ระบบสัญญา (Contract) ใน Ethereum เปิดเผยให้ทุกคนสามารถมองเห็นสัญญาได้ว่าจะมีกระบวนการเป็นอย่างไร แต่การเปิดเผยกระบวนการดำเนินการเช่นนี้ไม่ได้แปลว่าสัญญาจะไม่มีช่องโหว่ เพราะสุดท้ายสัญญาเหล่านี้เป็นเพียงโค้ดที่มีโปรแกรมเมอร์เขียนขึ้นมา ล่าสุดสัญญา DAO ระบบระดมทุนเพื่อการโหวตสนับสนุนโครงการต่างๆ ได้รับเงินทุนมูลค่าถึง 150 ล้านดอลลาร์ กลับถูกแฮกออกไปอย่างรวดเร็วถึง 50 ล้านดอลลาร์ในวันเดียว สู่บัญชี TheDarkDAO

มีการแจ้งเตือนมาหลายวันก่อนหน้านี้ว่าโค้ดในสัญญาสำคัญๆ จำนวนมากมีความผิดพลาด รวมถึง DAO เอง แต่ทาง Slock.

วิศวกรจากบริษัท Telia ซึ่งเป็นบริษัทชั้นนำทางด้าน IT Infrastructure ในสวีเดนได้ทำการกำหนดค่า Routing บน Router ตัวหลักของระบบผิด จนเป็นเหตุให้ Traffic ของผู้ใช้งานนับล้านคนในยุโรปถูกส่งออกไปยังฮ่องกงโดยไม่รู้ตัว และตามมาด้วยเหตุวุ่นวายมากมาย

หลังจากที่มีการตรวจพบว่าระบบเครือข่ายของผู้ใช้งานนั้นไม่สามารถใช้งานได้เป็นจำนวนมาก จนต้องมีการส่งจดหมายชี้แจงไปยังผู้เกี่ยวข้องในเครือข่ายเหล่านี้ เหล่าผู้ใช้งานและผู้ให้บริการต่างก็สันนิษฐานกันไปว่าปัญหาในระดับนี้น่าจะเปิดจากปัญหาระดับ Cable ใต้น้ำขาดหรือเสียหาย
แต่เมื่อตรวจสอบแล้วก็ไม่พบว่ามีปัญหาใดๆ เกิดขึ้นกับ Cable เหล่านั้น

จนในที่สุดก็มีการตรวจสอบมาถึงวิศวกรจากบริษัท Telia ที่เป็นต้นเรื่องนี้ ทำให้ทาง Telia รีบทำการแก้ไขปัญหาอย่างรวดเร็ว จนปัจจุบันระบบกลับมาปกติดีแล้ว แต่ความเสียหายที่เกิดขึ้นนั้นถือว่ามหาศาลมากจนแม้แต่ Matthew Prince ผู้ดำรงตำแหน่ง CEO ของ Cloudflare เองก็ยังได้ออกมากล่าวว่าความน่าเชื่อถือของ Telia นั้นอยู่ในระดับที่รับไม่ได้ และควรจะหยุดให้ความไว้วางใจ Telia ไปก่อนจนกว่าจะมั่นใจว่าทาง Telia สามารถแก้ไขปัญหานี้ภายในองค์กรได้

ปัญหาระบบเครือข่ายพื้นฐานล่มนี้ถือเป็นปัญหาใหญ่มากในธุรกิจโทรคมนาคม เพราะการที่ระบบพื้นฐานไม่สามารถให้บริการได้อย่างปกตินั้น เป็นต้นตอให้ปัญหาเหล่านี้เกิดขึ้นต่อเนื่องไปเป็นลูกโซ่ที่ส่งผลกระทบต่อธุรกิจอื่นๆ อีกเป็นจำนวนมากได้นั่นเอง

ที่มา: techtalkthai

ผู้เชี่ยวชาญด้านความปลอดภัยจากบริษัท INTEGRITY Consulting & Advisory รายงานว่าพบช่องโหว่ด้านความปลอดภัยบนเว็บไซต์และโมบายแอพของ Uber ซึ่งหลายช่องโหว่ทำให้แฮกเกอร์หรือผู้ที่ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลของคนขับ Uber หรือแม้กระทั้งผู้โดยสารที่ลงทะเบียนไว้ได้ นักวิจัยรายงานอีกว่าพบช่องโหว่จำนวน 14 ช่องโหว่และมีอีก 4 ช่องโหว่ที่ ยังไม่ได้เปิดเผย หนึ่งในช่องโหว่ต่างๆ คือการ Brute-force Promotion code ที่เว็บไซต์ riders.

WordPress เว็บบล๊อกสำเร็จรูปสำหรับจัดการเนื้อหาของเว็บไซต์ ออกอัพเดทแพทช์เวอร์ชั่น 4.5.3 เพื่อแก้ไขช่องโหว่จำนวนหลายช่องโหว่ โดยช่องโหว่ที่พบสามารถโจมตีแบบ remote ได้อาจส่งผลให้แฮกเกอร์สามารถควบคุมเว็บไซต์ที่ติดตั้ง WordPress ได้อย่างสมบูรณ์ สำหรับการอัพเดทแก้ไขข้อบกพร่องล่าสุดนั้นเป็นช่องโหว่ bypass การ redirect ใน API Cross-site Scripting 2 ที่ ช่องโหว่เปิดเผยข้อมูลช่องโหว่ต่างๆ ในเวอร์ชั่นก่อนๆ ของเว็บไซต์ได้ ช่องโหว่ที่ทำให้ผู้ที่ไม่มีสิทธิ์สามารถลบโพสต่างๆ ในเว็บไซต์ได้ Denial of Service ในโปรโตคอล oEmbed ที่ใช้สำหรับแสดงรูปหรือวีดีโอเมื่อผู้ใช้ต้องการดูเนื้อหาจากเว็บอื่นๆ รวมไปถึงช่องโหว่ด้านความปลอดภัยของรหัสผ่าน จากการขโมย cookie ได้อีกด้วย เว็บไซต์ที่ใช้งาน WordPress ควรอัพเดทแพทช์เป็นเวอร์ชั่นล่าสุด 4.5.3 โดยเร็วที่สุด

ที่มา: securityaffairs

มีรายงานว่าพบแฮกเกอร์จากรัสเซียพยายามขายข้อมูลบัญชีผู้ใช้ของ Twitter มากกว่า 32 ล้านบัญชีที่ประกอบไปด้วย username, email และ plan-text password ใน Dark Web หรือเว็บไซต์ที่ไม่มีใน Search Engine ต้องใช้งานผ่านเครือข่าย Tor โดยทำการขายในราคา 10 Bitcoins หรือประมาณ $5,800 โดย Twitter ออกมาบอกว่าจากการตรวจสอบนั้นระบบของ Twitter ไม่ได้ถูกแฮกแต่อย่างใด และ LeakedSource อธิบายว่าข้อมูลบัญชีผู้ใช้เหล่านั้น อาจได้มาจากการที่ผู้ใช้งานติดมัลแวร์แล้วเข้าใช้งานเว็บไซต์ Twitter เท่านั้น สำหรับรหัสผ่านที่ถูกพบการใช้งานบัญชี Twitter ที่หลุดออกมามากที่สุดคือ ‘123456’ อย่างไรก็ตามสำหรับผู้ใช้งาน Twitter ควรเปลี่ยนรหัสผ่านให้มีความให้มีความแข็งแกร่ง ซับซ้อน และไม่ซ้ำกันกับเว็บไซต์อื่นๆ เพื่อความปลอดภัย

ที่มา: securityaffairs

เมื่อวันที่ 4 มิถุนายนที่ผ่านมา Jouko Pynnönen นักวิจัยด้านความปลอดภัยจาก Klikki Oy ได้รายงานช่องโหว่ของ Uber ไปที่เว็บ HackerOne โดยให้รายละเอียดว่าในแต่ละโดเมนของ uber.

แฮกเกอร์ชาวเคิร์ดใช้โค้ดเนมว่า “MuhmadEmad” จากกลุ่ม KurdLinux_Team ได้แฮกเว็บไซต์ที่เป็น subdomain ของเว็บไซต์อย่างเป็นทางการของบริษัท Dell (eir.

มีรายงานว่า CEO ของเฟสบุ๊คเครือข่ายสังคมออนไลน์ระดับโลก Mark Zuckerberg ถูกแฮกบัญชีผู้ใช้ในเว็บไซต์ต่างๆ ได้แก่ Pinterest, Twitter, Instagram และ Linkedin

โดยวันที่ 5 มิถุนายนที่ผ่านมา กลุ่มของแฮกเกอร์ที่ใช้ชื่อ OurMine Team ชาวซาอุดิอาราเบีย อ้างว่าสามารถแฮกบัญชีทวิตเตอร์ของ Mark Zuckerberg (@finkd) ได้และอธิบายว่านำรหัสผ่านที่เป็น SHA-1 ของ Mark มาจากไฟล์ที่รวมรหัสผ่านของ Linkedin ที่เป็นข่าวถูกแฮกตั้งแต่ปี 2012 ที่ผ่านมา นำมา Crack จนได้รหัส “dadada” และ Mark ใช้รหัสผ่านเดียวกันกับเว็บไซต์อื่นๆ ทำให้ถูกแฮก

อย่างไรก็ตามบัญชีทวิตเตอร์ของ Mark ไม่ได้ถูกใช้งานมาตั้งแต่ปี 2012 แล้วสำหรับผู้ใช้งานทั่วไปควรตั้งรหัสผ่านให้มีความแข็งแกร่ง ซับซ้อน และไม่ซ้ำกันกับเว็บไซต์อื่นๆ

ที่มา : thehackernews

เมื่อวัน 4 มิถุนายนที่ผ่านมา เว็บไซต์ของ Acunetix Web Vulnerability Scanner (www.acunetix.com) โปรแกรมที่ใช้ในการสแกน/ตรวจสอบช่องโหว่ด้านความปลอดภัยของเว็บไซต์ชื่อดังยอดนิยม ถูกแฮกเว็บไซต์โดยแฮกเกอร์ชาวโครเอเชียและได้ทำการ deface เปลี่ยนหน้าเว็บไซต์ ส่งผลให้ในระยะเวลานั้นเว็บไซต์เข้าใช้งานไม่ได้ชั่วคราว

อย่างไรก็ตามมีการตรวจสอบเกิดขึ้นพบว่าเว็บไซต์ www.

หลังจากมีผู้ใช้ TeamViewer หลายรายแจ้งว่าไม่สามารถล็อกอินเข้าใช้บริการได้ ประกอบกับทางทวิตเตอร์ของ TeamViewer (@TeamViewer_help) ได้แจ้งว่ามีปัญหาด้านเครือข่าย อยู่ระหว่างการแก้ไข ต่อมา ผู้ใช้หลายรายได้แจ้งว่าเครื่องคอมพิวเตอร์ที่ติดตั้ง TeamViewer ไว้ ถูกล็อกอินเข้ามาใช้งานโดยบุคคลอื่น ผู้ใช้บางรายพบว่ามีผู้เชื่อมต่อเข้ามาแล้วใช้โปรแกรมดูรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์เพื่อนำไปใช้ขโมยเงินจากธนาคารออนไลน์ ผู้ใช้บางรายถูกติดตั้งมัลแวร์เรียกค่าไถ่ลงในเครื่อง

โดยทาง TeamViewer แจ้งว่าปัญหาที่ทำให้ระบบล่มเกิดจากเซิร์ฟเวอร์ DNS ถูกโจมตี แต่ปฏิเสธว่าระบบไม่ได้ถูกเจาะจนเป็นเหตุให้ผู้ใช้ถูกล็อกอินโดยบุคคลอื่น ซึ่งทางทีมงานอ้างว่าผู้ใช้ที่ถูกขโมยบัญชีเกิดจากการที่ตั้งรหัสผ่านสำหรับล็อกอินเป็นรหัสผ่านเดียวกับบริการอื่นที่เคยถูกแฮกไปก่อนหน้านี้แล้วมีการเผยแพร่รหัสผ่านดังกล่าวบนอินเทอร์เน็ต อย่างไรก็ตาม เรื่องนี้มีประเด็นข้อสงสัยหลายจุด เช่น ผู้ใช้บางรายอ้างว่าถูกแฮกได้ถึงแม้ไม่ได้ตั้งรหัสผ่านซ้ำกับบริการอื่นเลย รวมถึงสำนักข่าว The Register ยังพบข้อสังเกตว่ามีผู้ใช้บางรายถูกล็อกอินได้ถึงแม้จะมีการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (two factor Authentication)

โดยทาง Teamviewer ออกมาแนะนำให้ผู้ใช้งานดำเนินการเพื่อความปลอดภัยดังต่อไปนี้

สร้าง password สำหรับแต่ละ account
ไม่แจกหรือบอก password แก่ผู้อื่น
มีการเปลี่ยน password อยู่เสมอ
ไม่ใช้ข้อมูลในเชิง identifiable information เป็นส่วนหนึ่งใน password (วันเดือนปีเกิด,เบอร์มือถือ)
ใช้การยืนยันตัวตนชนิด two factor Authentication
ไม่จดหรือจัดเก็บ password ในรูปแบบ Plain text หรือง่ายต่อการลักลอบใช้จากผู้อื่น

ที่มา : ThaiCERT