Spyware บน Android ตัวใหม่ชื่อว่า ClayRat กำลังหลอกล่อเหยื่อที่เป็นเป้าหมาย โดยปลอมตัวเป็นแอปพลิเคชัน และบริการยอดนิยมหลายรายการ เช่น WhatsApp, Google Photos, TikTok และ YouTube

(more…)

มัลแวร์ที่รู้จักกันในชื่อ Latrodectus ได้กลายเป็นมัลแวร์ตัวล่าสุดที่นำเทคนิค Social Engineering ที่ใช้กันอย่างแพร่หลายที่เรียกว่า ClickFix มาใช้เป็นช่องทางในการแพร่กระจาย (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจอันตรายซึ่งถูกอัปโหลดขึ้นไปยัง Python Package Index (PyPI) repository ซึ่งทำหน้าที่เป็นเครื่องมือตรวจสอบ เพื่อยืนยันความถูกต้องของ email addresses ที่ถูกขโมยมาว่าสามารถใช้งานกับ API ของ TikTok และ Instagram ได้หรือไม่

ปัจจุบันแพ็กเกจทั้งสามรายการนี้ ไม่สามารถดาวน์โหลดได้บน PyPI แล้ว โดยชื่อของแพ็กเกจ Python มีดังต่อไปนี้ :

checker-SaGaF (ดาวน์โหลด 2,605 ครั้ง)
steinlurks (ดาวน์โหลด 1,049 ครั้ง)
sinnercore (ดาวน์โหลด 3,300 ครั้ง)

Olivia Brown นักวิจัยของ Socket ระบุว่า "แพ็กเกจ 'checker-SaGaF' จะทำหน้าที่ในการตรวจสอบว่าอีเมลนั้นมีการเชื่อมโยงกับบัญชีของ TikTok และ Instagram หรือไม่"

โดยเฉพาะ แพ็กเกจนี้ถูกออกแบบมาเพื่อส่ง HTTP POST request ไปยัง API การกู้คืนรหัสผ่านของ TikTok และการเข้าสู่ระบบของ Instagram เพื่อตรวจสอบว่าอีเมลที่กรอกเข้าไปนั้นถูกต้องหรือไม่ ซึ่งหมายความว่ามีบัญชีที่ผูกกับอีเมลดังกล่าวนั้นอยู่จริง

Brown ระบุว่า "เมื่อแฮ็กเกอร์ได้ข้อมูลอีเมลมาแล้ว พวกเขาสามารถข่มขู่เหยื่อด้วยการเปิดเผยข้อมูลส่วนตัว หรือส่งสแปมโจมตีด้วย fake report เพื่อทำให้บัญชีถูกระงับ หรือแค่ยืนยันเป้าหมายก่อนที่จะเริ่มดำเนินการโจมตีด้วยเทคนิค credential stuffing หรือ password spraying"

"รายชื่อผู้ใช้งานที่ผ่านการตรวจสอบแล้วก็มักถูกนำไปขายต่อบน dark web เพื่อทำกำไรอีกด้วย แม้การรวบรวมรายชื่ออีเมลที่ยังใช้งานอยู่จะดูเหมือนไม่เป็นอันตราย แต่ข้อมูลเหล่านี้สามารถนำไปใช้ และเร่งกระบวนการโจมตีทั้งหมด อีกทั้งยังช่วยหลีกเลี่ยงการตรวจจับได้ ด้วยการมุ่งเป้าไปที่บัญชีที่ยืนยันแล้วว่ามีการใช้งานจริงเท่านั้น"

สำหรับแพ็กเกจที่สองชื่อว่า "steinlurks" ก็ใช้วิธีคล้ายกัน โดยมุ่งเป้าไปที่บัญชี Instagram ผ่านการส่ง HTTP POST request ปลอม โดยเลียนแบบแอป Instagram บน Android เพื่อหลบเลี่ยงการตรวจจับ ซึ่งแพ็กเกจนี้ใช้วิธีการเข้าถึง API ที่แตกต่างออกไป

i.instagram[.]com/api/v1/users/lookup/
i.instagram[.]com/api/v1/bloks/apps/com.

เมื่อวันศุกร์ที่ผ่านมา คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ได้สั่งปรับ TikTok เป็นเงินจำนวน 530 ล้านยูโร (601 ล้านดอลลาร์) เนื่องจากการละเมิดข้อบังคับการคุ้มครองข้อมูลในภูมิภาคโดยการโอนข้อมูลของผู้ใช้ในยุโรปไปยังประเทศจีน (more…)

กลุ่มผู้สนับสนุนด้าน Privacy ที่ไม่แสวงหาผลกำไร "None of Your Business" (noyb) ยื่นฟ้อง TikTok, AliExpress, SHEIN, Temu, WeChat และ Xiaomi สำหรับการถ่ายโอนข้อมูลผู้ใช้งานในยุโรปไปยังประเทศจีนอย่างผิดกฎหมาย และละเมิดกฎระเบียบการปกป้องข้อมูลทั่วไปของสหภาพยุโรป (GDPR) (more…)

เมื่อวันศุกร์ที่ผ่านมา (2 กันยายน 2565) กลุ่มแฮ็กเกอร์ที่ใช้ชื่อว่า ‘AgainstTheWest’ ได้อ้างว่าทำการขโมยข้อมูลของทั้ง TikTok และ WeChat มาจาก Cloud instance ของ Alibaba โดยมีข้อมูลผู้ใช้งานของทั้ง 2 แพลตฟอร์ม อยู่กว่า 2.05 พันล้านรายการในฐานข้อมูลขนาด 790 GB ประกอบไปด้วย ข้อมูลของผู้ใช้, สถิติการใช้งานของแพลตฟอร์ม, source code ** ของ Software, auth tokens, ข้อมูลของเซิร์ฟเวอร์ และอื่น ๆ อีกมากมาย

แม้ว่าชื่อ ‘AgainstTheWest’ จะดูเหมือนเป็นกลุ่มแฮ็กเกอร์ที่มุ่งเป้าโจมตีไปยังประเทศแถบตะวันตก แต่เป้าหมายจริง ๆ ของทางกลุ่มกลับเป็นประเทศที่เป็นภัยคุกคามต่อประเทศทางฝั่งตะวันตกมากกว่า โดยกลุ่มดังกล่าวจะมุ่งเป้าโจมตีไปที่จีน และรัสเซีย อีกทั้งยังมีแผนที่จะเพิ่มเป้าหมายไปยังเกาหลีเหนือ เบลารุส และอิหร่านในอนาคต

หลังจากนั้น TikTok ได้ออกมาปฏิเสธข่าวการรั่วไหลของ Source Code และข้อมูลผู้ใช้งานที่แฮ็กเกอร์อ้างว่าได้ขโมยไปจากบริษัท ซึ่งทาง TikTok ให้ข้อมูลกับ BleepingComputer ว่าข้อมูลนั้นไม่มีความเกี่ยวข้องกับทางบริษัท และข้อมูล Source Code ที่แชร์อยู่บนแพลตฟอร์มข้อมูลรั่วไหลก็ไม่ได้เป็นส่วนหนึ่งของ TikTok ซึ่ง TikTok ยืนยันว่ามีการป้องกันระบบที่เพียงพอ และมีการป้องกันการใช้สคริปต์สำหรับการเก็บรวบรวมข้อมูลของผู้ใช้งาน

แม้ว่า WeChat และ TikTok เป็นบริษัทจากประเทศจีนเหมือนกัน แต่ก็ไม่ได้อยู่ภายใต้บริษัทแม่บริษัทเดียวกัน โดย WeChat นั้นเป็นของ Tencent ส่วน TikTok เป็นของ ByteDance ดังนั้นหากมีข้อมูลรั่วไหลของทั้งสองบริษัทจากฐานข้อมูลเดียวกัน จึงมีความเป็นไปได้ว่าไม่ใช่การรั่วไหลจากแพลตฟอร์มโดยตรง ซึ่งอาจเป็นไปได้ว่าฐานข้อมูลที่เผยแพร่ออกมานั้นมาจากบุคคลที่ 3 หรือโบรกเกอร์ที่มีการคัดลอกข้อมูลจากทั้งสองแพลตฟอร์มลงไปในฐานข้อมูลเดียวกัน

อีกทั้ง Troy Hunt ผู้สร้าง HaveIBeenPwned และ Bob Diachenko, Database hunter ได้ให้ความเห็นใกล้เคียงกันว่าข้อมูลผู้ใช้งานนั้นเป็นของจริง แต่ไม่พบหลักฐานที่พิสูจน์ได้ว่าได้มาจาก TikTok ซึ่งไม่สามารถสรุปที่มาของข้อมูลให้เป็นรูปธรรมได้

หากมีการวิเคราะห์เพิ่มเติม และพบว่าข้อมูลทั้งหมดนั้นถูกต้อง TikTok จะถูกบังคับให้ดำเนินการลดผลกระทบของการรั่วไหลของข้อมูล ถึงแม้ว่าเหตุการณ์ข้อมูลรั่วไหลจะไม่ได้เกิดจาก TikTok เองก็ตาม

ที่มา : bleepingcomputer

ตามรายงานจาก The Wall Street Journal ที่ได้ทำการตรวจสอบ TikTok พบว่า TikTok ใช้ช่องโหว่บางอย่างเพื่อหลีกเลี่ยงการปกป้องความเป็นส่วนตัวใน Android และเพื่อรวบรวมที่จะสามารถระบุตัวตนที่ไม่ซ้ำกันได้จากอุปกรณ์มือถือหลายล้านเครื่อง ซึ่งเป็นข้อมูลที่จะช่วยให้แอปพลิเคชันติดตามผู้ใช้ทางออนไลน์โดยไม่ได้รับอนุญาต

The Wall Street Journal กล่าวว่า TikTok ใช้ช่องโหว่ในการรวบรวม MAC addresses เป็นเวลาอย่างน้อย 15 เดือนและการรวบรวมข้อมูลถูกหยุดลงในเดือนพฤศจิกายน 2020 หลังจากบริษัท ByteDance ตกอยู่ภายใต้การตรวจสอบอย่างเข้มงวดในกรุงวอชิงตันดีซี โดย MAC addresses ถือเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ภายใต้ COPA (Children's Online Privacy Protection Act) ซึ่งเป็นตัวระบุเฉพาะที่พบในอุปกรณ์สื่อสารที่เปิดใช้งานอินเทอร์เน็ตทั้งหมดรวมถึงอุปกรณ์ที่ใช้ระบบ Android และ iOS ซึ่งข้อมูล MAC addresses สามารถใช้เพื่อกำหนดเป้าหมายในการโฆษณาไปยังผู้ใช้ที่เฉพาะเจาะจงหรือติดตามบุคคลที่ใช้งานได้

TikTok ได้ออกมาโต้แย้งต่อการค้นพบของ The Wall Street Journal โดยกล่าวว่า TikTok เวอร์ชันปัจจุบันไม่ได้รวบรวม MAC addresses แต่จากการตรวจสอบพบว่าบริษัทได้รวบรวมข้อมูลดังกล่าวมาหลายเดือนแล้ว

ทั้งนี้ iOS ของ Apple จะบล็อก third party ไม่ให้อ่าน MAC addresses ซึ่งเป็นส่วนหนึ่งของคุณสมบัติความเป็นส่วนตัวที่เพิ่มเข้ามาในปี 2013 แต่บน Android การใช้ช่องโหว่เพื่อรวบรวมข้อมูล MAC addresses ยังคงอยู่และสามารถใช้ประโยชน์จากช่องโหว่ได้ ถึงแม้ว่าการตรวจสอบจะพบว่า TikTok ไม่ได้รวบรวมข้อมูลจำนวนมากผิดปกติและโดยทั่วไปแล้วจะแจ้งล่วงหน้าเกี่ยวกับการรวบรวมข้อมูลผู้ใช้แต่ WSJ พบว่าบริษัทแม่ ByteDance ยังดำเนินการรวบรวมข้อมูลจากผู้ใช้อยู่

ที่มา: securityweek

TikTok ได้ประกาศเข้าร่วมโครงการ bug bounty ร่วมกับแพลตฟอร์ม HackerOne เพื่อเปิดโอกาสให้แฮ็กเกอร์และนักวิจัยด้านความปลอดภัยสามารถทำการให้ค้นหาช่องโหว่ในเว็บไซต์หลักซึ่งรวมถึงโดเมนย่อยต่างๆ และแอปพลิเคชันบน Android และ iOS

โดยช่องโหว่และข้อบกพร่องที่มีความรุนแรงสูง TikTok จะจ่ายให้กับผู้ค้นพบเป็นเงินรางวัลตั้งเเต่ 1,700 ถึง 6,900 ดอลลาร์(ประมาณ 53,074 ถึง 215,418 บาท) ทั้งนี้ช่องโหว่ที่มีความสำคัญและมีความรุนเเรงสูงผู้ค้นพบจะสามารถได้รับรางวัลสูงถึง 14,800 ดอลลาร์ (ประมาณ 461,959 บาท) ซึ่งจะพิจารณาจากคะแนนความรุนเเรง CVSS ของช่องโหว่

Luna Wu จากทีม TikTok Global Security ได้กล่าวว่าความร่วมมือในการหาช่องโหว่และข้อบกพร่องครั้งนี้จะช่วยให้ TikTok ได้รับข้อมูลเชิงลึกจากนักวิจัยด้านความปลอดภัยชั้นนำของโลก, นักวิชาการและผู้เชี่ยวชาญอิสระเพื่อเปิดเผยภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นได้ในแอปพลิเคชัน ซึ่งจะทำให้การป้องกันความปลอดภัยของ TikTok แข็งแกร่งยิ่งขึ้น

ที่มา: securityweek.