แฮกเกอร์เจาะระบบของมหาวิทยาลัย 62 แห่งในสหรัฐอเมริกา

กระทรวงศึกษาของสหรัฐอเมริกาได้ออกมาแจ้งเตือนเมื่อสัปดาห์ที่ผ่านมาว่าพบแฮกเกอร์เจาะระบบของมหาวิทยาลัย 62 แห่งในสหรัฐอเมริกา โดยการใช้ช่องโหว่ผ่านระบบ enterprise resource planning (ERP) สำหรับจัดการระบบของมหาวิทยาลัย ช่องโหว่ดังกล่าวอยู่ใน Ellucian Banner Web Tailor เป็นโมดูลของ Ellucian Banner ERP โดยโมดูลดังกล่าวช่วยในการปรับแต่งเว็บแอพพลิเคชั่น โดยช่องโหว่นี้ยังกระทบโมดูลอื่นๆ ของ Ellucian Banner ERP คือ Ellucian Banner Enterprise Identity Services ซึ่งใช้จัดการบัญชีผู้ใช้งาน

นักวิจัยด้านความปลอดภัยชื่อ Joshua Mulliken เป็นผู้ค้นพบช่องโหว่ดังกล่าว โดยผลกระทบจากช่องโหว่นี้ทำให้แฮกเกอร์สามารถขโมย web sessions ของเหยื่อและเข้าใช้งานบัญชีของเหยื่อได้ โดยช่องโหว่ดังกล่าวถูก Ellucian แก้ไขตั้งแต่เดือนพฤษภาคม 2019 ที่ผ่านมา และได้รับ CVE-2019-8978

แต่จากประกาศล่าสุดของกระทรวงศึกษาของสหรัฐอเมริกา ได้มีการแจ้งว่าพบแฮกเกอร์โจมตีโดยใช้ช่องโหว่ดังกล่าวกับระบบที่ไม่ได้อัปเดตแพตช์ 62 แห่ง โดยแฮกเกอร์ใช้วิธีแสกนอินเตอร์เน็ตหาระบบที่ไม่อัปเดต แล้วใช้สคริปต์ในส่วนการรับสมัครหรือการลงทะเบียนของระบบ Ellucian Banner ERP เพื่อสร้างบัญชีนักเรียนปลอม เหยื่อรายหนึ่งรายงานว่าผู้โจมตีสร้างบัญชีปลอมหลายพันบัญชีในช่วงหลายวันโดยมีบัญชี 600 บัญชีที่สร้างขึ้นในช่วง 24 ชั่วโมง

ทั้งนี้ Ellucian แถลงว่าผลกระทบจากช่องโหว่ดังกล่าวไม่ใช่การสร้างบัญชีนักเรียนปลอม โดย Ellucian กำลังร่วมกับกระทรวงศึกษาของสหรัฐอเมริกาทำการสืบสวนการโจมตีดังกล่าวเพื่อตรวจสอบผลกระทบที่แท้จริง โดย Ellucian แนะนำให้เพิ่ม reCAPTCHA เพิ่อป้องกันการสร้างบัญชีปลอมด้วยบอท

ที่มา:zdnet

บัญชี GitHub ของบริษัท Canonical Ltd. ผู้ผลิต Ubuntu Linux ถูกแฮก

บัญชี GitHub ของบริษัท Canonical Ltd. ผู้ผลิต Ubuntu Linux ถูกแฮกเมื่อวันเสาร์ที่ 6 กรกฎาคม
ทีมรักษาความปลอดภัยของ Ubuntu กล่าวในแถลงการณ์ว่า “เมื่อ 6 กรกฏาคม 2019 มีบัญชี GitHub ที่ใช้ดูแล Canonical ถูกบุกรุกและถูกใช้ไปสร้าง Repository ใหม่ๆ แต่ในตอนนี้ Canonical ได้ทำการลบบัญชีนั้นออกไปแล้ว และยังคงตรวจสอบเรื่อยๆ แต่ยังไม่พบซอร์สโค้ดหรือข้อมูลส่วนบุคคล (PII) ใด ๆ ที่ได้รับผลกระทบ นอกจากนี้โครงสร้างพื้นฐาน Launchpad ที่สร้างและแจกจ่าย Ubuntu นั้นถูกตัดการเชื่อมต่อจาก GitHub และไม่มีข้อบ่งชี้ว่าได้รับผลกระทบ ทีม Ubuntu มีแผนที่จะอัพเดทเมื่อเสร็จสิ้นการตรวจสอบเหตุการณ์ และหลังจากดำเนินการตรวจสอบแก้ไขปัญหาที่จำเป็น โดยก่อนนี้คนร้ายได้ใช้บัญชีที่ได้มาไปสร้าง 11 Repository ใหม่

สองวันก่อนเกิดเหตุการณ์ บริษัท Bad Packets ตรวจพบการการสแกนหาไฟล์คอนฟิคของ Git ผ่านอินเทอร์เน็ตเพื่อหาไฟล์อาจมีการเก็บ Credentials เช่น ไฟล์ที่ใช้ในการจัดการรหัสใน GitHub.

US National Trade Association ALTA เตือนให้ระวังการขโมยข้อมูล

American Land Title Association (ALTA) เผยแพร่คำเตือนเกี่ยวกับรายชื่อบริษัทนับร้อยที่ถูกขโมย ซึ่งเป็นส่วนหนึ่งของแคมเปญของ Phishing ที่มีเป้าหมายคือสมาชิก ALTA

ALTA กล่าวเตือนว่ามีบุคคลอ้างว่าเป็นแฮกเกอร์ที่ติดต่อ ALTA ผ่าน Twitter และมอบไฟล์ที่มีข้อมูลประมาณ 600 รายการ ประกอบด้วย Domain, IP address, Usernames และ Passwords โดยจากการวิเคราะห์ข้อมูลไม่ทราบที่มาว่าข้อมูลเหล่านี้หลุดได้อย่างไร โดยพบอีเมล 182 อีเมลที่ไม่ซ้ำกันและโดเมน 154 โดเมน

ALTA แนะนำว่าบริษัทที่อาจได้รับผลกระทบสามารถปกป้องระบบของพวกเขาจากการโจมตีในอนาคตโดย สแกนระบบและอุปกรณ์เพื่อให้แน่ใจว่าปลอดจากมัลแวร์, อัปเดตซอฟต์แวร์และระบบปฏิบัติการ, ให้พนักงานอัปเดตและเปลี่ยนรหัสผ่านระบบโดยเฉพาะผู้ที่มีข้อมูลลูกค้าและบริการธนาคาร

อีเมลที่น่าสงสัยที่ได้รับจากสมาชิก ALTA ควรรายงานต่อศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตแห่งชาติของสำนักงานสืบสวนกลางพร้อมรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์การโจรกรรมข้อมูลนี้เพื่อส่งให้เจ้าหน้าที่ของ ALTA โดยส่งอีเมลไปยัง vulnerabilities@americanlandtitleassociation.

เกมสยองขวัญในแอนดรอยด์ขโมยข้อมูลผู้ใช้งาน

นักวิจัยจาก Wandera พบพฤติกรรมที่เป็นอันตรายจากเกม Scary Granny ZOMBYE Mod: The Horror Game 2019 (Scary Granny) โดยพบการขโมยข้อมูลเข้าสู่ระบบ Google และ Facebook ของเหยื่อ แล้วเข้าสู่ระบบในชื่อบัญชีของเหยื่อเพื่อดูดข้อมูลต่อไป เกม Scary Granny ลอกเลียนแบบมาจากเกม Granny ซึ่งเป็นเกมที่ได้รับความนิยม ในปัจจุบันมีการติดตั้งมากกว่า 100 ล้านครั้ง

เกม Scary Granny สามารถเล่นเกมได้จริง โดยมีเหยื่อหลงติดตั้งไปกว่า 50,000 ครั้งก่อนจะมีการลบออกเมื่อวันที่ 27 มิถุนายนจาก Play Store

เมื่อทำการติดตั้งเกม Scary Granny นักวิจัยจาก Wandera พบว่าตัวเกมจะชะลอการแสดงกิจกรรมที่เป็นอันตรายใด ๆ เป็นเวลาถึงสองวันหลังจากการติดตั้ง โดยจะเปิดการใช้งานตัวขโมยข้อมูลเฉพาะบนแอนดรอยด์รุ่นเก่า เกมจะมีการขอสิทธิ์ในการเปิดเกมแม้ว่าเครื่องทำการรีสตาร์ท ซึ่งหากผู้ใช้อนุญาต เมื่อรีสตาร์ทแล้วจะมีหน้าให้ทำการ update หลังจากที่กดแล้วจะหน้าลงชื่อเข้าใช้ที่มีความคล้ายกับของจริงแต่มีการสะกดคำที่ผิด เมื่อผู้ใช้หลงกรอกข้อมูลเข้าสู่ระบบ Google แล้ว จะมีการเข้าสู่ระบบในชื่อบัญชีของเหยื่อเพื่อรวบรวมข้อมูลเพิ่มเติม เช่น อีเมลกู้คืน หมายเลขโทรศัพท์ รหัสยืนยัน วันเกิด คุกกี้ และโทเค็น มีการแสดงโฆษณาที่ทำการแปลงตัวให้เหมือน App อื่นเช่น Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, SnapChat, TikTok หรือ Zalo เพื่อขโมยข้อมูลในบริการอื่นๆ และนอกจากนี้ตัวเกมยังมีการหากำไรเพิ่มโดยเสนอให้ผู้ใช้งานจ่ายเงินเพื่อเล่นเกมเป็นเงิน 22 ดอลลาร์สหรัฐ

ที่มา: www.

บริษัทจัดการข้อมูลทำข้อมูลลูกค้าหลุดบน AWS S3
Attunity บริษัท IT ที่ให้บริการด้านการจัดการข้อมูล ทำข้อมูลของลูกค้าบางส่วนหลุดหลังจากที่ใช้งาน Amazon S3 โดยไม่ได้ตั้งรหัสผ่าน โดย AWS S3 ที่ข้อมูลรั่วไหลนั้นมีข้อมูลการดำเนินงานของ Attunity แต่ยังมีข้อมูลของลูกค้าบางบริษัทที่ติดอันดับ Fortune 100 เช่น Ford, Netflix และ TD Bank
ข้อมูลที่รั่วนั้นถูกบริษัท UpGuard ค้นพบเมื่อวันที่ 13 พฤษภาคม และอีกสามวันต่อมาตรวจสอบแล้วว่า AWS S3 ดังกล่าวได้รับการตั้งค่าใหม่ให้ปลอดภัยแล้ว
ข้อมูลที่รั่วประกอบด้วยข้อมูลของพนักงาน, OneDrive accounts, การติดต่อ Email, รหัสผ่านของระบบ, Private key ของระบบการผลิต, ข้อมูลติดต่อฝ่ายขายและการตลาด เป็นต้น
ตัวอย่างเช่นนักวิจัย UpGuard พบชื่อผู้ใช้และรหัสผ่านสำหรับระบบฐานข้อมูล production ของ Netflix ใบแจ้งหนี้ของ TD Bank สำหรับซื้อซอฟต์แวร์ให้พนักงานใช้งานภายในและไฟล์โครงการภายในของ Ford
เนื่องจากข้อมูลที่รั่วไหลมีชื่อผู้ใช้และรหัสผ่านของ Attunity ซึ่งหมายความว่าการที่ AWS S3 ข้อมูลหลุดครั้งนี้อาจนำไปสู่การแฮกครั้งใหญ่บนเครือข่ายของ Attunity ได้
นักวิจัย UpGuard กล่าวว่าตัวอย่างที่ยกมาเป็นเพียงส่วนน้อยของข้อมูลที่หลุดกว่า 1TB ที่พวกเขาดาวน์โหลดจาก Attunity เท่านั้น
อย่างไรก็ตาม Qlik บริษัทแม่ของ Attunity แถลงว่าเหตุการณ์นี้กำลังอยู่ระหว่างการตรวจสอบ โดยได้จ้างบริษัทเฉพาะทางมาตรวจสอบแล้ว ซึ่งในขณะที่แถลงนี้ยังพบการเข้าถึงข้อมูลที่หลุดจากนักวิจัย UpGuard ซึ่งเป็นผู้แจ้งเหตุการณ์เท่านั้น

ที่มา: www.