คลังเก็บป้ายกำกับ: SECURITY

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

Credit: JaysonPhotography/ShutterStock.com

แอปพลิเคชันที่ได้รับสิทธิ์ในการเข้าถึงรูปภาพ ส่วนมากมักจะถูกจำกัดเฉพาะรูปที่โพสต์บนไทม์ไลน์ของเจ้าของบัญชี Facebook อย่างไรก็ตาม ระหว่างช่วง 2 สัปดาห์ของวันที่ 13 – 25 กันยายนที่ผ่านมา มีความผิดพลาดเกิดขึ้นบนโค้ดส่วน Photo API ที่ทำการอัปเดตใหม่ ซึ่งทำให้สิทธิ์ในการเข้าถึงรูปภาพดังกล่าวถูกขยายออกไปยังส่วนอื่นๆ เช่น Marketplace หรือ Facebook Stories รวมไปถึงรูปภาพที่เจ้าของไม่ได้เผยแพร่ออกไป (รูปภาพดังกล่าวนี้เกิดจากการที่ผู้ใช้ทำการอัปโหลดรูปขึ้น Facebook แต่ยังไม่ได้โพสต์ออกไป อาจจะเป็นเพราะเกิดเปลี่ยนใจ หรือไปทำกิจกรรมอย่างอื่นก่อน Facebook จะทำการเก็บรูปไว้ชั่วคราว เผื่อผู้ใช้กลับมาโพสต์ต่อให้จบ) ส่วนรูปภาพที่แชร์ผ่าน Facebook Messenger นั้นไม่ได้รับผลกระทบแต่อย่างใด

Facebook ได้ทำการตรวจสอบเบื้องต้น พบว่าปัญหาดังกล่าวส่งผลกระทบต่อผู้ใช้ราว 6,800,000 คน และมีแอปพลิเคชัน 1,500 รายการจากนักพัฒนา 876 รายที่สามารถเข้าถึงรูปภาพอื่นๆ ของผู้ใช้ได้โดยไม่ต้องรับความยินยอมก่อน อย่างไรก็ตาม ต้องเข้าใจตรงกันว่าแอปพลิเคชันเหล่านี้ อย่างน้อยก็ได้รับอนุมัติในการเข้าถึง Photoi API ของ Facebook และมีสิทธิ์ในการเข้าถึงรูปภาพบนไทม์ไลน์ของผู้ใช้อยู่ก่อนแล้ว

เนื่องจากขณะเกิดเหตุนั้น Facebook ไม่สามารถระบุได้ชัดเจนว่า แอปพลิเคชันใดที่เรียกใช้ API ที่มีปัญหาบ้าง ทางบริษัทฯ จึงตัดสินใจแจ้งเตือนไปยังผู้ใช้ทั้งหมดที่มีการใช้ 1 ใน 1,500 แอปพลิเคชันเหล่านั้น ในขณะที่แจ้งไปยังนักพัฒนาเจ้าของแอปพลิเคชันให้ตรวจสอบรูปภาพที่มี และจัดการลบรูปที่ไม่สมควรได้รับอนุญาตให้เข้าถึงทิ้งไป

จนถึงตอนนี้ Facebook แก้ไขบั๊กบน Photo API เป็นที่เรียบร้อยแล้ว สำหรับผู้ใช้ที่ได้รับผลกระทบ จะมี Notification แจ้งเตือนบน Facebook ซึ่งจะลิงค์ไปยังหน้า Help Center เพื่อให้ตรวจสอบถึงผลกระทบที่ตนเองได้รับ และแอปพลิเคชันที่อาจจะมีสิทธิ์เข้าถึงรูปภาพเกินกว่าขอบเขตที่กำหนดไว้

ที่มา: https://www.bleepingcomputer.com/news/security/facebook-photo-api-bug-exposed-pics-of-up-to-68-million-users/

from:https://www.techtalkthai.com/facebook-api-bug-exposed-photos-from-6-8-million-users/

Advertisements

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ

จากการตรวจสอบพบว่าแคมเปญอีเมลสแปมดังกล่าวถูกส่งออกไปทั่วสหรัฐฯ กว่าหลายล้านฉบับ ถึงแม้ว่าหัวข้อและเนื้อหาจะแตกต่างกันไปบ้าง แต่หลักๆ แล้วคือการขู่วางระเบิดสถานที่ทำงานของเหยื่อ ถ้าเหยื่อไม่ยอมจ่ายประมาณ $20,000 ในรูปของ Bitcoin

ถึงแม้ว่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจะออกมาระบุว่าอีเมลสแปมเหล่านี้เป็นเรื่องหลอกลวง แต่ประชาชนชาวอเมริกันส่วนใหญ่กลับไม่คิดแบบนั้น ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่ว ในขณะที่ทางตำรวจสหรัฐฯ เองก็ได้รับรายงานอีเมลขู่วางระเบิดจากหลายๆ เมืองตลอดทั้งวัน จนถึงขั้นต้องส่งทีมกู้ระเบิดเข้าไปตรวจสอบในอาคารบางแห่ง

มหาวิทยาลัย โรงเรียน สื่อสารมวลชน ศาล บริษัทเอกชน และหน่วยงานสาธารณะหลายแห่งทั่วสหรัฐฯ ไม่ว่าจะเป็น นิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก ลาสเวกัส และวอชิงตัน ต่างได้รับอีเมลขู่จนทำให้ต้องอพยพฉุกเฉิน ส่งผลให้ทั้งธุรกิจและการให้บริการต่างๆ หยุดชะงัก จนในที่สุดตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องก็ได้ออกประกาศผ่านทางโซเชียลมีเดียให้ประชาชนอยู่ในความสงบและไม่ต้องสนใจอีเมลขู่ดังกล่าว รวมไปถึงไม่มีความจำเป็นต้องจ่ายค่าไถ่แต่อย่างใด

จากการตรวจสอบบัญชี Bitcoin ที่ระบุในอีเมลขู่ พบว่าจนถึงตอนนี้ยังไม่มีใครจ่ายค่าไถ่ให้กับเหตุการณ์ที่เกิดขึ้นครั้งนี้

ที่มา: https://www.zdnet.com/article/extortion-emails-carrying-bomb-threats-cause-panic-across-the-us และ https://www.bleepingcomputer.com/news/security/new-bomb-threat-email-scam-campaign-demanding-20k-in-bitcoin/

from:https://www.techtalkthai.com/bomb-threat-email-scam-in-us/

123456 และ password ยังคงเป็นรหัสผ่านยอดนิยมติดต่อกันเป็นปีที่ 5

บริษัทความปลอดภัย SplashData เจ้าของแอป TeamsID, Gpass และ SplashID ประกาศผลอันดับรหัสผ่านยอดแย่ของปี 2018 ซึ่งปีนี้เป็นปีที่ 8 แล้วของการจัดอันดับ โดยการจัดอันดับนั้นใช้วิธีการรวบรวมรหัสผ่านที่หลุดออกมาจากในอินเทอร์เน็ตหลายล้านชุด เพื่อดูว่ารหัสใดที่คนนิยมใช้กัน

ผลรหัสผ่านยอดแย่ในสองอันดับแรก ยังคงเป็น 123456 และ password ซึ่งครองอันดับ 1 และ 2 คู่กัน ติดต่อกันมาเป็นปีที่ 5 แล้ว (ดูอันดับปี 2017) ทั้งนี้ SplashData ประเมินว่าคนในอินเทอร์เน็ตราว 10% ใช้รหัสผ่านที่อยู่ใน 25 อันดับแรก และประมาณ 3% ใช้ 123456 นอกจากนี้มีข้อสังเกตว่ารหัสผ่านยอดแย่ที่ติดอันดับหลายอัน เป็นชุดตัวเลข

คำแนะนำในการตั้งรหัสผ่านของ SplashData คือความยาวอย่างน้อย 12 ตัวอักษร ผสมรูปแบบ, ใช้รหัสผ่านไม่ซ้ำกันในแต่ละบริการ และควรใช้โปรแกรมจัดการรหัสผ่าน เพื่อสร้างรหัสผ่านแบบสุ่มในการล็อกอิน

รหัสผ่านยอดแย่ 25 อันดับ เป็นดังนี้

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123

ที่มา: SplashData, รูป Flickr: Marco Verch

alt="123456"

Topics: 

from:https://www.blognone.com/node/107012

บริษัทวิจัยพบการโจมตี WordPress แบบ brute-force ติดบอทเน็ตแล้วกว่า 2 หมื่นเว็บ

บริษัทวิจัยความปลอดภัย WordFence รายงานพบการโจมตีเว็บไซต์ที่ใช้ WordPress แบบ brute-force ด้วยการสุ่มยูสเซอร์เนมและพาสเวิร์ดเพื่อฝังบอทเน็ต โดยตอนนี้มีเว็บไซต์ติดบอทเน็ตแล้วกว่า 2 หมื่นเว็บซึ่งถูกใช้เป็นฐานแพร่บอทเน็ตไปเว็บอื่นๆ ต่อไปด้วย

แฮกเกอร์จะอาศัยการ brute-force ผ่านฟีเจอร์ XML-RPC ที่เปิดให้เว็บอื่นเรียกใช้งาน WordPress โดย WordFence ระบุว่าวิธีนี้มีโอกาสสำเร็จมากขึ้นเมื่อเป็นการโจมตีแบบเหวี่ยงแหทีละหลายๆ เว็บไซต์ เมื่อแฮกเกอร์สามารถเข้าถึงบัญชี WordPress ได้แล้วจะฝังบอทเน็ตที่สั่งงานจากเซิร์ฟเวอร์ C2 4 ตัวผ่านพร็อกซี่เอาไว้

WordFence แนะนำให้เว็บไซต์ที่ใช้ WordPress จำกัดจำนวนครั้งในการล็อกอิน, ตั้งพาสเวิร์ดที่ยากต่อการเดา, ตั้งค่าการยืนยันตัวตนหลายขั้น (MFA, 2FA) ไปจนถึงจำกัดการเข้าถึงแอคเคาท์เฉพาะบาง IP หรือใบรับรองดิจิทัลบางตัวเท่านั้น

ที่มา – NakedSecurity

No Description

from:https://www.blognone.com/node/107011

US Intelligence Community ยกให้ Quantum Computing และ AI เป็นภัยต่อความมั่นคงของชาติ

US Intelligence Community หรือกลุ่มที่ประกอบด้วย 16 ตัวแทนหน่วยงานรัฐบาลสหรัฐฯ ที่ทำงานประสานงานกันเพื่อถ่ายทอดข้อมูลได้ยกให้ Quantum Computing และ AI รวมถึงเทคโนโลยีใหม่อย่างระบบ Autonomous System หรือ IoT อาจกลายเป็นภัยกำเนิดใหม่ต่อความมั่นคงของชาติหากคนร้ายนำไปใช้ในทางไม่ดี

credit : Techcruch

ภัยที่เป็นเหมือนเหรียญสองด้าน (Dual-use Technologies) นี้ทาง Intelligence Community กล่าวว่า “คนร้ายอาจเข้าถึง AI ที่ใช้ในเพื่อการค้าได้และอาจประยุกต์ไปเป็นอาวุธ” ในอีกด้านหนึ่ง “คนร้ายอาจใช้การ Quantum Communication เป็นช่องทางลับในการติดต่อหากันซึ่งทางสหรัฐฯจะไม่สามารถดักหรือถอดความได้เลย” สามารถดูการประกาศเต็มได้ตามภาพด้านบน

ที่มา : https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/

from:https://www.techtalkthai.com/us-intelligence-community-say-quantum-computing-and-ai-are-new-threats/

WordPress ออกแพตช์แก้ไขช่องโหว่ในเวอร์ชัน 5.0.1

เมื่อไม่กี่วันก่อนทาง WordPress เพิ่งปล่อยเวอร์ชัน 5.0 ออกมาซึ่งในวันนี้ได้เริ่มแพตช์ช่องโหว่จำนวน 7 รายการในเวอร์ชัน 5.0.1 แล้ว โดยช่องโหว่ประกอบด้วย XSS และการตรวจเช็ค MIME ให้รัดกุมมากขึ้น เป็นต้น แนะนำผู้ใช้ควรอัปเดต

การแก้ไขช่องโหว่ในแพตช์มีดังนี้

  • แก้ไขการตรวจสอบ MIME สำหรับการอัปโหลดไฟล์คือเวอร์ชันก่อนหน้านั้นไฟล์ที่อัปโหลดอาจจะมีเนื้อไม่ตรงกับ Extension ได้ (.Docx, jpg หรืออื่นๆ) ในแพตช์ใหม่นี้จึงเพิ่มความสามารถตรวจสอบความตรงกันของเนื้อหาและ Extension หลังจากที่ช่องโหว่ XSS ถูกค้นพบโดย Tim Coen และ Slavo Mihajloski
  • Tim Coen และ Slavo Mihajloski ยังได้ค้นพบช่องโหว่ XSS อีกจุดหนึ่งคือผู้ใช้งาน WordPress อาจถูกแก้ไขคอมเม้นต์ใหม่ได้จากผู้ใช้งานระดับสูงกว่าซึ่งการเป็นช่องทางให้นำไปสู่ช่องโหว่ดังกล่าว อย่างไรก็ตาม Coen ระบุว่าตัว WordPress เองไม่ได้รับผลกระทบโดยตรงแต่จะมีผลกับ Plugin บางตัวเท่านั้น
  • RIPS Technologies ได้เครดิตรายงาน Bug 2 รายการว่า Author สามารถแก้ไข Meta Data เพื่อลบไฟล์ที่ตัวเองไม่มีสิทธิ์ อีกช่องโหว่คือการสร้างโพสต์ทั้งที่ตัวเองไม่มีสิทธิ์เช่นกัน

นอกจากนี้ยังมีรายงานจากผู้เขียน Plugin ยอดนิยมของ WordPress อย่าง Yoast SEO ได้ไปพบว่าในหน้า Activation ของผู้ใช้งานสามารถถูก Google ทำ index ได้และอาจนำไปสู่การเผยข้อมูลอย่างที่อยู่อีเมลหรือรหัสผ่านเดิมที่ถูก Generate มาแต่ทางนักพัฒนาของ WordPress กล่าวว่า “เป็นกรณีที่เกิดขึ้นได้น้อยมากๆ” สำหรับผู้ที่ยังไม่ได้อัปเดตเวอร์ชัน 5.0 ก็มีแพตช์ก็มีในเวอร์ชัน 4.9 หรือก่อนหน้าด้วยเช่นกัน ผู้สนใจสามารถอ่านรายละเอียดของแพตช์เพิ่มเติมได้ที่นี่

ที่มา : https://www.securityweek.com/several-vulnerabilities-patched-release-wordpress-501 และ https://www.zdnet.com/article/wordpress-plugs-bug-that-led-to-google-indexing-some-user-passwords/

from:https://www.techtalkthai.com/wordpress-patch-via-version-5-0-1/

ตั้งค่า Apache Web Server ไม่ปลอดภัย ข้อมูลชาวบราซิลกว่า 120 ล้านคนรั่วสู่สาธารณะ

เมื่อเดือนมีนาคม 2018 ที่ผ่านมา นักวิจัยจาก InfoArmor ได้ค้นพบถึงกรณีข้อมูลเลขระบุตัวตนของชาวบราซิลกว่า 120 ล้านคนได้ถูกเปิดเผยสู่สาธารณะจากการตั้งค่า Apache Web Server ที่ไม่ดี นับเป็นข้อมูลของประชาชนเกินกว่าครึ่งหนึ่งของบราซิลเลยทีเดียว

Credit: ShutterStock.com

InfoArmor นั้นพบว่าหน้า index.html ใน Apache Web Server แห่งนี้ถูกเปลี่ยนชื่อเป็น index.html_bkp แทน ทำให้บุคคลภายนอกสามารถเข้าถึงข้อมูลทั้งหมดใน Directory บน Web Server นั้นๆ ได้ ซึ่งด้วยวิธีการนี้เองก็ทำให้บุคคลภายนอกสามารถเข้าถึงข้อมูลสำคัญของประชาชนชาวบราซิลกว่า 120 ล้านรายที่ถูกเก็บอยู่ภายในระบบได้

ข้อมูลดังกล่าวนี้เป็นข้อมูล ID Number ของ Cadastro de Pessoas Físicas (CPFs) ซึ่งเป็นค่า ID ที่ธนาคารกลางของบราซิลได้สร้างขึ้นมาสำหรับประชาชนและผู้เสียภาษีทุกคน

วิธีการแก้ไขปัญหาในกรณีนี้เบื้องต้นสามารถทำได้สองทาง ได้แก่ การไม่เปลี่ยนชื่อไฟล์ index.html หลักเด็ดขาด หรือการตั้งค่าใน .htaccess ให้ดี ซึ่งกรณีนี้ก็ต้องใช้เวลาประมาณ 1 สัปดาห์หลังจากที่ InfoArmor ไม่สามารถติดต่อกับเจ้าของระบบได้ กว่าที่ระบบจะถูกแก้ไข

กรณีนี้ถือว่าสร้างข้อกังขาให้กับผู้คนเป็นอย่างมาก ว่าข้อมูลที่มีความสำคัญสูงระดับนี้ถูกจัดเก็บอยู่บนเครื่อง Server ของหน่วยงานภายนอกและเปิดให้เข้าถึงได้แบบ Online ได้อย่างไร โดยที่ระบบเหล่านี้ขาดความมั่นคงปลอดภัยและไม่ได้ผ่านการทำ Compliance เลย

ที่มา: https://www.infosecurity-magazine.com/news/apache-misconfig-leaks-data-120/

from:https://www.techtalkthai.com/misconfigured-apache-web-server-caused-120-million-brazillians-data-leak/