Microsoft กำลังทดสอบการรองรับ Third-party Passkeys บน Windows 11

ปัจจุบัน Microsoft กำลังทดสอบการอัปเดต API ของ WebAuthn ที่จะเพิ่มการรองรับการใช้งานของ third-party passkey สำหรับการยืนยันตัวตนแบบไม่ใช้รหัสผ่านบน Windows 11

โดย Passkeys จะใช้การยืนยันตัวตนแบบ biometric เช่น ลายนิ้วมือ และการจดจำใบหน้า เพื่อเป็นทางเลือกที่ปลอดภัย และสะดวกสบายกว่าการใช้รหัสผ่านแบบดั้งเดิม ซึ่งช่วยลดความเสี่ยงจากการละเมิดข้อมูลอย่างมีนัยสำคัญ

Microsoft ได้ร่วมมือกับผู้ให้บริการข้อมูล credential เช่น 1Password, Bitwarden และอื่น ๆ มาตั้งแต่ต้นเดือนตุลาคม ซึ่งเป็นช่วงเวลาที่บริษัทได้ประกาศเป็นครั้งแรกว่าจะสร้างโมเดลการยืนยันตัวตนแบบปลั๊กอินสำหรับ passkeys ใน Windows

ตามที่บริษัทได้เปิดเผยในวันนี้ ผู้ใช้งานจะสามารถเลือกใช้ผู้ให้บริการ third-party passkey ได้เพิ่มเติม นอกเหนือจากผู้ให้บริการ passkey ที่มีอยู่ของ Windows เพื่อสำหรับการยืนยันตัวตนผ่าน Windows Hello โดยใช้ passkey เดียวกันที่สร้างไว้ในอุปกรณ์มือถือ

ทีม Windows Insider ระบุว่า "เรากำลังปล่อยการอัปเดตสำหรับ WebAuthn APIs เพื่อรองรับโมเดลการยืนยันตัวตนแบบปลั๊กอินสำหรับ passkeys"

"ในอีกไม่กี่เดือนข้างหน้า ผู้ใช้งาน Windows จะสามารถเลือกผู้ให้บริการ third-party เป็นตัวเลือกเพิ่มเติมควบคู่ไปกับผู้ให้บริการ passkey ที่มีอยู่ของ Windows ในขณะที่ผู้ใช้ยังคงรักษาประสบการณ์การใช้งานเดิมไว้ได้"

ข้อความใน WebAuthn flows จะถูกส่งต่อไปยังปลั๊กอิน และการตอบกลับจะถูกส่งกลับไปยังแอปพลิเคชัน WebAuthn client ซึ่งทำให้ปลั๊กอินสามารถสร้าง และยืนยันตัวตนด้วย passkeys เมื่อได้รับ request จากผู้ใช้งาน

การอัปเดตเหล่านี้กำลังเผยแพร่ให้กับผู้ใช้ Windows Insider ใน Beta Channel ได้ใช้งานในวันนี้ โดยจะต้องติดตั้ง Preview Build 22635.4515 (KB5046756) นอกจากนี้ Microsoft ยังขอให้ลูกค้าที่ใช้ฟีเจอร์ใหม่นี้แชร์ความคิดเห็นผ่านแพลตฟอร์ม Feedback Hub ภายใต้หมวดหมู่ Privacy > Passkey

Microsoft ยังได้ปล่อย source code เพื่อช่วยนักพัฒนาสร้างปลั๊กอินของตัวเองเพื่อรองรับแพลตฟอร์ม passkey ของตนเอง

บริษัทได้เข้าร่วมกับ FIDO Alliance และแพลตฟอร์มหลักอื่น ๆ เพื่อสนับสนุนให้ passkeys เป็นวิธีการลงชื่อเข้าใช้แบบ passwordless ตามมาตรฐาน โดยรองรับ Web Authentication (WebAuthn) หรือที่เรียกว่า FIDO credentials

ล่าสุดในเดือนพฤษภาคม Microsoft ได้ปล่อยการรองรับการยืนยันตัวตนด้วย passkey สำหรับบัญชี Microsoft ส่วนบุคคลหลังจากได้เพิ่มตัวจัดการ passkey ในตัว Windows Hello ด้วยการอัปเดตฟีเจอร์ Windows 11 22H2

วันนี้ Microsoft ยังเริ่มปล่อยฟีเจอร์ใหม่ที่ช่วยให้ผู้ใช้สามารถกลับมาทำงานกับไฟล์ OneDrive จากโทรศัพท์ iOS และ Android บน Windows 11 PC ที่ติดตั้ง Windows 11 Beta Preview build ล่าสุดสำหรับ Insiders

ในประกาศที่แยกออกมา บริษัทได้เปิดตัว Microsoft Edge Game Assist (Preview) ซึ่งเป็นเว็บเบราว์เซอร์ในเกมที่ได้รับการปรับแต่งสำหรับการเล่นเกมบน PC ซึ่งจะแสดงอยู่บนหน้าจอเกมใน Game Bar

ที่มา : bleepingcomputer

พบช่องโหว่ระดับ Critical ใน Versa Director

CISA ได้เน้นย้ำถึงช่องโหว่ใน Versa Director ของ Versa Networks ซึ่งเป็นแพลตฟอร์ม centralized management สำหรับโซลูชัน Secure SD-WAN และ SASE ช่องโหว่นี้ถูกติดตามในหมายเลข CVE-2024-45229 เป็นช่องโหว่ที่เกิดจากการตรวจสอบข้อมูลที่ไม่ถูกต้อง และส่งผลกระทบต่อหลายเวอร์ชันของซอฟต์แวร์ องค์กรที่ใช้เวอร์ชันที่มีช่องโหว่ของ Versa Director ควรเร่งดำเนินการอัปเดตแพตซ์ทันทีเพื่อป้องกันความปลอดภัยของเครือข่ายในองค์กร

(more…)

T-Mobile ยืนยันเหตุการณ์ข้อมูลรั่วไหลครั้งที่สองในปี 2023

T-Mobile ยืนยันเหตุการณ์ข้อมูลรั่วไหลครั้งที่สองในปี 2023 ภายหลังจากพบว่าผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้าหลายร้อยรายเป็นเวลามากกว่าหนึ่งเดือน โดยเหตุการณ์เริ่มตั้งแต่ปลายเดือนกุมภาพันธ์ 2566

เมื่อเปรียบเทียบกับเหตุการณ์ข้อมูลรั่วไหลก่อนหน้านี้ของ T-Mobile ซึ่งส่งผลกระทบต่อลูกค้ากว่า 37 ล้านคน เหตุการณ์นี้ส่งผลกระทบต่อลูกค้าเพียง 836 ราย แต่อย่างไรก็ตาม ข้อมูลดังกล่าวมากเกินพอที่อาจทำให้บุคคลที่ได้รับผลกระทบถูกโจรกรรมข้อมูลส่วนบุคคล และถูกโจมตีแบบฟิชชิ่งได้

โดย T-Mobile ระบุในจดหมายแจ้งเตือนเหตุการณ์ข้อมูลรั่วไหล ที่ส่งถึงบุคคลที่ได้รับผลกระทบในวันศุกร์ที่ 28 เมษายน 2023 ว่า "ในช่วงเดือนมีนาคม 2023 T-Mobile ได้รับการแจ้งเตือนถึงเหตุการณ์ผิดปกติ และระบุได้ว่าผู้โจมตีสามารถเข้าถึงข้อมูลลูกค้าจำนวนหนึ่งจากบัญชีของ T-Mobile ระหว่างปลายเดือนกุมภาพันธ์ถึงมีนาคม 2023"

T-Mobile ระบุว่าผู้โจมตีไม่สามารถเข้าถึงบันทึกการโทร หรือข้อมูลบัญชีการเงินของบุคคลที่ได้รับผลกระทบ แต่ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้นั้นมีข้อมูลเพียงพอสำหรับการถูกนำมาใช้ในการโจรกรรมข้อมูล

แม้ว่าข้อมูลที่รั่วไหลจะแตกต่างกันไปสำหรับลูกค้าแต่ละรายที่ได้รับผลกระทบ เช่น "ชื่อ-นามสกุล, ข้อมูลติดต่อ, หมายเลขบัญชี, หมายเลขโทรศัพท์ที่เกี่ยวข้อง, รหัส PIN ของบัญชี T-Mobile, หมายเลขประกันสังคม, บัตรประจำตัวประชาชน, วันเกิด, ยอดคงเหลือภายในระบบของ T-Mobile เป็นต้น

หลังจากตรวจพบเหตุการณ์ผิดปกติ T-Mobile ได้ทำการรีเซ็ตรหัส PIN ของบัญชี สำหรับลูกค้าที่ได้รับผลกระทบ และใช้บริการตรวจสอบการใช้งานบัตรเครดิต และตรวจจับการโจรกรรมข้อมูลประจำตัวให้กับลูกค้าที่ได้รับผลกระทบฟรีเป็นเวลา 2 ปีผ่าน Transunion myTrueIdentity

เหตุการณ์นี้ถือเป็นครั้งที่สองในปีนี้ที่ T-Mobile พบเหตุการณ์ข้อมูลรั่วไหล โดยมีการเปิดเผยเหตุการณ์ข้อมูลรั่วไหลก่อนหน้านี้เมื่อวันที่ 19 มกราคม ภายหลังจากที่ผู้โจมตีขโมยข้อมูลส่วนบุคคลของลูกค้ากว่า 37 ล้านรายโดยใช้ Application Programming Interface (API) ที่มีช่องโหว่ในเดือนพฤศจิกายน 2022

โดย T-Mobile ตรวจพบเหตุการณ์ผิดปกติของผู้โจมตีได้ในวันที่ 5 มกราคม และสามารถตัดการเข้าถึงระบบได้ภายใน 24 ชั่วโมง

T-Mobile ระบุว่าข้อมูลที่ถูกขโมยในเดือนมกราคมเป็น "ข้อมูลพื้นฐานของลูกค้า" รวมถึง "ชื่อ-ที่อยู่สำหรับการเรียกเก็บเงิน, อีเมล, หมายเลขโทรศัพท์, วันเกิด, หมายเลขบัญชี T-Mobile

โดยนับตั้งแต่ปี 2018 พบเหตุการณ์ข้อมูลรั่วไหลอื่น ๆ อีก 7 รายการจากผู้ให้บริการโทรศัพท์เคลื่อนที่ ซึ่งรวมถึงเหตุการณ์ข้อมูลรั่วไหลของลูกค้า T-Mobile เกือบ 3% จากลูกค้าทั้งหมด

เหตุการณ์อื่น ๆ ที่เกี่ยวข้อง T-Mobile ในช่วงไม่กี่ปีที่ผ่านมา ดังนี้ :

ในปี 2019 เหตุการณ์ข้อมูลรั่วไหลของลูกค้าแบบเติมเงินจำนวนหนึ่ง
ในเดือนมีนาคม 2020 พนักงานของ T-Mobile ได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหล ที่เปิดเผยข้อมูลส่วนบุคคล และข้อมูลทางการเงิน
ในเดือนธันวาคม 2020 ผู้โจมตีเข้าถึงข้อมูลเครือข่ายที่เป็นข้อมูลของลูกค้า (หมายเลขโทรศัพท์, บันทึกการโทร)
ในเดือนกุมภาพันธ์ 2021 แอปพลิเคชัน T-Mobile ภายในถูกเข้าถึงโดยผู้โจมตีโดยไม่ได้รับอนุญาต
ในเดือนสิงหาคม พ.ศ. 2021 แฮ็กเกอร์ brute-forced ผ่านระบบเครือข่าย ทำให้สามารถเข้าถึงระบบ Testing environment ของ T-Mobile
ในเดือนเมษายน พ.ศ. 2022 กลุ่ม Lapsus$ โจมตีระบบเครือข่ายของ T-Mobile โดยใช้ข้อมูล credentials ที่ถูกขโมยมา

ที่มา : bleepingcomputer.

Google เปิดโครงการ Open Source Vulnerabilities (OSV) ฐานข้อมูลช่องโหว่โอเพนซอร์สจากโครงการ OSS-Fuzz

 

Google เปิดโครงการฐานข้อมูลช่องโหว่ Open Source Vulnerabilities (OSV) ซึ่งรวมรายการของช่องโหว่ในโครงการโอเพนซอร์สเอาไว้ ในปัจจุบันข้อมูลจาก OSV นั้นมาจากผลลัพธ์ของโครงการ OSS-Fuzz ซึ่งใช้เทคนิคแบบ Fuzzing ในการค้นหาช่องโหว่

เมื่อ OSS-Fuzz ค้นพบช่องโหว่ OSV จะทำหน้าที่หลักในการ triage ข้อมูลของช่องโหว่นั้นให้สามารถเข้าถึงได้จากช่องทางหรือแพลตฟอร์มอื่น ๆ โดยโครงการที่มีอยู่ก่อนหน้าอย่าง CVE ก็สามารถอ้างอิงรูปแบบของ OSV ในการอ้างถึงรายละเอียดของช่องโหว่ได้ ในขณะเดียวกันผู้ใช้งานและผู้พัฒนาก็สามารถอ้างอิงช่องโหว่ผ่านทางระบบ API ของ OSV ได้ด้วย

ผู้ที่สนใจสามารถเข้าถึง OSV ได้ที่ osv.

OpenWRT Forum ถูกบุกรุกและถูกขโมยข้อมูล แจ้งผู้ใช้ทำการเปลื่ยนรหัสผ่านใหม่โดยด่วน

เมื่อวันเสาร์ที่ 16 มกราคม 2021 ที่ผ่านมาฟอรัม OpenWRT ได้ถูกโจมตีซึ่งทำให้บัญชีผู้ใช้และบัญชีผู้ดูแลระบบของฟอรัม OpenWRT ตกอยู่ในความเสี่ยงจากการบุกถูกบุกและความเสี่ยงจากการอาจทำให้ถูกเปิดเผยข้อมูลของผู้ใช้

การโจมตีเกิดขึ้นในเวลาประมาณ 04:00 นาฬิกา (GMT) เมื่อทีมดูแลระบบตรวจพบบุคคลที่ไม่ได้รับอนุญาตเข้าถึงผู้ดูแลระบบและพยายามทำการคัดลอกรายการที่มีรายละเอียดเกี่ยวกับผู้ใช้ในฟอรัมและข้อมูลที่เกี่ยวข้องอื่นๆ ผู้บุกรุกใช้บัญชีของผู้ดูแลระบบ OpenWRT เข้าสู่ระบบโดยไม่ผ่านการตรวจสอบ Two-factor authentication (2FA) ซึ่งการบุกรุกครั้งนี้ผู้บุกรุกได้ทำการขโมย Email address และข้อมูลการจัดการของผู้ใช้ฟอรัมไปทั้งหมด

อย่างไรก็ตามทางทีมผู้ดุแลระบบฟอรัม OpenWRT ได้ทำการรีเซ็ตรหัสผ่านทั้งหมดในฟอรัมเพื่อความปลอดภัยและทำให้คีย์ API ทั้งหมดที่ใช้สำหรับกระบวนการพัฒนาโปรเจ็กต์หมดอายุ ผู้ใช้ที่เข้าสู่ระบบต้องตั้งรหัสผ่านใหม่ด้วยตนเองจากเมนูเข้าสู่ระบบ โดยระบุชื่อผู้ใช้และปฏิบัติตามคำแนะนำในการรับรหัสผ่านใหม่

ทั้งนี้ผู้ใช้อาจตกอยู่ในความเสี่ยงจากอีเมลฟิชชิง ซึ่งผู้ใช้อย่าคลิกลิงก์ที่แนบมากับอีเมล แต่ให้พิมพ์ URL ของฟอรัม OpenWRT ใหม่ด้วยตนเอง เพื่อป้องกันการรีไดเร็คไปยังเว็บไซต์ของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยค้นพบ API ของ AWS มากกว่า 20 รายการที่จะสามารถทำให้ผู้โจมตีดักจับข้อมูลของผู้ใช้ได้

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบ API ของ Amazon Web Services (AWS) มากกว่า 20 รายการที่สามารถนำไปใช้เพื่อรับข้อมูลของภายในขององค์กรและใช้ประโยชน์จากข้อมูลเพื่อทำการโจมตีเป้าหมายแบบกำหนดบุคคลที่อยู่ภายในองค์กร

นักวิจัยด้านความปลอดภัยระบุว่า API ที่มีช่องโหว่การโจมตีจะทำงานในพาร์ติชัน AWS ทั้งสามตัวคือ aws, aws-us-gov หรือ aws-cn โดยบริการ AWS ที่เสี่ยงต่อการละเมิด ได้แก่ Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) และ Amazon Simple Queue Service (SQS)

นักวิจัยกล่าวอีกว่าสาเหตุที่แท้จริงของปัญหาคือที่ถูกค้นพบคือแบ็กเอนด์ AWS จะทำการตรวจสอบ resource-based policies ทั้งหมดที่แนบมากับ resources เช่นบัคเก็ต Amazon Simple Storage Service (S3) และ customer-managed key โดยทั่วไปฟิลด์ Principal จะถูกรวมอยู่ใน resource-based policies เพื่อระบุผู้ใช้ที่มีสิทธิ์เข้าถึง อย่างไรก็ตามหากระบุข้อมูลประจำตัวที่ไม่มีอยู่ใน policy การเรียก API เพื่อสร้างหรืออัปเดต policy จะเกิดการล้มเหลวและผู้โจมตีสามารถใช้ฟีเจอร์เพื่อตรวจสอบข้อมูลประจำตัวที่มีอยู่ในบัญชี AWS

Palo Alto Networks ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการลบผู้ใช้ที่ไม่ได้ใช้งานออก ซึ่งจะทำให้ผู้โจมตีไม่สามารถคาดเดาชื่อผู้ใช้ได้โดยการเพิ่มสตริงแบบสุ่มใน log และ monitor identity authentication ทั้งนี้ผู้ดูแลระบบควรทำการเปิดใช้งาน Two-Factor authentication (2FA) ในการเข้าสู่ระบบเพื่อเป็นการป้องกันบัญชีผู้ใช้อีกทางหนึ่ง

ที่มา: securityweek.

A flaw in US Postal Service website exposed data on 60 Million Users

US Postal Service ไปรษณีย์ของสหรัฐอเมริกา (The United States Postal Service : USPS) ได้แก้ไขช่องโหว่ของเว็บไซต์ ที่ส่งผลให้ข้อมูลส่วนตัวของผู้ใช้งานถูกเปิดเผย และแก้ไขได้ มีผู้ได้รับผลกระทบเป็นจำนวนกว่า 60 ล้านคน

จากรายงานระบุว่า ผู้ค้นพบช่องโหว่ได้ทำการติดต่อมายัง Brian Krebs ซึ่งเป็นนักวิเคราะห์ด้านความปลอดภัยที่มีชื่อเสียง นักวิจัยคนดังกล่าวได้ทำการแจ้งปัญหาไปยัง USPS ตั้งแต่ปีที่แล้ว แต่บริษัทก็ไม่มีความพยายามที่จะแก้ไขปัญหาดังกล่าว จนกระทั่งช่องโหว่ดังกล่าวถูกเปิดเผยออกไป ปัญหาดังกล่าวจึงได้ถูกแก้ไขในทันที

ปัญหานี้เกิดจากการออกแบบให้สามารถใช้งาน API เพื่อนำข้อมูล tracking data ของบริษัทไปใช้ในเชิงธุรกิจ, โฆษณา และการส่ง campaign ผ่านเมลล์ต่างๆ ปัญหานี้ส่งผลทำให้ ผู้ใช้งานที่เข้าสู่ระบบสามารถทำการค้นหาข้อมูลที่เป็นของผู้ใช้รายอื่น ๆ ได้ เช่น ที่อยู่, อีเมล, รหัสผู้ใช้งาน, หมายเลขโทรศัพท์ และข้อมูลอื่น ๆ

ทาง USPS ได้แก้ไขปัญหาแล้ว โดยได้เพิ่มขั้นตอนในการตรวจสอบเพิ่มเติม เพื่อป้องกันการเปลี่ยนแปลงข้อมูลที่ไม่ได้รับอนุญาต เช่น เมื่อผู้ใช้พยายามแก้ไขที่อยู่อีเมลในบัญชี USPS ผ่านทาง API ระบบจะแจ้งให้ทราบผ่านทางอีเมลที่ผูกไว้กับบัญชีเพื่อให้ทำการยืนยันการเปลี่ยนแปลง

ที่มา : securityaffairs

“Trackmageddon” Vulnerabilities Discovered in (GPS) Location Tracking Services

นักวิจัยด้านการรักษาความปลอดภัยสองคนคือ Vangelis Stykas และ Michael Gruhn ได้เผยแพร่รายงานเกี่ยวกับช่องโหว่ที่ชื่อ "Trackmageddon" ซึ่งส่งผลกระทบต่อ GPS และระบบติดตามตำแหน่งหลายรายการ ระบบ GPS เหล่านี้ทำงานภายใต้ฐานข้อมูลที่รวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์จากอุปกรณ์ที่มีการใช้งาน GPS จากที่ต่างๆ เช่น ตัวติดตามสัตว์เลี้ยง, อุปกรณ์ติดตามรถยนต์, อุปกรณ์ติดตามเด็ก และอื่นๆ

Stykas และ Gruhn กล่าวว่าผู้บุกรุกสามารถใช้ช่องโหว่ Trackmageddon ในการดึงข้อมูล เช่น พิกัด GPS, หมายเลขโทรศัพท์, ข้อมูลบนอุปกรณ์ (IMEI หมายเลขซีเรียล ฯลฯ ) และอาจเป็นข้อมูลส่วนบุคคล โดยขึ้นอยู่กับบริการติดตามและการตั้งค่าบนอุปกรณ์ โดยข้อมูลที่รั่วไหลออกมานั้นเกิดมาจากปัญหาตั้งแต่การตั้งรหัสผ่านเริ่มต้นที่คาดเดาได้ง่าย ไปจนถึงปัญหาจากการใช้งาน API ที่ไม่ปลอดภัย (IDOR:Insecure Direct Object Reference)

นักวิจัยทั้ง 2 ใช้เวลาไม่กี่เดือนที่ผ่านมาติดต่อกับผู้ให้บริการที่ได้รับผลกระทบ แต่มีผู้ให้บริการเพียงแค่ 4 รายเท่านั้นที่มีการแก้ไขช่องโหว่ดังกล่าว เนื่องจากได้มีการให้เวลาผู้บริการต่างๆที่ได้รับผลมาระยะเวลาหนึ่งแล้ว จึงได้มีการเปิดเผยรายการของผู้ให้บริการออกมา โดยมีทั้งที่ทำการแก้ไขแล้ว, น่าจะทำการแก้ไขแล้ว และยังไม่ทำการแก้ไข(https://0x0.li/trackmageddon/)

ที่มา : bleepingcomputer

Dangerous Malware Allows Anyone to Empty ATMs – And It’s On Sale!

แฮกเกอร์มักจะทำการโจมตีช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์เพื่อเข้าเครื่อง ATM และทำให้เครื่องจ่ายเงินสดออกมา แต่ตอนนี้ใครๆ ก็สามารถทำได้ง่ายขึ้น เพียงแค่หาซื้อมัลแวร์จากตลาดใต้ดินก็สามารถขโมยเงินสดนับล้านจากตู้ ATM ได้

นักวิจัยจาก Kaspersky Lab เปิดเผยหลังจากพบโพสต์ฟอรัมในการโฆษณาขายมัลแวร์ชื่อว่า Cutlet Maker จากเว็บไซต์ใต้ดินในราคาประมาณ 5,000 ดอลลาร์ โพสต์ฟอรัมได้ให้คำอธิบายสั้น ๆ พร้อมรายละเอียดของชุดเครื่องมือของมัลแวร์ตัวนี้ ที่ออกแบบมาเพื่อโจมตีเป้าหมายซึ่งเป็นเครื่อง ATM รุ่นต่างๆ โดยการใช้ประโยชน์จาก API เฉพาะของ vendor จึงไม่จำเป็นต้องอาศัยผู้ใช้งาน และข้อมูลของผู้ใช้งาน ATM แต่อย่างไร จึงไม่ส่งผลกระทบต่อลูกค้าของธนาคารโดยตรง

ชุดเครื่องมือนี้ประกอบด้วย
- Cutlet Maker มัลแวร์ ATM เป็นองค์ประกอบหลักของชุดเครื่องมือ
- Stimulator แอพพลิเคชันที่รวบรวมสถานะเงินสดของตู้ ATM เป้าหมาย
- c0decalc แอพพลิเคชั่นในรูปแบบ terminal สำหรับสร้างรหัสผ่านให้มัลแวร์

นักวิจัยกล่าวว่าจำเป็นจะต้องนำชุดเครื่องมือดังกล่าวใส่ไว้ใน Flash Drive จากนั้นนำไปเสียบยังเครื่อง ATM ที่ต้องการ และสั่งรันมัลแวร์ดังกล่าว การทำงานของมัลแวร์จำเป็นจะต้องใช้อาศัยคนสองคนในการขโมยเงินจากระบบ ATM โดยบุคคลแรกจะถูกเรียกว่า "drop" และบุคคลที่สองจะถูกเรียกว่า "drop master" โดยคนแรกจะนำมัลแวร์ไปรันบนเครื่อง ATM ที่ต้องการ และจำเป็นจะต้องส่งข้อมูลไปให้แก่บุคคลที่สอง ซึ่งจำเป็นต้องนำข้อมูลดังกล่าวซึ่งเป็นตัวเลขไปใส่ใน c0decalc ซึ่งจะทำการสร้างรหัสเพื่อนำไปใช้ในขั้นตอนการรันมัลแวร์ เพื่อให้ ATM ทำการจ่ายเงินออกมา

ทั้งนี้พบว่ามัลแวร์ "Cutlet Maker" นี้ถูกเผยแพร่ครั้งแรกในเว็ปไซต์ AlphaBay ซึ่งได้ถูกปิดโดยเอฟบีไอไปก่อนหน้านี้ โดยตัวมัลแวร์ และส่วนของ Stimulator ถูกเขียนขึ้นมาด้วย Delphi และพบว่าถูกคอมไพล์เมื่อวันที่ 30 กรกฎาคม และวันที่ 16 กรกฎาคมปีที่แล้ว ตามลำดับ ส่วนตัว c0decalc ถูกเขียนขึ้นมาด้วย Visual C และพบว่าถูกคอมไพล์ตั้งแต่วันที่ 13 พฤศจิกายนปีที่แล้ว

ที่มา : The Hacker News

Instagram’s leaky API exposed celebrities’ contact details

Instagram ได้มีการออกประกาศเตือนผู้ใช้งานในกรณีที่มีกลุ่มแฮกเกอร์ได้โจมตีช่องโหว่บน API ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัว อาทิ อีเมลที่ใช้ในการสมัครสมาชิกและเบอร์โทรศัพท์ได้ โดยทาง Instagram ได้ดำเนินการแจ้งผู้ใช้งานที่ได้รับผลกระทบแล้ว และยืนยันว่าการโจมตีช่องโหว่ดังกล่าวนั้นไม่ได้ส่งผลให้ข้อมูลที่เป็นชื่อบัญชีผู้ใช้งานหรือรหัสผ่านรั่วไหล

ต่อมานักวิจัยด้านความปลอดภัยได้มีการค้นพบเว็บไซต์ซึ่งประกาศขายข้อมูลดังกล่าว โดยเปิดให้ผู้ที่ต้องการซื้อสามารถทำการค้นหาโดยใช้ชื่อบัญชีที่ต้องการและซื้อข้อมูลที่มีในราคา 10 ดอลลาร์สหรัฐฯ ต่อบัญชีผู้ใช้ได้

Recommendation: จากการตรวจสอบเบื้องต้น ข้อมูลที่รั่วไหลออกมาดังกล่าวบางส่วนมีข้อมูลของดาราและผู้มีชื่อเสียงในไทยเป็นจำนวนมาก แนะนำให้เตรียมการหากมีการนำข้อมูลไปใช้ในการหลอกลวงผู้อื่นต่อ รวมถึงเพิ่มมาตรการรักษาความปลอดที่จำเป็นครับ

ที่มา: theregister