Data of 130 Million Chinese Hotel Chain Guests Sold on Dark Web Forum

ข้อมูลของโรงแรม Huazhu Hotels Group Ltd. รั่วไหล ซึ่งดำเนินธุรกิจโรงแรม 13 กลุ่ม มีทั้งหมด 5,162 โรงแรม ตั้งอยู่ในประเทศจีน 1,119 โรงแรม ถือว่าเป็นกลุ่มธุรกิจโรงแรมที่ใหญ่ที่สุดในประเทศจีนอีกด้วย

จากข่าวรายงานว่า แฮกเกอร์ได้ประกาศขายรายละเอียดข้อมูลส่วนตัวของแขกที่เข้าพักในโรงแรมกว่า 130 ล้านคน โดยมีมูลค่า 8 Bitcoin (56,000 ดอลล่าร์สหรัฐฯ) โดยประกาศขายที่ Dark Web ของประเทศจีน ประกอบไปด้วยข้อมูลดังต่อไปนี้ หมายเลขบัตรประจำตัว, หมายเลขโทรศัพท์มือถือ, ที่อยู่อีเมล, รหัสผ่านเข้าสู่ระบบ, ข้อมูลการลงทะเบียนการเช็คอิน (ชื่อลูกค้า, หมายเลขบัตรประจำตัว, ที่อยู่บ้าน, วันเกิด) และข้อมูลการจองห้องพัก (ชื่อ, หมายเลขบัตร, หมายเลขโทรศัพท์มือถือ, เวลาเช็คอิน, เวลาออกเดินทาง, หมายเลขโรงแรม, หมายเลขห้อง) โดยส่วนใหญ่จะเป็นข้อมูลลูกค้าที่เข้าพักโรงแรมในเครือของ Huazhu ซึ่ง ได้แก่ Hanant Hotel, Grand Mercure, Joye, Manxin, Novotel, Mercure, CitiGo, Orange, All Season, Starway, Ibis, Elan และ Haiyou

ปัจจุบันทางโรงแรม Huazhu ก็ได้ออกมายอบรับว่าเป็นข้อมูลของลูกค้าจริง เกิดจากความผิดพลาดของทีม development มีการอัปโหลดสำเนาข้อมูลเก็บไว้ที่ GitHub อาจเป็นสาเหตุที่ทำให้เกิดข้อมูลรั่วไหลในครั้งนี้

ที่มา : bleepingcomputer

Iranian Hackers Target Universities in Global Cyberattack Campaign

Cobalt Dickens ซึ่งเป็นกลุ่มที่เชื่อมโยงกับรัฐบาลอิหร่านตกเป็นผู้ต้องสงสัยอยู่เบื้องหลังการโจมตีมหาวิทยาลัยทั่วโลกเพื่อขโมยข้อมูลประจำตัว

กลุ่มนักวิจัยของ Secureworks ได้เปิดเผยการโจมตีหลังจากเริ่มพบ URL ปลอมแปลงในหน้าเว็บเข้าสู่ระบบของมหาวิทยาลัย หลังจากนำหมายเลข IP ไปวิเคราะห์เพิ่มเติมพบการโจมตีขนาดใหญ่ที่เกี่ยวข้องกับ 16 โดเมนที่มีเว็บไซต์ปลอมแปลงมากกว่า 300 แห่งและหน้าเว็บเข้าสู่ระบบของ 76 มหาวิทยาลัยใน 14 ประเทศ ผู้บุกรุกมุ่งเป้าไปที่โรงเรียนในสหรัฐอเมริกา, สหราชอาณาจักร, ออสเตรเลีย, แคนาดา, จีน, อิสราเอล, ญี่ปุ่นและตุรกี เป็นต้น และได้แจ้งเตือนไปยังเป้าหมายดังกล่าว

ผู้ที่ตกเป็นเหยื่อจะถูกหลอกให้ป้อนข้อมูลเข้าสู่ระบบในหน้าเข้าสู่ระบบปลอม หลังจากนั้นจะเปลี่ยนเส้นทางไปยังหน้าเว็บที่ถูกต้อง เพื่อให้เหยื่อป้อนข้อมูลเข้าสู่ระบบเป็นครั้งที่สอง โดเมนส่วนใหญ่ในเหตุการณ์ดังกล่าวจะเชื่อมต่อกับบาง IP และ DNS ซึ่งโดเมนหนึ่งถูกจดทะเบียนในเดือนพฤษภาคมปีพ.ศ. 2561 เพื่อนำโดเมนย่อยที่ออกแบบมาใช้หลอกเป้าหมายของมหาวิทยาลัยและเปลี่ยนเส้นทางผู้เข้าชมไปยังหน้าการเข้าสู่ระบบปลอมบนโดเมนอื่นที่ควบคุมโดยผู้บุกรุก เพื่อใช้ข้อมูลประจำตัวที่ได้มาขโมยทรัพย์สินทางปัญญาอย่างงานวิจัยต่างๆ

ที่มา : darkreading

phpMyAdmin PMASA-2018-5: XSS in the import dialog

พบช่องโหว่ XSS CVE-2018-15605 ใน phpMyAdmin เป็นช่องโหว่ในส่วน file import ทำให้ผู้โจมตีสามารถใส่คำสั่ง Payload เพื่อโจมตีผู้ใช้ผ่านทางไฟล์ที่สร้างขึ้นเป็นพิเศษด้วยการ import ไฟล์นั้น โดยความความรุนแรงของช่องโหว่นี้อยู่ในระดับปานกลางและมีผลกับ phpMyAdmin เวอร์ชันเก่ากว่า 4.8.3

อัปเดตเป็น phpMyAdmin รุ่น 4.8.3 หรือใหม่กว่า หรือสามารถแพตช์ช่องโหว่นี้ได้โดยดูรายละเอียดจาก
github

ที่มา : phpmyadmin

Expert discovered a Critical Remote Code Execution flaw in Apache Struts (CVE-2018-11776)

พบช่องโหว่ CVE-2018-11776 ที่ส่งผลต่อโค้ดหลักโดยไม่ต้องใช้งานปลั๊กอิน และช่วยให้สามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์และเว็บไซต์ที่มีช่องโหว่ ที่มีการใช้งาน Apache Struts 2 ซึ่งถือว่าเป็น open-source ที่ได้รับความนิยมเป็นอย่างมาก

จากข่าวรายงานว่า ช่องโหว่ CVE-2018-11776 ถูกค้นพบโดยทีม Semmle Security Research Team ตั้งแต่เดือนเมษายนที่ผ่านมาและได้รายงานไปยัง Apache ซึ่งก็ได้มีการออก Patch ออกมาแล้ว ( 2.3.35 สำหรับผู้ใช้รุ่น 2.3 และ 2.5.17 สำหรับกลุ่มที่ 2.5 )

ปัจจัยที่ทำให้เกิดช่องโหว่

• ค่าสถานะ alwaysSelectFullNamespace ถูกตั้งค่าเป็น true โดยปกติจะถูกกำหนดค่านี้เป็น default
• ไฟล์ Struts Configuration ที่มีแท็ก ที่ไม่ได้ระบุ optional namespace attribute หรือมีการระบุเป็น wildcard namespace เช่น . '/*'

หาก Application ของผู้ใช้งานไม่ได้เป็นไปตามเงื่อนไขตามที่รายงานไว้ ก็จะไม่มีความเสี่ยงที่จะถูกโจมตีจากแฮกเกอร์ อย่างไรก็ตาม อาจจะมีการแจ้งเตือนถึงการโจมตีใหม่ๆเกิดขึ้นอยู่ วิธีที่ดีที่สุดควรอัพเดตเป็นเวอร์ชันล่าสุดอยู่เสมอ

ที่มา : securityaffairs

T-Mobile data breach: Personal data of 2 million users stolen

เมื่อวันที่ 20 สิงหาคม 2561 ทางบริษัท T-Mobile ผู้ให้บริการระบบโทรคมนาคมขนาดใหญ่ออกมาประกาศว่าแฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลส่วนบุคคลของลูกค้าจำนวน 2 ล้านรายซึ่งประกอบไปด้วย ชื่อ, หมายเลขโทรศัพท์, Email Addresses, รหัสไปรษณีย์สำหรับเรียกเก็บเงิน, เลขที่บัญชีและประเภทบัญชี (แบบเติมเงินหรือแบบรายเดือน)

จากรายงานก่อนหน้าที่จะมีการแถลงอย่างเป็นทางการทาง T-Mobile อ้างว่าการเข้าถึงดังกล่าวไม่กระทบกับข้อมูลทางการเงินของลูกค้าเช่น ข้อมูลบัตรเครดิตและบัตรเดบิต, social security numbers หรือรหัสผ่าน แต่ในคำแถลงการณ์ล่าสุดได้รับการยอมรับว่าแฮ็กเกอร์สามารถเข้าถึงและขโมยรหัสผ่านที่ถูกเข้ารหัสของผู้ใช้งานไปด้วย

เหตุการณ์ที่เกิดขึ้นไม่ใช่ครั้งแรกที่ T-Mobile ถูกเข้าถึงข้อมูลซึ่งเมื่อเดือนตุลาคม 2560 มีการตรวจพบช่องโหว่ในเว็บไซต์ของ T-Mobile ที่อนุญาตให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของลูกค้าที่ประกอบด้วย email IDs, IMSI, หมายเลขบัญชีการเรียกเก็บเงิน, หมายเลขโทรศัพท์ที่ใช้ในการตรวจสอบหมายเลขสมาชิก เป็นต้น และในเดือนกุมภาพันธ์ปี 2560 Kane Gamble แฮ็กเกอร์ชาวอังกฤษรายงานช่องโหว่ระดับ Critical ที่ส่งผลให้ผู้โจมตีสามารถ Hijack บัญชีลูกค้าได้อย่างง่ายดายโดยการ โพสต์เป็นลูกค้าผ่านทางเว็บไซต์ของ T-Mobile เอง

ที่มา : hackread