สืบเนื่องจาก SHA-1 ไม่มีความปลอดภัยอีกต่อไป และมี .NET หลายเวอร์ชันที่ใช้ Hash Algorithm นี้ในการ Signed จึงถึงเวลาที่จะต้องหยุดใช้งานเวอร์ชันดังกล่าวเนื่องจากคำนึงถึงความปลอดภัย ซึ่งประกอบด้วยเวอร์ชัน 4.5.2, 4.6 และ 4.6.1 และเปลี่ยนไปใช้เป็น SHA-2 แทน โดยเวอร์ชันทั้งหมดนี้จะยังได้รับการอัพเดตจาก Microsoft ต่อไปจนถึงวันที่ 26 เมษายน 2022 หลังจากนั้นจะไม่มีการปล่อยอัพเดตใด ๆ จาก Microsoft ต่อไป ยกเว้นเวอร์ชัน 4.6 ที่มากับ Windows 10 Enterprise LTSC 2015 ที่จะยังได้รับการอัพเดตจนถึงเดือนตุลาคม 2025 ซึ่งเป็นเวลาเดียวกับที่ระบบปฏิบัติการดังกล่าวจะไม่ได้รับการอัพเดตจาก Microsoft อีกต่อไปเช่นเดียวกัน

นักพัฒนาที่มีการใช้งานเวอร์ชันที่ได้รับผลกระทบดังกล่าวควรเปลี่ยนไปใช้เวอร์ชัน 4.6.2 เป็นอย่างน้อย เพื่อจะได้รับการอัพเดตต่อไปหากมีปัญหาในอนาคต ทั้งนี้มีการระบุว่าเวอร์ชัน 4.6.2 (ถูกปล่อยออกมาเมื่อ 5 ปีที่แล้ว) และ 4.8 (ถูกปล่อยออกมาเมื่อ 2 ปีที่แล้ว) ถือว่าเป็นเวอร์ชันที่มีความเสถียรสูง จากข้อมูลที่อ้างอิงว่ามีมากกว่า 100 ล้านเครื่องที่ใช้งานอยู่ โดยระบุว่าการอัพเดตครั้งนี้ นักพัฒนาไม่จำเป็นต้อง recompile หรือ retarget แอพพลิเคชั่นที่พัฒนาใหม่ เพียงแต่แนะนำให้ลองทำการทดสอบบน runtime เวอร์ชันใหม่นี้ก่อน หากแอพพลิเคชั่นดังกล่าวได้รับการ deploy ไปแล้ว

ที่มา: bleepingcomputer

ตามรายงานจาก BBC ได้ระบุว่าผลิตภัณฑ์กล้องสำหรับเฝ้าเด็ก NurseryCam ซึ่งถูกใช้ในระบบของสถานรับเลี้ยงเด็กประมาณ 40 แห่งทั่วสหราชอาณาจักรได้ถูกระงับการบริการในวันเสาร์ที่ผ่านมาเพื่อปิดปรับปรุงระบบการให้บริการ

การบุกรุกระบบ NurseryCam ทำให้แฮกเกอร์ซึ่งอ้างว่าได้เข้าถึงฐานข้อมูลนั้นสามารถเข้าถึงข้อมูลต่าง ๆ อาทิ ชื่อจริง, Username, Password ที่ผ่านฟังก์ชันแฮช SHA-1 และ Email addresses กว่า 12,000 บัญชี โดยแฮกเกอร์ได้ทำการเผยเเพร่ฐานข้อมูลสู่สาธารณะแล้ว

Andrew Tierney ผู้เชี่ยวชาญด้านความปลอดภัย IoT ได้เริ่มทำการตรวจสอบเหตุการณ์การบุกรุกและทำการตรวจสอบข้อมูลที่ถูกเผยเเพร่ว่าเป็นข้อมูลจริงหรือไม่

ทั้งนี้ NurseryCam ได้ทราบถึงการละเมิดระบบของบริษัทแล้วและได้เริ่มส่งอีเมลถึงผู้ปกครองเพื่อเตือนถึงการบุกรุกครั้งนี้ NurseryCam แล้ว

ที่มา: theregister

Disqus บริษัทที่ให้บริการปลั๊กอินคอมเมนต์สำหรับเว็บไซต์และบล็อก เปิดเผยว่ามีการตรวจพบการแฮ็กข้อมูลเมื่อ 5 ปีก่อน ในเดือน กรกฎาคม 2012 ย้อนไปจนถึงปี 2007 มากกว่า 17.5 ล้านบัญชี โดยแฮกเกอร์ได้ขโมยข้อมูลรายละเอียด Email Addresses, Usernames, วันที่สมัคร, วันที่ลงชื่อเข้าใช้งานล่าสุด ซึ่งข้อมูลเหล่านี้เป็น plain text รวมทั้งข้อมูลรหัสผ่านซึ่งถูกแฮชด้วย SHA-1 เอาไว้

ในปลายปี 2012 Disqus ได้ทำการพัฒนาความปลอดภัยของข้อมูลและเปลี่ยนขั้นตอนการป้องกันรหัสผ่านจาก SHA1 เป็น bcrypt ซึ่งเป็นอัลกอริธึมแฮชที่มีความแข็งแกร่งมากขึ้น ทำให้แฮกเกอร์ยากที่จะได้รหัสผ่านที่แท้จริงของผู้ใช้ไป ปัจจุบันยังไม่ทราบแน่ชัดว่าแฮกเกอร์ได้ข้อมูลไปได้ด้วยวิธีการใด

หลังจากที่ Jason Yan CTO ของ Disqus ได้รับแจ้งจาก Troy Hunt นักวิจัยด้านความปลอดภัยอิสระในวันที่ 5 ตุลาคม ทาง Disqus ได้มีการเปิดเผยข้อมูลและเริ่มติดต่อให้ผู้ใช้ทั้งหมดที่ได้รับผลกระทบเปลี่ยนรหัสผ่านโดยเร็วที่สุด นอกจากนี้ควรเปลี่ยนรหัสผ่านบนบริการออนไลน์และแพลตฟอร์มอื่น ๆ ที่ใช้ข้อมูลเดียวกันด้วย

ที่มา : The Hacker News

มีรายงานว่า CEO ของเฟสบุ๊คเครือข่ายสังคมออนไลน์ระดับโลก Mark Zuckerberg ถูกแฮกบัญชีผู้ใช้ในเว็บไซต์ต่างๆ ได้แก่ Pinterest, Twitter, Instagram และ Linkedin

โดยวันที่ 5 มิถุนายนที่ผ่านมา กลุ่มของแฮกเกอร์ที่ใช้ชื่อ OurMine Team ชาวซาอุดิอาราเบีย อ้างว่าสามารถแฮกบัญชีทวิตเตอร์ของ Mark Zuckerberg (@finkd) ได้และอธิบายว่านำรหัสผ่านที่เป็น SHA-1 ของ Mark มาจากไฟล์ที่รวมรหัสผ่านของ Linkedin ที่เป็นข่าวถูกแฮกตั้งแต่ปี 2012 ที่ผ่านมา นำมา Crack จนได้รหัส “dadada” และ Mark ใช้รหัสผ่านเดียวกันกับเว็บไซต์อื่นๆ ทำให้ถูกแฮก

อย่างไรก็ตามบัญชีทวิตเตอร์ของ Mark ไม่ได้ถูกใช้งานมาตั้งแต่ปี 2012 แล้วสำหรับผู้ใช้งานทั่วไปควรตั้งรหัสผ่านให้มีความแข็งแกร่ง ซับซ้อน และไม่ซ้ำกันกับเว็บไซต์อื่นๆ

ที่มา : thehackernews