Facebook Open URL Redirection vulnerability

Dan Melameddiscovered นักวิจัยด้านความปลอดภัย ได้ทำการเปิดเผยช่องโหว่ Open URL Redirection ใน Facebook ซึ่งอนุญาตให้ผู้โจมตีเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นๆ เมื่อมีการเชื่อมต่อไปยัง facebook.

Facebook Open URL Redirection vulnerability

Dan Melameddiscovered นักวิจัยด้านความปลอดภัย ได้ทำการเปิดเผยช่องโหว่ Open URL Redirection ใน Facebook ซึ่งอนุญาตให้ผู้โจมตีเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นๆ เมื่อมีการเชื่อมต่อไปยัง facebook.

Facebook Warns Users After Adobe Breach

จากกรณีที่ Adobe ถูกแฮกทำให้ข้อมูลของผู้ใช้และรหัสผ่านรั่วไหลออกมาเป็นจำนวนมากซึ่งรหัสผ่านเหล่านั้นไม่ได้แฮชค่าไว้ ทำให้มีผู้ใช้ตกอยู่ในความเสี่ยงเป็นวงกว้าง ปัญหาที่สำคัญคือผู้ใช้หลายคนมักใช้รหัสผ่านเดียวกันในหลายบริการ

ทางเฟซบุ๊กจึงป้องกันปัญหาดังกล่าวล่วงหน้าด้วยการแจ้งเตือนให้ผู้ใช้ที่มีความเสี่ยงทำการเปลี่ยนรหัสผ่านทันที
เฟซบุ๊กเข้าตรวจสอบอีเมลและรหัสผ่านที่หลุดออกมาจากฐานข้อมูลของ Adobe แล้วเทียบเข้ากับฐานข้อมูลผู้ใช้ของเฟซบุ๊ก หากมีข้อมูลอย่างใดอย่างหนึ่งตรงกันเฟซบุ๊กจะแจ้งเตือนในรูปแบบ Massage box ให้ผู้ใช้เปลี่ยนรหัสผ่านทันที โดยผู้ใช้ต้องตอบคำถามเพื่อยืนยันตัวตนก่อน

นอกจากนี้เฟซบุ๊กยังระบุว่าจะตรวจสอบความปลอดภัยให้กับผู้ใช้เป็นประจำ ไม่ว่าความเสี่ยงนั้นจะเป็นความเสี่ยงที่เกิดจากเฟซบุ๊กเองหรือบริการภายนอกก็ตาม

ที่มา : krebsonsecurity

Facebook Warns Users After Adobe Breach

จากกรณีที่ Adobe ถูกแฮกทำให้ข้อมูลของผู้ใช้และรหัสผ่านรั่วไหลออกมาเป็นจำนวนมากซึ่งรหัสผ่านเหล่านั้นไม่ได้แฮชค่าไว้ ทำให้มีผู้ใช้ตกอยู่ในความเสี่ยงเป็นวงกว้าง ปัญหาที่สำคัญคือผู้ใช้หลายคนมักใช้รหัสผ่านเดียวกันในหลายบริการ

ทางเฟซบุ๊กจึงป้องกันปัญหาดังกล่าวล่วงหน้าด้วยการแจ้งเตือนให้ผู้ใช้ที่มีความเสี่ยงทำการเปลี่ยนรหัสผ่านทันที
เฟซบุ๊กเข้าตรวจสอบอีเมลและรหัสผ่านที่หลุดออกมาจากฐานข้อมูลของ Adobe แล้วเทียบเข้ากับฐานข้อมูลผู้ใช้ของเฟซบุ๊ก หากมีข้อมูลอย่างใดอย่างหนึ่งตรงกันเฟซบุ๊กจะแจ้งเตือนในรูปแบบ Massage box ให้ผู้ใช้เปลี่ยนรหัสผ่านทันที โดยผู้ใช้ต้องตอบคำถามเพื่อยืนยันตัวตนก่อน

นอกจากนี้เฟซบุ๊กยังระบุว่าจะตรวจสอบความปลอดภัยให้กับผู้ใช้เป็นประจำ ไม่ว่าความเสี่ยงนั้นจะเป็นความเสี่ยงที่เกิดจากเฟซบุ๊กเองหรือบริการภายนอกก็ตาม

ที่มา : krebsonsecurity

Vulnerability in Facebook app allows hackers to steal access tokens and hijack accounts

นักวิจัยด้านความปลอดภัยของอียิปต์ Mohamed Ramadan ค้นพบช่องโหว่ของเฟสบุ๊คแอพพลิเคชั่นบนสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอย โดยที่ช่องโหว่นี้เกิดจากการดาวน์โหลดไฟล์แอพพลิเคชั่นเฟสบุ๊ค ทางระบบปฏิบัติการแอนดรอยได้มีการเก็บ access token ไว้ที่ log messages
โดยสามารถใช้โปรแกรมเปิดดู log message ชื่อว่า “logcat” เมื่อแฮกเกอร์ได้ access token จะสามารถขโมยบัญชีเฟสบุ๊คของเหยื่อได้ ซึ่งเขาได้รายงานช่องโหว่นี้ให้กับผู้พัฒนาเฟสบุ๊คแล้ว และได้เงินค่ารายงานช่องโหว่เป็นจำนวนเงิน 6,000 ดอลลาร์

ที่มา :  thehackernews

Vulnerability in Facebook app allows hackers to steal access tokens and hijack accounts

นักวิจัยด้านความปลอดภัยของอียิปต์ Mohamed Ramadan ค้นพบช่องโหว่ของเฟสบุ๊คแอพพลิเคชั่นบนสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอย โดยที่ช่องโหว่นี้เกิดจากการดาวน์โหลดไฟล์แอพพลิเคชั่นเฟสบุ๊ค ทางระบบปฏิบัติการแอนดรอยได้มีการเก็บ access token ไว้ที่ log messages
โดยสามารถใช้โปรแกรมเปิดดู log message ชื่อว่า “logcat” เมื่อแฮกเกอร์ได้ access token จะสามารถขโมยบัญชีเฟสบุ๊คของเหยื่อได้ ซึ่งเขาได้รายงานช่องโหว่นี้ให้กับผู้พัฒนาเฟสบุ๊คแล้ว และได้เงินค่ารายงานช่องโหว่เป็นจำนวนเงิน 6,000 ดอลลาร์

ที่มา :  thehackernews

Barack Obama's Twitter, Facebook, Campaign website and Email Accounts hacked by Syrian Electronic Army

แฮกเกอร์กลุ่ม Syrian Electronic Army (SEA) ซึ่งเป็นกลุ่มที่อยู่ภายใต้หน่วยงานของรัฐบาลซีเรียได้ออกมาประกาศการโจมตีไปยังบัญชีผู้ใช้ส่วนตัวหลายรายการของประธานาธิบดีโอบามา เช่น Facebook, Twitter , e-mail รวมไปถึงเว็บไซต์ทีใช้ในการหาเสียงตามนโยบายการดำเนินงานต่างๆ ของโอบามาด้วย

กลุ่มแฮกเกอร์ได้แฮกเข้าไปยังเว็บไซต์ของโอบามา donate.

Barack Obama's Twitter, Facebook, Campaign website and Email Accounts hacked by Syrian Electronic Army

แฮกเกอร์กลุ่ม Syrian Electronic Army (SEA) ซึ่งเป็นกลุ่มที่อยู่ภายใต้หน่วยงานของรัฐบาลซีเรียได้ออกมาประกาศการโจมตีไปยังบัญชีผู้ใช้ส่วนตัวหลายรายการของประธานาธิบดีโอบามา เช่น Facebook, Twitter , e-mail รวมไปถึงเว็บไซต์ทีใช้ในการหาเสียงตามนโยบายการดำเนินงานต่างๆ ของโอบามาด้วย

กลุ่มแฮกเกอร์ได้แฮกเข้าไปยังเว็บไซต์ของโอบามา donate.

Fraud-as-a-Sevice of Zeus Malware advertised on Social network

ปริมาณการโจมตีของบอทเน็ตและมัลแวร์ที่มุ่งไปยังเป้าหมายที่เกี่ยวกับการเงินเช่น ธนาคาร มีปริมาณเพิ่มมากขึ้นมาอย่างต่อเนื่อง โดยมีมัลแวร์ที่มีชื่อว่า "Zeus" ซึ่งเป็นมัลแวร์ที่ถูกออกแบบมาเพื่อเป้าหมายทางการเงิน และออกมาใช้งานตั้งแต่ปี 2007 ยังเป็นมัลแวร์ที่นิยมใช้งานกันอย่างแพร่หลายในปัจุบัน ซึ่งเมื่อก่อนการขายมัลแวร์เหล่านี้จะขายในเว็บบอร์ดใต้ดินเท่านั้น  แต่ในปัจจุบันเหล่าอาชญากรไซเบอร์ได้ทำการอัพเดตสิ่งเหล่านี้ ไม่ว่าจะเป็น บอทเน็ต, มัลแวร์, การโจมตีช่องโหว่ต่างๆและขาย เครื่องมือในการเจาะระบบรวมถึงมัลแวร์ที่ใช้โจมตีข้อมูลทางการเงินเช่น Zeus, SpyEye, Ice IX เป็นต้น ทั้งหมดนี้สามารถซื้อขายผ่าน Facebook ได้เลย

ที่มา: thehackernews

Facebook closes cross-site scripting holes

Facebook ได้ปิดช่องโหว่ various cross-site scripting (XSS) ที่ค้นพบโดยบริษัท Break Security ซึ่งเป็นบริษัทที่ให้บริการเกี่ยวกับการทดสอบความปลอดภัยของปรแกรม โดยช่องโหว่ที่พบนั้นพบในระบบ Messenger และระบบ Check in ของ Facebook เนื่องจาก Facebook ไม่มีการตรวจสอบค่าที่พิมพ์เข้าไป ทำให้แฮกเกอร์สามารถฝังโค้ด Java Script ลงไปใน Chat Box ได้ เมื่อเหยื่อเปิดอ่านข้อความที่ฝัง Java Script ไว้ก็จะเป็นการสั่งรันโค้ดบนเครื่องของเหยื่อโดยอัติโนมัติ และในระบบ Check in แฮกเกอร์สามารถฝังโค้ด Java Script เข้าไปในสถานที่ที่แฮกเกอร์สร้างขึ้นมาได้เช่นกัน

ที่มา: h-online