DigitalOcean Data Leak Incident Exposed Some of Its Customers Data

ข้อมูลลูกค้าบางส่วนของ DigitalOcean รั่วไหลสู่อินเตอร์เน็ต

DigitalOcean ผู้ให้บริการคลาวด์และเว็บโฮสติ้งได้ออกมาเตือนลูกค้าว่าข้อมูลของลูกค้าบางส่วนรั่วไหลสู่อินเตอร์เน็ตและคาดว่ามีผู้ที่ได้รับผลกระทบจากเหตุการณ์นี้ประมาณ 1% ของฐานลูกค้า

เหตุการณ์การรั่วไหลของข้อมูลเกิดขึ้นจากความประมาทเลินเล่อของ DigitalOcean ซึ่งเผลอทิ้งเอกสารไว้ภายในอินเทอร์เน็ตที่สามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่านใด ๆ โดยเอกสารนั้นมีข้อมูลที่อยู่, อีเมลหรือชื่อบัญชีรวมถึงข้อมูลบางอย่างเกี่ยวกับบัญชีเช่น Droplet, แบนด์วิดท์, บันทึกต่าง ๆ ของบัญชีผู้ใช้และจำนวนเงินที่จ่ายในปี 2018 จากการตรวจสอบไฟล์ที่รั่วไหลนั้นพบว่ามีบุคคลที่สามที่ไม่ได้รับอนุญาตทำการเข้าถึงแล้ว 15 ครั้งก่อนที่เหตุการณ์จะถูกเปิดเผย

ทั้งนี้ผู้ใช้งาน DigitalOcean เพื่อให้มั่นใจว่าบัญชีของคุณจะได้รับความปลอดภัย ผู้ใช้งานควรทำการเปลี่ยนพาสเวิร์ดและเปิดใช้งาน Two-Factor Authentication เพื่อป้องกันการเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาต

ที่มา : thehackernews

Multiple nation-state groups are hacking Microsoft Exchange servers

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

Unsecured Adobe Server Exposes Data for 7.5 Million Creative Cloud Users

บริษัทซอฟท์แวร์คอมพิวเตอร์ของสหรัฐอเมริกาชื่อ Adobe ประสบปัญหาด้านการรักษาความปลอดภัยอย่างรุนแรงเมื่อช่วงต้นเดือนที่ผ่านมา ซึ่งมีการเปิดเผยข้อมูลของผู้ใช้งาน จากบริการ Creative Cloud ที่เป็นนิยมในตอนนี้ ด้วยจำนวนสมาชิกที่ใช้บริการประมาณ 15 ล้านคน

Adobe Creative Cloud หรือ Adobe CC เป็นการบริการให้สมาชิกสามารถใช้งานซอฟต์แวร์ของ Adobe ได้โดยการเช่า เช่น Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom และอีกมากมาย

เมื่อต้นเดือนนี้ Bob Diachenko นักวิจัยด้านความปลอดภัยได้ร่วมมือกับบริษัทด้านความปลอดภัยทางไซเบอร์ Comparitech ค้นพบฐานข้อมูล Elasticsearch ที่ไม่มีการตั้งรหัสผ่านของบริการ Adobe Creative Cloud ที่ทุกคนสามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่านหรือผ่านการตรวจสอบ

ข้อมูลที่เปิดเผยจากฐานข้อมูลซึ่งขณะนี้มีข้อมูลส่วนตัวของบัญชีผู้ใช้งาน Adobe Creative Cloud อยู่เกือบ 7.5 ล้านบัญชี ข้อมูลที่ถูกเปิดเผยจากบริการ Creative Cloud ได้แก่ ที่อยู่อีเมล วันที่สมัครสมาชิก ผลิตภัณฑ์ Adobe ที่สมัครเป็นสมาชิก สถานะการสมัครสมาชิก สถานะการชำระเงิน รหัสสมาชิก ประเทศ เวลาการเข้าสู่ระบบล่าสุด และสมาชิกดังกล่าวเป็นพนักงานของ Adobe หรือไม่

ไม่มีข้อมูลทางการเงินรั่วไหล แต่จากข้อมูลที่รั่วไหลออกมา สามารถนำข้อมูลผู้ใช้งาน Adobe Creative Cloud ไปทำอีเมลฟิชชิงเพื่อหลอกลวงผู้ใช้งานได้ Comparitech กล่าวในบล็อกโพสต์" อาชญากรไซเบอร์อาจทำตัวเหมือน Adobe หรือ บริษัท ที่เกี่ยวข้องและหลอกให้ผู้ใช้เปิดเผยข้อมูลส่วนตัวเช่น รหัสผ่านส่วนตัว

Diachenko ที่ค้นพบฐานข้อมูลที่รั่วไหลแจ้งให้ Adobe ทราบทันทีในวันที่ 19 ตุลาคม

บริษัท Adobe ได้มีมาตรการการแก้ไขปัญหาด้านความปลอดภัยที่เกิดขึ้นอย่างรวดเร็วโดยปิดการเข้าถึงฐานข้อมูลที่เป็นสาธารณะในวันเดียวกัน ตามรายงานของบล็อกที่เผยแพร่โดย Adobe ในวันศุกร์

ปลายสัปดาห์ที่แล้ว Adobe ได้ตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการทำงานที่เกิดขึ้นจากข้อผิดพลาด ได้มีการปิดระบบที่ที่มีการทำงานที่ผิดพลาดโดยทันทีเพื่อแก้ไขปัญหาช่องโหว่ที่เกิดขึ้น

ปัญหานี้ไม่มีส่งผลกระทบต่อการทำงานของผลิตภัณฑ์หรือบริการหลักของ Adobe แต่อย่างใดแต่ทาง Adobe ได้มีการตรวจสอบกระบวนการพัฒนา เพื่อช่วยป้องกันปัญหาที่อาจจะเกิดขึ้นในอนาคต

สิ่งที่ผู้ใช้ควรทำ

ผู้ใช้ส่วนใหญ่ควรระวังอีเมลที่เป็นฟิชชิ่ง ซึ่งจะเป็นขั้นตอนต่อไปที่อาชญากรไซเบอร์ทำหลังจากได้ข้อมูลข้องผู้ใช้งาน เพื่อหลอกเอาข้อมูลส่วนตัวเช่นรหัสผ่านและข้อมูลทางการเงิน

แม้ว่าฐานข้อมูลจะไม่เปิดเผยข้อมูลทางการเงินใดๆ แต่ก็เป็นความคิดที่ดีที่ผู้ใช้งานควรจะระมัดระวังและคอยสังเกตการณ์ธนาคารของคุณและใบแจ้งยอดการชำระเงินการทำกิจกรรมทางการเงิน หากพบสิ่งที่ผิดปกติควรรีบแจ้งไปยังธนาคารทันที

Adobe ได้แนะนำให้ผู้ใช้งานเปิดการใช้งาน two-factor authentication เพื่อช่วยรักษาข้อมูลของผู้ใช้งานให้มีความปลอดภัยมากยิ่งขึ้น

ที่มา thehackernews

Issue affecting access to Instagram accounts

ผู้ใช้ Instagram จำนวนหนึ่งได้แสดงความเห็นบน Twitter และ Reddit ว่าบัญชี Instagram ของพวกเขาถูกแฮ็กอย่างลึกลับ ทำให้ไม่สามารถล็อกอินกลับเข้าไปได้ และยังพบว่าบัญชีอีเมลที่ใช้ถูกเปลี่ยนเป็นโดเมน .ru

ผู้ที่ตกเป็นเหยื่อระบุว่า ชื่อบัญชี, รูปโปรไฟล์, รหัสผ่าน, ที่อยู่อีเมลที่เชื่อมโยงกับ Instagram รวมไปถึงบัญชี Facebook ที่เชื่อมต่ออยู่ ก็ถูกเปลี่ยนด้วย ซึ่งรูปโปรไฟล์ของพวกเขาถูกเปลี่ยนเป็นรูปภาพจากภาพยนตร์ยอดนิยม ได้แก่ Despicable Me 3 และ Pirates of the Caribbean

Mashable ระบุว่า ผู้ใช้ที่ได้รับผลกระทบจาก Instagram มีการเปิด Two-Factor Authentication (2FA) เพื่อพิสูจน์ตัวตนแต่ก็ยังได้รับผลกระทบจากการแฮ็ก อย่างไรก็ตามปัจจุบันยังไม่ได้รับการยืนยันแม้ว่าจะยังไม่ทราบว่าใครเป็นผู้อยู่เบื้องหลังการแฮ็กบัญชี Instagram แต่การใช้ที่อยู่อีเมลที่มาจากผู้ให้บริการอีเมลของรัสเซีย mail.

Reddit discloses a data breach, a hacker accessed user data

Reddit ถูกแฮกจากการดักรับ SMS ที่เป็น 2FA ของพนักงาน ข้อมูลทั้งหมดตั้งแต่ปี 2007 หลุดรวมถึงข้อมูลผู้ใช้งาน

Reddit เว็บบอร์ดขนาดใหญ่ที่ก่อตั้งตั้งแต่ปี 2005 ออกประกาศข่าวการถูกแฮก โดยผู้โจมตีได้ข้อมูลของผู้ใช้งาน Reddit ปัจจุบันไปบางส่วน และฐานข้อมูลสำรองของปี 2007 ทั้งหมด ซึ่งมีข้อมูลทั้งหมดของเว็บไซต์ตั้งแต่ก่อตั้งจนถึงเดือนพฤษภาคม ปี 2007 ซึ่งการถูกแฮกครั้งนี้เกิดจากผู้โจมตีสามารถเข้าถึง SMS ซึ่งเป็น two factor authentication (2FA) ของพนักงาน Reddit ได้และใช้เข้าถึงข้อมูลดังกล่าว

Reddit พบว่าในวันที่ 19 มิถุนายน 2018 ที่ผ่านมา ผู้โจมตีสามารถทำการโจมตีบัญชีของพนักงาน Reddit ที่เป็นผู้ดูแลระบบทำให้สามารถเข้าถึงข้อมูลและ infrastructure ของ Reddit ได้ ถึงแม้ว่าข้อมูลและ infrastructure จะมีการป้องกันโดยการใช้ two factor authentication (2FA) ในการเข้าถึงก็ตาม โดยต้องยืนยันตนสองขั้นโดยใช้สองวิธียืนยันตัวตนที่แตกต่างกันร่วมกันเช่น ใช้สิ่งที่ผู้ใช้ทราบ (เช่น รหัสผ่านหรือ PIN) ร่วมกับสิ่งที่ผู้ใช้มี (เช่น SMS หรือ authenticator app หรือ usb token) ก็ตาม แต่เนื่องจากบัญชีพนักงานดังกล่าวใช้ SMS เพิ่มจากรหัสผ่านในการยืนยันตัวตน ทำให้สามารถถูกโจมตีด้วยการดักรับ SMS ดังกล่าวและใช้เข้าสู่ระบบได้

Reddit แจ้งว่าข้อมูลที่ผู้โจมตีได้ไปคือ ข้อมูลทั้งหมดของ Reddit ตั้งแต่ก่อตั้งเว็บจนถึงเดือนพฤษภาคม ปี 2007, รายชื่อ email ของผู้ใช้งานปัจจุบันสำหรับส่ง email เสนอแนะหัวข้อที่น่าสนใจในบอร์ดและ source code ของระบบ ซึ่งข้อมูลหลุดที่กระทบกับผู้ใช้งานคือส่วนที่เป็นข้อมูลทั้งหมดของ Reddit ตั้งแต่ก่อตั้งเว็บจนถึงเดือนพฤษภาคม ปี 2007 โดย Reddit ได้แจ้งเตือนผู้ใช้ที่ได้รับผลกระทบในสองส่วนดังกล่าวแล้ว และได้แจ้งหน่วยงานทางกฏหมายให้ทราบถึงเหตุการณ์นี้แล้ว

ทั้งนี้ Reddit ได้แนะนำผู้ใช้เพิ่มเติมดังนี้

1. ตรวจสอบว่าตัวเองได้รับผลกระทบหรือไม่ ด้วยการตรวจสอบว่าเป็นผู้ใช้ที่สมัคร Reddit ตั้งแต่ก่อนปี2007 หรือ เป็นผู้ใช้ที่ได้รับ email จาก noreply@redditmail.

Twitter Expands 2FA Options to Third-Party Authenticator Apps

Twitter ได้ปรับปรุงระบบความปลอดภัยโดยเพิ่มการตรวจสอบสิทธิ์แบบ Two-Factor Authentication(2FA) ทำให้ผู้ใช้ทวิตเตอร์สามารถใช้ตัวเลือกการรักษาความปลอดภัยนี้ซึ่งรองรับ third-party security อย่างเช่น Google Authenticator, Duo Mobile, Authy และ 1Password แทนแบบเดิมที่เป็น SMS

สำหรับการตั้งค่าการใช้งานนั้น สามารถไปที่ Settings and privacy และในส่วนของ Security จะมี Login verification หากยังไม่เคยเปิดใช้งานจะมี "Set up login verification" ให้เลือก จากนั้นทำการตั้งค่าให้เรียบร้อย แต่หากเปิดการ verify ผ่าน SMS ไว้แล้ว จะมี "Review your login verification methods" ขึ้นมาให้เลือกแทน จากนั้นให้เลือกไปที่ "Set up" ในส่วนของ "Mobile security app" ทำการ start แล้วจะมี "QR Code" ขึ้นมาให้ Scan ให้ใช้ third-party security แอพพลิเคชั่นของคุณ Scan QR Code ดังกล่าว แล้วนำเลขที่ได้มากรอกในขั้นตอนต่อไป

เมื่อตั้งค่าสำเร็จแล้ว นับจากนี้ไปเมื่อใดก็ตามที่พยายามเข้าสู่ระบบ จะได้รับแจ้งให้ป้อนรหัสการยืนยันการเข้าสู่ระบบที่เป็นเลขหกหลักจากแอพพลิเคชั่นระบุตัวตนที่ใช้งานหลังจากที่ป้อนชื่อผู้ใช้และรหัสผ่านแล้ว แม้ว่าชื่อผู้ใช้งานและรหัสผ่านจะหลุดออกไป การจะเข้าถึงบัญชี Twitter ก็จะเป็นไปได้ยากมากขึ้น

ที่มา : infosecurity-magazine

Joomla! Security & Bug Fix Release 3.8.2

Joomla! เปิดตัวเวอร์ชันใหม่ 3.8.2 พร้อมแพตช์ด้านความปลอดภัย

Joomla เวอร์ชั่น 3.8.2 ได้เปิดตัวอย่างเป็นทางการแล้ว โดยในรุ่นนี้นั้นนอกจากจะมีการอัพเดตฟีเจอร์ใหม่ ยังมีการปล่อยแพตช์ด้านความปลอดภัยที่มีการอุดช่องโหว่ด้านความปลอดภัย 3 ช่องโหว่หลักและแก้ไขบั๊กที่รายงานหลังจากออก Joomla รุ่นก่อน ๆ จำนวนกว่า 90 บั๊ก

3 ช่องโหว่หลักด้านความปลอดภัยที่ทำการแก้ไขดังนี้

- ช่องโหว่ที่มีความรุนแรงระดับกลาง : ข้อมูลรั่วไหลผ่านฟังก์ชันที่มีการอิมพลีเมนต์โปรโตคอล LDAP (กระทบ 1.5.0 ถึง 3.8.1)

- ช่องโหว่ที่มีความสำคัญระดับกลาง : ข้ามผ่านระบบยืนยันตัวตนแบบสองขั้นตอน (Two-Factor Authentication) (กระทบ 3.2.0 ถึง 3.8.1)

- ช่องโหว่ที่มีความสำคัญระดับต่ำ : ข้อมูลเฉพาะของเว็บไซต์รั่วไหลไปยังผู้ใช้งานที่ไม่มีสิทธิ์เข้าถึง (กระทบ 3.7.0 ถึง 3.8.1)

แนะนำให้ผู้ใช้งานทำการอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : joomla

คำชี้แจงจาก TeamViewer จากกรณีข่าวผู้ใช้งานถูก Hack

หลังจากมีผู้ใช้ TeamViewer หลายรายแจ้งว่าไม่สามารถล็อกอินเข้าใช้บริการได้ ประกอบกับทางทวิตเตอร์ของ TeamViewer (@TeamViewer_help) ได้แจ้งว่ามีปัญหาด้านเครือข่าย อยู่ระหว่างการแก้ไข ต่อมา ผู้ใช้หลายรายได้แจ้งว่าเครื่องคอมพิวเตอร์ที่ติดตั้ง TeamViewer ไว้ ถูกล็อกอินเข้ามาใช้งานโดยบุคคลอื่น ผู้ใช้บางรายพบว่ามีผู้เชื่อมต่อเข้ามาแล้วใช้โปรแกรมดูรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์เพื่อนำไปใช้ขโมยเงินจากธนาคารออนไลน์ ผู้ใช้บางรายถูกติดตั้งมัลแวร์เรียกค่าไถ่ลงในเครื่อง

โดยทาง TeamViewer แจ้งว่าปัญหาที่ทำให้ระบบล่มเกิดจากเซิร์ฟเวอร์ DNS ถูกโจมตี แต่ปฏิเสธว่าระบบไม่ได้ถูกเจาะจนเป็นเหตุให้ผู้ใช้ถูกล็อกอินโดยบุคคลอื่น ซึ่งทางทีมงานอ้างว่าผู้ใช้ที่ถูกขโมยบัญชีเกิดจากการที่ตั้งรหัสผ่านสำหรับล็อกอินเป็นรหัสผ่านเดียวกับบริการอื่นที่เคยถูกแฮกไปก่อนหน้านี้แล้วมีการเผยแพร่รหัสผ่านดังกล่าวบนอินเทอร์เน็ต อย่างไรก็ตาม เรื่องนี้มีประเด็นข้อสงสัยหลายจุด เช่น ผู้ใช้บางรายอ้างว่าถูกแฮกได้ถึงแม้ไม่ได้ตั้งรหัสผ่านซ้ำกับบริการอื่นเลย รวมถึงสำนักข่าว The Register ยังพบข้อสังเกตว่ามีผู้ใช้บางรายถูกล็อกอินได้ถึงแม้จะมีการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (two factor Authentication)

โดยทาง Teamviewer ออกมาแนะนำให้ผู้ใช้งานดำเนินการเพื่อความปลอดภัยดังต่อไปนี้

สร้าง password สำหรับแต่ละ account
ไม่แจกหรือบอก password แก่ผู้อื่น
มีการเปลี่ยน password อยู่เสมอ
ไม่ใช้ข้อมูลในเชิง identifiable information เป็นส่วนหนึ่งใน password (วันเดือนปีเกิด,เบอร์มือถือ)
ใช้การยืนยันตัวตนชนิด two factor Authentication
ไม่จดหรือจัดเก็บ password ในรูปแบบ Plain text หรือง่ายต่อการลักลอบใช้จากผู้อื่น

ที่มา : ThaiCERT

เผยช่องโหว่ Two-factor authentication ของกูเกิล เข้าถึงบัญชีผู้ใช้ได้

บริษัทด้านความปลอดภัย Duo ได้ทำการเผยแพร่ช่องโหว่ของ Two-factor-authentication หรือการพิสูจน์ตัวตนโดยใช้ 2 ปัจจัยหลักของกูเกิล หลังจากได้ทำการแจ้งไปยังฝ่ายความปลอดภัยตั้งแต่ช่วงเดือนกรกฎาคมปีที่แล้ว และได้รับการแก้ไขในวันที่ 21 ที่ผ่านมา โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้อย่างสมบูรณ์หากมีการเปิดใช้งาน Application-Specific-Passwords (ASPs) และมีการใช้การเข้าระบบอัตโนมัติไว้

ตามหลักของการใช้ ASPs ผู้ใช้งานจำเป็นต้องสร้างคีย์ขึ้นมาหนึ่งตัวเพื่อใช้กับแอพพลิเคชันต่างๆ และตัวแอพพลิเคชันนั้นจะทำการใช้คีย์นี้เพื่อพิสูจน์ตัวตนกับทางเซิร์ฟเวอร์ โดยประเด็นหลักอยู่ที่การเข้าระบบอัตโนมัติที่สามารถข้ามผ่าน Two-factor-authentication ได้ และสามารถเข้าถึงบัญชีผู้ใช้ได้เลย โดยในการศึกษาต่อนั้นได้ทำการจำลองสถานการณ์ที่คีย์ของ ASPs หลุด โดยทำการแก้ไขรูปแบบจากการใช้ EncryptedPasswd ซึ่งเป็นคีย์ของ ASPs ที่ถูกเข้ารหัสโดย RSA 1024-bit มาเป็นพารามิเตอร์ Passwd (อ้างอิงจาก ClientLogin API) ก็จะทำให้ได้รับ token ที่สามารถใช้ในการยืนยันตัวตนได้ ซึ่งช่องโหว่ในส่วนนี้ยังพบในฟังก์ชันล็อกอินอัตโนมัติของเบราว์เซอร์เช่นกัน

โดยในขณะนี้ทางกูเกิลได้ทำการแก้ไขแล้ว ทั้งจากการปัญหาการล็อคอินอัตโนมัติ หากมีการพยายามจะล็อกอินผ่านช่องทาง MergeSession หรืออื่น ๆ ก็จะมีการบังคับให้กรอกบัญชีผู้ใช้ รหัสผ่าน และระบบของ Two-factor-authentication ดังเดิม

ที่มา : Blognone