ผู้สื่อข่าวรายงานว่า เมื่อช่วงกลางดึกที่ผ่านมาวันที่ 23 มี.ค.ที่ผ่านมา เว็บไซต์ทางการของสำนักงานตำรวจแห่งชาติใช้ชื่อว่า www.

ทีมนักวิจัยจากมหาวิทยาลัยอินเดียนา และไมโครซอฟท์ได้ทำการตีพิมพ์รายงานเกี่ยวกับข้อบกพร่องด้านความปลอดภัยแบบใหม่ที่เรียกว่า “Pileup flaws” ซึ่งเป็นช่องโหว่ที่อยู่ในแพ็กเก็จการบริหารการจัดการ (Package Management Service (PMS)) ในระบบปฏิบัติการแอนดรอยด์

เมื่อผู้ใช้ทำการอัพเดทแอนดรอย์เวอร์ชั่นล่าสุด จะทำให้แอพพลิเคชั่นอันตรายไม่มีสิทธิ์เข้าถึงข้อมูล โดยที่ตัวมันสามารถที่จะเจาะช่องโหว่ได้โดยการอัพเดทตัวมันเอง และตั้งค่าการอนุญาตเข้าถึงข้อมูลได้ ซึ่งผู้โจมตีจะอาศัยช่องโหว่ตรงนี้ในการขโมยข้อมูลที่สำคัญ และเปลื่ยนการตั้งค่าการความปลอดภัย และป้องกันการติดตั้งระบบป้องกัน

นักวิจัยกล่าวว่า พวกเขาได้รับการยืนยันช่องโหว่การรักษาความปลอดภัยในทุกเวอร์ชั่นของระบบปฎิบัติการแอนดรอยด์  โดยที่นักวิจัยได้พัฒนาบริการที่เรียกว่า “SecUp” ซึ่งมีความสามารถในการตรวจสอบแอพพลิเคชั่นที่เป็นอันตรายที่ออกแบบมาเพื่อใช้ประโยชนากช่องโหว่ PileUp

ที่มา : ehackingnews

ทีมนักวิจัยจากมหาวิทยาลัยอินเดียนา และไมโครซอฟท์ได้ทำการตีพิมพ์รายงานเกี่ยวกับข้อบกพร่องด้านความปลอดภัยแบบใหม่ที่เรียกว่า “Pileup flaws” ซึ่งเป็นช่องโหว่ที่อยู่ในแพ็กเก็จการบริหารการจัดการ (Package Management Service (PMS)) ในระบบปฏิบัติการแอนดรอยด์

เมื่อผู้ใช้ทำการอัพเดทแอนดรอย์เวอร์ชั่นล่าสุด จะทำให้แอพพลิเคชั่นอันตรายไม่มีสิทธิ์เข้าถึงข้อมูล โดยที่ตัวมันสามารถที่จะเจาะช่องโหว่ได้โดยการอัพเดทตัวมันเอง และตั้งค่าการอนุญาตเข้าถึงข้อมูลได้ ซึ่งผู้โจมตีจะอาศัยช่องโหว่ตรงนี้ในการขโมยข้อมูลที่สำคัญ และเปลื่ยนการตั้งค่าการความปลอดภัย และป้องกันการติดตั้งระบบป้องกัน

นักวิจัยกล่าวว่า พวกเขาได้รับการยืนยันช่องโหว่การรักษาความปลอดภัยในทุกเวอร์ชั่นของระบบปฎิบัติการแอนดรอยด์  โดยที่นักวิจัยได้พัฒนาบริการที่เรียกว่า “SecUp” ซึ่งมีความสามารถในการตรวจสอบแอพพลิเคชั่นที่เป็นอันตรายที่ออกแบบมาเพื่อใช้ประโยชนากช่องโหว่ PileUp

ที่มา : ehackingnews

ผบก.ปอท. แถลงรวบหนุ่มอดีตพนักงาน IT แฮกข้อมูลบัตรเครดิตลูกค้าธนาคารไปหลอกซื้อสินค้า เสียหายกว่า 3 ล้าน สารภาพนำไปใช้หนี้

วันที่ 20 มีนาคม 2557 พล.ต.ต.ศิริพงษ์ ติมุลา ผบก.ปอท. แถลงข่าวจับกุมตัว นายยศกฤศ กาญจันดา อายุ 30 ปี อดีตพนักงาน IT บริษัทผู้ให้บริการอินเทอร์เน็ตรายหนึ่งในประเทศไทย แฮกข้อมูลบัตรเครดิตลูกค้าธนาคารไปหลอกซื้อสินค้า ลักลอบเข้าระบบคอมพิวเตอร์นำข้อมูลบัตรเครดิต และข้อมูลส่วนตัวของลูกค้าธนาคารไปลงทะเบียนสั่งซื้อสินค้าจากร้านค้าออนไลน์ทางเว็บไซต์ต่างๆ เช่น ทองคำ โทรศัพท์มือถือ คอมพิวเตอร์ โดยผู้ต้องหาลักลอบเข้าระบบข้อมูลลูกค้ากว่า 3,000 ราย ที่นำไปใช้ได้ 30 ราย รวมมูลค่าความเสียหายเกือบ 3 ล้านบาท โดยการส่งสินค้าแต่ละครั้งนั้น จะมีการเปลี่ยนแปลงสถานที่และมีการจ้างบุคคลอื่นให้รับสินค้าแทนเพื่อเป็นการอำพรางตนเอง

จากการสอบสวน ผู้ต้องหาให้การรับสารภาพว่า ได้กระทำการดังกล่าวจริง ก่อนหน้านี้ดูแลในส่วนระบบข้อมูลลูกค้าของบริษัท ซึ่งสามารถเข้าถึงระบบฐานข้อมูลลูกค้าได้ตลอด เวลาต่อมาในช่วง 1 เดือนหลัง ก่อนที่จะออกจากบริษัท ตนได้เจาะระบบฐานข้อมูลลูกค้าที่ใช้บัตรเครดิตเพื่อชำระเงินค่าบริการอินเทอร์เน็ตเพื่อนำไปปลอมแปลงบุคคล และนำไปใช้ซื้อสินค้าในเว็บไซต์ซื้อ-ขายสินค้า หลังจากได้ของมานั้นก็จะนัดกับลูกค้าที่เข้ามาซื้อสินค้า ซึ่งรายได้ต่อเดือนประมาณ 2 แสนบาท ส่วนเงินที่ได้มานั้นจะนำไปใช้หนี้บัตรเครดิต, ชำระค่าบ้าน และค่ารถ

ภายหลังออกจากบริษัทดังกล่าวแล้ว ได้มาเปิดบริษัทรับพัฒนาระบบคอมพิวเตอร์เป็นของตัวเอง ก่อนที่จะถูกจับกุมตัวได้เสียก่อน เจ้าหน้าที่จึงควบคุมตัวส่งพนักงานสอบสวนดำเนินคดีต่อไป

ที่มา : kapook

Google ได้ประกาศว่าจะมีการปรับปรุงการเข้ารหัสอีเมล์ของ Gmail เพื่อป้องกันผู้ใช้จากการสอดแนมของรัฐบาล โดย Google ทำการลบ Option ที่สามารถปิด HTTPS ออก ดังนั้น Gmail จะใช้การเชื่อมต่อแบบเข้ารหัส HTTPS เป็นค่าเริ่มต้น เมื่อผู้ใช้มีการดูข้อความหรือส่งอีเมล์

นอกจากนี้ทาง Google ได้ยืนยันว่าข้อความอีเมล์ทุกๆ อีเมล์จะได้รับการเข้ารหัสในขณะที่มีการถ่ายโอนอยู่ภายใน data center ซึ่งก่อนหน้านี้ Edward Snowden ได้เปิดเผยว่าการรักษาความปลอดภัยแห่งชาติ (NSA) ได้ทำการสอดแนมดูข้อความอีเมล์ของผู้ใช้ที่ถ่ายโอนอยู่ระหว่างศูนย์ข้อมูลและเซิร์ฟเวอร์ได้ ด้วยวิธีการ PRISM

ที่มา : thehackernews

เว็บเซิร์ฟเวอร์ EA Games ถูกแฮก โดยอาศัยช่องโหว่ Calendar version 1.2.0 ที่ไม่ได้มีการอัพเดต แฮกเกอร์จะโจมตีด้วยวิธีการ phishing เข้าไปที่ sub-domain เพื่อที่จะขโมย Apple ID หลังจากนั้นก็จะทำการ redirected ไปยังเว็บไซต์ apple เพื่อความน่าเชื่อถือ

ที่มา : ehackingnews

เว็บเซิร์ฟเวอร์ EA Games ถูกแฮก โดยอาศัยช่องโหว่ Calendar version 1.2.0 ที่ไม่ได้มีการอัพเดต แฮกเกอร์จะโจมตีด้วยวิธีการ phishing เข้าไปที่ sub-domain เพื่อที่จะขโมย Apple ID หลังจากนั้นก็จะทำการ redirected ไปยังเว็บไซต์ apple เพื่อความน่าเชื่อถือ

ที่มา : ehackingnews

นักวิจัยจาก ESET ร่วมกับ CERT-Bund เปิดเผยปฏิบัติการที่มีชื่อว่า WINDIGO ซึ่งเป็นปฏิบัติการในการโจมตีที่คอมพิวเตอร์ส่วนบุคคล และเซิร์ฟเวอร์เพื่อทำการสแปมและแพร่กระจายต่อไปเรื่อยๆ ในตอนนี้ทาง ESET คาดการณ์ว่ามีคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้แล้ว วันละกว่า 5 แสนเครื่องผ่านทาง 25,000 เซิร์ฟเวอร์ที่ถูกโจมตีก่อนหน้าเพื่อใช้ในการแพร่กระจาย

WINDIGO ถูกระบุว่าเริ่มทำการโจมตีตั้งแต่ปี 2011 โดยมีเว็บไซต์ใหญ่ๆ ที่แพร่กระจายมัลแวร์ตัวนี้อยู่ด้วย เช่น cPanel.

บริษัทด้านความปลอดภัย MWR InfoSecurity ได้ปล่อยรายละเอียดช่องโหว่บนแอพพลิเคชั่น PayPal บนแอนดรอยด์ ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งอันตรายได้จากระยะไกลผ่านทางช่องโหว่ man-in-the-middle ช่องโหว่นี้ยังคงมีอยู่ในแอพพลิเคชั่นที่มีเวอร์ชันต่ำกว่า 5.3 และบนแอนดรอยด์เวอร์ชันต่ำกว่า 4.2
ในรายละเอียดที่ถูกปล่อยมานั้นกล่าวว่า ปัญหาของช่องโหว่นี้เกิดจาก PayPal มีการใช้ Web View เพื่อตรวจสอบใบอนุญาต SSL แต่ยังมีการทำงานต่อแม้ว่าจะตรวจเจอข้อผิดพลาดของใบอนุญาต SSL แทนที่จะทำการแสดงข้อความผิดพลาดหรือปิดการเชื่อมต่อนั้นทิ้งไป (CVE-2013-7201) อีกทั้งยังมีการอิมพลีเมนต์จาวาสคริปต์อินเตอร์เฟสใน Web View ซึ่งจะทำให้สั่งรันคำสั่งต่างๆ ได้ด้วย (CVE-2013-7202)

ทาง PayPal ปฏิเสธที่จะจ่ายเงินตามโปรแกรม Bug Bounty ให้เนื่องจากปัญหา SSL ไม่ได้อยู่ในขอบเขตของโปรแกรมนี้ แม้ว่าทาง MWR จะมีการส่งรายละเอียดของช่องโหว่หรือแม้กระทั่งวีดิโอที่มีการทำ PoC ไปแล้ว แต่ทาง PayPal อ้างว่าไม่มีผลกระทบต่อแบรนด์ของ PayPal สำหรับการป้องกันการโจมตีผ่านทางช่องโหว่นี้นั้น แนะนำให้ผู้ใช้งานทำการอัพเดตแอพฯ เป็นเวอร์ชันล่าสุด (5.4) โดยด่วน

ที่มา : blognone

Shubham Shah ได้ค้นพบช่องโหว่ Server Side Request Forgery (SSRF) ในเว็บไซต์ Bill  Me Later ซึ่งเป็นบริษัทย่อยของบริษัท PayPal โดยช่องโหว่ดังกล่าวอยุ่ใน Sub domain (merchants.