ผู้เชี่ยวชาญจาก CloudSEK พบ Mobile Application กว่า 3,207 แอพพลิเคชันที่มีการเปิดเผย API Key ของ Twitter ออกสู่สาธารณะ ส่งผลให้ผู้ใช้งานมีความเสี่ยงถูกเข้าถึงบัญชี Twitter

รายละเอียดของเหตุการณ์

โดยปกติเมื่อผู้พัฒนาทำการ Integrate Mobile Application เข้ากับบัญชี Twitter ผู้พัฒนาจะได้รับ Key หรือ Token สำหรับใช้เชื่อมต่อกับ API ของ Twitter
เมื่อผู้ใช้งานแอพพลิเคชันทำการเชื่อมโยง Mobile Application เข้ากับบัญชี Twitter ของตน API Key จะช่วยให้แอพพลิเคชันสามารถดำเนินการต่าง ๆ ในนามของผู้ใช้งานได้ เช่น การเข้าสู่ระบบผ่านทาง Twitter การสร้างทวีต การส่ง DM เป็นต้น
ซึ่งปกติ ข้อมูลประจำตัวจะถูกเก็บไว้ในแอปพลิเคชันบนมือถือที่ตำแหน่งต่อไปนี้
1. resources/res/values/strings.

Twitter เจอกับปัญหาข้อมูลรั่วไหล หลังจากที่มีผู้โจมตีประกาศขายข้อมูลที่มีหมายเลขโทรศัพท์ และที่อยู่อีเมลของผู้ใช้งานกว่า 5.4 ล้านบัญชี โดยข้อมูลนี้ได้ถูกประกาศขายลงใน Darkweb ในราคา 30,000 ดอลลาร์สหรัฐ

เมื่อวันที่ 21 กรกฎาคม ที่ผ่านมามีผู้ใช้งาน Darkweb ชื่อว่า “Devil” ได้ประกาศในฟอรั่มของตัวเองว่าฐานข้อมูลที่ขโมยมาได้นั้นมีข้อมูลเกี่ยวกับบัญชีต่าง ๆ รวมถึงคนดัง บริษัทต่าง ๆ และผู้ใช้รายอื่น ๆ แบบสุ่ม

BleepingComputer สอบถามไปยังแฮ็กเกอร์ผู้ประกาศขายข้อมูลได้ระบุว่าพวกเขาใช้ช่องโหว่ในการรวบรวมข้อมูลมาตั้งแต่เดือนธันวาคม 2564 และตอนนี้ข้อมูลที่พวกเขาเสนอขายในราคา 30,000 ดอลลาร์สหรัฐ ก็มีผู้ที่สนใจติดต่อมาแล้ว

ช่องโหว่นี้ได้ถูกพบโดยผู้ใช้ HackerOne ที่มีชื่อว่า “zhirinovskiy” และได้ส่งรายงานช่องโหว่ให้กับทาง Twitter ตั้งแต่เมื่อวันที่ 1 มกราคม ที่ผ่านมา และหลังจากที่มีการโพสน์รายงานช่องโหว่หลังจากนั้น 5 วัน ทาง Twitter ได้มีการแก้ไขช่องโหว่ดังกล่าวแล้ว และได้ให้รางวัล Bugbounty กับ zhirinovskiy เป็นเงิน 5,040$

ลักษณะการโจมตี

ในส่วนของวิธีการโจมตีนั้น ได้มีการใช้ช่องโหว่ที่ผู้โจมตีสามารถค้นหาบัญชีผู้ใช้ Twitter ได้จากหมายเลขโทรศัพท์ หรืออีเมล ถึงแม้ว่าผู้ใช้จะปิดฟังก์ชั่นนี้ในตัวเลือกความเป็นส่วนตัว (Privacy option) แล้วก็ตาม โดยช่องโหว่นี้เกิดขึ้นเฉพาะกับ Android client ของ Twitter

ซึ่งทาง zhirinovskiy ก็ได้บอกถึงขั้นตอน และวิธีการโจมตีโดยทำการทดสอบให้ดูดังนี้

ก่อนที่จะเริ่มทำการทดลองให้ทำการ Disable discoverability ในการตั้งค่าบัญชี Twitter ก่อน

1. ในขั้นตอนแรกจะทำการสร้าง LoginFlow โดยส่งคำขอ POST ไปที่ hxxps://api.

Twitter ประการเพิ่มการรองรับ 2FA Security Key สำหรับ Mobile และ Web

Twitter ประการเพิ่มการรองรับ Security Key สำหรับการลงชื่อเข้าใช้งานบัญชี ซึ่งฟีเจอร์ดังกล่าวมาพร้อมกับการรับรองความถูกต้องด้วย Two-factor authentication (2FA) สำหรับการลงชื่อเข้าใช้ด้วยเว็บและแอปบนอุปกรณ์ Mobile

นอกจากนี้ Twitter ยังได้ประกาศตัวเลือกในอนาคตสำหรับบัญชีที่เปิดใช้งาน 2FA เพื่อทำให้สามารถใช้งานคีย์ความปลอดภัยเป็นวิธีการตรวจสอบสิทธิ์หลักในขณะที่ปิดใช้วิธีการเข้าสู่ระบบอื่นๆ ทั้งหมด

Twitter ได้เพิ่มการรองรับการใช้คีย์ความปลอดภัยเมื่อลงชื่อเข้าใช้แอพมือถือ (Android และ iOS) สำหรับบัญชีที่เปิดใช้งาน 2FA เมื่อเดือนธันวาคม 2020 ที่ผ่านมา โดยสำหรับ 2FA เป็นลำดับชั้นความปลอดภัยเพิ่มเติมสำหรับบัญชี Twitter ที่กำหนดให้ผู้ใช้ต้องใช้คีย์ความปลอดภัยหรือป้อนรหัสเพิ่มเติม นอกเหนือจากการป้อนรหัสผ่านเท่านั้นเพื่อทำให้ให้การตรวจสอบสิทธิ์ทำได้สำเร็จ ซึ่งด้วยวิธีการนี้จะทำให้ผู้ใช้มีแน่ใจว่ามีเพียงเจ้าบัญชีของเท่านั้นที่จะสามารถเข้าสู่ระบบและป้องกันความพยายามของผู้ประสงค์ร้ายในการเข้ายึดบัญชีโดยการคาดเดาหรือรีเซ็ตรหัสผ่าน

ทั้งนี้หากผู้ใช้ต้องการเปิดการรับรองความถูกต้องด้วย 2FA ในบัญชี Twitter ผู้ใช้สามารถไปไปที่เมนูโปรไฟล์ของคุณใน จากนั้นไปที่การตั้งค่าและความเป็นส่วนตัว จากนั้นไปที่ความปลอดภัยและการเข้าถึงบัญชีและทำการเปิดใช้งานการรับรองความถูกต้องด้วย 2FA

ที่มา : bleepingcomputer

ทวิตเตอร์แจ้งเตือนบั๊กซึ่งอาจส่งให้ผลให้ข้อมูล API key และ token หลุด

Twitter มีการส่งอีเมลแจ้งเตือนไปยังกลุ่มนักพัฒนาซึ่งมีการสร้างและใช้งาน API key ของแพลตฟอร์มเมื่อสัปดาห์ที่ผ่านมาหลังจากตรวจพบว่าที่หน้าเพจ developer.

Twitter ได้ประกาศการแก้ไขช่องโหว่ด้านความปลอดภัยในแอป Twitter สำหรับ Android ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้รวมไปถึง Direct Messages

Twitter กล่าวว่าทาง Twitter ได้ทำการค้นพบและทำการเเก้ไขช่องโหว่ดังกล่าวแล้ว ซึ่งช่องโหว่ดังกล่าวจะส่งผลกระทบกับแอป Twitter สำหรับ Android ที่ติดตั้งบนระบบปฏิบัติการ Android เวอร์ชั่น 8 และ 9 ซึ่ง ณ ขณะนี้ยังไม่มีหลักฐานว่ามีผู้ประสงค์ร้ายใช้ช่องโหว่ของ Twitter ทำการโจมตี ทั้งนี้แอป Twitter สำหรับ iOS และ Twitter.

เด็กหนุ่มวัย 17 ปีตกเป็นผู้ต้องสงสัยในคดีแฮก Twitter และทำการหลอกลวงให้โอนเงิน Bitcoin

ในการเเถลงการของกระทรวงยุติธรรมและอัยการรัฐซึ่งเเถลงโดย Andrew H. Warren อัยการสูงสุดของฮิลส์โบโร่ ได้ประกาศการจับกุมผู้ต้องสงสัย 3 คนในการเเฮกบัญชี Twitter และทำการหลอกลวงให้โอนเงิน Bitcoin ไปยังบัญชีที่เกี่ยงข้องกับกลุ่มเเฮกเกอร์ ตามรายงานข่าว WFLA-TV ของฟลอริด้าซึ่งรายงานเกี่ยวกับการจับกุมผู้ต้องสงสัยที่ถูกจับกุมเป็นรายเเรกคือ Graham Ivan Clark เด็กหนุ่มวัย 17 ปีจาก Tampa เขต Hillsborough, Florida รายที่ 2 คือ Mason Sheppard หรือที่รู้จักกันในชื่อ "Chaewon” อายุ 19 ปีอาศัยอยู่ที่ Bognor Regis ในสหราชอาณาจักร และคนสุดท้าย Nima Fazeli หรือที่รู้จักกันในชื่อ “Rolex” อายุ 22 ปี จาก Orlando, Florida การจับกุมครั้งนี้เป็นการร่วมมือกันของหน่วยงาน FBI, IRS, DOJ และหน่วยสืบราชการลับ

ตามรายงานการจับกุมเปิดเผยว่าเมื่อ 15 กรกฎาคมที่ผ่านมา Clark สามารถเข้าถึงแบ็กเอนด์ของ Twitter โดยการใช้โทรศัพท์เพื่อทำการ Social-engineering พนักงานของ Twitter ด้วยการใช้ Credential ของพนักงาน Twitter ทำให้พวกเขาเข้าถึงเครื่องมือจากในแบ็กเอนด์ของ Twitter ได้จากนั้นพวกเขาทำการกำหมดเป้าหมายโดยเป็นบัญชี Twitter จำนวน 130 บัญชีเพื่อใช้ในการทวีตข้อความเพื่อหลอกลวงให้โอนเงิน Bitcoin ไปยังบัญชีที่เกี่ยงของกับพวกเขา จากนั้นทำการเซ็ตรหัสผ่าน 45 บัญชีเพื่อครอบครองบัญชีและส่งทวีตใหม่เพื่อโปรโมตการหลอกลวง จากนั้นทำการดาวน์โหลดข้อมูลส่วนตัว 8 บัญชี และกลุ่มเเฮกเกอร์ยังสามารถเข้าถึง Direct messages (DMs) จำนวน 36 บัญชี ซึ่ง 1 ในนั้นเป็นบัญชีการโหวตเสียงลงคะแนนเสียงอย่างเป็นทางการของประเทศเนเธอร์แลนด์

จากการเเฮกครั้งนี้พบว่ามีผู้โอนเงินมากกว่า $100,000 ไปยังบัญชีที่เกี่ยงข้องกับกลุ่มเเฮกเกอร์ จากการจับกุมในครั้งนี้กลุ่มเเฮกเกอร์ถูกตั้งข้อหาความผิดทางอาญาเป็นจำนวน 30 ข้อหา หลังจากเหตุการณ์นี้ Twitter กล่าวว่าจะมีการจำกัดจำนวนพนักงานที่สามารถเข้าถึงเครื่องมือภายในของ Twitter เพื่อป้องกันและลดความเสี่ยงจากการโจมตีในลักษณะนี้

ที่มา: zdnet

เเฮกเกอร์ทำการเข้ายึดบัญชี Twitter อย่างเป็นทางการของ Apple, Kanye, Gates, Bezos และหลายๆ คนดัง หลังจากนั้นเเฮกเกอร์ได้ทำการทวีตข้อความโดยสัญญาว่าจะมอบเงินบิทคอยน์เป็นจำนวนมากถึง 5,000 BTC (ประมาณ 1,436,024,782 บาท) สำหรับผู้ที่โอนเงินระหว่าง 0.1 BTC (ประมาณ 28,720 บาท) ถึง 20 BTC (ประมาณ 5,739,539 บาท) ไปยังที่อยู่บัญชีที่อยู่ในข้อความที่ทวีต

หลังจากพบความผิดปกติ Twitter ได้ทำการล็อคบัญชีที่ถูกแฮกไว้อย่างรวดเร็วและทำการลบทวีตปลอมทั้งหมด ล่าสุด Twitter ได้ทำการเเถลงว่าการที่ Twitter อย่างเป็นทางการของคนดังทั้งหลายที่ทำการทวีตข้อความเพื่อหลอกให้โอนเงินนั้น เกิดจากบัญชีของพนักงานของ Twitter โดนโจมตีโดยการใช้ Social Engineering และทำการเจาะจงบัญชีของพนักงานที่ตกเป็นเหยื่อ จึงทำให้แฮกเกอร์สามารถเข้าถึงระบบและเครื่องมือของ Twitter ได้

ขณะนี้ Twitter ได้ทำการล็อคบัญชีที่ถูกบุกรุกและทำการดำเนินการสอบสวนถึงสาเหตุที่เเท้จริง ซึ่งก็จะมีการอัพเดตเพิ่มเติมอย่างเป็นทางการต่อไป

ที่มา: bleepingcomputer  twitter

Twitter ได้เปิดเผยข้อมูลเพื่อชี้แจ้งถึงความผิดพลาดที่ส่งผลกระทบต่อความเป็นส่วนตัวสำหรับผู้ที่ใช้งานบนระบบ iOS บางราย

รายงานระบุว่า Twitter ได้แจ้งว่าตรวจพบแอพพลิเคชั่นที่ติดตั้งบนระบบปฏิบัติการ iOS มีการจัดเก็บข้อมูลตำแหน่งผู้ใช้งาน (location) และมีการแบ่งปันข้อมูลดังกล่าวกับ Partner ที่มีความน่าเชื่อถือหลายรายโดยไม่ได้ตั้งใจ ข้อผิดพลาดดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้งานมีการเพิ่มบัญชีผู้ใช้งาน Twitter ที่สองบนเครื่อง หากผู้ใช้งานอนุญาตให้ Twitter สามารถเข้าถึงข้อมูลตำแหน่งผู้ใช้งานในบัญชีใดบัญชีหนึ่ง จะส่งผลให้การตั้งค่านั้นมีผลกับอีกบัญชีด้วย ทำให้ผู้ใช้งานที่ไม่ตั้งใจจะแบ่งปันข้อมูลดังกล่าวถูกละเมิดความเป็นส่วนตัว

อย่างไรก็ตาม Twitter อ้างว่า Partners จะไม่ได้รับข้อมูลตำแหน่งที่ชัดเจนของผู้ใช้งาน เนื่องจากข้อมูลดังกล่าวจะถูกแปลงให้มีความแม่นยำของการระบุตำแหน่งลดลงในระยะ 5 กิโลเมตร รวมถึงยืนยันกับทาง partners ว่าข้อมูลตำแหน่งไม่ได้ถูกเก็บไว้และมีอยู่ในระบบของพวกเขาในช่วงระยะเวลาสั้นๆเท่านั้น จากนั้นจะถูกลบออกตามกระบวนการของทางบริษัท

ที่มา: zdnet

เมื่อวันที่ 18 ธันวาคม 2561 ที่ผ่านมาทาง Twitter ได้ออกมาประกาศว่าพบการรั่วไหลของข้อมูลที่เกิดขึ้นบนแพลตฟอร์ม ระบุว่าก่อนหน้านี้ทางทวิตเตอร์ได้ตรวจพบการโจมตีในวันที่ 15 พฤศจิกายนที่ผ่านมา โดยพบการเรียกดูข้อมูลจำนวนมากมาจาก IP ประเทศจีนและซาอุดิอาระเบียผ่านทาง support form ของบริษัทที่ถูกใช้ในการรายงานปัญหาไปยังเจ้าหน้าที่ของ Twitter โดยสงสัยว่าน่าจะเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล (State-sponsored Attack)

ข้อบกพร่องของ API ในส่วนของ support form ทำให้ข้อมูลส่วนบุคคลบางอย่าง เช่น รหัสประเทศ หมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี Twitter ของผู้ใช้ ถูกเปิดเผย ซึ่งได้มีบางส่วนที่รั่วไหลออกไปแต่ไม่ทั้งหมด โดยครั้งนี้นับเป็นปัญหาเกี่ยวกับการรั่วไหลของข้อมูลครั้งที่สองแล้วในปีนี้ โดยครั้งแรกพบในเดือนกันยายนเป็นปัญหาช่องโหว่ของ API ทำให้ผู้พัฒนาแอพพลิเคชั่นบางรายสามารถเข้าถึงข้อมูลการพูดคุยส่วนตัวของผู้ใช้งาน

Twitter ได้ให้ความมั่นใจกับผู้ใช้ว่าการโจมตีครั้งนี้ ข้อมูลเบอร์โทรศัพท์ที่รั่วไหลออกไปไม่ใช่เบอร์เต็มและข้อมูลส่วนบุคคลที่สำคัญอื่นๆ ของผู้ใช้ไม่ได้ถูกเปิดเผย และได้ประกาศว่าทำการแก้ไขช่องโหว่เป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม Twitter ไม่ได้ให้ข้อมูลอื่นๆ เพิ่มเติมเกี่ยวกับเกี่ยวกับการโจมตีดังกล่าว หรือข้อมูลจำนวนบัญชีของผู้ใช้ (Account) ที่ได้รับผลกระทบจากการโจมตีในครั้งนี้แต่อย่างใด

ที่มา:zdnet.

Source Code ของ Snapchat Social Media ที่ได้รับความนิยม ถูกแฮกเกอร์นำมาโพสไว้บน GitHub

GitHub Account ที่ชื่อว่า Khaled Alshehri (i5xx) ซึ่งอ้างว่ามาจากปากีสถาน ได้สร้างพื้นที่เก็บข้อมูล GitHub ที่เรียกว่า Source-Snapchat พร้อมคำอธิบายว่า "Source Code for SnapChat" และเผยแพร่โค้ดที่อ้างว่าเป็นแอพพลิเคชั่น Snapchat บน iOS

บริษัท Snap ได้ติดต่อไปยัง GitHub เพื่อใช้สิทธิ์ดำเนินการตามลิขสิทธิ์ Digital Millennium Copyright Act (DMCA) ในการลบที่เก็บข้อมูล Source Code ของ Snapchat

Snap ยืนยันว่าโค้ดได้ถูกลบออกไปแล้วและไม่กระทบกับแอพพลิเคชั่น แต่พบผู้ใช้ Twitter 2 ราย (คนหนึ่งอยู่ในปากีสถานและอีกคนหนึ่งอยู่ในประเทศฝรั่งเศส) ซึ่งเชื่อว่าเป็นผู้สร้าง i5xx GitHub Account ระบุว่าได้มีการแจ้งไปยัง Snapchat เกี่ยวกับ Source Code และ Bug โดยคาดว่าจะได้รับรางวัลจาก Snap แต่กลับไม่ได้รับการตอบสนองใดๆ จึงทำการขู่ว่าจะอัพโหลด Source Code ของ Snapchat อีกครั้งจนกว่าจะได้รับคำตอบจาก Snapchat

ที่มา : hackread