Have I Been Pwned ได้ทำการเพิ่มที่อยู่อีเมลกว่า 71 ล้านอีเมล ที่เกี่ยวข้องกับบัญชีผู้ใช้งานที่ถูกขโมยมาในชุดข้อมูล Naz.

ทีมวิจัยจากมหาวิทยาลัย Wisconsin-Madison ได้อัปโหลด Extension ** เพื่อทำการทดสอบลงใน Chrome Web Store ซึ่งเป็น Extension ที่สามารถขโมยรหัสผ่านแบบ plaintext จาก source code ของเว็ปไซต์ได้

โดยจากการตรวจสอบช่องป้อนข้อความในเว็ปเบราว์เซอร์พบว่า รูปแบบการอนุญาตแบบ coarse-grained ที่สนับสนุน Extension ของ Chrome ละเมิดหลักการ least privilege และ complete mediation

นอกจากนี้ นักวิจัยพบว่ามีเว็ปไซต์หลายแห่งที่มีผู้เยี่ยมชมนับล้านราย รวมถึง portal ของ Google และ Cloudflare ที่เก็บรหัสผ่านในรูปแบบข้อความภายในโค้ด HTML บนหน้าเว็ปของตน ทำให้ Extension สามารถดึงข้อมูลเหล่านี้ได้

แหล่งที่มาของปัญหา

นักวิจัยอธิบายว่าปัญหานี้เกี่ยวกับ systemic practice ที่ให้ Extension ของเบราว์เซอร์สามารถเข้าถึง DOM tree ของเว็ปไซต์ที่โหลดโดยไม่มีข้อจำกัด ซึ่งช่วยให้เข้าถึงองค์ประกอบที่อาจมีความสำคัญ เช่น ช่องป้อนข้อมูลของผู้ใช้

เนื่องจากไม่มีขอบเขตด้านความปลอดภัยระหว่าง Extension กับองค์ประกอบของไซต์ Extension จึงสามารถเข้าถึงข้อมูลใน source code และสามารถดึงข้อมูลออกมาได้

นอกจากนี้ Extension อาจนำ DOM API มาใช้เพื่อดึงข้อมูลโดยตรงในขณะที่ผู้ใช้ป้อนข้อมูล โดยการ bypass การป้องกันข้อมูลที่มีความสำคัญ และขโมยข้อมูลออกมาได้

โปรโตคอล Manifest V3 ที่ Google Chrome แนะนำ และนำมาใช้โดยเบราว์เซอร์ส่วนใหญ่ในปีนี้ จะมีการจำกัดการใช้งาน API ที่ไม่เหมาะสม โดยห้าม Extension เรียกใช้งานโค้ดจากภายนอกที่จะช่วยในการหลีกเลี่ยงการตรวจจับ และป้องกันการใช้คำสั่ง eval ที่อาจนำไปสู่การเรียกใช้โค้ดได้ตามที่ต้องการ

อย่างไรก็ตาม นักวิจัยระบุว่า Manifest V3 ไม่ได้กำหนดขอบเขตด้านความปลอดภัยระหว่าง Extension และหน้าเว็ปไซต์ ดังนั้นปัญหาที่เกี่ยวข้องกับ content scripts ยังคงอยู่

การอัปโหลด PoC บน Web Store

เพื่อทดสอบกระบวนการตรวจสอบของ Google Web Store นักวิจัยตัดสินใจสร้าง Extension บน Chrome ที่สามารถโจมตีด้วยวิธีการ password-grabbing และพยายามอัปโหลดไปยังแพลตฟอร์ม

นักวิจัยได้สร้างส่วนขยายที่สวมรอยเป็น GPT-based assistant ซึ่งสามารถ :

1. แคปเจอร์ HTML source code เมื่อผู้ใช้พยายามเข้าสู่ระบบบนเพจโดยใช้ regex
2. ละเมิด CSS selectors เพื่อเลือกช่องป้อนข้อมูลเป้าหมาย และดึงเอาข้อมูลของผู้ใช้โดยใช้ฟังก์ชัน '.value'
3. ดำเนินการแทนที่องค์ประกอบเพื่อแทนที่ฟิลด์ที่ถูกเข้ารหัสด้วย JS ด้วยฟิลด์รหัสผ่านที่ไม่ปลอดภัย

Extension นี้ไม่มีโค้ดที่เป็นอันตรายอย่างเห็นได้ชัด ดังนั้นมันจึงสามารถหลีกเลี่ยงการตรวจสอบ และไม่เรียกใช้งานโค้ดจากแหล่งภายนอก (dynamic injection) ดังนั้นจึงสอดคล้องกับ Manifest V3

จากสาเหตนี้ส่งผลให้ Extension ผ่านการตรวจสอบ และได้รับการยอมรับบน Google Chrome Web Store ดังนั้นการตรวจสอบความปลอดภัยจึงไม่สามารถตรวจจับภัยคุกคามที่อาจเกิดขึ้นได้

ทีมงานได้ปฏิบัติตามมาตรฐานเพื่อให้แน่ใจว่าไม่มีข้อมูลจริงใด ๆ ถูกเก็บรวบรวม หรือนำไปใช้โดยที่ไม่เหมาะสม โดยปิดใช้งานเซิร์ฟเวอร์ในการรับข้อมูลในขณะที่ยังคงใช้งานเซิร์ฟเวอร์ที่เน้นการเข้าถึงองค์ประกอบเท่านั้น

นอกจากนี้ Extension ถูกตั้งค่าเป็น "ไม่เผยแพร่" ตลอดเวลาเพื่อไม่ให้มีการดาวน์โหลดจำนวนมาก และถูกลบออกจาก Google Chrome Web Store ทันทีหลังจากได้รับการอนุมัติ

ศักยภาพในการใช้ประโยชน์

การวัดผลภายหลังแสดงให้เห็นว่าจากเว็ปไซต์ 10,000 อันดับแรก (ตาม Tranco) ประมาณ 1,100 เว็ปไซต์เก็บรหัสผ่านของผู้ใช้ในรูปแบบ plaintext ภายใน HTML DOM

เว็ปไซต์อีก 7,300 แห่งจากชุดเดียวถือว่ามีความเสี่ยงต่อการเข้าถึง DOM API และการดึงค่าข้อมูลของผู้ใช้โดยตรง

เว็ปไซต์ที่มีการเข้าชมสูง และมีความเสี่ยงต่อการโจมตี (arxiv.

นักวิจัยด้านความปลอดภัย Steven Myer แสดงให้เห็นว่ารหัสผ่าน 8 ตัวอักษร (53- บิต) สามารถถูกคาดเดา (Brute force) ได้ใน 44 วัน หรืออาจถูกคาดเดาได้ภายใน 14 วินาทีหากใช้ HashCat 6.0.0 ควบคู่ไปกับ rainbow tables โดยใช้ความเร็วของ GPU ในการโจมตี จากการทดสอบนักวิจัยได้ใช้ Nvidia GTX 2080Ti GPUs 8 ตัว ในการโจมตีแบบออฟไลน์ เพื่อเดารหัสผ่านในการเข้าถึงเครื่องผ่าน NTLM และพบว่าสามารถทำการคาดเดาได้ถึง 100GH/s (gigahashes per second)

อย่างไรก็ตามการตั้งรหัสผ่านด้วยความยาวอย่างน้อย 8 ตัวนั้น ถูกใช้เป็นเกณฑ์มาตรฐานที่ได้รับการแนะนำให้ปฏิบัติตามโดย NIST แต่ก็ยังมีผู้ให้บริการหลายรายที่ไม่ได้ปรับปรุงระบบตัวเองให้รองรับตามคำแนะนำดังกล่าว ทั้งนี้ปัจจุบัน Hardware มีการพัฒนาอย่างต่อเนื่อง ส่งผลทำให้เกิดประสิทธิภาพการทำงานที่ดียิ่งขึ้น ดังนั้นในอนาคตข้อแนะนำต่างๆ ด้านความปลอดภัยอาจต้องมีการปรับตัวตามให้ทัน

ที่มา: theregister

จากรายงานระบุว่ารหัสผ่าน 123456 เป็นรหัสผ่านที่ใช้มากที่สุดเป็นปีที่ 5 ติดต่อกัน

บริษัทความปลอดภัย SplashData เจ้าของแอพพลิเคชั่นจัดการรหัสผ่าน ได้วิเคราะห์รหัสผ่านที่รั่วไหลออกมามากกว่า 5 ล้านรายการ และจากการจัดอันดับรหัสผ่านที่นิยมใช้งานมากที่สุด 10 อันดับ ได้แก่
# 123456
# password
# 123456789
# 12345678
# 12345
# 111111
# 1234567
# sunshine
# qwerty
# iloveyou

Dashlane บริษัทที่ให้บริการแอพพลิเคชั่นจัดการรหัสผ่าน ก็ได้จัดอันดับเกี่ยวกับการใช้งานรหัสผ่านที่ผิดพลาดมากที่สุด 10 อันดับ ประกอบด้วย
# *Kanye West:* ป้อนรหัสผ่าน "000000" เพื่อปลดล็อกโทรศัพท์มือถือของเขาขณะที่พบกับ Trump ในห้องที่เต็มไปด้วยกล้องของสถานีโทรทัศน์
# *The Pentagon:* พบว่ามีการใช้รหัสผ่านของ admin ในบางทีมที่ไม่ปลอดภัย ส่งผลให้สามารถเดารหัสผ่านได้ภายใน 9 วินาที โดยคาดว่าสาเหตุน่าจะมาจากการใช้ default password ของซอฟต์แวร์ในระบบอาวุธบางตัว
# *Cryptocurrency owners*: เจ้าของบัญชีสกุลเงินดิจิตอลหลายคนจำรหัสผ่านที่ใช้ log in เข้า wallet ของตัวเองไม่ได้
# *Nutella:* ได้โพสต์ Twitter แนะนำให้ Follower ของตัวเองใช้รหัสผ่านเป็น "Nutella" กัน
# *U.K. Law Firms*: อีเมลและรหัสผ่านของบริษัทกฎหมาย 500 แห่งในสหราชอาณาจักร ถูกพบในตลาดมืด
# *Texas:* ข้อมูลประวัติการใช้สิทธิ์เลือกตั้งของผู้มีสิทธิ์ใน Texas มากกว่า 14 ล้านคน ถูกพบใน server ที่ไม่มีการตั้งรหัสผ่านไว้
# *White House Staff:* เจ้าหน้าที่ของทำเนียบจดอีเมลและรหัสผ่านของตัวเองแล้วลืมทิ้งไว้ที่ป้ายรถเมล์
# *Google*: นักศึกษาวิศวกรรมศาสตร์จากอินเดียสามารถเข้าถึงดาวเทียมออกอากาศทางโทรทัศน์ได้หลังจากเข้าสู่หน้า admin ของ Google โดยไม่ต้องกรอกชื่อผู้ใช้งานและรหัสผ่าน
# *United Nations:* เจ้าหน้าที่ของ U.N. มีการใช้งาน Trello, Jira และ Google ในการทำงาน แต่กลับไม่มีการตั้งรหัสผ่านให้กับบริการดังกล่าว ส่งผลให้ใครก็ได้สามารถเข้าไปดูเอกสารที่มีข้อมูลสำคัญได้ทันที
# *University of Cambridge*: มหาวิทยาลัยได้เก็บรหัสผ่านของผู้ใช้งาน facebook มากกว่าล้านรายที่ถูกใช้ในงานวิจัยไว้บน GitHub ส่งผลให้ใครก็ตามสามารถเข้าถึงได้

ที่มา:bleepingcomputer.

SplashData ผู้พัฒนา SplashID password manager ได้ทำการรวบรวมข้อมูลของชุดรหัสผ่านที่นับว่าแย่มากในปี 2017 มากว่า 100 ชุด และรหัสผ่าน 5 ชุดที่พบบ่อยมากที่สุดในปีนี้คือ 1232456, password, 12345678, qwerty และ 12345 แม้ว่าจะมีผู้ใช้บางรายบอกว่ามีการตั้งแบบกลับหลังเพื่อให้เดาได้ยากขึ้น แต่ในความเป็นจริงก็คือรหัสที่เรียงกันชุดเดิมอยู่ดี

การตั้งรหัสด้วยตัวที่ใกล้ๆกัน หรือคำศัพท์เป็นการตั้งรหัสผ่านที่เดาได้ง่ายมาก เพราะทุกวันนี้เครื่องมือสำหรับการเดารหัสผ่านนั้น สามารถเดารูปแบบการตั้งรหัสแบบนี้ได้หมดเลย ยังมีผู้ใช้งานบางรายออกมาบอกว่าตัวเองได้มีการเปลี่ยนรหัสบางตัวเพื่อให้ดูซับซ้อนมากขึ้น เช่น การเอาตัว o ออกแล้วใส่ 0 เช่น password จะกลายเป็น passw0rd แต่วิธีนี้ก็ยังป้องกันไม่ได้ แม้กระทั่งกับแฮ็คเกอร์ที่ความรู้น้อย

ทั้งนี้ SplashData ได้มีการเปิดเผยรายการรหัสผ่านที่ไม่ควรตั้ง และได้แนะนำว่าหากมีใครกำลังใช้รหัสชุดไหนชุดหนึ่งที่เข้าข่ายอยู่นี้ ควรรีบเปลี่ยนโดยเร็ว เพราะถึงแม้จะเป็นบัญชีที่ไม่มีความสำคัญต่อผู้ใช้เลย แต่แฮ็คเกอร์อาจนำไปใช้เป็นเครื่องมือเพื่อโจมตีเครื่องอื่นๆ ต่อได้ อย่างไรก็ตามปัจจุบันมีเครื่องมือในการช่วยจัดการรหัสผ่านที่มีประสิทธิภาพอยู่มากมาย เช่น SplashID, LastPass, 1Password ,และ Dashlane รวมไปถึง KeePass ซึ่งมีการเปิดให้ใช้งานฟรีอยู่ แนะนำให้ลองดาวน์โหลดเพื่อนำมาใช้งานกันดู
ที่มา : Forbes

Microsoft กำลังใช้ทุกความสามารถที่มี เพื่อการอัพเดทครั้งใหญ่ที่ไม่เคยมีมาก่อน ด้วยการพัฒนาระบบป้องกัน ระบบรักษาความปลอดภัย เพื่อต่อกรกับ แฮกเกอร์และการโจมตีทางไซเบอร์ในอนาคต โดยในตอนนี้ทาง Microsoft กำลังมีแผนที่จะเพิ่มฟีเจอร์ที่หลายๆ คนต้องการ คือ ระบบกู้ pin และ password สำหรับ Window 10 ให้สามารถทำได้โดยตรงจากหน้า Lock Screen ระบบดังกล่าวจะมีปุ่มชื่อว่า " Reset password" หรือ "I forgot my PIN " อยู่บริเวณด้านข้างของช่อง sign-in เมื่อกดปุ่มดังกล่าว Cortana หรือ AI ของ Microsoft จะคอยเป็นตัวช่วยเรื่องการรีเซ็ตพาสเวิร์ด จะมีช่องทางอยู่ 3 ช่องทางให้เลือกสำหรับส่งข้อมูลในการกู้รหัสผ่าน คือ อีเมล์สำรอง , เบอร์โทรศัพท์, หรือ ตัวตรวจสอบสิทธิ์ของ Microsoft หลังจากนั้นรหัสตรวจสอบจะถูกส่งไปยังช่องทางที่ได้เลือกไว้ เมื่อทำการกรอกรหัสตรวจสอบ และยืนยันตัวตนเรียบร้อยแล้วก็จะสามารถรีเซ็ตพาสเวิร์ดในหน้า Login เพื่อเข้าใช้งานต่อไปได้ทันที
ปัจจุบัน Microsoft กำลังทดสอบ feature ใหม่ใน Windows 10 Insiders build 16237 ซึ่งจะช่วยให้การกู้คืนบัญชีผู้ใช้ทำได้ง่ายขึ้น ผู้ใช้สามารถเลือกใช้ฟังก์ชันนี้ได้ ถ้าหากมีการ activate Windows Hello authentication system หรือ มี PIN เพื่อรักษาความปลอดภัยของบัญชี Windows 10 Fall Creator Update ถูกคาดการณ์ว่าจะถูกปล่อยออกมาในช่วงระหว่าง พฤศจิกายน และตุลาคม 2017 ซึ่งทางองค์กรมีแผนงานคร่าวๆ คือ เอาการใช้งาน File Sharing Protocol SMBv1 ออก เพิ่ม Controlled Folder Access เป็นส่วนหนึ่งของ Windows Defender เป็นต้น

ที่มา : thehackernews

แอปพลิเคชั่นสตาร์บัค ซึ่งช่วยให้ผู้ใช้จ่ายสำหรับอาหารและเครื่องดื่มโดยใช้สมาร์ทโฟนใส่ข้อมูลส่วนบุคคลของผู้ใช้รวมถึงชื่อผู้ใช้รหัสผ่าน ซึ่งอาจจะมีความเสี่ยงได้
นักวิจัยได้ค้นพบการรักษาความปลอดภัยของแอปพลิเคชั่นสตาร์บัค ซึ่งพบข้อบกพร่องใน iOS App จากการตรวจสอบ พบว่ามีการจัดเก็บ ชื่อผู้ใช้, ที่อยู่, อีเมลและรหัสผ่าน อยู่ในรูปแบบที่ไม่ได้เข้ารหัสข้อมูล ซึ่งหมายถึงการโจมตีที่มีการเข้าถึงไปยังโทรศัพท์ (สมมติว่าเป็นโทรศัพท์ที่ถูกขโมย) จะสามารถดึงข้อมูลจากโทรศัพท์มือถือข้อมูลที่ได้มาสามารถนำมาใช้สำหรับการล็อกอินเข้าสู่ Startbucks ได้ "เพื่อป้องกันไม่ให้ข้อมูลของผู้ใช้ที่มีความสำคัญ จากการถูกกู้คืนได้ โดยผู้ที่ไม่หวังดี ควรจะดำเนินการเพื่อป้องกันข้อมูลเหล่านี้ด้วยการไม่เก็บข้อมูลไว้ใน crashlytics log file ในรูปแบบ clear-text”

ที่มา : ehackingnews