DraftKings ยืนยันข้อมูลลูกค้ารั่วไหลกว่า 67,000 ราย จากการถูกโจมตีด้วยวิธีการ credential stuffing

DraftKings บริษัทรับพนันทางด้านกีฬาเปิดเผยเมื่อสัปดาห์ที่ผ่านมาว่าข้อมูลลูกค้ามากกว่า 67,000 รายรั่วไหลออกมาในเหตุการณ์การโจมตีด้วยวิธีการ credential stuffing ในช่วงเดือนพฤศจิกายน

ในการโจมตีดังกล่าวมีการใช้เครื่องมือที่ช่วยในการพยายามทดลองเข้าใช้บัญชีผู้ใช้งานโดยอัตโนมัติ ด้วยการใช้ credentials (user/password) ที่ขโมยมาจากแพลตฟอร์มออนไลน์อื่น ๆ

โดยผู้โจมตีมีเป้าหมายที่จะเข้าถึงบัญชีผู้ใช้งานให้ได้มากที่สุดเพื่อขโมยข้อมูลส่วตัว และข้อมูลทางการเงิน แล้วนำไปขายต่อบน dark web

โดยบัญชีผู้ใช้งานที่ถูกเข้าถึงได้ ผู้โจมตีจะสามารถดูชื่อ, ที่อยู่, หมายเลขโทรศัพท์, ที่อยู่อีเมล, ข้อมูลเลขบัตรเครดิตสี่หลักท้าย, รูปโปรไฟล์ ข้อมูลเกี่ยวกับธุรกรรมก่อนหน้า, ยอดเงินคงเหลือในบัญชี และวันล่าสุดที่มีการเปลี่ยนรหัสผ่าน

แม้ว่าผู้โจมดีอาจเข้าถึงข้อมูลเลขบัตรเครดิตสี่หลักท้ายได้ แต่หมายเลขบัตรทั้งหมด วันหมดอายุ และหมายเลข CVV ไม่ได้ถูกจัดเก็บไว้บนระบบ โดยหลังจากตรวจพบการโจมตี DraftKings ได้ทำการรีเซ็ตรหัสผ่านของบัญชีที่ได้รับผลกระทบทั้งหมด

นอกจากนี้ บริษัทยังได้คืนเงินที่ถูกถอนออกจากการโจมตี โดยคืนเงินสูงสุดถึง 300,000 ดอลลาร์สำหรับบัญชีที่ถูกถอนเงินออกไปในเหตุการณ์ดังกล่าว

DraftKings ไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่ผู้โจมตีขโมยเงินออกไปจากบัญชีของผู้ใช้งาน แต่ BleepingComputer พบว่าการถูกถอนเงินออกไปนั้นถูกดำเนินการจากการที่ผู้โจมตีได้นำบัญชีที่ขโมยมาไปขายต่อในราคา $10 ถึง $35

โดยการขายบัญชีต่อยังมีคำแนะนำเกี่ยวกับวิธีที่ผู้ที่ซื้อบัญชีต่อไปสามารถถอนเงินทั้งหมดออกจากบัญชีผู้ใช้งานของ DraftKings ออกไปได้

หลังจากที่ DraftKings ประกาศการถูกโจมตีจาก credential stuffing หลังจากนั้นจึงได้ดำเนินการปิดบัญชีที่ถูกเข้าถึงไปเรียบร้อยแล้ว

คำแนะนำ

1. ไม่ควรใช้รหัสผ่านเดียวกันในหลาย ๆ แพลตฟอร์ม
2. เปิดใช้งาน 2FA ในบัญชีต่าง ๆ และยกเลิกการเชื่อมกับบัญชีธนาคาร

ที่มา : bleepingcomputer

ผู้ใช้งาน LastPass ออกมาแจ้งเตือนถึงการถูกขโมย Master Passwords

ผู้ใช้ LastPass (แอพพลิเคชันสำหรับช่วยในการจำ Password) จำนวนมากออกมาแจ้งเตือนถึงการถูกขโมย Master Password ของพวกเขา หลังจากที่ได้รับอีเมลแจ้งเตือนจากระบบว่ามีผู้พยายามใช้รหัสผ่านเหล่านี้เพื่อเข้าใช้งานจากสถานที่ที่แปลกไปจากเดิม แต่การพยายามเข้าใช้งานนั้นได้ถูก Block เนื่องจากเป็นการพยายามเข้าใช้จากสถานที่ที่แปลกไปจากเดิม และพบพฤติกรรมนี้จากหลายที่ทั่วโลก ข้อมูลนี้ถูกรายงานจากผู้ใช้งานผ่านช่องทางต่างๆจำนวนมากเช่น Twitter, Reddit และ Hacker News

Nikolett Bacso-Albaum ผู้อำนวยการอาวุโสของ LogMeln Global PR/AR ให้ข้อมูลกับ Bleeping Computer ว่า “LastPass ได้ทำการตรวจสอบรายงานการพยายามเข้าสู่ระบบที่ถูก Block และพบว่าพฤติกรรมเหล่านั้นมาจาก Bot ทั่ว ๆ ไป ซึ่งผู้โจมตีพยายามที่จะเข้าถึงบัญชีผู้ใช้โดยใช้อีเมล และรหัสผ่านที่ได้มาจากการรั่วไหลของ 3rd party อื่น ๆ ที่ไม่ได้เกี่ยวข้องกัน” (more…)

บัญชี Spotify กว่า 300 ล้านบัญชีมีความเสี่ยงถูกแฮกวิธีการโจมตี Credential Stuffing

VPNMentor ได้เปิดเผยรายงานเกี่ยวกับฐานข้อมูลที่เปิดเผยบนอินเทอร์เน็ต ซึ่งมีรายการชื่อผู้ใช้และรหัสผ่าน 300 ล้านชุด โดยมีผู้โจมตีนำฐานข้อมูลดังกล่าวมาใช้เทคนิค Credential stuffing เพื่อพยายามเข้าถึงบัญชี Spotify

การโจมตีด้วยวิธี Credential Stuffing หมายถึงการโจมตีโดยใช้ชื่อผู้ใช้งานและรหัสผ่านทึเคยรั่วไหลจากเว็บไซต์หนึ่ง ไปทดลองเข้าสู่ระบบในอีกเว็บไซต์หนึ่ง ซึ่งการโจมตีชนิดนี้มักจะส่งผลกระทบกับผู้ใช้งานที่ใช้รหัสผ่านซ้ำกันในหลายๆ เว็บไซต์

ในการโจมตีในครั้งนี้แฮกเกอร์พยายามเข้าถึงบัญชี Spotify โดยใช้ฐานข้อมูล 380 ล้านรายการ ที่มี Credential ประกอบไปด้วยชื่อล็อกอิน (Email address) และ รหัสผ่านล็อกอินเข้าสู่บัญชี Spotify โดยการพยายามใช้ข้อมูลชุดนี้บัญชีผู้ใช้ Spotify อาจจะถูกละเมิดได้สำเร็จหรืออาจไม่ถูกละเมิดก็ได้

หลังจากออกรายงาน VPNMentor ติดต่อ Spotify ในวันที่ 9 กรกฎาคม 2020 เกี่ยวกับฐานข้อมูลที่เปิดเผยและภัยคุกคามที่อาจเกิดต่อบัญชีผู้ใช้ Spotify หลังจากได้รับข้อมูล Spotify ได้ทำการรีเซ็ตรหัสผ่านผู้ใช้ที่มีความเสี่ยงที่บัญชีถูกบุกรุกเนื่องจากอยู่ในฐานข้อมูลแล้วในช่วงเดือนกรกฎาคม 2020

ทั้งนี้ Spotify ยังไม่รองรับการตรวจสอบสิทธิ์แบบ Multi-factor authentication (MFA) ซึ่งจะช่วยเพิ่มความปลอดภัยให้กับบัญชีได้มากขึ้นถึงแม้ว่าผู้ใช้จะร้องขอมาแล้วระยะหนึ่งก็ตาม

ที่มา: bleepingcomputer.

The North Face resets passwords after credential stuffing attack

แฮกเกอร์ใช้ Credential ที่หลุดออกมาเพื่อเข้าถึงข้อมูลของลูกค้า The North Face ล่าสุดสั่งรีเซ็ตรหัสผ่านเพื่อแก้ไขปัญหาแล้ว

The North Face ตรวจพบพฤติกรรมการใช้เทคนิค Credential stuffing กับระบบของ The North Face เพื่อเข้าถึงข้อมูลผู้ใช้งานและข้อมูลส่วนตัวในระบบ ส่งผลให้ข้อมูลส่วนตัวของผู้ใช้งานระบบบางส่วนถึงเข้าถึง อย่างไรก็ตามข้อมูลซึ่งเกี่ยวข้องกับการจ่ายเงินอย่างหมายเลขบัตรเครดิตหรือเดบิตนั้นไม่ได้รับผลกระทบ

เทคนิค Credential stuffing คือเทคนิคซึ่งผู้โจมตีมีการนำข้อมูลการเข้าสู่ระบบที่รั่วไหลออกมาจากแหล่งต่าง ๆ มาใช้ซ้ำกับระบบอื่น หากผู้ใช้งานมีการใช้ข้อมูลในการยืนยันตัวตนในลักษณะนี้ซ้ำ ผู้โจมตีก็จะสามารถนำข้อมูลสำหรับพิสูจน์ตัวตนเหล่านี้มาสร้างผลกระทบกับบัญชีของผู้ใช้ที่มีข้อมูลเหมือนกันในวงกว้างได้

หลังจากมีการตรวจพบการโจมตี The North Face ได้มีการแจ้งเตือนไปยังผู้ใช้งานในกลุ่มที่ได้รับผลกระทบ โดยได้มีการสั่งรีเซ็ตรหัสผ่านของบัญชีผู้ใช้งาน รวมไปถึงลบข้อมูลที่เกี่ยวข้องกับการจ่ายเงินซึ่งส่งผลให้ผู้ใช้บริการอาจจำเป็นต้องกรอกข้อมูลเหล่านี้ใหม่อีกครั้ง

ที่มา: bleepingcomputer

แกะเครื่องมือทำ Phishing ใหม่ “Email Appender” ใช้ Credential stuffing เข้า IMAP ไปฝังอีเมลปลอม

บริษัทด้านความปลอดภัย Gemini Advisory เปิดเผยพฤติกรรมการซื้อขายเครื่องมือสำหรับการโจมตีทางอีเมลใหม่ซึ่งกำลังมีการปล่อยขายในเว็บบอร์ดใต้ดินและใน Darknet ภายใต้ชื่อ Email Appender โดยเครื่องมือดังกล่าวสามารถนำมาใช้ในการโจมตีแบบ Phishing, BEC และใช้ในการแพร่กระจายมัลแวร์ได้โดยเนื้อหาของอีเมลจะปราศจากจุดสังเกตความผิดปกติใด ๆ

Email Appender ใช้วิธีการโจมตีโดยการนำข้อมูลสำหรับเข้าสู่ระบบอีเมลมาดำเนินการเข้าระบบของผู้ให้บริการซ้ำด้วยวิธีการแบบ Credential stuffing หากสามารถเข้าถึงได้ผ่านโปรโตคอล IMAP โปรแกรม Email Appender จะใช้คำสั่ง APPEND เพื่อแทรกข้อมูลเสมือนกับมีอีเมลใหม่เข้ามาในบัญชีอีเมลของเป้าหมาย ส่งผลให้เมื่อเหยื่อเข้ามาตรวจสอบใน Inbox จะพบกับอีเมลซึ่งมีลักษณะเหมือนของจริงอยู่ภายใน

เทคนิคการใช้ APPEND ใน IMAP ถูกใช้มานานแล้ว อย่างไรก็ตามความนิยมของเทคนิคค่อนข้างต่ำเนื่องจากผู้โจมตีจะต้องมีข้อมูลของบัญชีอีเมลที่ถูกต้องเพื่อผ่านการยืนยันตัวตนของโปรโตคอลที่เกี่ยวข้องกับอีเมลให้ได้ก่อนจึงจะสามารถทำการโจมตีได้

Email Appender ถูกขายแบบ Subscription โดยมีราคาต่ำสุดอยู่ที่ 50 เหรียญสหรัฐฯ สำหรับการใช้งานหนึ่งวัน

ในมุมของผู้ใช้งานที่ช่วยในการป้องกันการโจมตีได้คือการเปิดใช้ฟีเจอร์การยืนยันตัวตนหลายขั้นตอน (Multi-factor authentication หรือ MFA) เพื่อป้องกันการนำ credential มาใช้ซ้ำ รวมไปถึงหมั่นตรวจสอบการรั่วไหลของข้อมูลสำหรับยืนยันตัวตนและพฤติกรรมการใช้งานบัญชีอย่างสม่ำเสมอ

ที่มา: bleepingcomputer.