นักวิจัยด้านความปลอดภัย พบว่าแฮกเกอร์สามารถทำให้เจ้าของบัญชี OpenSea ไม่มียอดคงเหลือใน Wallets ได้โดยการล่อให้เหยื่อคลิก NFT art ที่เป็นอันตราย

OpenSea เป็นตลาดซื้อขาย, ประมูล non-fungible tokens (NFTs) และสินทรัพย์ดิจิทัลอื่นๆ ที่ใหญ่ที่สุดในโลก ด้วยมูลค่าธุรกรรมถึง 3.4 พันล้านดอลลาร์

ปัญหาเกิดจากที่แพลตฟอร์ม OpenSea สามารถทำให้แฮกเกอร์โจมตีบัญชีผู้ใช้ และขโมยกระเป๋าเงินดิจิตอล (Wallets) ด้วยวิธีการง่ายๆ คือการสร้าง NFT ที่มี payload ที่เป็นอันตราย และรอให้เหยื่อคลิกดู โดยพบผู้ใช้หลายราย แจ้งว่า กระเป๋าเงินดิจิทัล (Wallets) ว่างเปล่า หลังจากได้รับโฆษณาจาก OpenSea ซึ่งเป็นกลยุทธ์ทางการตลาดที่เรียกว่า "airdropping" ที่ใช้เพื่อโปรโมท Asset ใหม่ๆ

นักวิจัยจาก Check Point ได้ตัดสินใจตรวจสอบวิธีการทำงานของแพลตฟอร์มอย่างละเอียด และตรวจหาช่องโหว่ ซึ่งมีสรุปการโจมตีดังนี้:

แฮ็กเกอร์ทำการสร้าง และส่ง NFT ที่เป็นอันตรายให้แก่เหยื่อ
เมื่อเหยื่อเปิดดู NFT ที่เป็นอันตราย จะเรียกป๊อปอัปจากโดเมนการจัดเก็บของ OpenSea และขอเชื่อมต่อกับกระเป๋าเงิน Cryptocurrency ของเหยื่อ
เหยื่อคลิกเพื่อเชื่อมต่อกระเป๋าเงินของตัวเอง และดำเนินการกับ NFT ที่ส่งให้ ซึ่งทำให้แฮ็กเกอร์สามารถเข้าถึงกระเป๋าเงินของเหยื่อได้
แฮ็กเกอร์สามารถรับเงินในกระเป๋าเงินได้โดยเปิดป๊อปอัปเพิ่มเติม ซึ่งส่งมาจากโดเมนการจัดเก็บของ OpenSea โดยเหยื่อมีแนวโน้มที่จะคลิกป๊อปอัปโดยไม่อ่านข้อความที่อธิบายธุรกรรมที่เกิดขึ้น

รายละเอียดการตรวจสอบข้อผิดพลาด

บัญชี OpenSea ต้องมีการเชื่อมต่อกระเป๋าเงิน cryptocurrency ของ third-party นักวิจัยจึงเลือกใช้ MetaMask ที่ได้รับความนิยมมากที่สุด โดยการเชื่อมต่อกับ wallet จะเกิดขึ้นเมื่อมีการดำเนินการใดๆ กับบัญชี รวมถึงการกดถูกใจงานศิลปะ (NFT art) ในระบบ ซึ่งจะทำให้เกิดคำขอลงชื่อเข้าใช้ Wallet

แพลตฟอร์ม OpenSea เปิดให้ทุกคนสามารถขายงานศิลปะดิจิทัล เป็นไฟล์ขนาดใหญ่ได้ถึง 40MB โดยมีนามสกุลดังต่อไปนี้: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF ทีมนักวิจัย Check Point จึงได้อัปโหลดภาพ SVG ที่มีโค้ด JavaScript ที่เป็นอันตรายไปยังระบบ OpenSea เมื่อคลิกเพื่อเปิดในแท็บใหม่ จะสังเกตเห็นว่าไฟล์ทำงานภายใต้โดเมนย่อย 'storage.

นักวิจัยภายในเครือ KU Leuven ซึ่งประกอบไปด้วย Yana Dimova, Gunes Acar, Wouter Joosen, Tom Van Goethem และ Lukasz Olejnik ได้ออกเอกสารการวิจัยซึ่งได้พบว่า บริษัทเทคโนโลยีด้านการโฆษณากำลังพยายามติดตามข้อมูลการใช้งานและข้อมูลอื่น ๆ ผ่านทางเบราว์เซอร์โดยใช้เทคนิคทางด้าน DNS มาใช้เพื่อหลบเลี่ยงการป้องกันจากผู้พัฒนาเบราว์เซอร์และรุกล้ำความเป็นส่วนตัวของผู้ใช้

เทคนิคดังกล่าวถูกเรียกว่า CNAME Cloaking ซึ่งจะถูกนำเสนอในเดือนกรกฎาคมที่จะถึงนี้ในงาน Privacy Enhancing Technologies Symposium ครั้งที่ 21 (PETS 2021) เทคนิคดังกล่าวเป็นเทคนิคการติดตามผู้ใช้โดยใช้ประโยชน์จาก CNAME record บน Subdomain เพื่อให้เบราว์เซอร์มองเว็บไซต์จาก Subdomain เป็นเว็บไซต์เดียวกันเพื่อสร้างความน่าเชื่อถือและเพื่อ Bypass การป้องกันการบล็อกคุกกี้ของผู้ใช้ที่เยื่ยมชมจากแอปพลิเคชัน Third-party ที่ถูกใช้โดยผู้ใช้หรือจากเบราว์เซอร์เอง

นอกจากนี้นักวิจัยยังพบอีกว่าการติดตามผู้ใช้ด้วย CNAME ทำให้เกิดช่องโหว่ด้านความปลอดภัยสองรายการในการใช้งาน โดยผู้ประสงค์ร้ายสามารถทำให้เว็บไซต์มีความเสี่ยงต่อการโจมตีจากเทคนิค Session fixation และเทคนิค XSS กับผู้ที่เยื่ยมชมเว็บไซต์ด้วย

ทั้งนี้ผู้พัฒนาเบราว์เซอร์อย่าง Google Chrome, Firefox, Safari, Brave กำลังพยายามแก้ไขปัญหาและคาดว่าจะมีการปล่อยการแก้ไขออกมาในลักษณะของแพตช์ด้านความปลอดภัยในเร็ววันนี้

ที่มา: thehackernews, theregister

Brave Browser กำลังแก้ไขปัญหาด้าน Privacy ที่เกิดจากข้อบกพร่องในโหมด Private Window with Tor ที่ทำให้ข้อมูลการเยื่ยมชม Tor Onion URL บนโดเมน .onion และบน Dark Web ถูกส่งไปยังเซิร์ฟเวอร์ DNS ที่ผู้ใช้กำหนดไว้

Brave เป็น Chromium-based เบราว์เซอร์ที่มีฟีเจอร์เด่นในเรื่องของ Privacy รวมถึงการบล็อกโฆษณาและควบคุมข้อมูลที่มีความเป็นส่วนตัวและมีโหมดการใช้งานบนเครือข่าย Tor ซึ่งเป็นฟีเจอร์ที่เพิ่มความเป็น Anonymity ในการเข้าถึงเว็บไซต์โดยไม่ระบุตัวตนที่จะช่วยให้ผู้ใช้สามารถเข้าถึงโดเมน .onion บน Dark Web ได้โดยไม่ต้องติดตั้ง Tor

ข้อผิดพลาดเกิดขึ้นจากการเข้าถึง URL ของ Brave Browser ที่ได้เพิ่มโหมด Private Window with Tor ซึ่งทำหน้าที่เป็นพร็อกซีให้กับเครือข่าย Tor เมื่อผู้ใช้ทำการเชื่อมต่อ URL กับโดเมน .onion ซึ่งปกติจะไม่เปิดเผยข้อมูล IP address ให้กับผู้ให้บริการอินเทอร์เน็ต (ISP), ผู้ให้บริการเครือข่าย Wi-Fi และเว็บไซต์เอง อย่างไรก็ดีได้มีนักวิจัยด้านความปลอดภัยพบว่า Brave ได้เปิดเผยข้อมูล onion URL ไปยังเซิร์ฟเวอร์ DNS Provider ที่ผู้ใช้กำหนดไว้เช่นเซิร์ฟเวอร์ของ Google ที่มี IP address คือ 8.8.8.8

หลังจากที่ทีมงานของ Brave Software ได้รับรายงานปัญหาจึงได้ทำการตรวจสอบ พบว่ามีข้อบกพร่องในฟีเจอร์ CNAME decloaking ad-blocking ที่เป็นฟีเจอร์ที่ถูกเปิดใช้เพื่อบล็อก Tracking Script จาก Third-party ด้วยเหตุนี้ทางทีมงานจึงได้ปิด CNAME Adblocking เมื่อผู้ใช้เปิดโหมด Tor Browsing โดยข้อบกพร่องดังกล่าวจะถูกแก้ไขในเวอร์ชัน V1.20.108 ทั้งนี้ผู้ใช้ Brave Browser สามารถทำการอัปเดตเป็นเวอร์ชันล่าสุดได้แล้ว

ที่มา: bleepingcomputer, thehackernews, zdnet

เว็บไซต์ SitePoint เว็บสอนด้านการพัฒนาและออกแบบเว็บไซต์ชื่อดังออกมายอมรับว่าระบบของตนตกเป็นเหยื่อในการโจมตีหลังจากมีการพบฐานข้อมูลของเว็บไชต์ SitePoint ถูกขายในฟอรั่มแฮกเกอร์กว่าหนึ่งล้านราย โดยการโจมตีนั้นเกิดขึ้นในเดือนธันวาคม 2020

ฐานข้อมูลที่ถูกพบประกอบด้วยข้อมูลของสมาชิกผู้ใช้งานเว็บไชต์ SitePoint จำนวน 1,020,959 คน ซึ่งมีรายละเอียดคือ ชื่อบัญชีผู้ใช้งาน, อีเมลรหัสผ่านที่แฮชฟังก์ชั่น bcrypt และ slate, วันเดือนปีเกิด, ประเทศ, IP address และข้อมูลอื่น ๆ

SitePoint ได้ทำการสอบสวนเหตุการณ์การบุกรุก พบว่าผู้ประสงค์ร้ายได้เข้าถึงเครือข่ายผ่านการละเมิดเครื่องมือสำหรับ third party และคีย์ API ที่ถูกขโมยเพื่อเข้าถึง codebase และระบบของ SitePoint

ทั้งนี้ SitePoint ได้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งานแล้วผู้ใช้ที่เข้าสู่ระบบต้องทำการตั้งรหัสผ่านใหม่เป็นจำนวน 10 ตัวอักษรขึ้นไปก่อนเข้าสู่ระบบ อย่างไรก็ดีหากมีการใช้รหัสผ่าน SitePoint ของผู้ใช้ในเว็บไซต์อื่น ๆ ผู้ใช้ควรเปลี่ยนรหัสผ่านใหม่ซึ่งใช้แยกจากระบบอื่น ๆ และควรระมัดระวังการโจมตีแบบฟิชชิงจากอีเมลด้วย

ที่มา: zdnet, bleepingcomputer

บริษัท WildWorks ผู้พัฒนาและจัดจำหน่ายเกม Animal Jam ได้ออกแถลงการณ์ถึงการถูกละเมิดเซิร์ฟเวอร์ฐานข้อมูลของบริษัทที่มีบัญชีผู้ใช้จำนวน 46 ล้านคนหลุดออกไปและถูกนำไปขาย Dark Web

ตามคำแถลงการณ์ระบุว่าแฮกเกอร์ได้ทำการละเมิดเซิร์ฟเวอร์ฐานข้อมูลของบริษัทที่ถูกดูแลด้วยบริษัท third-party โดยการบุกรุกอยู่ในช่วงระหว่างวันที่ 10 ถึง 12 ตุลาคมที่ผ่านมา ซึ่งในขณะนั้นไม่ปรากฏว่ามีการเข้าถึงฐานข้อมูลของชื่อบัญชีอันเป็นผลมาจากการบุกรุกและระบบที่เกี่ยวข้องทั้งหมด อย่างไรก็ดี WildWorks ได้ทราบข่าวการขโมยฐานข้อมูล ในวันที่ 11 พฤศจิกายน 2020 เมื่อนักวิจัยด้านความปลอดภัยที่ตรวจสอบฟอรัมแฮกเกอร์ได้เห็นข้อมูลบัญชีผู้ใช้จำนวนจำนวน 7 ล้านรายการในฟอรัมของ Dark Web และทำการแจ้งเตือน WildWorks

WildWorks กล่าวว่าผู้ประสงค์ร้ายสามารถขโมย Email addresses ของบัญชีผู้ปกครองได้เป็นจำนวน 7 ล้านรายการและชื่อผู้ใช้ 32 ล้านชื่อที่เชื่อมโยงกับบัญชีผู้ปกครอง ซึ่งมีรหัสผ่านที่เข้ารหัสไว้, วันเกิด, เพศของผู้เล่นและข้อมูลอื่น ๆ ทั้งนี้ไม่มีชื่อจริงของเด็กๆ ที่เป็นส่วนหนึ่งของการละเมิดครั้งนี้

ทั้งนี้ Boris Cipot วิศวกรฝ่ายขายอาวุโสของ Synopsys ได้ออกเเจ้งเตือนผู้ใช้ให้อัปเดตรหัสผ่านทันที เพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากบัญชีที่ถูกละเมิดทำการหาประโยชน์จากผู้ใช้

ที่มา: threatpost

Microsoft ออกเเจ้งเตือนถึง Android ransomware สายพันธุ์ใหม่ที่ใช้กลไก "incoming call" หรือการแจ้งเตือนสายเรียกเข้าเพื่อหลอกผู้ใช้ให้กดรับสายและเพื่อเป็นการเปิดการทำงานในการล็อกหน้าจอบนอุปกรณ์ของผู้ใช้

แรนซัมแวร์ที่ถูกเเจ้งเตือนมีชื่อ AndroidOS/MalLocker.