ElasticSearch ของแฮกเกอร์หลุด เผยปฏิบัติการขโมยข้อมูลจาก Facebook กับเหยื่อกว่า 100,000 ราย

ทีมนักวิจัยจาก vpnMentor เปิดเผยปฏิบัติการ Phishing และการหลอกลวงเอาข้อมูลบัตรเครดิคจากผู้ใช้งาน Facebook และหลังจากมีการตรวจระบบ ElasticSearch ของกลุ่มแฮกเกอร์ที่ถูกตั้งค่าไว้อย่างไม่ปลอดภัย ทำให้ทีมนักวิจัยสามารถเข้าถึงข้อมูลของเหยื่อได้

กลุ่มแฮกเกอร์ใช้วิธีการหลอกเป้าหมายใน Facebook เพื่อเข้ายึดครองบัญชีผู้ใช้งานโดยการหลอกให้ผู้ใช้งานกรอกข้อมูลสำหรับยืนยันตัวตนใส่โปรแกรมที่อ้างว่าจะช่วยให้ผู้ใช้งานทราบว่าใครเข้ามาดูหน้าโปรไฟล์ของพวกเขาได้ จากนั้น กลุ่มแฮกเกอร์จะนำข้อมูลบัญชีผู้ใช้ Facebook ที่ได้มาไปสแปมในโพสต์ต่าง ๆ ของ Facebook เพื่อหลอกลวงด้วยสถานการณ์อื่น ๆ

ในส่วนของระบบ ElasticSearch ของผู้โจมตีนั้น ทีมนักวิจัยจาก vpnMentor ระบุว่าข้อมูลซึ่งอยู่ในระบบ ElasticSearch มีขนาดประมาณ 5.5 กิกะไบต์, เก็บข้อมูลทั้งหมด 13,521,774 รายการ และมีข้อมูลของบัญชีผู้ใช้งานที่ไม่ซ้ำกันทั้งหมด 100,000 บัญชี ประวัติการใช้งานระบุว่าระบบดังกล่าวถูกเปิดใช้งานมาตั้งแต่เดือนมิถุนายนก่อนที่จะถูกตรวจพบในช่วงปลายเดือนกันยายนที่ผ่านมา

ข้อมูลในระบบ ElasticSearch ประกอบไปด้วยข้อมูลสำหรับยืนยันตัวตนของบัญชี Facebook เหยื่อ, หมายเลขไอพีแอดเดรส, เทมเพลตข้อความเพื่อใช้ในการคอมเมนต์โดยผู้โจมตี, และข้อมูลส่วนตัวอื่นๆ ในขณะนี้ทางทีมวิจัยได้มีการติดต่อไปยัง Facebook เพื่อประสานงานและแจ้งให้ผู้ใช้ได้รับทราบแล้ว

ที่มา: threatpost

บัญชี Facebook 267 ล้านรายการถูกแฮกเกอร์นำมาวางขายในแฮกเกอร์ฟอรัม

บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้กล่าวว่าในเดือนธันวาคม 2019 เว็บไซต์ Hackread.com รายงานว่าเซิร์ฟเวอร์ Elasticsearch ได้ทำการกำหนดการค่าผิดทำให้เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ 267 ล้านคน ข้อมูลส่วนใหญ่เป็นของผู้ใช้ในสหรัฐอเมริกาและมีโปรไฟล์ Facebook, ชื่อเต็ม, ไอดีของผู้ใช้บัญชีและ timestamp ของบัญชี

บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้พบบัญชีผู้ใช้ Facebook ถูกนำมาวางขายถึง 267 ล้านบัญชี มีราคาขายประมาณ $600 บนแฮกเกอร์ฟอรัม ข้อมูลที่ถูกขายนั้นประกอบไปด้วย ลิงก์ที่เข้าถึงโปรไฟล์ Facebook, ชื่อ, ที่อยู่, อีเมล, หมายเลขโทรศัพท์, อายุ, วันเดือนปีเกิด, สถานะ, เพศ, และเมืองที่อาศัย

ผู้เชี่ยวชาญคาดว่าเป็นข้อมูลที่ถูกขายนั้นเป็นข้อมูลชุดเดียวกันกับการรั่วไหลข้อมูลของ Elasticsearch ผู้เชี่ยวชาญได้ทำการซื้อและวิเคราะห์ข้อมูลที่ถูกขาย ข่าวดีคือไม่มีรหัสผ่านของผู้ใช้ แต่ข้อมูลที่ถูกขายนั้นเพียงพอที่จะสามารถดำเนินการทำฟิชชิงบัญชีของผู้ที่ตกเป็นเหยื่อ

ผู้เชี่ยวชาญยังกล่าวอีกว่าในเดือนมีนาคม 2019 บริษัท Facebook ได้เปิดเผยต่อสื่อว่าบริษัทได้ทำการเก็บรหัสผ่านผู้ใช้ 600 ล้านข้อความเป็น Plain Text และมีรหัสผ่านของพนักงานมากกว่า 20,000 คน และเมื่อวันที่ 4 เมษายน 2019 ข้อมูลส่วนตัวของผู้ใช้ Facebook กว่า 540 ล้านคนถูกเปิดเผยต่อสาธารณเนื่องจากไม่มีการป้องกันข้อมูลที่ฝากข้อมูลจาก Amazon Web Services (AWS) S3

ข้อเเนะนำจากผู้เชี่ยวชาญ
ผู้ใช้ Facebook ควรทำการตั้งค่าความเป็นส่วนตัวในโปรไฟล์ Facebook และระมัดระวังอีเมลหรือข้อความที่ส่งลิงค์มาเชิญชวนให้เปลี่ยนรหัสผ่านรวมถึงการให้ตั้งค่า

ที่มา: www.

File Inclusion Bug in Kibana Console for Elasticsearch Gets Exploit Code

พบช่องโหว่ Local File Inclusion (LFI) ในปลั๊กอิน Kibana data visualization tool ใช้สำหรับแสดงผลข้อมูลจาก Elasticsearch

Kibana เป็นเครื่องมือที่ถูกใช้อย่างแพร่หลายเพื่อแสดงผลข้อมูลจาก Elasticsearch ให้อยู่ในรูปแบบต่างๆ มีประโยชน์สำหรับการวิเคราะห์ข้อมูลและการสร้างภาพข้อมูลในรูปแบบต่างๆ จาก PoC code ที่ได้มีการเผยแพร่ออกมาเป็นเพียง code 1 บรรทัดที่มีตัวอักษรประมาณ 110 ตัว ซึ่งใน code จะมีการระบุถึงพาธของ Directory ที่ใช้เก็บ Password (/etc/passwd) รวมอยู่ด้วย เมื่อมีการรัน credential ที่อยู่ในพาธดังกล่าวจะถูกบันทึกไปยัง Kibana Log ด้วย

ช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถอัปโหลดสคริปต์ที่เป็นอันตรายและสามารถเข้าถึงระบบจากระยะ มีผลกระทบต่อ Kibana เวอร์ชั่นก่อน 6.4.3 และ 5.6.13 ซึ่งทีม Slow Mist Technology เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ CVE-2018-17246

แนะนำให้ผู้ใช้งานอัพเกรด Elastic Stack เป็นเวอร์ชันใหม่กว่า 6.4.3 หรือ 5.6.13 หรือปิดการใช้ปลั๊กอิน Kibana ซึ่งสามารถทำได้จากการกำหนดค่า ('kibana.