Google admits Google Plus hit by *another* privacy flaw, speeds up site’s closure

ระหว่างปี 2015 และมีนาคม 2018 พบช่องโหว่ใน Google Plus เครือข่ายสังคมออนไลน์ของ Google ที่ส่งผลให้ข้อมูลส่วนตัว อาทิเช่น ชื่อผู้ใช้ ที่อยู่อีเมล วันเดือนปีเกิด เพศ รูปถ่าย ที่อยู่อาศัย สถานภาพความสัมพันธ์และอาชีพ ถูกเปิดเผยไปยังนักพัฒนาซอฟต์แวร์จากความผิดพลาดของ API

รายงานระบุว่าในเดือนมีนาคม 2018 Google เลือกที่จะไม่เปิดเผยต่อสาธารณชนว่า บริษัทไม่สามารถปกป้องข้อมูลส่วนบุคคลของผู้ใช้เป็นเวลาหลายปี เนื่องจากในช่วงเวลาดังกล่าว Facebook ที่เป็นคู่แข่งอยู่กำลังมีข่าวเกี่ยวกับการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาตของ Cambridge Analytica อย่างไรก็ตามในที่สุดเมื่อเดือนตุลาคมที่ผ่านมา Google ก็ออกมายอมรับถึงปัญหาดังกล่าว พร้อมทั้งระบุว่ามีผู้ใช้งานประมาณ 5 แสนบัญชีที่ได้รับผลกระทบ และมีแอพพลิเคชั่น 438 รายการเข้าถึงข้อมูลดังกล่าวโดยไม่ได้รับอนุญาต โดย Google ได้ออกมาประกาศว่าจะทำการปิดตัว Google Plus ปลายเดือนสิงหาคม 2019

แค่นั้นยังไม่พอ ล่าสุด Google ออกมายอมรับว่าในขณะนี้ Google Plus ได้มีปัญหาด้านความปลอดภัยอื่นๆ ส่งผลให้ข้อมูลของผู้ใช้งาน 52 ล้านบัญชี สามารถถูกเข้าถึงโดยแอพพลิเคชั่นและนักพัฒนาซอฟต์แวร์ของบริษัทอื่นโดยไม่ได้รับอนุญาต

ดังนั้นถ้าหากคุณเป็นหนึ่งในผู้ใช้งานที่มีบัญชีของ Google Plus ข้อมูลของคุณ เช่น ชื่อ อีเมล อาชีพหรืออื่นๆ ซึ่งแม้จะตั้งไว้เป็น "not public" ข้อมูลเหล่านั้นก็จะสามารถเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาต และล่าสุด Google ได้ออกมาประกาศอีกครั้งว่าจะปิดตัว Google Plus แต่จะปิดในเดือนเมษายน 2019 แทนที่จะเป็นเดือนสิงหาคม 2019 ซึ่งเร็วกว่าประกาศเดิม 5 เดือน

ที่มา : GRAHAM CLULEY

Microsoft December 2018 Patch Tuesday Fixes Actively Used Zero-Day Vulnerability

ไมโครซอฟต์และ Adobe ออกแพตช์แก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 แก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้โจมตี

เมื่อวันที่ 11 ธันวาคม 2018 ไมโครซอฟต์ได้ออกแพตช์แก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 เพื่อแก้ไขช่องโหว่ใน Windows และผลิตภัณฑ์อื่นๆ ทั้งหมด 39 ช่องโหว่ เป็นช่องโหว่ร้ายแรงมาก (Critical) 9 ช่องโหว่ มีการแก้ไขช่องโหว่ที่สำคัญคือ ช่องโหว่ CVE-2018-8611 ซึ่งเป็น Zero-day ที่กำลังถูกใช้โจมตีด้วยมัลแวร์ ช่องโหว่นี้พบใน Windows Kernel ที่ทำให้ผู้โจมตีสามารถรันโปรแกรมเพื่อยกระดับสิทธิ์ได้ ถูกค้นพบโดย Kaspersky

นอกจากนี้ Adobe ยังได้ออกแพตช์เพื่อแก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 เช่นกัน โดยแก้ไขช่องโหว่ใน Adobe Acrobat และ Adobe Reader กว่า 87 ช่องโหว่ เป็นช่องโหว่ร้ายแรงมาก (Critical) ถึง 39 ช่องโหว่

ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว

ที่มา : BLEEPINGCOMPUTER

Over 100,000 PCs infected with new ransomware strain in China

เครื่องคอมพิวเตอร์ของผู้ใช้งานที่เป็น Windows ในประเทศจีน ติด ransomware สายพันธุ์ใหม่กว่า 100,000 เครื่อง

ผู้ใช้ชาวจีนกว่า 100,000 คนที่ใช้เครื่องคอมพิวเตอร์ Windows ติด ransomware ซึ่งเข้ารหัสไฟล์ของพวกเขาและเรียกค่าไถ่เป็นเงิน 110 หยวน (ประมาณ 16 $) โดยผู้ไม่หวังดีพุ่งเป้าโจมตีเฉพาะชาวจีนเท่านั้น เนื่องจากกลุ่มที่อยู่เบื้องหลังภัยคุกคามนี้ใช้เฉพาะภาษาจีนเพื่อเรียกค่าไถ่ และแพร่กระจายผ่านทางเว็ปไซต์ท้องถิ่นและ forum ในประเทศจีนเท่านั้น นอกจากนี้ยังให้ชำระเงินค่าไถ่ผ่านทางบริการการชำระเงินของ WeChat ซึ่งถูกใช้เฉพาะในประเทศจีนและภูมิภาคที่อยู่ติดกันเท่านั้น

ตามรายงานข่าวท้องถิ่นหลายฉบับรายงานว่ามีการติด ransomware นี้หลังจากติดตั้งแอพโซเชียลมีเดียที่ชื่อ "Account Operation V3.1" ซึ่งเป็นแอพสำหรับช่วยให้ผู้ใช้สามารถจัดการบัญชี QQ หลายบัญชีได้ในเวลาเดียวกัน รายงานต่อมาอ้างว่าผู้สร้าง ransomware อาจอาศัย SDK ที่ชื่อว่า "EasyLanguage" เพื่อช่วยในการแพร่กระจายด้วยการ inject โค้ดที่อันตรายลงในแอพพลิเคชั่นของนักพัฒนาซอฟต์แวร์รายอื่น ๆ

ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการวิเคราะห์ และกล่าวว่านอกเหนือจากการเข้ารหัสไฟล์ ransomware ยังขโมยข้อมูลการเข้าสู่ระบบสำหรับบริการออนไลน์ของจีนเช่น Alipay, Baidu Cloud, NetEase 163, Tencent QQ, Taobao, Tmall และ Jingdong อย่างไรก็ตามล่าสุดบริษัทความปลอดภัยในจีนได้ออกมาบอกว่า สามารถถอดรหัสได้แล้ว เนื่องจาก ransomware ใช้บริษัทการเข้ารหัสและถอดรหัสแบบ hardcode ทำให้สามารถหาคีย์สำหรับถอดรหัสได้จากซอร์สโค้ด และมีแผนที่จะเผยแพร่ในอีกไม่กี่วันข้างหน้า

ที่มา: zdnet

Apple Fixes Passcode Bypass, RCE Vulnerabilities, and More in Today’s Updates.

Apple ได้แก้ไขปัญหาช่องโหว่การบายพาส Passcode, ข่องโหว่ RCE และอื่นๆ ในการอัปเดตล่าสุด

Apple เปิดตัวการปรับปรุงผลิตภัณฑ์หลักของตนซึ่งประกอบด้วย iCloud, Safari, iTunes, macOS Mojave, Sierra Sierra สำหรับ iOS 2.1.2, tvOS 12.1.1 และ iOS 12.1.1

ใน iOS 12.1.1 แก้ไขปัญหาข้อผิดพลาดในส่วนของการใช้งาน FaceTime ที่สามารถทำให้ผู้ใช้สามารถเข้าถึงรายชื่อผู้ติดต่อของโทรศัพท์ได้แม้ล็อกสกรีนอยู่ และช่องโหว่อื่น ๆ ที่ได้รับการแก้ไข ได้แก่ การเรียกใช้โค้ดจากระยะไกล (remote code execution), การเปิดเผยข้อมูลอย่างไม่ตั้งใจ (information disclosure), การเพิ่มสิทธิ์พิเศษ (privilege escalation) และ denial of service (dos)

การปรับปรุงความปลอดภัยครั้งนี้เป็นการแก้ไขข้อบกพร่องด้านความปลอดภัยหลายรายการ ด้วยเหตุนี้หากเป็นผู้ใช้ผลิตภัณฑ์ใด ๆ ข้างต้นควรทำการอัปเดตให้เป็นเวอร์ชั่นล่าสุด

ที่มา: bleepingcomputer

Eastern European banks lose tens of millions of dollars in Hollywood-style hacks

กลุ่มอาชญากรไซเบอร์มีการขโมยเงินหลายสิบล้านดอลลาร์จากธนาคารอย่างน้อย 8 แห่งในยุโรปตะวันออก โดยใช้กลยุทธ์ที่มักเห็นในภาพยนตร์ฮอลลีวู้ดเท่านั้น ด้วยการบุกเข้ามาในธนาคารเพื่อนำอุปกรณ์ที่เป็นอันตรายเชื่อมต่อเข้ากับเครือข่ายของธนาคาร

Kaspersky Lab ของรัสเซียกำลังค้นคว้าข้อมูลเกี่ยวกับภารกิจการปล้นทางไซเบอร์ (cyber-heists) เหล่านี้ จากการตรวจสอบพบอุปกรณ์ 3 ประเภทที่สำนักงานกลางหรือสำนักงานระดับภูมิภาคของธนาคาร 8 แห่ง ซึ่งได้แก่ แล็ปท็อปราคาถูก, Raspberry Pi boards หรือ Bash Bunnies USB thumb drives ที่เป็นอันตราย โดย แฮ็กเกอร์นำอุปกรณ์เหล่านี้เชื่อมต่อกับเครือข่ายธนาคารหรือคอมพิวเตอร์ แล้วเชื่อมต่อกับอุปกรณ์จากระยะไกลโดยใช้โมเด็ม GPRS, 3G หรือ LTE

จากนั้นแฮ็กเกอร์จะเข้าถึงระบบเครือข่าย และทำการแสกนระบบเพื่อหาโฟลเดอร์ที่แชร์แบบสาธารณะ รวมถึงเว็บเซิร์ฟเวอร์หรือคอมพิวเตอร์เครื่องอื่นที่เปิดการเข้าถึง และท้ายที่สุดแฮ็กเกอร์ได้ทิ้งมัลแวร์ไว้ในเครือข่ายของธนาคารเพื่อใช้ควบคุมในระหว่างที่พวกเขาขโมยเงินจากบัญชีของธนาคาร

Kaspersky กล่าวถึงแฮ็กเกอร์เหล่านี้ภายใต้ชื่อว่า "DarkVishnya" และระบุว่าเหตุการณ์เกิดขึ้นตั้งแต่ 2017 จนถึง 2018 แต่ปฏิเสธที่จะบอกชื่อธนาคารที่ได้รับความเสียหายโดยมีสาเหตุมาจากเรื่องความเป็นส่วนตัวที่ระบุในสัญญา

ที่มา: zdnet

Worst Passwords of 2017 Show Bad Habits Are Hard To Break

SplashData ผู้พัฒนา SplashID password manager ได้ทำการรวบรวมข้อมูลของชุดรหัสผ่านที่นับว่าแย่มากในปี 2017 มากว่า 100 ชุด และรหัสผ่าน 5 ชุดที่พบบ่อยมากที่สุดในปีนี้คือ 1232456, password, 12345678, qwerty และ 12345 แม้ว่าจะมีผู้ใช้บางรายบอกว่ามีการตั้งแบบกลับหลังเพื่อให้เดาได้ยากขึ้น แต่ในความเป็นจริงก็คือรหัสที่เรียงกันชุดเดิมอยู่ดี

การตั้งรหัสด้วยตัวที่ใกล้ๆกัน หรือคำศัพท์เป็นการตั้งรหัสผ่านที่เดาได้ง่ายมาก เพราะทุกวันนี้เครื่องมือสำหรับการเดารหัสผ่านนั้น สามารถเดารูปแบบการตั้งรหัสแบบนี้ได้หมดเลย ยังมีผู้ใช้งานบางรายออกมาบอกว่าตัวเองได้มีการเปลี่ยนรหัสบางตัวเพื่อให้ดูซับซ้อนมากขึ้น เช่น การเอาตัว o ออกแล้วใส่ 0 เช่น password จะกลายเป็น passw0rd แต่วิธีนี้ก็ยังป้องกันไม่ได้ แม้กระทั่งกับแฮ็คเกอร์ที่ความรู้น้อย

ทั้งนี้ SplashData ได้มีการเปิดเผยรายการรหัสผ่านที่ไม่ควรตั้ง และได้แนะนำว่าหากมีใครกำลังใช้รหัสชุดไหนชุดหนึ่งที่เข้าข่ายอยู่นี้ ควรรีบเปลี่ยนโดยเร็ว เพราะถึงแม้จะเป็นบัญชีที่ไม่มีความสำคัญต่อผู้ใช้เลย แต่แฮ็คเกอร์อาจนำไปใช้เป็นเครื่องมือเพื่อโจมตีเครื่องอื่นๆ ต่อได้ อย่างไรก็ตามปัจจุบันมีเครื่องมือในการช่วยจัดการรหัสผ่านที่มีประสิทธิภาพอยู่มากมาย เช่น SplashID, LastPass, 1Password ,และ Dashlane รวมไปถึง KeePass ซึ่งมีการเปิดให้ใช้งานฟรีอยู่ แนะนำให้ลองดาวน์โหลดเพื่อนำมาใช้งานกันดู
ที่มา : Forbes

Digmine Malware Spreading via Facebook Messenger

พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.

Twitter Expands 2FA Options to Third-Party Authenticator Apps

Twitter ได้ปรับปรุงระบบความปลอดภัยโดยเพิ่มการตรวจสอบสิทธิ์แบบ Two-Factor Authentication(2FA) ทำให้ผู้ใช้ทวิตเตอร์สามารถใช้ตัวเลือกการรักษาความปลอดภัยนี้ซึ่งรองรับ third-party security อย่างเช่น Google Authenticator, Duo Mobile, Authy และ 1Password แทนแบบเดิมที่เป็น SMS

สำหรับการตั้งค่าการใช้งานนั้น สามารถไปที่ Settings and privacy และในส่วนของ Security จะมี Login verification หากยังไม่เคยเปิดใช้งานจะมี "Set up login verification" ให้เลือก จากนั้นทำการตั้งค่าให้เรียบร้อย แต่หากเปิดการ verify ผ่าน SMS ไว้แล้ว จะมี "Review your login verification methods" ขึ้นมาให้เลือกแทน จากนั้นให้เลือกไปที่ "Set up" ในส่วนของ "Mobile security app" ทำการ start แล้วจะมี "QR Code" ขึ้นมาให้ Scan ให้ใช้ third-party security แอพพลิเคชั่นของคุณ Scan QR Code ดังกล่าว แล้วนำเลขที่ได้มากรอกในขั้นตอนต่อไป

เมื่อตั้งค่าสำเร็จแล้ว นับจากนี้ไปเมื่อใดก็ตามที่พยายามเข้าสู่ระบบ จะได้รับแจ้งให้ป้อนรหัสการยืนยันการเข้าสู่ระบบที่เป็นเลขหกหลักจากแอพพลิเคชั่นระบุตัวตนที่ใช้งานหลังจากที่ป้อนชื่อผู้ใช้และรหัสผ่านแล้ว แม้ว่าชื่อผู้ใช้งานและรหัสผ่านจะหลุดออกไป การจะเข้าถึงบัญชี Twitter ก็จะเป็นไปได้ยากมากขึ้น

ที่มา : infosecurity-magazine

USN-3382-2: PHP vulnerabilities

Ubuntu ปล่อยอัพเดทเพื่ออุดช่องโหว่ใน PHP โดยมีรายละเอียดของช่องโหว่ดังนี้

CVE-2016-10397: ช่องโหว่ที่พบว่า PHP URL parser มีการทำงานที่ผิดปกติกับตัว URI ทำให้ผู้ที่โจมตีสามารถใช้ช่องโหว่นี้เพื่อหลบหลีกการตรวจสอบ hostname-specific URL ได้

CVE-2017-11143: ช่องโหว่ที่พบว่ามีการทำงานที่ผิดปกติของ PHP กับ Boolean Parameter บางตัว เมื่อเป็น unserialized data ทำให้ผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP เกิด crash และใช้การไม่ได้(Denial of Service)

CVE-2017-11144: ช่องโหว่นี้ถูกพบโดย Sebastian Li, Wei Lei, Xie Xiaofei, and Liu Yang พบว่า PHP มีการทำงานที่ผิดปกติในการจัดการ OpenSSL sealing function ซึ่งผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP ใช้การไม่ได้เช่นกัน (Dos)

CVE-2017-11145: Wei Lei และ Liu Yang พบอีกช่องโหว่ใน extension ที่เกี่ยวกับตัววันที่ของ PHP ในการจัดการหย่วยความจำ(Memory) ซึ่งส่งผลให้ผู้ที่โจมตีสามารถเข้าถึงข้อมูลสำคัญของเซิร์ฟเวอร์ได้

CVE-2017-11147: พบช่องโหว่ของการจัดเก็บไฟล์แบบ PHAR ใน PHP ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ หรือเข้าถึงข้อมูลสำคัญจากตัวเซิร์ฟเวอร์ได้ โดยช่องโหว่ตัวนี้จะมีผลกระทบกับแค่ Ubuntu 14.04 LTS

CVE-2017-11628: Wei Lei และ Liu Yang พบช่องโหว่ที่การทำ parsing ไฟล์สกุล .ini ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ (Dos)

และช่องโหว่สุดท้ายคือตัว PHP mbstring ในการทำงานกับ Regular Expressions บางตัว ซึ่งทำให้ผู้โจมตีสามารถทำให้ PHP เกิดการ crash และใช้งานไม่ได้ หรือทำการรัน arbitrary code (CVE-2017-9224, CVE-2017-9226, CVE-2017-9227, CVE-2017-9228, CVE-2017-9229)

ข้อแนะนำคือให้ทำการอัพเดทเวอร์ชัน โดยขั้นตอนในการอัพเดทสามารถดูได้จากลิงค์ด้านล่างนี้ (https://wiki.

Cron-Linked Malware Impersonates 2,200 Banking Apps

นักวิจัยด้านความปลอดภัยได้แจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ ถูกออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับบัญชีธนาคารและบัตรเครดิต ซึ่งอาจเชื่อมโยงกับอาชญากรรมไซเบอร์กลุ่มที่มีชื่อว่า "Cron"

Catelites Bot มีลักษณะคล้ายคลึงกับ CronBot banking Trojan ซึ่งพบว่าเคยถูกใช้ในการโจรกรรมเงินไป 900,000 เหรียญ แม้ในท้ายที่สุดกลุ่มของผู้ที่อยู่เบื้องหลังมัลแวร์นี้ จะถูกจับกุมในช่วงต้นปีที่ผ่านมาโดยทางการรัสเซีย ส่วนใหญ่มัลแวร์ตัวนี้จะถูกแพร่กระจายอยู่ในระบบ Android ผ่านทางแอพพลิเคชั่นปลอมที่อยู่บน third-party stores, โฆษณา และหน้า phishing เมื่อเหยื่อหลงเชื่อ จะมีการร้องขอสิทธิ์ Admin ของเครื่อง หากอนุญาตมัลแวร์ดังกล่าวจะทำการลบไอคอนเดิม และแทนที่ด้วยไอคอนปลอมที่ดูคล้ายคลึงกับแอพพลิเคชั่นที่มีความน่าเชื่อถืออื่นๆ เพื่อหลอกให้เหยื่อป้อนรายละเอียดบัตรเครดิตลงไป

จากข่าวรายงานอีกว่า มัลแวร์ตัวนี้ยังมีฟังก์ชันการทำงานที่ทำให้มันสามารถปลอมแปลงตนเองให้มีหน้าตาคล้ายกับแอพพลิเคชันด้านการเงินที่ถูกต้องกว่า 2,200 แห่ง และซ้อนทับตัวเองแทนแอพพลิเคชั่นตัวจริงที่มีการเรียกใช้งาน เพื่อใช้ข้อมูลที่ได้นั้นเข้าถึงบัญชีธนาคาร และบัตรเครดิตของผู้ใช้งาน

ที่มา : infosecurity-magazine