British Airways fined £20m for Magecart hack that exposed 400k folks’ credit card details to crooks

หน่วยงานกำกับด้านข้อมูลอังกฤษสั่งปรับ British Airways ภายใต้ GDPR กรณีการโจมตีจากกลุ่ม Magecart และปัญหาด้านความปลอดภัย

หน่วยงาน Information Commissioner (ICO) ออกประกาศเมื่อวันที่ 16 ตุลาคม 2563 ว่าจะมีการปรับค่าเสียหายจากสายการบิน British Airways จำนวนกว่า 20 ล้านปอนด์หรือประมาณ 800 ล้านบาท ภายใต้การบังคับใช้ของ GDPR จากกรณีการโจมตีโดยกลุ่ม Magecart ซึ่งส่งผลให้ข้อมูลของลูกค้าสายการบินกว่า 500,000 รายการรั่วไหล

ในเดือนกันยายน 2018 สายการบิน British Airways มีการรายงานต่อ ICO หลังจากมีการตรวจพบการโจมตี การวิเคราะห์การโจมตีบ่งชี้ว่าผู้โจมตีมีการเข้าถึงระบบภายในของสายการบินจนสามารถแก้ไขหน้าเว็บเพจหลักของ British Airways ได้ ด้วยสิทธิ์ดังกล่าว ผู้โจมตีมีการฝังโค้ดเพื่อลักลอบดึงข้อมูลทีผู้ใช้งานกรอกที่หน้าเว็บและส่งมายังระบบของผู้โจมตีตามลักษณะการโจมตีของกลุ่ม Magecart การวิเคราะห์การโจมตียังบ่งชี้ว่า British Airways มีความปลอดภัยที่หละหลวม ไม่มีการบังคับใช้ multi-factor authentication และยังมีการบันทึกรหัสผ่านของบัญชี domain administrator เอาไว้ในไฟล์แบบ plaintext อีกด้วย

จำนวนค่าปรับกว่า 20 ล้านปอนด์นั้นถูกลดมาจาก 183 ล้านปอนด์ตามที่ ICO เคยมีการแจ้งแก่ British Airways ครั้งแรกเมื่อเดือนกรกฎาคม 2019 ทาง ICO มีการอธิบายเพิ่มเติมที่การลดลงของค่าปรับซึ่งหนึ่งในเหตุผลนั้นคือการประเมินจากผลกระทบที่มีต่อสายการบินในกรณีของ COVID-19 ด้วย

ที่มา: theregister

Cloudflare เปิดตัว Web Analytics เก็บสถิติการเข้าชมเว็บโดยไม่เก็บข้อมูลส่วนบุคคล

Cloudflare ออกผลิตภัณฑ์ฟรีใหม่ภายใต้ชื่อ Web Analytics โดยเป็นผลิตภัณฑ์สำหรับเก็บสถิติการเข้าถึงเว็บไซต์โดยมีจุดเด่นหลักอยู่ความเป็นส่วน โดย Cloudflare Web Analytics สามารถทำงานโดยไม่มีการใช้วิธีการ tracking แบบ client-side เช่น การใช้ cookie หรือการเก็บข้อมูลใน local storage รวมไปถึงการเก็บข้อมูลหมายเลขไอพีแอดเดรสและ User-Agent

เทคโนโลยีเบื้่องหลังของ Cloudflare Web Analytics อยู่บนคอนเซ็ปต์ของคำว่า "visit" หรือการที่ผู้ใช้งานมีปฏิสัมพันธ์กับเว็บไซต์ Cloudflare ตรวจสอบการเข้าถึงของเว็บไซต์จาก HTTP Referer โดยตรวจสอบว่าค่าดังกล่าวจะต้องไม่เหมือนกับค่า Hostname ใน HTTP request เพื่อให้เห็นว่ามีการเข้าชมหน้าเว็บไซต์มากน้อยเพียงใด

เนื่องจากเทคโนโลยียังไม่ได้มีการเปิดให้ทดลองใช้ การตรวจสอบ Cloudflare Web Analytics สามารถเก็บข้อมูลให้สอดคล้องตาม GDPR และ/หรือ PDPA นั้นเป็นไปได้หรือไม่ แต่สำหรับผู้ที่อยากลองใช้งานเป็นคนแรก Cloudflare แนะนำให้เข้าไปที่ลงทะเบียนรอไว้ก่อนได้ที่ Cloudflare

ที่มา : Cloudflare

แฮกเกอร์ทำการขู่เรียกค่าไถ่ฐานข้อมูล MongoDB จำนวน 23,000 เเห่งที่สามารถเข้าได้ถึงจากอินเตอร์เน็ตโดยไม่ใช้รหัสผ่าน

แฮกเกอร์ทำการอัปโหลดโน๊ตเรียกค่าไถ่บนฐานข้อมูล MongoDB จำนวน 22,900 แห่งที่สามารถเข้าได้ถึงจากอินเตอร์เน็ตโดยไม่ต้องใช้รหัสผ่าน ซึ่งคิดเป็นจำนวนประมาณ 47% ของฐานข้อมูล MongoDB ที่พบการเข้าถึงได้จากอินเตอร์เน็ต

Victor Gevers นักวิจัยด้านความปลอดภัยจาก GDI Foundation ได้กล่าวว่าการข่มขู่เรียกค่าไถ่นั้นเกิดขึ้นช่วงต้นเดือนเมษายนที่ผ่านมา กลุ่มแฮกเกอร์จะทำการใช้สคริปต์ในการค้นหาและเพื่อเเสกนฐานข้อมูล MongoDB ที่ทำการตั้งค่าผิดพลาด หลังจากเจอเป้าหมายกลุ่มแฮกเกอร์จะทำการทิ้งโน๊ตเรียกค่าไถ่เป็นจำนวนเงิน 0.015 bitcoin หรือ ประมาณ 4,358 บาท โดยให้เวลาจ่ายค่าไถ่เป็นเวลา 2 วัน ถ้าเกิดเหยื่อไม่ทำการจ่ายเงินกลุ่มแฮกเกอร์จะทำการส่งเรื่องว่าเกิดข้อมูลรั่วไหลต่อหน่วยงาน General Data Protection Regulation (GDPR) ซึ่งเป็นหน่วยงานที่ดูเเลและป้องกันการรั่วไหลของข้อมูลสหภาพยุโรป

ข้อเเนะนำ
ผู้ดูเเลระบบควรทำการตรวจสอบฐานข้อมูลของท่าน ว่าสามารถเข้าถึงฐานข้อมูลจากอินเตอร์เน็ตและมีการใช้รหัสผ่านหรือไม่ เพื่อป้องกันผู้ไม่หวังดีใช้ประโยชน์จากการตั้งค่าที่ผิดพลาดเข้าถึงฐานข้อมูล

ที่มา: zdnet

Millions of Exim servers vulnerable to root-granting exploit

เซิร์ฟเวอร์ Exim หลายล้านมีความเสี่ยงด้านความปลอดภัยที่เมื่อถูกโจมตีจะยอมให้ผู้โจมตีสามารถรันโค้ด malicious ด้วยสิทธิ์ root

เซิร์ฟเวอร์ Exim ทั้งหมดที่ทำงานบนเวอร์ชัน 4.92.1 และก่อนหน้ามีช่องโหว่ ทีม Exim กล่าวถึงคำแนะนำให้อัพเดทเป็น 4.92.2 เพื่อแก้ไขปัญหานี้

ปัญหานี้อาจดูเหมือนไม่สำคัญมากนัก แต่ Exim เป็นหนึ่งในซอฟต์แวร์ที่นิยมใช้เป็นตัวถ่ายโอนอีเมล (Mail transfer agent : MTA) ที่ทำงานอยู่เบื้องหลังของอีเมลเซิฟเวอร์ ขณะที่อีเมลเซิฟเวอร์มักจะส่งหรือรับข้อความตอบกลับ
ศุกร์ที่ผ่านมา ทีม Exim เตือนถึงช่องโหว่ที่สำคัญ ถ้า Exim เซิฟเวอร์ถูกตั้งคอนฟิกในการยอมรับการเชื่อมต่อ TLS ขาเข้า ผู้โจมตีสามารถส่ง malicious backslash-null sequence แนบมาตอนท้ายของ SNI packet และรันโค้ด malicious ด้วยสิทธิ์ root
เจ้าของเซิฟเวอร์สามารถลดช่องโหว่นี้ได้ จากการติดตาม CVE-2019-15846 โดยการปิดใช้งานสนับสนุน TLS สำหรับเซิฟเวอร์ Exim อย่างไรก็ตามนี่เป็นเพียงตัวเลือก การทำแบบนี้จะทำให้เกิดการส่งอีเมลในเคลียร์เท็กซ์ และทำให้เสี่ยงต่อการโจมตีสนิฟฟิงได้
การกระทำนี้ไม่ถูกแนะนำสำหรับเจ้าของ Exim ใน EU เนื่องจากอาจทำให้ข้อมูลรั่วไหลและมีผลทำให้กฎหมาย GDPR ตามมา
ถ้าคุณไม่ทราบสถานะการทำงาน TLS บนเซิฟเวอร์ Exim สิ่งที่ดีที่สุดคืออัปเดทแพทช์จะสามารถป้องกันช่องโหว่นี้ได้

ช่องโหว่ใหญ่อีกตัวได้ถูกแก้ไข ตาม CVE-2019-10149 เป็นที่รู้จักกันในชื่อ Return of the WIZard ที่จะเพิ่มสิทธิ์ให้ผู้โจมตีสามารถรัน malicious ด้วยสิทธิ์ root และรีโมตเซิฟเวอร์ Exim
ช่องโหว่ Return of the WIZard มีการถูกใช้อย่างมากในหนึ่งสัปดาห์ที่ผ่านมาหลังจากถูกเผยแพร่สู่สาธารณะและมีบางคนสร้าง Azure worm สามวันหลังจากนั้น ทำให้ Microsoft ได้ออกมาเตือนเกี่ยวกับปัญหานี้

ที่มา : zdnet