การโจมตีในรูปแบบ Credential stuffing ถูกพบเพิ่มขึ้นเป็นจำนวนมากในช่วงไตรมาสแรกของปี 2565 ซึ่งปริมาณการพยายามเข้าใช้งานบัญชีในลักษณะดังกล่าวแซงหน้าการพยายามเข้าสู่ระบบตามปกติจากผู้ใช้งานทั่วไปในบางประเทศ

การโจมตีประเภทนี้เป็นการใช้ประโยชน์จากรหัสผ่านที่รั่วไหลออกมาจากบริการต่าง ๆ ก่อนหน้านี้ เพื่อพยายามเข้าสู่ระบบในบริการอื่น ๆ ที่ผู้ใช้งานอาจใช้ login name และ password เดียวกัน

รายงานจาก FBI เมื่อเร็ว ๆ นี้พบว่า การโจมตีลักษณะนี้มีจำนวนเพิ่มขึ้นเนื่องจากปริมาณข้อมูลบัญชีผู้ใช้งานจากระบบต่าง ๆ ที่รั่วไหลมากขึ้น และเครื่องมือของแฮ็กเกอร์ที่สามารถนำบัญชีเหล่านั้นนำมาใช้ทดสอบกับเว็บไซต์ต่าง ๆ ได้ง่ายขึ้น

ความพยายามในการเข้าสู่ระบบมากกว่า 1 หมื่นล้านครั้ง

Okta รายงานว่าพบพฤติกรรมการพยายามเข้าสู่ระบบมากกว่า 1 หมื่นล้านครั้งบนแพลตฟอร์มของพวกเขาในช่วง 3 เดือนแรกของปี 2022 โดยคิดเป็นประมาณ 34% ของการเข้าใช้งานทั้งหมด ซึ่งหมายความว่าหนึ่งในสามของความพยายามเข้าสู่ระบบเป็นพฤติกรรมที่เป็นอันตราย

เนื่องจากการโจมตีส่วนใหญ่เป็นการพยายามสุ่มใช้ข้อมูลส่วนตัวจำนวนมากในระยะเวลาอันสั้น แพลตฟอร์มที่ถูกโจมตีจะมีปริมาณของการใช้งานเพิ่มขึ้นอย่างรวดเร็วถึงสิบเท่า

ตัวอย่างในรายงานของ Okta คือการโจมตีอย่างต่อเนื่องเกือบสองเดือน จนสิ้นสุดในเดือนมกราคม 2022

Okta รายงานว่าส่วนใหญ่ความพยายามจะมุ่งเป้าไปที่บัญชีของบริษัทประเภท ค้าปลีก, eCommerce นอกจากนี้ยังมีบัญชีของบริษัทที่เกี่ยวข้องกับการศึกษา พลังงาน บริการทางการเงิน และซอฟต์แวร์

ตัวอย่างล่าสุดของการโจมตีด้วยวิธี credential stuffing บนแพลตฟอร์ม e-commerce กับลูกค้าของ North Face ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของผู้ใช้ได้ประมาณ 200,000 บัญชี

การป้องกันการโจมตีด้วยวิธี credential stuffing เป็นความรับผิดชอบหลักของแพลตฟอร์มต่าง ๆ ที่ควรใช้การตรวจสอบในเชิงรุก เช่น การแบนบัญชีผู้ใช้งานชั่วคราวสำหรับบัญชีที่น่าสงสัย

ส่วนในฝั่งของผู้ใช้งาน ควรเปิดการใช้งาน multi-factor authentication และการตั้งค่ารหัสผ่านที่รัดกุม และไม่ซ้ำกันสำหรับบัญชีออนไลน์ทั้งหมด ซึ่งส่วนใหญ่สามารถป้องกันได้เพียงพอต่อการโจมตีด้วยวิธีนี้

ที่มา : bleepingcomputer

Mercari แพลตฟอร์ม E-Commerce ยอดนิยมของญี่ปุ่น ซึ่งมีผู้ใช้งานมากกว่า 100 ล้านคนทั่วโลกและเพิ่งขยายการดำเนินงานไปยังสหรัฐอเมริกา และสหราชอาณาจักร ได้ออกมาเปิดเผยปัญหาข้อมูลที่สำคัญรั่วไหลซึ่งเกิดขึ้นจาก Codecov supply-chain attack

Codecov เป็นบริษัทที่ให้บริการตรวจสอบ Sorce code ตกเป็นเหยื่อของการโจมตีในลักษณะของ Supply chain attack เป็นระยะเวลามากว่า 2 เดือน ซึ่งในช่วง 2 เดือนนี้แฮกเกอร์ได้ทำการแก้ไข Bash Uploader tool ของ Codecov เพื่อขโมยข้อมูลออกจากระบบ CI/CD (Continuous Integration, Continuous Delivery) ของลูกค้าของ Codecov ซึ่งข้อมูลส่วนใหญ่ประกอบไปด้วย keys, tokens, และ credentials ของลูกค้าของ Codecov

Mercari ได้ออกมาเปิดเผยถึงผลกระทบที่ได้รับจากการโจมตีในลักษณะ Supply chain attack ข้างต้นว่ามีข้อมูลของลูกค้ารั่วไหลอกไปนับหมื่นรายรวมถึงข้อมูลรายละเอียดทางการเงิน โดยระบุรายละเอียด ดังนี้

ข้อมูลระหว่างวันที่ 5 สิงหาคม 2557 ถึงวันที่ 20 มกราคม 2557 บันทึกที่เกี่ยวข้องกับการโอนเงินจากการขายไปยังบัญชีลูกค้า 17,085 รายการ ซึ่งข้อมูลที่รั่วไหล ได้แก่ รหัสธนาคารรหัสสาขาหมายเลขบัญชีเจ้าของบัญชี (kana) และจำนวนเงินที่โอน
ข้อมูลที่เกี่ยวกับผู้ร่วมธุรกิจของ "Mercari" และ "Merpay" ได้รับการเปิดเผยซึ่งรวมถึง ชื่อ วันเดือนปีเกิด ความสัมพันธ์ ที่อยู่อีเมลและอื่น ๆ จำนวน 7,966 รายการ
เอกสารที่เกี่ยวกับพนักงาน รวมถึงคนที่ทำงานให้กับ Mercari ชื่อพนักงาน,ที่อยู่อีเมลบริษัท,รหัสพนักงาน,หมายเลขโทรศัพท์,วันเกิดและข้อมูลอื่น ๆ ณ เดือนเมษายน 2564 จำวน 2,615 รายการ
รายละเอียดของพนักงานเก่า,ผู้ขายและพนักงานภายนอกของบริษัท ที่เกี่ยวข้องกับกรณีการสนับสนุนการบริการลูกค้า Mercari 217 ระหว่างเดือนพฤศจิกายน 2015 ถึงมกราคม 2018
ข้อมูลของลูกค้า ได้แก่ ชื่อ,ที่อยู่,อีเมล,หมายเลขโทรศัพท์ และเอกสารแบบสอบถาม
บันทึก 6 รายการที่เกี่ยวข้องกับเหตุการณ์ในเดือนพฤษภาคม 2013

Mercari ได้รับแจ้งจาก GitHub เมื่อวันที่ 23 เมษายน เกี่ยวกับพฤติกรรมที่น่าสงสัยซึ่งเชื่อมโยงกับ incident ที่พบใน Mercari’s repositories เนื่องจาก Mercari พบผู้ไม่หวังดีได้รับสิทธิ์และสามารถจัดการข้อมูลการตรวจสอบสิทธิ์ของ Mercari ได้ ทางบริษัทจึงปิดการเข้าถึงข้อมูล credentials ที่ถูกบุกรุกทันที ในขณะที่ดำเนินการตรวจสอบขอบเขตของการบุกรุกทั้งหมด

Mercari จะดำเนินการติดต่อแจ้งบุคคลที่มีข้อมูลรั่วไหลทันที และจัดตั้งช่องทางติดต่อสอบถามเกี่ยวกับเหตุการณ์นี้ให้กับผู้เสียหายโดยเฉพาะ

ที่มา: ehackingnews

เมื่อสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยจาก Sucuri Security เปิดเผยว่าพบช่องโหว่ Stored XSS บน Magento ที่เป็น CMS ออกแบบมาเพื่อทำ e-commerce หรือสำหรับขายสินค้าออนไลน์ ซึ่งส่งผลให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ทีติดตั้ง Magento ได้เพียงแค่ผู้ใช้งานที่มีบัญชีของ Magento ใส่โค้ด Javascript ที่อันตรายในช่อง email address ในหน้าตั้งค่าบัญชี โดยที่ระบบของ Magneto ไม่มีการกรองอักขระที่เป็นอันตราย ทำให้โค้ดของ Javascript สามารถรันในหน้าแอดมินได้ อย่างไรก็ตามช่องโหว่ Stored XSS มีผลกระทบโดยตรงกับ Magento CE เวอร์ชั่นต่ำกว่า 1.9.2.3 และ Magento EE เวอร์ชั่นต่ำกว่า 1.14.2.3 นอกจากนี้ยังมีการพบช่องโหว่ Stored XSS ในช่องคอมเมนต์ที่สามารถใส่โค้ด Javascript ไปบันทึกในฐานข้อมูลได้ ส่งผลกระทบกับ Magento CE เวอร์ชั่น 2 และ Magento EE เวอร์ชั่นตำกว่า 2.0.1 แนะนำให้ควรอัพเกรด Magento ไปเป็นเวอร์ชั่นล่าสุดโดยทันที

ที่มา : net-security, SUCURIBlog