Google ระบุว่า ปัญหาที่เกี่ยวกับระบบการจัดการ API เป็นสาเหตุของเหตุการณ์ระบบ Google Cloud ขัดข้องครั้งใหญ่เมื่อวันที่ 12 มิถุนายน 2025 ที่ผ่านมา ซึ่งส่งผลให้บริการของ Google และแพลตฟอร์มออนไลน์อื่น ๆ หลายแห่ง ต้องหยุดชะงักไป

(more…)

เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว (more…)

Google ประกาศว่า Chrome เวอร์ชัน 137 ได้เข้าสู่สถานะ stable สำหรับแพลตฟอร์ม Windows, Mac และ Linux อย่างเป็นทางการแล้ว ซึ่งถือเป็นก้าวสำคัญในการยกระดับความปลอดภัยของเบราว์เซอร์ และการรวมเทคโนโลยีปัญญาประดิษฐ์เข้าด้วยกัน โดยทีมงาน Chrome ได้ประกาศ (more…)

Google กำลังทยอยเปลี่ยนแปลง Chromium โดย "ลดระดับสิทธิ์ (de-elevates)" ของ Google Chrome เพื่อไม่ให้เบราว์เซอร์ทำงานในโหมดของผู้ดูแลระบบ ซึ่งเป็นการเพิ่มความปลอดภัยบนระบบปฏิบัติการ Windows (more…)

เมื่อวันพุธที่ 14 พฤษภาคม 2025 ที่ผ่านมา Google ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 4 รายการในเว็บเบราว์เซอร์ Chrome ซึ่งรวมถึงช่องโหว่หนึ่งในนั้นที่บริษัทพบว่ามีการนำไปใช้ในการโจมตีจริงแล้ว

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-4664 (คะแนน CVSS: 4.3) ถูกระบุว่าเป็นกรณีของการบังคับใช้ insufficient policy ในส่วนประกอบที่เรียกว่า Loader

ตามคำอธิบายของช่องโหว่ดังกล่าว ถูกระบุว่า "การบังคับใช้ Insufficient policy ในส่วน Loader ของ Google Chrome ในเวอร์ชันก่อนหน้านี้ 136.0.7103.113 ทำให้ผู้โจมตีจากภายนอกสามารถทำให้เกิดการรั่วไหลของ cross-origin data ผ่าน HTML page ที่ถูกสร้างขึ้นมาเป็นพิเศษได้"

Google ได้ให้เครดิตกับ Vsevolod Kokorin (@slonser_) นักวิจัยด้านความปลอดภัย ที่เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ดังกล่าวบน X เมื่อวันที่ 5 พฤษภาคม 2025 พร้อมระบุว่าบริษัททราบแล้วว่า มีการนำช่องโหว่ CVE-2025-4664 ไปใช้ในการโจมตีจริง

Kokorin ระบุบน X เมื่อต้นเดือนนี้ว่า "แตกต่างจากเบราว์เซอร์อื่น ๆ เพราะ Chrome ทำการประมวลผล Link header บน request ของ sub-resource และปัญหาคือ Link header สามารถกำหนด referrer-policy ได้ ซึ่งเราสามารถระบุค่า unsafe-url และดักจับ query parameters ทั้งหมดได้"

นักวิจัยระบุเพิ่มเติมว่า Query parameters อาจมีข้อมูลสำคัญที่สามารถนำไปสู่การยึดครองบัญชีของผู้ใช้ทั้งหมดได้ และข้อมูลของ Query parameter เหล่านี้สามารถถูกขโมยผ่านรูปภาพจากแหล่งภายนอกได้

ยังไม่ชัดเจนว่าช่องโหว่นี้ถูกนำไปใช้ในบริบทที่เป็นอันตรายนอกเหนือจากการสาธิตแบบ Proof-of-Concept (PoC) นี้หรือไม่ ช่องโหว่ CVE-2025-4664 นี้นับเป็นช่องโหว่รายการที่สองต่อจาก CVE-2025-2783 ที่ถูกพบว่ามีการนำไปใช้ในการโจมตีจริง

เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น ขอแนะนำให้ผู้ใช้ทำการอัปเดตเบราว์เซอร์ Chrome ของตนให้เป็นเวอร์ชัน 136.0.7103.113/.114 สำหรับ Windows กับ Mac และเวอร์ชัน 136.0.7103.113 สำหรับ Linux นอกจากนี้ ผู้ใช้เบราว์เซอร์อื่น ๆ ที่พัฒนาบนพื้นฐาน Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi ก็ควรอัปเดตแพตช์ทันทีเมื่อมีการปล่อยการอัปเดตออกมาเช่นกัน

ที่มา : thehackernews

Google ได้ตกลงจ่ายเงินประมาณ 1.4 พันล้านดอลลาร์ให้กับรัฐเท็กซัสของสหรัฐฯ เพื่อยุติคดีความ 2 คดีที่ถูกกล่าวหาว่าบริษัทได้ติดตามตำแหน่งที่อยู่ของผู้ใช้ และเก็บข้อมูลการจดจำใบหน้าโดยไม่ได้รับความยินยอม (more…)

ตั้งแต่ต้นปีที่ผ่านมา กลุ่มแฮ็กเกอร์ ColdRiver ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า LostKeys เพื่อขโมยไฟล์ข้อมูล โดยมีเป้าหมายเป็นรัฐบาลชาติตะวันตก, นักข่าว, ศูนย์วิจัยนโยบาย และองค์กรพัฒนาเอกชน (NGOs) (more…)

 

เมื่อวันที่ 08 พฤษภาคม 2025 ที่ผ่านมาทาง Google ได้ประกาศเปิดตัวมาตรการรับมือรูปแบบใหม่ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (Artificial Intelligence - AI) เพื่อป้องกันการหลอกลวงใน Chrome, Search และ Android (more…)

Google ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนสำหรับระบบ Android รวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 46 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีจริง (more…)

Blue Shield of California เปิดเผยว่าบริษัทประสบปัญหาการละเมิดข้อมูล หลังจากเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองของสมาชิก 4.7 ล้านคนไปยังแพลตฟอร์มการวิเคราะห์ และโฆษณาของ Google

แผนสุขภาพไม่แสวงหากำไรที่ให้บริการสมาชิกเกือบ 6 ล้านคนทั่วแคลิฟอร์เนีย ได้เผยแพร่ประกาศการละเมิดข้อมูลบนเว็บไซต์โดยระบุว่า ข้อมูลของสมาชิกที่ถูกเปิดเผยอยู่ในช่วงระหว่างเดือนเมษายน 2021 ถึงมกราคม 2024

วันนี้ พอร์ทัลประกาศการละเมิดข้อมูลของกระทรวงสาธารณสุข และบริการประชาชนของสหรัฐอเมริกา โดยในอัปเดตโดยระบุว่า การรั่วไหลนี้ได้เปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองของสมาชิกกว่า 4.7 ล้านคน

จากประกาศดังกล่าว การเปิดเผยข้อมูลเกิดจากการตั้งค่าผิดพลาดของ Google Analytics บนเว็บไซต์บางแห่งของ Blue Shield ซึ่งทำให้ข้อมูลที่มีความสำคัญ อาจถูกแชร์กับแพลตฟอร์มโฆษณาของ Google และผู้ลงโฆษณา

โดยประกาศระบุว่า "เมื่อวันที่ 11 กุมภาพันธ์ 2025 Blue Shield ได้ค้นพบว่า ระหว่างเดือนเมษายน 2021 ถึงมกราคม 2024 การตั้งค่า Google Analytics ถูกกำหนดในลักษณะที่อนุญาตให้ข้อมูลสมาชิกบางส่วนถูกแชร์กับผลิตภัณฑ์โฆษณาของ Google, Google Ads ซึ่งน่าจะรวมถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองด้วย"

"Google อาจใช้ข้อมูลนี้ในการดำเนินการแคมเปญโฆษณาที่มุ่งเป้าไปยังสมาชิกแต่ละรายเหล่านั้น"

ประเภทข้อมูลที่ถูกเปิดเผยจากการตั้งค่าผิดพลาดประกอบด้วย:

ชื่อแผนประกัน
ประเภท และหมายเลขกลุ่ม
เมือง และรหัสไปรษณีย์
เพศ
ขนาดครอบครัว
รหัสประจำตัวที่ Blue Shield มอบหมายให้กับบัญชีออนไลน์ของสมาชิก
วันที่เคลมบริการทางการแพทย์ และผู้ให้บริการ, ชื่อผู้ป่วย และความรับผิดชอบทางการเงินของผู้ป่วย
เกณฑ์ และผลลัพธ์การค้นหา "ค้นหาแพทย์" (ที่ตั้ง, ชื่อแผน และประเภท, ชื่อ และประเภทของผู้ให้บริการ)

Blue Shield ระบุว่า ข้อมูลส่วนบุคคลอื่น ๆ เช่น หมายเลขประกันสังคม, หมายเลขใบขับขี่, ข้อมูลธนาคาร และข้อมูลบัตรเครดิต ไม่ได้ถูกเปิดเผยจากเหตุการณ์นี้

อย่างไรก็ตาม แนะนำให้สมาชิกเฝ้าระวังและตรวจสอบใบแจ้งยอดบัญชี และรายงานเครดิตอย่างใกล้ชิด เพื่อระบุการทำธุรกรรมที่ไม่ได้รับอนุญาต หรือกิจกรรมที่น่าสงสัย

องค์กรไม่ได้เสนอการบริการป้องกันการโจจรกรรมข้อมูลส่วนตัว และยังไม่ชัดเจนว่าจะมีการส่งการแจ้งเตือนให้กับสมาชิกที่ได้รับผลกระทบในอนาคตหรือไม่

นี่เป็นเหตุการณ์ทางด้านไอทีครั้งที่สองที่ถูกเปิดเผยโดย Blue Shield of California ในเวลาไม่ถึงหนึ่งปี

เมื่อปีที่แล้ว สมาชิกแผนสุขภาพเกือบหนึ่งล้านรายถูกขโมยข้อมูลโดยกลุ่มผู้โจมตีที่ใช้แรนซัมแวร์ BlackSuit ซึ่งเจาะระบบของผู้ให้บริการซอฟต์แวร์ขององค์กร Connexure (เดิมคือ Young Consulting)

 

ที่มา : bleepingcomputer.