักวิจัยด้านความปลอดภัยระบุว่า API ที่มีช่องโหว่การโจมตีจะทำงานในพาร์ติชัน AWS ทั้งสามตัวคือ aws, aws-us-gov หรือ aws-cn โดยบริการ AWS ที่เสี่ยงต่อการละเมิด ได้แก่ Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) และ Amazon Simple Queue Service (SQS)

นักวิจัยกล่าวอีกว่าสาเหตุที่แท้จริงของปัญหาคือที่ถูกค้นพบคือแบ็กเอนด์ AWS จะทำการตรวจสอบ resource-based policies ทั้งหมดที่แนบมากับ resources เช่นบัคเก็ต Amazon Simple Storage Service (S3) และ customer-managed key โดยทั่วไปฟิลด์ Principal จะถูกรวมอยู่ใน resource-based policies เพื่อระบุผู้ใช้ที่มีสิทธิ์เข้าถึง อย่างไรก็ตามหากระบุข้อมูลประจำตัวที่ไม่มีอยู่ใน policy การเรียก API เพื่อสร้างหรืออัปเดต policy จะเกิดการล้มเหลวและผู้โจมตีสามารถใช้ฟีเจอร์เพื่อตรวจสอบข้อมูลประจำตัวที่มีอยู่ในบัญชี AWS

Palo Alto Networks ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการลบผู้ใช้ที่ไม่ได้ใช้งานออก ซึ่งจะทำให้ผู้โจมตีไม่สามารถคาดเดาชื่อผู้ใช้ได้โดยการเพิ่มสตริงแบบสุ่มใน log และ monitor identity authentication ทั้งนี้ผู้ดูแลระบบควรทำการเปิดใช้งาน Two-Factor authentication (2FA) ในการเข้าสู่ระบบเพื่อเป็นการป้องกันบัญชีผู้ใช้อีกทางหนึ่ง

ที่มา: securityweek.