X ออกประกาศเตือนให้ผู้ใช้ทำการลงทะเบียน security keys หรือ passkeys สำหรับ two-factor authentication (2FA) ใหม่อีกครั้งก่อนวันที่ 10 พฤศจิกายน มิเช่นนั้นผู้ใช้อาจถูกล็อกไม่ให้เข้าถึงบัญชีของตนจนกว่าจะดำเนินการลงทะเบียนใหม่

ในบนแพลตฟอร์ม X บริษัทระบุว่า การเปลี่ยนแปลงนี้จะมีผลเฉพาะกับผู้ใช้ที่ใช้ หรือ hardware-based security keys เช่น YubiKey เท่านั้น

ทั้งสองวิธีการยืนยันตัวตนนี้ จะมีการป้องกันที่แข็งแกร่งต่อการโจมตีแบบฟิชชิง โดยใช้ cryptographic keys ที่ถูกจัดเก็บไว้อย่างปลอดภัยภายในอุปกรณ์ หรือระบบปฏิบัติการในการตรวจสอบตัวตนของผู้ใช้ แทนที่จะพึ่งพาข้อมูล credentials แบบเดิมซึ่งเสี่ยงต่อการถูกขโมยจากมัลแวร์ หรือการโจมตีแบบฟิชชิง

บัญชีทางการด้านความปลอดภัย (Safety) ของ X โพสต์เมื่อสัปดาห์ที่แล้วว่า ภายในวันที่ 10 พฤศจิกายนนี้ บัญชีผู้ใช้ทั้งหมดที่ใช้ security keys เป็นวิธีการยืนยันตัวตนแบบ two-factor authentication (2FA) จะต้องทำการลงทะเบียน keys ของตนใหม่ เพื่อให้สามารถเข้าถึง X ได้ตามปกติ

ผู้ใช้มีทางเลือกลงทะเบียน security keys ใหม่ได้สองวิธีคือ ลงทะเบียน security keys ที่มีอยู่แล้วซ้ำ หรือเพิ่ม security keys ใหม่ อย่างไรก็ตาม หากเลือกเพิ่ม security keys ใหม่ keys เก่าทั้งหมดจะไม่สามารถใช้งานได้อีกต่อไปจนกว่าจะลงทะเบียนซ้ำ

หลังวันที่ 10 พฤศจิกายน บัญชีที่ไม่ได้ลงทะเบียน security keys ใหม่จะถูกล็อก การเข้าถึงบัญชีจะกลับมาเป็นปกติเมื่อผู้ใช้ลงทะเบียน security keys ใหม่ ใช้วิธี 2FA แบบอื่น หรือปิดใช้งาน 2FA ทั้งนี้ X ยังคงแนะนำให้เปิดใช้งาน 2FA เพื่อความปลอดภัยสูงสุดของบัญชี

ทั้งนี้ X ชี้แจงว่าการเปลี่ยนแปลงดังกล่าวไม่ได้เกิดจากเหตุการณ์ด้านความปลอดภัย แต่เป็นผลจากการย้ายระบบจากโดเมน twitter.

แฮ็กเกอร์ได้สร้างกลุ่มพูดคุยสำหรับเกม Play-to-earn ปลอม ที่ชื่อว่า 'Cthulhu World' ซึ่งมีทั้งเว็บไซต์ กลุ่ม Discord บัญชีโซเชียล และเว็ปไซต์สำหรับนักพัฒนา เพื่อแพร่กระจายมัลแวร์ Raccoon Stealer, AsyncRAT และ RedLine เพื่อใช้ขโมยข้อมูลของเหยื่อที่หลงเชื่อ

เนื่องจากปัจจุบันเกมประเภท Play-to-earn กำลังเพิ่มสูงขึ้นเป็นจำนวนมาก กลุ่มผู้โจมตีจึงมุ่งเป้าไปยังกลุ่มผู้ที่สนใจแพลตฟอร์มประเภทนี้

โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ชื่อว่า iamdeadlyz เป็นผู้พบว่าทั้งโปรเจ็คของ 'Cthulhu World' ถูกสร้างขึ้นอย่างปลอม ๆ ทั้งหมด

โดยผู้โจมตีจะส่งข้อความไปยังผู้ใช้งานบน Twitter โดยตรง เพื่อชักชวนให้ทำการทดสอบเกมใหม่ของพวกเขา โดยเพื่อเป็นการตอบแทนสำหรับการทดสอบ และช่วยโปรโมตเกม iamdeadlyz ระบุว่าผู้โจมตีสัญญาว่าจะให้รางวัลเป็น Ethereum จำนวนหนึ่ง

เมื่อเข้าไปยังเว็บไซต์ cthulhu-world.

ผู้เชี่ยวชาญจาก CloudSEK พบ Mobile Application กว่า 3,207 แอพพลิเคชันที่มีการเปิดเผย API Key ของ Twitter ออกสู่สาธารณะ ส่งผลให้ผู้ใช้งานมีความเสี่ยงถูกเข้าถึงบัญชี Twitter

รายละเอียดของเหตุการณ์

โดยปกติเมื่อผู้พัฒนาทำการ Integrate Mobile Application เข้ากับบัญชี Twitter ผู้พัฒนาจะได้รับ Key หรือ Token สำหรับใช้เชื่อมต่อกับ API ของ Twitter
เมื่อผู้ใช้งานแอพพลิเคชันทำการเชื่อมโยง Mobile Application เข้ากับบัญชี Twitter ของตน API Key จะช่วยให้แอพพลิเคชันสามารถดำเนินการต่าง ๆ ในนามของผู้ใช้งานได้ เช่น การเข้าสู่ระบบผ่านทาง Twitter การสร้างทวีต การส่ง DM เป็นต้น
ซึ่งปกติ ข้อมูลประจำตัวจะถูกเก็บไว้ในแอปพลิเคชันบนมือถือที่ตำแหน่งต่อไปนี้
1. resources/res/values/strings.

Twitter เจอกับปัญหาข้อมูลรั่วไหล หลังจากที่มีผู้โจมตีประกาศขายข้อมูลที่มีหมายเลขโทรศัพท์ และที่อยู่อีเมลของผู้ใช้งานกว่า 5.4 ล้านบัญชี โดยข้อมูลนี้ได้ถูกประกาศขายลงใน Darkweb ในราคา 30,000 ดอลลาร์สหรัฐ

เมื่อวันที่ 21 กรกฎาคม ที่ผ่านมามีผู้ใช้งาน Darkweb ชื่อว่า “Devil” ได้ประกาศในฟอรั่มของตัวเองว่าฐานข้อมูลที่ขโมยมาได้นั้นมีข้อมูลเกี่ยวกับบัญชีต่าง ๆ รวมถึงคนดัง บริษัทต่าง ๆ และผู้ใช้รายอื่น ๆ แบบสุ่ม

BleepingComputer สอบถามไปยังแฮ็กเกอร์ผู้ประกาศขายข้อมูลได้ระบุว่าพวกเขาใช้ช่องโหว่ในการรวบรวมข้อมูลมาตั้งแต่เดือนธันวาคม 2564 และตอนนี้ข้อมูลที่พวกเขาเสนอขายในราคา 30,000 ดอลลาร์สหรัฐ ก็มีผู้ที่สนใจติดต่อมาแล้ว

ช่องโหว่นี้ได้ถูกพบโดยผู้ใช้ HackerOne ที่มีชื่อว่า “zhirinovskiy” และได้ส่งรายงานช่องโหว่ให้กับทาง Twitter ตั้งแต่เมื่อวันที่ 1 มกราคม ที่ผ่านมา และหลังจากที่มีการโพสน์รายงานช่องโหว่หลังจากนั้น 5 วัน ทาง Twitter ได้มีการแก้ไขช่องโหว่ดังกล่าวแล้ว และได้ให้รางวัล Bugbounty กับ zhirinovskiy เป็นเงิน 5,040$

ลักษณะการโจมตี

ในส่วนของวิธีการโจมตีนั้น ได้มีการใช้ช่องโหว่ที่ผู้โจมตีสามารถค้นหาบัญชีผู้ใช้ Twitter ได้จากหมายเลขโทรศัพท์ หรืออีเมล ถึงแม้ว่าผู้ใช้จะปิดฟังก์ชั่นนี้ในตัวเลือกความเป็นส่วนตัว (Privacy option) แล้วก็ตาม โดยช่องโหว่นี้เกิดขึ้นเฉพาะกับ Android client ของ Twitter

ซึ่งทาง zhirinovskiy ก็ได้บอกถึงขั้นตอน และวิธีการโจมตีโดยทำการทดสอบให้ดูดังนี้

ก่อนที่จะเริ่มทำการทดลองให้ทำการ Disable discoverability ในการตั้งค่าบัญชี Twitter ก่อน

1. ในขั้นตอนแรกจะทำการสร้าง LoginFlow โดยส่งคำขอ POST ไปที่ hxxps://api.

Twitter ประการเพิ่มการรองรับ 2FA Security Key สำหรับ Mobile และ Web

Twitter ประการเพิ่มการรองรับ Security Key สำหรับการลงชื่อเข้าใช้งานบัญชี ซึ่งฟีเจอร์ดังกล่าวมาพร้อมกับการรับรองความถูกต้องด้วย Two-factor authentication (2FA) สำหรับการลงชื่อเข้าใช้ด้วยเว็บและแอปบนอุปกรณ์ Mobile

นอกจากนี้ Twitter ยังได้ประกาศตัวเลือกในอนาคตสำหรับบัญชีที่เปิดใช้งาน 2FA เพื่อทำให้สามารถใช้งานคีย์ความปลอดภัยเป็นวิธีการตรวจสอบสิทธิ์หลักในขณะที่ปิดใช้วิธีการเข้าสู่ระบบอื่นๆ ทั้งหมด

Twitter ได้เพิ่มการรองรับการใช้คีย์ความปลอดภัยเมื่อลงชื่อเข้าใช้แอพมือถือ (Android และ iOS) สำหรับบัญชีที่เปิดใช้งาน 2FA เมื่อเดือนธันวาคม 2020 ที่ผ่านมา โดยสำหรับ 2FA เป็นลำดับชั้นความปลอดภัยเพิ่มเติมสำหรับบัญชี Twitter ที่กำหนดให้ผู้ใช้ต้องใช้คีย์ความปลอดภัยหรือป้อนรหัสเพิ่มเติม นอกเหนือจากการป้อนรหัสผ่านเท่านั้นเพื่อทำให้ให้การตรวจสอบสิทธิ์ทำได้สำเร็จ ซึ่งด้วยวิธีการนี้จะทำให้ผู้ใช้มีแน่ใจว่ามีเพียงเจ้าบัญชีของเท่านั้นที่จะสามารถเข้าสู่ระบบและป้องกันความพยายามของผู้ประสงค์ร้ายในการเข้ายึดบัญชีโดยการคาดเดาหรือรีเซ็ตรหัสผ่าน

ทั้งนี้หากผู้ใช้ต้องการเปิดการรับรองความถูกต้องด้วย 2FA ในบัญชี Twitter ผู้ใช้สามารถไปไปที่เมนูโปรไฟล์ของคุณใน จากนั้นไปที่การตั้งค่าและความเป็นส่วนตัว จากนั้นไปที่ความปลอดภัยและการเข้าถึงบัญชีและทำการเปิดใช้งานการรับรองความถูกต้องด้วย 2FA

ที่มา : bleepingcomputer

ทวิตเตอร์แจ้งเตือนบั๊กซึ่งอาจส่งให้ผลให้ข้อมูล API key และ token หลุด

Twitter มีการส่งอีเมลแจ้งเตือนไปยังกลุ่มนักพัฒนาซึ่งมีการสร้างและใช้งาน API key ของแพลตฟอร์มเมื่อสัปดาห์ที่ผ่านมาหลังจากตรวจพบว่าที่หน้าเพจ developer.

Twitter ได้ประกาศการแก้ไขช่องโหว่ด้านความปลอดภัยในแอป Twitter สำหรับ Android ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้รวมไปถึง Direct Messages

Twitter กล่าวว่าทาง Twitter ได้ทำการค้นพบและทำการเเก้ไขช่องโหว่ดังกล่าวแล้ว ซึ่งช่องโหว่ดังกล่าวจะส่งผลกระทบกับแอป Twitter สำหรับ Android ที่ติดตั้งบนระบบปฏิบัติการ Android เวอร์ชั่น 8 และ 9 ซึ่ง ณ ขณะนี้ยังไม่มีหลักฐานว่ามีผู้ประสงค์ร้ายใช้ช่องโหว่ของ Twitter ทำการโจมตี ทั้งนี้แอป Twitter สำหรับ iOS และ Twitter.

เด็กหนุ่มวัย 17 ปีตกเป็นผู้ต้องสงสัยในคดีแฮก Twitter และทำการหลอกลวงให้โอนเงิน Bitcoin

ในการเเถลงการของกระทรวงยุติธรรมและอัยการรัฐซึ่งเเถลงโดย Andrew H. Warren อัยการสูงสุดของฮิลส์โบโร่ ได้ประกาศการจับกุมผู้ต้องสงสัย 3 คนในการเเฮกบัญชี Twitter และทำการหลอกลวงให้โอนเงิน Bitcoin ไปยังบัญชีที่เกี่ยงข้องกับกลุ่มเเฮกเกอร์ ตามรายงานข่าว WFLA-TV ของฟลอริด้าซึ่งรายงานเกี่ยวกับการจับกุมผู้ต้องสงสัยที่ถูกจับกุมเป็นรายเเรกคือ Graham Ivan Clark เด็กหนุ่มวัย 17 ปีจาก Tampa เขต Hillsborough, Florida รายที่ 2 คือ Mason Sheppard หรือที่รู้จักกันในชื่อ "Chaewon” อายุ 19 ปีอาศัยอยู่ที่ Bognor Regis ในสหราชอาณาจักร และคนสุดท้าย Nima Fazeli หรือที่รู้จักกันในชื่อ “Rolex” อายุ 22 ปี จาก Orlando, Florida การจับกุมครั้งนี้เป็นการร่วมมือกันของหน่วยงาน FBI, IRS, DOJ และหน่วยสืบราชการลับ

ตามรายงานการจับกุมเปิดเผยว่าเมื่อ 15 กรกฎาคมที่ผ่านมา Clark สามารถเข้าถึงแบ็กเอนด์ของ Twitter โดยการใช้โทรศัพท์เพื่อทำการ Social-engineering พนักงานของ Twitter ด้วยการใช้ Credential ของพนักงาน Twitter ทำให้พวกเขาเข้าถึงเครื่องมือจากในแบ็กเอนด์ของ Twitter ได้จากนั้นพวกเขาทำการกำหมดเป้าหมายโดยเป็นบัญชี Twitter จำนวน 130 บัญชีเพื่อใช้ในการทวีตข้อความเพื่อหลอกลวงให้โอนเงิน Bitcoin ไปยังบัญชีที่เกี่ยงของกับพวกเขา จากนั้นทำการเซ็ตรหัสผ่าน 45 บัญชีเพื่อครอบครองบัญชีและส่งทวีตใหม่เพื่อโปรโมตการหลอกลวง จากนั้นทำการดาวน์โหลดข้อมูลส่วนตัว 8 บัญชี และกลุ่มเเฮกเกอร์ยังสามารถเข้าถึง Direct messages (DMs) จำนวน 36 บัญชี ซึ่ง 1 ในนั้นเป็นบัญชีการโหวตเสียงลงคะแนนเสียงอย่างเป็นทางการของประเทศเนเธอร์แลนด์

จากการเเฮกครั้งนี้พบว่ามีผู้โอนเงินมากกว่า $100,000 ไปยังบัญชีที่เกี่ยงข้องกับกลุ่มเเฮกเกอร์ จากการจับกุมในครั้งนี้กลุ่มเเฮกเกอร์ถูกตั้งข้อหาความผิดทางอาญาเป็นจำนวน 30 ข้อหา หลังจากเหตุการณ์นี้ Twitter กล่าวว่าจะมีการจำกัดจำนวนพนักงานที่สามารถเข้าถึงเครื่องมือภายในของ Twitter เพื่อป้องกันและลดความเสี่ยงจากการโจมตีในลักษณะนี้

ที่มา: zdnet

เเฮกเกอร์ทำการเข้ายึดบัญชี Twitter อย่างเป็นทางการของ Apple, Kanye, Gates, Bezos และหลายๆ คนดัง หลังจากนั้นเเฮกเกอร์ได้ทำการทวีตข้อความโดยสัญญาว่าจะมอบเงินบิทคอยน์เป็นจำนวนมากถึง 5,000 BTC (ประมาณ 1,436,024,782 บาท) สำหรับผู้ที่โอนเงินระหว่าง 0.1 BTC (ประมาณ 28,720 บาท) ถึง 20 BTC (ประมาณ 5,739,539 บาท) ไปยังที่อยู่บัญชีที่อยู่ในข้อความที่ทวีต

หลังจากพบความผิดปกติ Twitter ได้ทำการล็อคบัญชีที่ถูกแฮกไว้อย่างรวดเร็วและทำการลบทวีตปลอมทั้งหมด ล่าสุด Twitter ได้ทำการเเถลงว่าการที่ Twitter อย่างเป็นทางการของคนดังทั้งหลายที่ทำการทวีตข้อความเพื่อหลอกให้โอนเงินนั้น เกิดจากบัญชีของพนักงานของ Twitter โดนโจมตีโดยการใช้ Social Engineering และทำการเจาะจงบัญชีของพนักงานที่ตกเป็นเหยื่อ จึงทำให้แฮกเกอร์สามารถเข้าถึงระบบและเครื่องมือของ Twitter ได้

ขณะนี้ Twitter ได้ทำการล็อคบัญชีที่ถูกบุกรุกและทำการดำเนินการสอบสวนถึงสาเหตุที่เเท้จริง ซึ่งก็จะมีการอัพเดตเพิ่มเติมอย่างเป็นทางการต่อไป

ที่มา: bleepingcomputer  twitter

Twitter ได้เปิดเผยข้อมูลเพื่อชี้แจ้งถึงความผิดพลาดที่ส่งผลกระทบต่อความเป็นส่วนตัวสำหรับผู้ที่ใช้งานบนระบบ iOS บางราย

รายงานระบุว่า Twitter ได้แจ้งว่าตรวจพบแอพพลิเคชั่นที่ติดตั้งบนระบบปฏิบัติการ iOS มีการจัดเก็บข้อมูลตำแหน่งผู้ใช้งาน (location) และมีการแบ่งปันข้อมูลดังกล่าวกับ Partner ที่มีความน่าเชื่อถือหลายรายโดยไม่ได้ตั้งใจ ข้อผิดพลาดดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้งานมีการเพิ่มบัญชีผู้ใช้งาน Twitter ที่สองบนเครื่อง หากผู้ใช้งานอนุญาตให้ Twitter สามารถเข้าถึงข้อมูลตำแหน่งผู้ใช้งานในบัญชีใดบัญชีหนึ่ง จะส่งผลให้การตั้งค่านั้นมีผลกับอีกบัญชีด้วย ทำให้ผู้ใช้งานที่ไม่ตั้งใจจะแบ่งปันข้อมูลดังกล่าวถูกละเมิดความเป็นส่วนตัว

อย่างไรก็ตาม Twitter อ้างว่า Partners จะไม่ได้รับข้อมูลตำแหน่งที่ชัดเจนของผู้ใช้งาน เนื่องจากข้อมูลดังกล่าวจะถูกแปลงให้มีความแม่นยำของการระบุตำแหน่งลดลงในระยะ 5 กิโลเมตร รวมถึงยืนยันกับทาง partners ว่าข้อมูลตำแหน่งไม่ได้ถูกเก็บไว้และมีอยู่ในระบบของพวกเขาในช่วงระยะเวลาสั้นๆเท่านั้น จากนั้นจะถูกลบออกตามกระบวนการของทางบริษัท

ที่มา: zdnet