T-Mobile ยืนยันเหตุการณ์ข้อมูลรั่วไหลครั้งที่สองในปี 2023 ภายหลังจากพบว่าผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้าหลายร้อยรายเป็นเวลามากกว่าหนึ่งเดือน โดยเหตุการณ์เริ่มตั้งแต่ปลายเดือนกุมภาพันธ์ 2566

เมื่อเปรียบเทียบกับเหตุการณ์ข้อมูลรั่วไหลก่อนหน้านี้ของ T-Mobile ซึ่งส่งผลกระทบต่อลูกค้ากว่า 37 ล้านคน เหตุการณ์นี้ส่งผลกระทบต่อลูกค้าเพียง 836 ราย แต่อย่างไรก็ตาม ข้อมูลดังกล่าวมากเกินพอที่อาจทำให้บุคคลที่ได้รับผลกระทบถูกโจรกรรมข้อมูลส่วนบุคคล และถูกโจมตีแบบฟิชชิ่งได้

โดย T-Mobile ระบุในจดหมายแจ้งเตือนเหตุการณ์ข้อมูลรั่วไหล ที่ส่งถึงบุคคลที่ได้รับผลกระทบในวันศุกร์ที่ 28 เมษายน 2023 ว่า "ในช่วงเดือนมีนาคม 2023 T-Mobile ได้รับการแจ้งเตือนถึงเหตุการณ์ผิดปกติ และระบุได้ว่าผู้โจมตีสามารถเข้าถึงข้อมูลลูกค้าจำนวนหนึ่งจากบัญชีของ T-Mobile ระหว่างปลายเดือนกุมภาพันธ์ถึงมีนาคม 2023"

T-Mobile ระบุว่าผู้โจมตีไม่สามารถเข้าถึงบันทึกการโทร หรือข้อมูลบัญชีการเงินของบุคคลที่ได้รับผลกระทบ แต่ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้นั้นมีข้อมูลเพียงพอสำหรับการถูกนำมาใช้ในการโจรกรรมข้อมูล

แม้ว่าข้อมูลที่รั่วไหลจะแตกต่างกันไปสำหรับลูกค้าแต่ละรายที่ได้รับผลกระทบ เช่น "ชื่อ-นามสกุล, ข้อมูลติดต่อ, หมายเลขบัญชี, หมายเลขโทรศัพท์ที่เกี่ยวข้อง, รหัส PIN ของบัญชี T-Mobile, หมายเลขประกันสังคม, บัตรประจำตัวประชาชน, วันเกิด, ยอดคงเหลือภายในระบบของ T-Mobile เป็นต้น

หลังจากตรวจพบเหตุการณ์ผิดปกติ T-Mobile ได้ทำการรีเซ็ตรหัส PIN ของบัญชี สำหรับลูกค้าที่ได้รับผลกระทบ และใช้บริการตรวจสอบการใช้งานบัตรเครดิต และตรวจจับการโจรกรรมข้อมูลประจำตัวให้กับลูกค้าที่ได้รับผลกระทบฟรีเป็นเวลา 2 ปีผ่าน Transunion myTrueIdentity

เหตุการณ์นี้ถือเป็นครั้งที่สองในปีนี้ที่ T-Mobile พบเหตุการณ์ข้อมูลรั่วไหล โดยมีการเปิดเผยเหตุการณ์ข้อมูลรั่วไหลก่อนหน้านี้เมื่อวันที่ 19 มกราคม ภายหลังจากที่ผู้โจมตีขโมยข้อมูลส่วนบุคคลของลูกค้ากว่า 37 ล้านรายโดยใช้ Application Programming Interface (API) ที่มีช่องโหว่ในเดือนพฤศจิกายน 2022

โดย T-Mobile ตรวจพบเหตุการณ์ผิดปกติของผู้โจมตีได้ในวันที่ 5 มกราคม และสามารถตัดการเข้าถึงระบบได้ภายใน 24 ชั่วโมง

T-Mobile ระบุว่าข้อมูลที่ถูกขโมยในเดือนมกราคมเป็น "ข้อมูลพื้นฐานของลูกค้า" รวมถึง "ชื่อ-ที่อยู่สำหรับการเรียกเก็บเงิน, อีเมล, หมายเลขโทรศัพท์, วันเกิด, หมายเลขบัญชี T-Mobile

โดยนับตั้งแต่ปี 2018 พบเหตุการณ์ข้อมูลรั่วไหลอื่น ๆ อีก 7 รายการจากผู้ให้บริการโทรศัพท์เคลื่อนที่ ซึ่งรวมถึงเหตุการณ์ข้อมูลรั่วไหลของลูกค้า T-Mobile เกือบ 3% จากลูกค้าทั้งหมด

เหตุการณ์อื่น ๆ ที่เกี่ยวข้อง T-Mobile ในช่วงไม่กี่ปีที่ผ่านมา ดังนี้ :

ในปี 2019 เหตุการณ์ข้อมูลรั่วไหลของลูกค้าแบบเติมเงินจำนวนหนึ่ง
ในเดือนมีนาคม 2020 พนักงานของ T-Mobile ได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหล ที่เปิดเผยข้อมูลส่วนบุคคล และข้อมูลทางการเงิน
ในเดือนธันวาคม 2020 ผู้โจมตีเข้าถึงข้อมูลเครือข่ายที่เป็นข้อมูลของลูกค้า (หมายเลขโทรศัพท์, บันทึกการโทร)
ในเดือนกุมภาพันธ์ 2021 แอปพลิเคชัน T-Mobile ภายในถูกเข้าถึงโดยผู้โจมตีโดยไม่ได้รับอนุญาต
ในเดือนสิงหาคม พ.ศ. 2021 แฮ็กเกอร์ brute-forced ผ่านระบบเครือข่าย ทำให้สามารถเข้าถึงระบบ Testing environment ของ T-Mobile
ในเดือนเมษายน พ.ศ. 2022 กลุ่ม Lapsus$ โจมตีระบบเครือข่ายของ T-Mobile โดยใช้ข้อมูล credentials ที่ถูกขโมยมา

ที่มา : bleepingcomputer.

 

Google เปิดโครงการฐานข้อมูลช่องโหว่ Open Source Vulnerabilities (OSV) ซึ่งรวมรายการของช่องโหว่ในโครงการโอเพนซอร์สเอาไว้ ในปัจจุบันข้อมูลจาก OSV นั้นมาจากผลลัพธ์ของโครงการ OSS-Fuzz ซึ่งใช้เทคนิคแบบ Fuzzing ในการค้นหาช่องโหว่

เมื่อ OSS-Fuzz ค้นพบช่องโหว่ OSV จะทำหน้าที่หลักในการ triage ข้อมูลของช่องโหว่นั้นให้สามารถเข้าถึงได้จากช่องทางหรือแพลตฟอร์มอื่น ๆ โดยโครงการที่มีอยู่ก่อนหน้าอย่าง CVE ก็สามารถอ้างอิงรูปแบบของ OSV ในการอ้างถึงรายละเอียดของช่องโหว่ได้ ในขณะเดียวกันผู้ใช้งานและผู้พัฒนาก็สามารถอ้างอิงช่องโหว่ผ่านทางระบบ API ของ OSV ได้ด้วย

ผู้ที่สนใจสามารถเข้าถึง OSV ได้ที่ osv.

เมื่อวันเสาร์ที่ 16 มกราคม 2021 ที่ผ่านมาฟอรัม OpenWRT ได้ถูกโจมตีซึ่งทำให้บัญชีผู้ใช้และบัญชีผู้ดูแลระบบของฟอรัม OpenWRT ตกอยู่ในความเสี่ยงจากการบุกถูกบุกและความเสี่ยงจากการอาจทำให้ถูกเปิดเผยข้อมูลของผู้ใช้

การโจมตีเกิดขึ้นในเวลาประมาณ 04:00 นาฬิกา (GMT) เมื่อทีมดูแลระบบตรวจพบบุคคลที่ไม่ได้รับอนุญาตเข้าถึงผู้ดูแลระบบและพยายามทำการคัดลอกรายการที่มีรายละเอียดเกี่ยวกับผู้ใช้ในฟอรัมและข้อมูลที่เกี่ยวข้องอื่นๆ ผู้บุกรุกใช้บัญชีของผู้ดูแลระบบ OpenWRT เข้าสู่ระบบโดยไม่ผ่านการตรวจสอบ Two-factor authentication (2FA) ซึ่งการบุกรุกครั้งนี้ผู้บุกรุกได้ทำการขโมย Email address และข้อมูลการจัดการของผู้ใช้ฟอรัมไปทั้งหมด

อย่างไรก็ตามทางทีมผู้ดุแลระบบฟอรัม OpenWRT ได้ทำการรีเซ็ตรหัสผ่านทั้งหมดในฟอรัมเพื่อความปลอดภัยและทำให้คีย์ API ทั้งหมดที่ใช้สำหรับกระบวนการพัฒนาโปรเจ็กต์หมดอายุ ผู้ใช้ที่เข้าสู่ระบบต้องตั้งรหัสผ่านใหม่ด้วยตนเองจากเมนูเข้าสู่ระบบ โดยระบุชื่อผู้ใช้และปฏิบัติตามคำแนะนำในการรับรหัสผ่านใหม่

ทั้งนี้ผู้ใช้อาจตกอยู่ในความเสี่ยงจากอีเมลฟิชชิง ซึ่งผู้ใช้อย่าคลิกลิงก์ที่แนบมากับอีเมล แต่ให้พิมพ์ URL ของฟอรัม OpenWRT ใหม่ด้วยตนเอง เพื่อป้องกันการรีไดเร็คไปยังเว็บไซต์ของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบ API ของ Amazon Web Services (AWS) มากกว่า 20 รายการที่สามารถนำไปใช้เพื่อรับข้อมูลของภายในขององค์กรและใช้ประโยชน์จากข้อมูลเพื่อทำการโจมตีเป้าหมายแบบกำหนดบุคคลที่อยู่ภายในองค์กร

นักวิจัยด้านความปลอดภัยระบุว่า API ที่มีช่องโหว่การโจมตีจะทำงานในพาร์ติชัน AWS ทั้งสามตัวคือ aws, aws-us-gov หรือ aws-cn โดยบริการ AWS ที่เสี่ยงต่อการละเมิด ได้แก่ Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) และ Amazon Simple Queue Service (SQS)

นักวิจัยกล่าวอีกว่าสาเหตุที่แท้จริงของปัญหาคือที่ถูกค้นพบคือแบ็กเอนด์ AWS จะทำการตรวจสอบ resource-based policies ทั้งหมดที่แนบมากับ resources เช่นบัคเก็ต Amazon Simple Storage Service (S3) และ customer-managed key โดยทั่วไปฟิลด์ Principal จะถูกรวมอยู่ใน resource-based policies เพื่อระบุผู้ใช้ที่มีสิทธิ์เข้าถึง อย่างไรก็ตามหากระบุข้อมูลประจำตัวที่ไม่มีอยู่ใน policy การเรียก API เพื่อสร้างหรืออัปเดต policy จะเกิดการล้มเหลวและผู้โจมตีสามารถใช้ฟีเจอร์เพื่อตรวจสอบข้อมูลประจำตัวที่มีอยู่ในบัญชี AWS

Palo Alto Networks ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการลบผู้ใช้ที่ไม่ได้ใช้งานออก ซึ่งจะทำให้ผู้โจมตีไม่สามารถคาดเดาชื่อผู้ใช้ได้โดยการเพิ่มสตริงแบบสุ่มใน log และ monitor identity authentication ทั้งนี้ผู้ดูแลระบบควรทำการเปิดใช้งาน Two-Factor authentication (2FA) ในการเข้าสู่ระบบเพื่อเป็นการป้องกันบัญชีผู้ใช้อีกทางหนึ่ง

ที่มา: securityweek.

US Postal Service ไปรษณีย์ของสหรัฐอเมริกา (The United States Postal Service : USPS) ได้แก้ไขช่องโหว่ของเว็บไซต์ ที่ส่งผลให้ข้อมูลส่วนตัวของผู้ใช้งานถูกเปิดเผย และแก้ไขได้ มีผู้ได้รับผลกระทบเป็นจำนวนกว่า 60 ล้านคน

จากรายงานระบุว่า ผู้ค้นพบช่องโหว่ได้ทำการติดต่อมายัง Brian Krebs ซึ่งเป็นนักวิเคราะห์ด้านความปลอดภัยที่มีชื่อเสียง นักวิจัยคนดังกล่าวได้ทำการแจ้งปัญหาไปยัง USPS ตั้งแต่ปีที่แล้ว แต่บริษัทก็ไม่มีความพยายามที่จะแก้ไขปัญหาดังกล่าว จนกระทั่งช่องโหว่ดังกล่าวถูกเปิดเผยออกไป ปัญหาดังกล่าวจึงได้ถูกแก้ไขในทันที

ปัญหานี้เกิดจากการออกแบบให้สามารถใช้งาน API เพื่อนำข้อมูล tracking data ของบริษัทไปใช้ในเชิงธุรกิจ, โฆษณา และการส่ง campaign ผ่านเมลล์ต่างๆ ปัญหานี้ส่งผลทำให้ ผู้ใช้งานที่เข้าสู่ระบบสามารถทำการค้นหาข้อมูลที่เป็นของผู้ใช้รายอื่น ๆ ได้ เช่น ที่อยู่, อีเมล, รหัสผู้ใช้งาน, หมายเลขโทรศัพท์ และข้อมูลอื่น ๆ

ทาง USPS ได้แก้ไขปัญหาแล้ว โดยได้เพิ่มขั้นตอนในการตรวจสอบเพิ่มเติม เพื่อป้องกันการเปลี่ยนแปลงข้อมูลที่ไม่ได้รับอนุญาต เช่น เมื่อผู้ใช้พยายามแก้ไขที่อยู่อีเมลในบัญชี USPS ผ่านทาง API ระบบจะแจ้งให้ทราบผ่านทางอีเมลที่ผูกไว้กับบัญชีเพื่อให้ทำการยืนยันการเปลี่ยนแปลง

ที่มา : securityaffairs

นักวิจัยด้านการรักษาความปลอดภัยสองคนคือ Vangelis Stykas และ Michael Gruhn ได้เผยแพร่รายงานเกี่ยวกับช่องโหว่ที่ชื่อ "Trackmageddon" ซึ่งส่งผลกระทบต่อ GPS และระบบติดตามตำแหน่งหลายรายการ ระบบ GPS เหล่านี้ทำงานภายใต้ฐานข้อมูลที่รวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์จากอุปกรณ์ที่มีการใช้งาน GPS จากที่ต่างๆ เช่น ตัวติดตามสัตว์เลี้ยง, อุปกรณ์ติดตามรถยนต์, อุปกรณ์ติดตามเด็ก และอื่นๆ

Stykas และ Gruhn กล่าวว่าผู้บุกรุกสามารถใช้ช่องโหว่ Trackmageddon ในการดึงข้อมูล เช่น พิกัด GPS, หมายเลขโทรศัพท์, ข้อมูลบนอุปกรณ์ (IMEI หมายเลขซีเรียล ฯลฯ ) และอาจเป็นข้อมูลส่วนบุคคล โดยขึ้นอยู่กับบริการติดตามและการตั้งค่าบนอุปกรณ์ โดยข้อมูลที่รั่วไหลออกมานั้นเกิดมาจากปัญหาตั้งแต่การตั้งรหัสผ่านเริ่มต้นที่คาดเดาได้ง่าย ไปจนถึงปัญหาจากการใช้งาน API ที่ไม่ปลอดภัย (IDOR:Insecure Direct Object Reference)

นักวิจัยทั้ง 2 ใช้เวลาไม่กี่เดือนที่ผ่านมาติดต่อกับผู้ให้บริการที่ได้รับผลกระทบ แต่มีผู้ให้บริการเพียงแค่ 4 รายเท่านั้นที่มีการแก้ไขช่องโหว่ดังกล่าว เนื่องจากได้มีการให้เวลาผู้บริการต่างๆที่ได้รับผลมาระยะเวลาหนึ่งแล้ว จึงได้มีการเปิดเผยรายการของผู้ให้บริการออกมา โดยมีทั้งที่ทำการแก้ไขแล้ว, น่าจะทำการแก้ไขแล้ว และยังไม่ทำการแก้ไข(https://0x0.li/trackmageddon/)

ที่มา : bleepingcomputer

แฮกเกอร์มักจะทำการโจมตีช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์เพื่อเข้าเครื่อง ATM และทำให้เครื่องจ่ายเงินสดออกมา แต่ตอนนี้ใครๆ ก็สามารถทำได้ง่ายขึ้น เพียงแค่หาซื้อมัลแวร์จากตลาดใต้ดินก็สามารถขโมยเงินสดนับล้านจากตู้ ATM ได้

นักวิจัยจาก Kaspersky Lab เปิดเผยหลังจากพบโพสต์ฟอรัมในการโฆษณาขายมัลแวร์ชื่อว่า Cutlet Maker จากเว็บไซต์ใต้ดินในราคาประมาณ 5,000 ดอลลาร์ โพสต์ฟอรัมได้ให้คำอธิบายสั้น ๆ พร้อมรายละเอียดของชุดเครื่องมือของมัลแวร์ตัวนี้ ที่ออกแบบมาเพื่อโจมตีเป้าหมายซึ่งเป็นเครื่อง ATM รุ่นต่างๆ โดยการใช้ประโยชน์จาก API เฉพาะของ vendor จึงไม่จำเป็นต้องอาศัยผู้ใช้งาน และข้อมูลของผู้ใช้งาน ATM แต่อย่างไร จึงไม่ส่งผลกระทบต่อลูกค้าของธนาคารโดยตรง

ชุดเครื่องมือนี้ประกอบด้วย
- Cutlet Maker มัลแวร์ ATM เป็นองค์ประกอบหลักของชุดเครื่องมือ
- Stimulator แอพพลิเคชันที่รวบรวมสถานะเงินสดของตู้ ATM เป้าหมาย
- c0decalc แอพพลิเคชั่นในรูปแบบ terminal สำหรับสร้างรหัสผ่านให้มัลแวร์

นักวิจัยกล่าวว่าจำเป็นจะต้องนำชุดเครื่องมือดังกล่าวใส่ไว้ใน Flash Drive จากนั้นนำไปเสียบยังเครื่อง ATM ที่ต้องการ และสั่งรันมัลแวร์ดังกล่าว การทำงานของมัลแวร์จำเป็นจะต้องใช้อาศัยคนสองคนในการขโมยเงินจากระบบ ATM โดยบุคคลแรกจะถูกเรียกว่า "drop" และบุคคลที่สองจะถูกเรียกว่า "drop master" โดยคนแรกจะนำมัลแวร์ไปรันบนเครื่อง ATM ที่ต้องการ และจำเป็นจะต้องส่งข้อมูลไปให้แก่บุคคลที่สอง ซึ่งจำเป็นต้องนำข้อมูลดังกล่าวซึ่งเป็นตัวเลขไปใส่ใน c0decalc ซึ่งจะทำการสร้างรหัสเพื่อนำไปใช้ในขั้นตอนการรันมัลแวร์ เพื่อให้ ATM ทำการจ่ายเงินออกมา

ทั้งนี้พบว่ามัลแวร์ "Cutlet Maker" นี้ถูกเผยแพร่ครั้งแรกในเว็ปไซต์ AlphaBay ซึ่งได้ถูกปิดโดยเอฟบีไอไปก่อนหน้านี้ โดยตัวมัลแวร์ และส่วนของ Stimulator ถูกเขียนขึ้นมาด้วย Delphi และพบว่าถูกคอมไพล์เมื่อวันที่ 30 กรกฎาคม และวันที่ 16 กรกฎาคมปีที่แล้ว ตามลำดับ ส่วนตัว c0decalc ถูกเขียนขึ้นมาด้วย Visual C และพบว่าถูกคอมไพล์ตั้งแต่วันที่ 13 พฤศจิกายนปีที่แล้ว

ที่มา : The Hacker News

Instagram ได้มีการออกประกาศเตือนผู้ใช้งานในกรณีที่มีกลุ่มแฮกเกอร์ได้โจมตีช่องโหว่บน API ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัว อาทิ อีเมลที่ใช้ในการสมัครสมาชิกและเบอร์โทรศัพท์ได้ โดยทาง Instagram ได้ดำเนินการแจ้งผู้ใช้งานที่ได้รับผลกระทบแล้ว และยืนยันว่าการโจมตีช่องโหว่ดังกล่าวนั้นไม่ได้ส่งผลให้ข้อมูลที่เป็นชื่อบัญชีผู้ใช้งานหรือรหัสผ่านรั่วไหล

ต่อมานักวิจัยด้านความปลอดภัยได้มีการค้นพบเว็บไซต์ซึ่งประกาศขายข้อมูลดังกล่าว โดยเปิดให้ผู้ที่ต้องการซื้อสามารถทำการค้นหาโดยใช้ชื่อบัญชีที่ต้องการและซื้อข้อมูลที่มีในราคา 10 ดอลลาร์สหรัฐฯ ต่อบัญชีผู้ใช้ได้

Recommendation: จากการตรวจสอบเบื้องต้น ข้อมูลที่รั่วไหลออกมาดังกล่าวบางส่วนมีข้อมูลของดาราและผู้มีชื่อเสียงในไทยเป็นจำนวนมาก แนะนำให้เตรียมการหากมีการนำข้อมูลไปใช้ในการหลอกลวงผู้อื่นต่อ รวมถึงเพิ่มมาตรการรักษาความปลอดที่จำเป็นครับ

ที่มา: theregister

Impact Level : High

Affected Platform : Docker Latest Version

นักวิจัยด้านความปลอดภัย Sagie Dulce จากบริษัท Aqua Security ได้แสดงการใช้ API ของ Docker เพื่อสนับสนุนการทำงานของมัลแวร์ในงาน Black Hat ครั้งล่าสุดที่ลาสเวกัส โดยในการทดลองนี้ Docker API สามารถถูกใช้ในการซ่อน ฝังและสั่งการมัลแวร์ได้
การโจมตีนี้สามารถทำได้โดยระบบที่มีการติดตั้ง Docker ทุกเวอร์ชันที่มีการเปิดให้เรียกหา API ผ่านทางโปรโตคอล TCP (ยังคงเปิดใช้ฟีเจอร์นี้เป็นค่าดีฟอลต์ในรุ่นปัจจุบันบน Docker for Windows)
การใช้ Docker API ในการสนับสนุนการทำงานของมัลแวร์ประกอบด้วยการโจมตีหลายขั้นตอนและต้องอาศัยการตอบสนองจากผู้ใช้งาน โดยประกอบด้วยขั้นตอนในการข้ามผ่านฟีเจอร์ Same Origin Policy ด้วยการโจมตีที่เรียกว่า Host Rebinding Attack ที่ส่งผลให้ผู้โจมตีสามารถเข้าถึง Docker daemon REST API ได้ รวมไปถึงการสร้าง "Shadow Container" เพื่อคงการเข้าถึงเอาไว้แม้จะมีการรีบูตระบบ

Recommendation : ในการป้องกันนั้น Sagie Dulce แนะนำให้ปรับแต่งการตั้งค่าในการเรียก Docker API ให้เฉพาะไคลเอนต์ที่มีการพิสูจน์ตัวตน (ผ่านใบรับรอง) รวมถึงบล็อคการเข้าถึงพอร์ต 2375 และปิดการใช้งานโปรโตคอล LLMNR และ NetBIOS เพื่อป้องกันการ Host Rebinding Attack ด้วย

ที่มา : threatpost