นักวิจัยด้านความปลอดภัยของอียิปต์ Mohamed Ramadan ค้นพบช่องโหว่ของเฟสบุ๊คแอพพลิเคชั่นบนสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอย โดยที่ช่องโหว่นี้เกิดจากการดาวน์โหลดไฟล์แอพพลิเคชั่นเฟสบุ๊ค ทางระบบปฏิบัติการแอนดรอยได้มีการเก็บ access token ไว้ที่ log messages
โดยสามารถใช้โปรแกรมเปิดดู log message ชื่อว่า “logcat” เมื่อแฮกเกอร์ได้ access token จะสามารถขโมยบัญชีเฟสบุ๊คของเหยื่อได้ ซึ่งเขาได้รายงานช่องโหว่นี้ให้กับผู้พัฒนาเฟสบุ๊คแล้ว และได้เงินค่ารายงานช่องโหว่เป็นจำนวนเงิน 6,000 ดอลลาร์

ที่มา :  thehackernews

นักวิจัยด้านความปลอดภัยของอียิปต์ Mohamed Ramadan ค้นพบช่องโหว่ของเฟสบุ๊คแอพพลิเคชั่นบนสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอย โดยที่ช่องโหว่นี้เกิดจากการดาวน์โหลดไฟล์แอพพลิเคชั่นเฟสบุ๊ค ทางระบบปฏิบัติการแอนดรอยได้มีการเก็บ access token ไว้ที่ log messages
โดยสามารถใช้โปรแกรมเปิดดู log message ชื่อว่า “logcat” เมื่อแฮกเกอร์ได้ access token จะสามารถขโมยบัญชีเฟสบุ๊คของเหยื่อได้ ซึ่งเขาได้รายงานช่องโหว่นี้ให้กับผู้พัฒนาเฟสบุ๊คแล้ว และได้เงินค่ารายงานช่องโหว่เป็นจำนวนเงิน 6,000 ดอลลาร์

ที่มา :  thehackernews

แฮกเกอร์กลุ่ม Syrian Electronic Army (SEA) ซึ่งเป็นกลุ่มที่อยู่ภายใต้หน่วยงานของรัฐบาลซีเรียได้ออกมาประกาศการโจมตีไปยังบัญชีผู้ใช้ส่วนตัวหลายรายการของประธานาธิบดีโอบามา เช่น Facebook, Twitter , e-mail รวมไปถึงเว็บไซต์ทีใช้ในการหาเสียงตามนโยบายการดำเนินงานต่างๆ ของโอบามาด้วย

กลุ่มแฮกเกอร์ได้แฮกเข้าไปยังเว็บไซต์ของโอบามา donate.

แฮกเกอร์กลุ่ม Syrian Electronic Army (SEA) ซึ่งเป็นกลุ่มที่อยู่ภายใต้หน่วยงานของรัฐบาลซีเรียได้ออกมาประกาศการโจมตีไปยังบัญชีผู้ใช้ส่วนตัวหลายรายการของประธานาธิบดีโอบามา เช่น Facebook, Twitter , e-mail รวมไปถึงเว็บไซต์ทีใช้ในการหาเสียงตามนโยบายการดำเนินงานต่างๆ ของโอบามาด้วย

กลุ่มแฮกเกอร์ได้แฮกเข้าไปยังเว็บไซต์ของโอบามา donate.

ปริมาณการโจมตีของบอทเน็ตและมัลแวร์ที่มุ่งไปยังเป้าหมายที่เกี่ยวกับการเงินเช่น ธนาคาร มีปริมาณเพิ่มมากขึ้นมาอย่างต่อเนื่อง โดยมีมัลแวร์ที่มีชื่อว่า "Zeus" ซึ่งเป็นมัลแวร์ที่ถูกออกแบบมาเพื่อเป้าหมายทางการเงิน และออกมาใช้งานตั้งแต่ปี 2007 ยังเป็นมัลแวร์ที่นิยมใช้งานกันอย่างแพร่หลายในปัจุบัน ซึ่งเมื่อก่อนการขายมัลแวร์เหล่านี้จะขายในเว็บบอร์ดใต้ดินเท่านั้น  แต่ในปัจจุบันเหล่าอาชญากรไซเบอร์ได้ทำการอัพเดตสิ่งเหล่านี้ ไม่ว่าจะเป็น บอทเน็ต, มัลแวร์, การโจมตีช่องโหว่ต่างๆและขาย เครื่องมือในการเจาะระบบรวมถึงมัลแวร์ที่ใช้โจมตีข้อมูลทางการเงินเช่น Zeus, SpyEye, Ice IX เป็นต้น ทั้งหมดนี้สามารถซื้อขายผ่าน Facebook ได้เลย

ที่มา: thehackernews

Facebook ได้ปิดช่องโหว่ various cross-site scripting (XSS) ที่ค้นพบโดยบริษัท Break Security ซึ่งเป็นบริษัทที่ให้บริการเกี่ยวกับการทดสอบความปลอดภัยของปรแกรม โดยช่องโหว่ที่พบนั้นพบในระบบ Messenger และระบบ Check in ของ Facebook เนื่องจาก Facebook ไม่มีการตรวจสอบค่าที่พิมพ์เข้าไป ทำให้แฮกเกอร์สามารถฝังโค้ด Java Script ลงไปใน Chat Box ได้ เมื่อเหยื่อเปิดอ่านข้อความที่ฝัง Java Script ไว้ก็จะเป็นการสั่งรันโค้ดบนเครื่องของเหยื่อโดยอัติโนมัติ และในระบบ Check in แฮกเกอร์สามารถฝังโค้ด Java Script เข้าไปในสถานที่ที่แฮกเกอร์สร้างขึ้นมาได้เช่นกัน

ที่มา: h-online

มีการตรวจพบช่องโหว่ Stored Cress-Site Scripting จำนวนกว่า 3 แห่งบน เฟสบุ๊ก (Facebook) ซึ่งช่องโหว่ดังกล่าวมีความอันตรายอย่างมากเพราะสามารถทำการโจมตี Browser-based มีผลกระทบคือสามารถ Hijacking ผู้ใช้งานได้ขโมยข้อมูลการใช้งานบนบราวเซอร์ของเหยื่อรวมถึงการรันสคริปที่เป็นอันตรายต่างๆบนบราวเซอร์ของผู้ใช้งานอีกด้วย โดยส่วนของเฟสบุ๊กที่เจอช่องโหว่มีดังนี้
1.    Stored XXS in Facebook Chat
2.    Stored XSS in Facebook Check-in
3.    Stored XSS in Facebook Messenger บน Windows

ที่มา: news.

มีการส่งอีเมลปลอมถึงผู้ใช้งาน Facebook ในอเมริกาว่าแอคเคาท์ของผู้ใช้มีการใช้งานที่ละเมิด Policies โดยการทำให้ผู้อื่นรำคาญหรือสบประมาทผู้อื่น ซึ่งจะมีการแจ้งเตือนในลักษณะนี้จนกว่าระบบจะทำการระงับการใช้งานแอคเคาท์ของผู้ใช้ภายใน 24 ชั่วโมงถ้าไม่ทำการตอบกลับ

ถ้าผู้ใช้ทำการกรอกข้อมูลส่วนตัว ข้อมูลทางการเงิน ซึ่งรวมถึงข้อมูลบัตรเครดิตของผู้ใช้และตอบอีเมลกลับไป แฮ้กเกอร์จะสามารใช้ข้อมูลเหล่านี้ในการขโมยแอคเคาท์ของผู้ใช้และทำการเปลี่ยนพาสเวิด Facebook และอีเมล Facebook ของผู้ใช้ได้ นั่นหมายความว่าแอคเคาท์ของผู้ใช้ถูกยึดโดยสมบูรณ์นั่นเอง

ที่มา: nakedsecurity.

พบการแพร่กระจายโทรจัน Backdoor ใน Facebook ซึ่งเป็นโทรจันที่เป็น Keylogger แพร่กระจายโดยการใช้ข้อความที่เป็น Scam ในลักษณะล่อลวงเหยื่อให้คลิกลิงค์ที่แนบมา โดยลิงค์ดังกล่าวเป็นหน้าปลอมซึ่งทำเหมือน Youtube และบังคับให้ดาวน์โหลดไฟล์ “Video Embed ActiveX Object” เวอร์ชั่นใหม่เพื่อให้สามารถเล่นไฟล์วีดีโอได้ แต่ทว่าไฟล์ setup.