พบข้อมูลของ AIS รั่วไหล และถูกเผยแพร่อยู่บน Darkweb ตั้งแต่วันที่ 16 กุมภาพันธ์ที่ผ่านมา

ทาง AIS ได้ออกแถลงการณ์เกี่ยวกับเหตุการณ์ดังกล่าวว่าแฮกเกอร์ได้ทำการบุกรุกมาที่เครื่องของพนักงานที่ปฏิบัติงานในช่วงระหว่าง Work from home ด้วย Ransomware และพบว่าข้อมูลของผู้ใช้บริการกว่า 100,000 รายการถูกขโมยไป ประกอบไปด้วย ชื่อ-นามสกุล, เลขบัตรประจำตัวประชาชน, วัน-เดือน-ปีเกิด, หมายเลขโทรศัพท์ โดยไม่มีข้อมูลเกี่ยวกับธุรกรรมทางการเงินใด ๆ

ซึ่งหลังจากพบการโจมตีดังกล่าว ทาง AIS ก็ได้ร่วมกันกับผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์เร่งตรวจสอบหาสาเหตุอย่างเร่งด่วน พร้อมกับแจ้งไปยัง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)และ กสทช. รวมถึงแจ้งไปยังลูกค้ากลุ่มดังกล่าวผ่านทาง SMS เพื่อให้รับทราบและระมัดระวังต่อไป โดยกรณีดังกล่าว ไม่กระทบกับระบบรักษาความปลอดภัยและการดำเนินธุรกิจของบริษัท

จากข้อมูลประกาศดังกล่าวไอ-ซีเคียวคำแนะนำให้ดำเนินการดังต่อไปนี้

1. ปัจจุบันการโจมตีของ ransomware ส่วนใหญ่ จะใช้ smb port ดังนั้นควรพิจารณา ถ้าไม่ได้ใช้งาน port ดังกล่าวไม่ควรเปิด

2. ดำเนินการเปลี่ยนรหัสผ่านของผู้ใช้งานกลุ่ม Admin และ High privilege

3. ดำเนินการปรับ Prevention policy สำหรับเครื่อง Client ให้เป็นไปตาม Best practices

4. แนะนำให้อัปเดต Antivirus หรือ ระบบปฎิบัติการให้เป็นปัจจุบัน

ปล.หากมีอัปเดตเพิ่มเติมทางไอ-ซีเคียว จะแจ้งให้ทราบอีกครั้ง

พบข้อมูลผู้ที่เดินทางเข้ามาในประเทศไทยหลุดกว่า 106 ล้านราย

เมื่อวันที่ 22 สิงหาคม 2564 ที่ผ่านมา นักวิจัยของ Comparitech พบฐานข้อมูล Elasticsearch ที่สามารถเข้าถึงได้ โดยไม่มีการป้องกันกว่า 200 GB ที่มีข้อมูลย้อนหลังไปถึง 10 ปี โดยมีรายละเอียดข้อมูลส่วนตัวของผู้ที่เดินทางเข้ามาในประเทศไทยมากกว่า 106 ล้านคน รวมถึงข้อมูลของตัวเขาเองด้วย โดยข้อมูลที่หลุดออกมานั้นประกอบไปด้วยข้อมูลวันที่เข้ามาในประเทศ ชื่อจริง - นามสกุล เพศ หมายเลขพาสปอร์ต สถานะการอยู่อาศัย ชนิดวีซ่า และ หมายเลขบัตรขาเข้าในประเทศไทย

Ref.

พบข้อมูลของแพลตฟอร์มช้อปปิ้งออนไลน์ในประเทศไทยถูกประกาศขายบนดาร์กเว็บ

เมื่อวันอังคารที่ 21 กันยายน ที่ผ่านมา ได้พบข้อมูลที่อ้างว่าเป็นข้อมูลของแพลตฟอร์มช้อปปิ้งออนไลน์ชื่อดังถูกประกาศขายอยู่บนดาร์กเว็บ

โดยข้อมูลที่ถูกขายประกอบไปด้วย อีเมล์ ชื่อ-นามสกุล ที่อยู่ รหัสไปรษณีย์ ประเทศ และ หมายเลขโทรศัพท์ กว่า 15 ล้านรายการ

จากข้อมูล ยังไม่มีประกาศอย่างเป็นทางการ หรือ ออกมายอมรับจากแพลตฟอร์มดังกล่าวเพื่อยืนยันว่าข้อมูลหลุดจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใด หรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์ที่เกิดขึ้นนี้

มีข้อมูลว่าแฮกเกอร์รายหนึ่งได้ปล่อยข้อมูล Username และ Password สำหรับ Login Fortinet VPN กว่า 5 แสนรายการ บน RAMP Hacking forum ที่พึ่งเปิดตัวขึ้นมาใหม่ โดยมีผู้ดูแลใช้ชื่อว่า “Orange” และเจ้าตัวยังเป็นผู้ดำเนินการ BaBuk Ransomware คนก่อนอีกด้วย และปัจจุบันเชื่อว่าได้แยกตัวมาเป็นตัวแทนของการดำเนินการของ Groove Ransomware

ข้อมูลที่ถูกปล่อยออกมาบน forum นั้นได้มาจากการโจมตีช่องโหว่ของ Fortinet CVE-2018-13379 ซึ่งการหลุดของข้อมูลครั้งนี้ถือว่าเป็นเหตุการณ์ที่ร้ายแรง เนื่องจากข้อมูลที่หลุดไปนั้น สามารถทำให้ผู้ที่โจมตีสามารถ VPN เข้าถึงเครือข่ายเพื่อทำการขโมยข้อมูล ติดตั้งมัลแวร์ หรือดำเนินการโจมตีด้วยแรนซัมแวร์ได้

และนอกจาก forum ดังกล่าวแล้ว ยังมีโพสที่ปรากฎอยู่บน data leak site ของ Groove ransomware ด้วยเช่นกัน

จากการตรวจสอบของ BleepingComputer พบว่ามีข้อมูล VPN Credentials กว่า 498,908 Users และอุปกรณ์กว่า 12,856 เครื่อง และ IP Address ที่ตรวจสอบทั้งหมดนั้นเป็น Fortinet VPN Servers และจากการวิเคราะห์เพิ่มเติมพบว่าอุปกรณ์กว่า 2,959 เครื่องนั้นอยู่ในสหรัฐอเมริกา

แต่เป็นที่น่าสงสัยว่าเพราะอะไรกลุ่มแฮกเกอร์ถึงปล่อยข้อมูลออกมา แต่สามารถเชื่อได้ว่าอาจทำไปเพื่อโฆษณา RAMP forum เพื่อให้ผู้โจมตีที่สนใจ RaaS มาใช้ Groove as a Service ซึ่งเป็น Ransomware ที่ค่อนข้างใหม่ ที่มีเหยื่อเพียงรายเดียวเท่านั้นที่อยู่ในรายชื่อของเหยื่อบนหน้าเว็บไซต์

และจากการตรวจสอบเพิ่มเติมของทาง I-SECURE ผมว่ามี IP ขององค์กรต่างๆ โรงเรียนหรือมหาวิทยาลัย รวมถึงหน่วยงานราชการในประเทศไทย รวมกันมากกว่า 500 IP และในแต่ละไฟล์จะมีข้อมูลของ Username และ Password อยู่ด้านใน

และทางเราแนะนำว่าหากมี Server ใดที่ยังไม่ได้รับการ Patch ให้ทำการ Patch ในทันที และให้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งาน Fortinet VPN ทั้งหมดเพื่อความปลอดภัย

ที่มา: BleepingComputer, advintel

จากเหตุการณ์เมื่อวันที่ 5 กันยายน ที่ผ่านมาเกี่ยวกับพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ในประเทศไทย ถูกประกาศขายอยู่บน Darkweb ขนาด 3.75 GBจากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้อัพเดทล่าสุดเมื่อเช้าวันนี้ 7 กันยายน ทาง รมว.สธ ได้ออกมายอมรับแล้วว่าข้อมูลที่หลุดออกมานั้นเป็นข้อมูลจริง โดยจากข้อมูลที่ประกาศออกมาระบุว่า ต้นเหตุเกิดขึ้นที่โรงพยาบาลของรัฐแห่งหนึ่งในจังหวัดเพชรบูรณ์ และได้ประสานงานกับ หน่วยงานที่เกี่ยวข้อง เร่งตรวจสอบเหตุการณ์ดังกล่าว

 

ที่มา: thaipbs

เมื่อวันอาทิตย์ที่ 5 กันยายน ที่ผ่านมาพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ใน ประเทศไทย ถูกประกาศขายอยู่บน Dark Web ขนาด 3.75 GB

โดยข้อมูลที่ถูกขายประกอบด้วย ข้อมูลผู้ป่วย ที่อยู่ เบอร์โทรศัพท์ เลขบัตรประชาชน วันเกิด ชื่อบิดา โรงพยาบาล ข้อมูลของหมอทั้งหมด รวมถึงพาสเวิร์ดทั่วไปของระบบในโรงพยาบาล

จากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับจากหน่วยงานว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้

Reference :  Raidforums

เมื่อวันที่ 20 มีนาคมที่ผ่านมา VMGoA (Volkswagen Group of America, Inc.) ได้รับแจ้งจาก Vendor ว่ามีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และได้ข้อมูลของลูกค้าของ Audi, Volkswagen และตัวแทนจำหน่ายบางราย โดยทาง VWGoA ได้ระบุว่าข้อมูลที่รัวไหลออกไปนั้น มีข้อมูลที่เกี่ยวข้องกับลูกค้า 3.3 ล้านคน โดย 97% เป็นของ Audi ซึ่งข้อมูลที่รั่วไหลนั้นประกอบไปด้วย ข้อมูลการติดต่อไปจนถึงข้อมูลหมายเลขประกันสังคมและหมายเลขเงินกู้

โดยทาง TechCrunch ได้รายงานเกี่ยวกับข้อมูลที่รั่วไหลออกไปนั้นจะประกอบไปด้วย ชื่อและนามสกุล ที่อยู่ส่วนบุคคลหรือทางธุรกิจ อีเมล หมายเลขโทรศัพท์ ข้อมูลเกี่ยวกับรถที่ซื้อหรือเช่า หมายเลขรถ (VIN) ยี่ห้อ รุ่น ปี สี และชุดแต่ง โดยข้อมูลดังกล่าว ยังมีข้อมูลที่มีความละเอียดอ่อนมากยิ่งขึ้นที่เกี่ยวข้องกับสิทธิ์ในการซื้อ เงินกู้ หรือสัญญาเช่า โดยมากกว่า 95% เป็นหมายเลขใบขับขี่ นอกจากนี้ยังมีข้อมูลของ วันเกิด ประกันสังคม เลขที่ประกัน เลขที่บัญชีหรือเงินกู้ และเลขประจำตัวผู้เสียภาษี อีกด้วย และสำหรับลูกค้า 90,000 ราย ที่มีการรั่วไหลของข้อมูลที่ละเอียดอ่อน ทาง Volkswagen จะให้การคุ้มครองเครดิต และบริการตรวจสอบฟรี ซึ่งรวมถึงประกันการโจรกรรมอีก 1 ล้านเหรียญสหรัฐ

แต่เป็นที่น่าสนใจ ข้อมูลที่รั่วไหลนั้นไม่ได้มาจาก Server ของทาง Volkswagen หรือ Audi แต่เป็นข้อมูลที่ทาง Vendor ของพวกเขาเก็บรวบรวมไว้ในช่วง 5 ปีระหว่าง 2014 ถึง 2019 โดยพวกเขากล่าวว่าข้อมูลดังกล่าวได้เก็บรวบรวมไว้เพื่อวัตถุประสงค์ทางการตลาดทั่วไป แต่ที่น่าเศร้าคือข้อมูลเหล่านั้นไม่ได้ถูกป้องกันและมีช่องโหว่

เนื่องจากข้อมูลของ Audi และ Volkswagen ไม่มีความปลอดภัยมาเป็นระยะเวลาหนึ่งแล้ว จึงไม่สามารถบอกได้ว่ามีข้อมูลใดบ้างที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต ดังนั้นหากมีข้อความ อีเมล หรือการติดต่อใด ๆ ที่อ้างว่ามาจากทาง Audi หรือ Volkswagen ให้ถือว่าเป็นพฤติกรรมที่น่าสงสัยไว้เป็นอันดับแรก โดยเฉพาะอีเมลหรือข้อความ sms

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยได้ค้นพบฐานข้อมูลเว็บไซต์ Forex trading ของโบรกเกอร์ FBS ที่มีขนาดข้อมูลเกือบ 20 TB ที่อยู่บนเซิร์ฟเวอร์ ElasticSearch ซึ่งมีข้อมูลมากกว่า 16,000 ล้านรายการ

FBS เป็นโบรกเกอร์ออนไลน์ Forex trading ที่มีผู้ใช้มากกว่า 16 ล้านคนบนแพลตฟอร์มซึ่งครอบคลุม 190 ประเทศ โดยนักวิจัยด้านความปลอดภัยได้พบเซิร์ฟเวอร์ ElasticSearch ที่เปิดทิ้งไว้โดยไม่มีการป้องกันด้วยรหัสผ่านหรือการเข้ารหัสใด ๆ ซึ่งทำให้ทุกคนสามารถเข้าถึงข้อมูล FBS ได้

โดยข้อมูลที่ถูกค้นพบประกอบไปด้วย ชื่อ, รหัสผ่าน, อีเมล, หมายเลขหนังสือเดินทาง, บัตรประจำตัวประชาชน, บัตรเครดิต, ธุรกรรมทางการเงินและอื่น ๆ นอกจากนี้ยังมีไฟล์ที่ถูกอัปโหลดโดยผู้ใช้เพื่อยืนยันการตรวจสอบบัญชี ซึ่งมีเอกสารเช่น รูปถ่ายส่วนตัว, บัตรประจำตัวประชาชน, ใบขับขี่, สูติบัตร, ใบแจ้งยอดบัญชีธนาคาร, ค่าสาธารณูปโภคและรูปภาพบัตรเครดิตของธนาคารในฝรั่งเศสและสวีเดน และรายละเอียด Transaction รวม 500,000 ดอลลาร์

ผู้ใช้ที่เป็นสมาชิกโบรกเกอร์ FBS ควรทำการตรวจสอบบัญชีและควรทำการเปลื่ยนรหัสผ่านและเปิดการใช้งาน Two-factor authentication (2FA) บนแพลตฟอร์มและเฝ้าระวังกิจกรรมที่ผิดปกติที่อาจส่งผลกระทบกับการเงิน ทั้งนี้ผู้ใช้ควรระมัดระวังการถูกใช้ข้อมูลที่ถูกรั่วไหลเพื่อทำการหลอกลวงด้วยเทคนิคฟิชชิง รวมทั้งไม่ควรเปิดเผยข้อมูลที่เป็นความลับส่วนบุคคลใด ๆ ที่ร้องขอทางอีเมลหรือทางโทรศัพท์

ที่มา: itpro

งานแถลงข่าวเมื่อวันที่ 17 มีนาคม ที่ผ่านมา หน่วยงานของรัฐบาลญี่ปุ่นประกาศการเข้าตรวจสอบ Z Holdings ซึ่งเป็นบริษัทแม่ของ LINE หลังจากที่สื่อญี่ปุ่นรายงานว่าบริษัทเทคโนโลยีสัญชาติจีนที่ทำธุรกิจร่วมกันนั้นสามารถเข้าถึงข้อความและข้อมูลส่วนตัวของผู้ใช้งาน LINE ได้

สำนักข่าว The Asashi Shimbun ซึ่งเป็นผู้รายงานข่าวต้นเรื่องได้ออกรายงานว่า วิศวกรชาวจีนจำนวน 4 คนได้มีการเข้าถึงระบบของ LINE เพื่ออ่านข้อความและข้อมูลส่วนตัวของผู้ใช้งาน ได้แก่ ชื่อ, หมายเลขโทรศัพท์, อีเมลแอดเดรสและชื่อ LINE ID โดยวิศวกรทั้ง 4 คนทำงานให้กับบริษัทซอฟต์แวร์ในเซี่ยงไฮ้เกี่ยวกับโครงการ AI ร่วมกับ LINE

ในขณะนี้หน่วยงานของรัฐบาลญี่ปุ่นได้ทำการตรวจสอบเหตุการณ์ดังกล่าวโดยเฉพาะอย่างยิ่งในประเด็นของการไม่ปฏิบัติตามนโยบายด้านข้อมูลส่วนบุคคล อีกทั้งหากการเข้าถึงข้อมูลดังกล่าวเกิดขึ้นในลักษณะที่ไม่ได้รับอนุญาต LINE อาจเจอปัญหาเพิ่มเติมจากการไม่เปิดเผยเหตุการณ์ดังกล่าวในรายงาน Transparency report อีก

ในฝั่งของ LINE นั้น The Ashi Shimbun รายงานว่าทาง LINE ไม่พบการเข้าถึงในลักษณะที่ไม่ได้รับอนุญาตหรือมีลักษณะเป็น Data breach แต่อย่างใด อย่างไรก็ตาม LINE ได้มีการยกเลิกสิทธิ์ในการเข้าถึงข้อมูลแล้วตั้งแต่วันที่ 24 กุมภาพันธ์ที่ผ่านมา

แม้ว่าเหตุการณ์ที่เกิดขึ้นจะยังมีความไม่ชัดเจนอยู่ในหลายประเด็น ทั้ง LINE และ Z Holding ก็ได้มีการออกจดหมายขอโทษแก่ผู้ใช้งานแล้ว และมีการกล่าวถึงการตรวจสอบเพิ่มเติมที่จะเกิดขึ้นต่อไป

อ่านแถลงจากหน่วยงานของรัฐบาลญี่ปุ่น: kantei
รายงานจาก The Asahi Shimbun: asahi
จดหมายขอโทษจาก LINE: linecorp
จดหมายขอโทษจาก Z Holdingz: z-holdings
ที่มา: therecord

Malaysia Airlines ประกาศการตรวจพบการละเมิดข้อมูลซึ่งส่งผลกระทบต่อโครงการ Enrich ซึ่งเป็นโครงการสิทธิพิเศษของสายการบินเมื่อช่วงต้นเดือนที่ผ่านมา โดยการละเมิดข้อมูลในครั้งนี้นั้นกระทบกับข้อมูลของผู้โดยสารที่อยู่ในโครงการ Enrich ย้อนหลังกว่า 9 ปี

อ้างอิงจากสายการบิน จุดเริ่มต้นของการละเมิดข้อมูลนั้นเกิดจากการโจมตีระบบของบริษัท IT ที่ให้บริการแก่สายการบินซึ่งได้มีการแจ้งเตือนว่าข้อมูลของผู้โดยสารระหว่างเดือนมีนาคม 2019 จนถึงเดือนมิถุนายน 2019 นั้นได้รับผลกระทบ สถานการณ์ด้านความปลอดภัยที่เกิดขึ้นไม่กระทบต่อระบบของทางสายการบินแต่อย่างใด

ในส่วนของข้อมูลที่ได้รับผลกระทบนั้น ข้อมูลที่ได้รับผลกระทบนั้น ได้แก่ ชื่อผู้โดยสาร, ข้อมูลในการติดต่อ, วันเกิดและสถานะในโครงการสิทธิพิเศษดังกล่าว การละเมิดข้อมูลในครั้งนี้ไม่ปรากฎว่าข้อมูลเกี่ยวกับการเดินทางได้รับผลกระทบไปด้วย โดยในขณะนี้ทางสายการบินได้มีการประสานงานกับผู้ได้รับผลกระทบไปแล้วหลังจากที่ทางสายการบินบังคับเปลี่ยนรหัสผ่านแล้ว

ที่มา: bleepingcomputer