Facebook bug exposed private photos of 6.8M users to third-party developers

ข้อบกพร่องของ Facebook ทำให้ภาพถ่ายส่วนตัวของผู้ใช้กว่า 6.8 ล้านคนถูกเปิดเผย

นักพัฒนาของ Facebook ออกมาเปิดเผยการค้นพบ bug ใน API ที่ทำให้แอพพลิเคชั่นภายนอกสามารถเข้าถึงรูปภาพของผู้ใช้ที่ถูกอัพโหลดเอาไว้ แม้จะยังไม่ได้ยินยอมหรือกดแชร์ก็ตาม รวมถึงรูปภาพที่อัพโหลดไปยัง Facebook Stories และ Marketplace ซึ่งไม่น่าแปลกใจ เพราะ Facebook จะ copy ทุกอย่างที่ผู้ใช้เคยทำเพื่อไปใช้แสดงเป็น timeline

Facebook ได้ออกมาขอโทษและแสดงความเสียใจต่อปัญหาที่เกิดขึ้นนี้ พร้อมกับให้ข้อมูลว่าปัญหานี้ทำให้แอพพลิเคชั่นภายนอกกว่า 1,500 รายการจากนักพัฒนา 876 คนสามารถเข้าถึงรูปผู้ใช้ได้ระหว่างวันที่ 13 กันยายนถึง 25 กันยายนที่ผ่านมา คาดว่ามีผู้ใช้งานที่ได้รับผลกระทบกว่า 6.8 ล้านคน โดยแอพพลิเคชั่นที่เข้าถึงรูปจากข้อผิดพลาดนี้จะเป็นแอพพลิเคชั่นที่ Facebook อนุญาตให้เข้าถึงผ่านทาง API และผู้ใช้ให้สิทธิ์เข้าถึงรูปภาพบน Facebook

Facebook แจ้งว่าจะมีการปล่อยเครื่องมือสำหรับนักพัฒนาแอพพลิเคชั่นเพื่อตรวจสอบว่ามีผู้ใช้แอพพลิเคชั่นที่พัฒนาขึ้นมา แล้วได้รับผลกระทบจากปัญหานี้บ้าง รวมถึงจะร่วมมือกับนักพัฒนาแอพพลิเคชั่นในการลบภาพที่หลุดไปเหล่านั้น ขณะเดียวกันก็จะมีการแจ้งเตือนบน Facebook timeline ของผู้ใช้ที่อาจได้รับผลกระทบว่ารูปภาพเหล่านั้นอาจหลุดออกไปโดยไม่ตั้งใจ และแสดงข้อมูลเพิ่มเติมผ่านทางหน้า Help Center ด้วย พร้อมระบุชื่อแอพพลิเคชั่นที่ได้รับผลกระทบเพื่อให้ตรวจสอบว่าได้ใช้งานหรือไม่ด้วย

ที่มา:thehackernews.

Critical SQLite Flaw Leaves Millions of Apps Vulnerable to Hackers

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบช่องโหว่ที่สำคัญในฐานข้อมูลของซอฟแวร์เอสคิวแอลไลท์ (SQLite) บน Android ที่ใช้กันแพร่หลาย ซึ่งทำให้แฮกเกอร์เข้าถึงข้อมูลได้

ช่องโหว่นี้ถูกขนานนามว่า "Magellan" โดยทีมผู้เชี่ยวชาญด้านการความรักษาปลอดภัยทางไซเบอร์จาก Tencent's Blade ข้อบกพร่อง SQLite นี้อาจทำให้แฮกเกอร์สามารถโจมตีจากระยะไกลเพื่อรันโค้ดอันตรายบนอุปกรณ์ที่ตกเป็นเป้าหมาย ซึ่งทำให้เกิดการรั่วไหลของหน่วยความจำของโปรแกรมหรือการใช้งานที่ผิดพลาด

นักวิจัยของ Tencent กล่าวว่าพวกเขาประสบความสำเร็จในการทดสอบการใช้โปรแกรมทดสอบการหาช่องโหว่แม็กเจลแลน (Magellan vulnerability) ประสบความสำเร็จในการทดสอบการหาช่องโหว่จาก Google Home

SQLite เป็นโปรแกรมฐานข้อมูลที่ใช้งานกันอย่างแพร่หลายมากที่สุดในโลกซึ่งปัจจุบันมีการใช้งานนับล้าน โดยมีการใช้งานหลายพันล้านเครื่องรวมถึงอุปกรณ์ IoT, MacOS และ Windows apps รวมทั้งเว็บเบราว์เซอร์ที่สำคัญ เช่น Adobe Software Skype และอื่น ๆ

SQLite ได้เผยแพร่การอัปเดตซอฟต์แวร์เวอร์ชัน 3.26.0 sqlite.

Phishing Attack Pretends to be a Office 365 Non-Delivery Email

แจ้งเตือนผู้ใช้งาน Office 365 พบภัยคุกคามประเภทฟิชชิ่งที่แอบอ้างว่าเป็นระบบแจ้งเตือน non-delivery จาก Office 365 ซึ่งเมื่อผู้ใช้คลิกระบบแจ้งเตือนดังกล้าวจะทำให้เชื่อมต่อไปยังหน้าเว็บที่พยายามขโมยข้อมูลของผู้ใช้ทันทีที่ทำการ login เข้าในหน้า Office 365 ปลอมที่ผู้ไม่ประสงค์ดีได้ทำไว้

ฟิชชิ่งแบบใหม่นี้ได้ถูกค้นพบโดย ISC Handler Xavier Mertens จะมีเนื้อหาอีเมล (Subject) ระบุว่า "Microsoft found Several Undelivered Messages" เพื่อแจ้งให้เหยื่อคลิกที่ลิงก์ "Send Again" เพื่อลองส่งอีเมลอีกครั้ง หากผู้ใช้หลงเชื่อและคลิกที่ลิงก์เพื่อพยายามส่งอีเมลอีกครั้ง จะทำให้เชื่อมต่อไปยังหน้า login ของ Office 365 ที่เป็นหน้าปลอมเพื่อหลอกขโมยข้อมูลจากผู้ใช้งาน Office 365

เมื่อผู้ใช้ป้อนรหัสผ่านฟังก์ชัน JavaScript ที่ชื่อ sendmails() จะทำงาน เพื่อส่งอีเมลและรหัสผ่านที่ป้อนไปยังสคริปต์บน sendx.

Malware ‘Operation Sharpshooter’ hits government and defense firms: McAfee

ทีมงานวิจัยของ McAfee ได้พบกับแคมเปญมัลแวร์ใหม่ๆ ซึ่งมีเป้าหมายโจมตีไปยังองค์กรภาคเอกชนและภาครัฐหลายสิบองค์กรทั่วโลก

แคมเปญมัลแวร์ ที่ได้รับการขนานนามว่า “Operation Sharpshooter” ซึ่งมีเป้าหมายมากกว่า 100 องค์กรใน 24 ประเทศภายในเวลาเพียงไม่กี่สัปดาห์ องค์กรที่ได้รับผลกระทบจากมัลแวร์ดังกล่าว ได้แก่ องค์กรเกี่ยวกับพลังงาน นิวเคลียร์ ความปลอดภัย และบริษัทเกี่ยวกับการเงิน โดยพบว่ามีองค์กรที่ได้รับผลกระทบอย่างน้อย 87 หน่วยงานทั่วโลก ในระยะเวลาเพียงสองเดือนเท่านั้น

สคริปต์อันตรายในไฟล์เอกสารลวงที่จะซ่อนเนื้อหาสคริปต์ที่เป็นอันตราย ซึ่งจะโจมตีอัตโนมัติหลังจากโหลดข้อมูลจากอีเมล์หลอกลวง (phishing email) หรือมีการเชื่อมโยงไปยังเอกสาร Microsoft Word ในบัญชี Dropbox ที่จะทำให้ติดตั้งและฝังสคริปต์ Rising Sun ภายในเครื่อง และยังทำหน้าที่เป็น backdoor ที่ทำการสอดแนมบนเครือข่ายของเหยื่ออีกด้วย

ภัยคุกคามระดับสูงแบบใหม่นี้อาศัยการทำงานกับ Fileless Malware (หรือเรียกว่ามัลแวร์ที่ไม่มีไฟล์ มีลักษณะการทำงานโดยอาศัยการส่ง Payload เข้าไปทำงานใน Ram ผ่านสคริปต์ PowerShell และรันคำสั่งโดยไม่มีไฟล์หรือสร้างโฟลเดอร์บนฮาร์ดดิสก์ ทำให้ไม่สามารถตรวจจับได้) และเครื่องมือสำหรับเจาะช่องโหว่หรือโจมตีที่มีการใช้โค๊ดจากโทรจันที่ถูกสร้างโดยกลุ่มแฮ็กเกอร์ Lazarus ที่เป็นกลุ่มอาชญากรรมทางไซเบอร์ที่อยู่ในเกาหลีเหนือ ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่แพร่ WannaCry Ransomware และอาชญากรรมไซเบอร์อื่นๆ ทั่วโลก เป็นต้น

ที่มา : E Hacking News

Google admits Google Plus hit by *another* privacy flaw, speeds up site’s closure

ระหว่างปี 2015 และมีนาคม 2018 พบช่องโหว่ใน Google Plus เครือข่ายสังคมออนไลน์ของ Google ที่ส่งผลให้ข้อมูลส่วนตัว อาทิเช่น ชื่อผู้ใช้ ที่อยู่อีเมล วันเดือนปีเกิด เพศ รูปถ่าย ที่อยู่อาศัย สถานภาพความสัมพันธ์และอาชีพ ถูกเปิดเผยไปยังนักพัฒนาซอฟต์แวร์จากความผิดพลาดของ API

รายงานระบุว่าในเดือนมีนาคม 2018 Google เลือกที่จะไม่เปิดเผยต่อสาธารณชนว่า บริษัทไม่สามารถปกป้องข้อมูลส่วนบุคคลของผู้ใช้เป็นเวลาหลายปี เนื่องจากในช่วงเวลาดังกล่าว Facebook ที่เป็นคู่แข่งอยู่กำลังมีข่าวเกี่ยวกับการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาตของ Cambridge Analytica อย่างไรก็ตามในที่สุดเมื่อเดือนตุลาคมที่ผ่านมา Google ก็ออกมายอมรับถึงปัญหาดังกล่าว พร้อมทั้งระบุว่ามีผู้ใช้งานประมาณ 5 แสนบัญชีที่ได้รับผลกระทบ และมีแอพพลิเคชั่น 438 รายการเข้าถึงข้อมูลดังกล่าวโดยไม่ได้รับอนุญาต โดย Google ได้ออกมาประกาศว่าจะทำการปิดตัว Google Plus ปลายเดือนสิงหาคม 2019

แค่นั้นยังไม่พอ ล่าสุด Google ออกมายอมรับว่าในขณะนี้ Google Plus ได้มีปัญหาด้านความปลอดภัยอื่นๆ ส่งผลให้ข้อมูลของผู้ใช้งาน 52 ล้านบัญชี สามารถถูกเข้าถึงโดยแอพพลิเคชั่นและนักพัฒนาซอฟต์แวร์ของบริษัทอื่นโดยไม่ได้รับอนุญาต

ดังนั้นถ้าหากคุณเป็นหนึ่งในผู้ใช้งานที่มีบัญชีของ Google Plus ข้อมูลของคุณ เช่น ชื่อ อีเมล อาชีพหรืออื่นๆ ซึ่งแม้จะตั้งไว้เป็น "not public" ข้อมูลเหล่านั้นก็จะสามารถเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาต และล่าสุด Google ได้ออกมาประกาศอีกครั้งว่าจะปิดตัว Google Plus แต่จะปิดในเดือนเมษายน 2019 แทนที่จะเป็นเดือนสิงหาคม 2019 ซึ่งเร็วกว่าประกาศเดิม 5 เดือน

ที่มา : GRAHAM CLULEY

Microsoft December 2018 Patch Tuesday Fixes Actively Used Zero-Day Vulnerability

ไมโครซอฟต์และ Adobe ออกแพตช์แก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 แก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้โจมตี

เมื่อวันที่ 11 ธันวาคม 2018 ไมโครซอฟต์ได้ออกแพตช์แก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 เพื่อแก้ไขช่องโหว่ใน Windows และผลิตภัณฑ์อื่นๆ ทั้งหมด 39 ช่องโหว่ เป็นช่องโหว่ร้ายแรงมาก (Critical) 9 ช่องโหว่ มีการแก้ไขช่องโหว่ที่สำคัญคือ ช่องโหว่ CVE-2018-8611 ซึ่งเป็น Zero-day ที่กำลังถูกใช้โจมตีด้วยมัลแวร์ ช่องโหว่นี้พบใน Windows Kernel ที่ทำให้ผู้โจมตีสามารถรันโปรแกรมเพื่อยกระดับสิทธิ์ได้ ถูกค้นพบโดย Kaspersky

นอกจากนี้ Adobe ยังได้ออกแพตช์เพื่อแก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 เช่นกัน โดยแก้ไขช่องโหว่ใน Adobe Acrobat และ Adobe Reader กว่า 87 ช่องโหว่ เป็นช่องโหว่ร้ายแรงมาก (Critical) ถึง 39 ช่องโหว่

ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว

ที่มา : BLEEPINGCOMPUTER

Over 100,000 PCs infected with new ransomware strain in China

เครื่องคอมพิวเตอร์ของผู้ใช้งานที่เป็น Windows ในประเทศจีน ติด ransomware สายพันธุ์ใหม่กว่า 100,000 เครื่อง

ผู้ใช้ชาวจีนกว่า 100,000 คนที่ใช้เครื่องคอมพิวเตอร์ Windows ติด ransomware ซึ่งเข้ารหัสไฟล์ของพวกเขาและเรียกค่าไถ่เป็นเงิน 110 หยวน (ประมาณ 16 $) โดยผู้ไม่หวังดีพุ่งเป้าโจมตีเฉพาะชาวจีนเท่านั้น เนื่องจากกลุ่มที่อยู่เบื้องหลังภัยคุกคามนี้ใช้เฉพาะภาษาจีนเพื่อเรียกค่าไถ่ และแพร่กระจายผ่านทางเว็ปไซต์ท้องถิ่นและ forum ในประเทศจีนเท่านั้น นอกจากนี้ยังให้ชำระเงินค่าไถ่ผ่านทางบริการการชำระเงินของ WeChat ซึ่งถูกใช้เฉพาะในประเทศจีนและภูมิภาคที่อยู่ติดกันเท่านั้น

ตามรายงานข่าวท้องถิ่นหลายฉบับรายงานว่ามีการติด ransomware นี้หลังจากติดตั้งแอพโซเชียลมีเดียที่ชื่อ "Account Operation V3.1" ซึ่งเป็นแอพสำหรับช่วยให้ผู้ใช้สามารถจัดการบัญชี QQ หลายบัญชีได้ในเวลาเดียวกัน รายงานต่อมาอ้างว่าผู้สร้าง ransomware อาจอาศัย SDK ที่ชื่อว่า "EasyLanguage" เพื่อช่วยในการแพร่กระจายด้วยการ inject โค้ดที่อันตรายลงในแอพพลิเคชั่นของนักพัฒนาซอฟต์แวร์รายอื่น ๆ

ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการวิเคราะห์ และกล่าวว่านอกเหนือจากการเข้ารหัสไฟล์ ransomware ยังขโมยข้อมูลการเข้าสู่ระบบสำหรับบริการออนไลน์ของจีนเช่น Alipay, Baidu Cloud, NetEase 163, Tencent QQ, Taobao, Tmall และ Jingdong อย่างไรก็ตามล่าสุดบริษัทความปลอดภัยในจีนได้ออกมาบอกว่า สามารถถอดรหัสได้แล้ว เนื่องจาก ransomware ใช้บริษัทการเข้ารหัสและถอดรหัสแบบ hardcode ทำให้สามารถหาคีย์สำหรับถอดรหัสได้จากซอร์สโค้ด และมีแผนที่จะเผยแพร่ในอีกไม่กี่วันข้างหน้า

ที่มา: zdnet

Apple Fixes Passcode Bypass, RCE Vulnerabilities, and More in Today’s Updates.

Apple ได้แก้ไขปัญหาช่องโหว่การบายพาส Passcode, ข่องโหว่ RCE และอื่นๆ ในการอัปเดตล่าสุด

Apple เปิดตัวการปรับปรุงผลิตภัณฑ์หลักของตนซึ่งประกอบด้วย iCloud, Safari, iTunes, macOS Mojave, Sierra Sierra สำหรับ iOS 2.1.2, tvOS 12.1.1 และ iOS 12.1.1

ใน iOS 12.1.1 แก้ไขปัญหาข้อผิดพลาดในส่วนของการใช้งาน FaceTime ที่สามารถทำให้ผู้ใช้สามารถเข้าถึงรายชื่อผู้ติดต่อของโทรศัพท์ได้แม้ล็อกสกรีนอยู่ และช่องโหว่อื่น ๆ ที่ได้รับการแก้ไข ได้แก่ การเรียกใช้โค้ดจากระยะไกล (remote code execution), การเปิดเผยข้อมูลอย่างไม่ตั้งใจ (information disclosure), การเพิ่มสิทธิ์พิเศษ (privilege escalation) และ denial of service (dos)

การปรับปรุงความปลอดภัยครั้งนี้เป็นการแก้ไขข้อบกพร่องด้านความปลอดภัยหลายรายการ ด้วยเหตุนี้หากเป็นผู้ใช้ผลิตภัณฑ์ใด ๆ ข้างต้นควรทำการอัปเดตให้เป็นเวอร์ชั่นล่าสุด

ที่มา: bleepingcomputer

Eastern European banks lose tens of millions of dollars in Hollywood-style hacks

กลุ่มอาชญากรไซเบอร์มีการขโมยเงินหลายสิบล้านดอลลาร์จากธนาคารอย่างน้อย 8 แห่งในยุโรปตะวันออก โดยใช้กลยุทธ์ที่มักเห็นในภาพยนตร์ฮอลลีวู้ดเท่านั้น ด้วยการบุกเข้ามาในธนาคารเพื่อนำอุปกรณ์ที่เป็นอันตรายเชื่อมต่อเข้ากับเครือข่ายของธนาคาร

Kaspersky Lab ของรัสเซียกำลังค้นคว้าข้อมูลเกี่ยวกับภารกิจการปล้นทางไซเบอร์ (cyber-heists) เหล่านี้ จากการตรวจสอบพบอุปกรณ์ 3 ประเภทที่สำนักงานกลางหรือสำนักงานระดับภูมิภาคของธนาคาร 8 แห่ง ซึ่งได้แก่ แล็ปท็อปราคาถูก, Raspberry Pi boards หรือ Bash Bunnies USB thumb drives ที่เป็นอันตราย โดย แฮ็กเกอร์นำอุปกรณ์เหล่านี้เชื่อมต่อกับเครือข่ายธนาคารหรือคอมพิวเตอร์ แล้วเชื่อมต่อกับอุปกรณ์จากระยะไกลโดยใช้โมเด็ม GPRS, 3G หรือ LTE

จากนั้นแฮ็กเกอร์จะเข้าถึงระบบเครือข่าย และทำการแสกนระบบเพื่อหาโฟลเดอร์ที่แชร์แบบสาธารณะ รวมถึงเว็บเซิร์ฟเวอร์หรือคอมพิวเตอร์เครื่องอื่นที่เปิดการเข้าถึง และท้ายที่สุดแฮ็กเกอร์ได้ทิ้งมัลแวร์ไว้ในเครือข่ายของธนาคารเพื่อใช้ควบคุมในระหว่างที่พวกเขาขโมยเงินจากบัญชีของธนาคาร

Kaspersky กล่าวถึงแฮ็กเกอร์เหล่านี้ภายใต้ชื่อว่า "DarkVishnya" และระบุว่าเหตุการณ์เกิดขึ้นตั้งแต่ 2017 จนถึง 2018 แต่ปฏิเสธที่จะบอกชื่อธนาคารที่ได้รับความเสียหายโดยมีสาเหตุมาจากเรื่องความเป็นส่วนตัวที่ระบุในสัญญา

ที่มา: zdnet

Worst Passwords of 2017 Show Bad Habits Are Hard To Break

SplashData ผู้พัฒนา SplashID password manager ได้ทำการรวบรวมข้อมูลของชุดรหัสผ่านที่นับว่าแย่มากในปี 2017 มากว่า 100 ชุด และรหัสผ่าน 5 ชุดที่พบบ่อยมากที่สุดในปีนี้คือ 1232456, password, 12345678, qwerty และ 12345 แม้ว่าจะมีผู้ใช้บางรายบอกว่ามีการตั้งแบบกลับหลังเพื่อให้เดาได้ยากขึ้น แต่ในความเป็นจริงก็คือรหัสที่เรียงกันชุดเดิมอยู่ดี

การตั้งรหัสด้วยตัวที่ใกล้ๆกัน หรือคำศัพท์เป็นการตั้งรหัสผ่านที่เดาได้ง่ายมาก เพราะทุกวันนี้เครื่องมือสำหรับการเดารหัสผ่านนั้น สามารถเดารูปแบบการตั้งรหัสแบบนี้ได้หมดเลย ยังมีผู้ใช้งานบางรายออกมาบอกว่าตัวเองได้มีการเปลี่ยนรหัสบางตัวเพื่อให้ดูซับซ้อนมากขึ้น เช่น การเอาตัว o ออกแล้วใส่ 0 เช่น password จะกลายเป็น passw0rd แต่วิธีนี้ก็ยังป้องกันไม่ได้ แม้กระทั่งกับแฮ็คเกอร์ที่ความรู้น้อย

ทั้งนี้ SplashData ได้มีการเปิดเผยรายการรหัสผ่านที่ไม่ควรตั้ง และได้แนะนำว่าหากมีใครกำลังใช้รหัสชุดไหนชุดหนึ่งที่เข้าข่ายอยู่นี้ ควรรีบเปลี่ยนโดยเร็ว เพราะถึงแม้จะเป็นบัญชีที่ไม่มีความสำคัญต่อผู้ใช้เลย แต่แฮ็คเกอร์อาจนำไปใช้เป็นเครื่องมือเพื่อโจมตีเครื่องอื่นๆ ต่อได้ อย่างไรก็ตามปัจจุบันมีเครื่องมือในการช่วยจัดการรหัสผ่านที่มีประสิทธิภาพอยู่มากมาย เช่น SplashID, LastPass, 1Password ,และ Dashlane รวมไปถึง KeePass ซึ่งมีการเปิดให้ใช้งานฟรีอยู่ แนะนำให้ลองดาวน์โหลดเพื่อนำมาใช้งานกันดู
ที่มา : Forbes