พบช่องโหว่ร้ายแรงบน WinRAR กระทบทุกเวอร์ชัน ให้แฮกเกอร์แตกไฟล์มุ่งร้ายที่ไหนก็ได้

นักวิจัยจากบริษัทความปลอดภัย Check Point รายงานการค้นพบช่องโหว่ขั้นร้ายแรงบน WinRAR โปรแกรมบีบอัดและแตกไฟล์ชื่อดัง ซึ่งกระทบทุกเวอร์ชันที่ WinRAR เคยออกมาตลอด 19 ปี นักวิจัยเรียกช่องโหว่นี้ว่า Absolute Path Traversal ซึ่งเป็นช่องโหว่ของไลบรารีภายนอกที่ชื่อว่า UNACEV2.DLL ที่ WinRAR เอาไว้แตกไฟล์ฟอร์แมท .ace โดย WinRAR จะตรวจสอบว่าไฟล์เป็นฟอร์แมต .ace จากเนื้อไฟล์โดยตรงไม่ใช่นามสกุลของไฟล์ ทำให้แฮกเกอร์สามารถแฝงมัลแวร์หรือไฟล์มุ่งร้ายมาในฟอร์แมท .ace โดยแก้สกุลเป็น .rar และเมื่อแตกไฟล์ออกมา แฮกเกอร์สามารถแตกไฟล์ดังกล่าวไปไว้ในโฟลเดอร์ที่แฮกเกอร์กำหนดไว้ได้ ทีมงาน WinRAR ได้ปล่อยอัพเดตเวอร์ชัน 5.70 เบต้า 1 เพื่อแก้บั๊คนี้แล้ว แต่การแก้บั๊คของ WinRAR คือการนำไลบรารี UNACEV2.dll ออกจากแพ็คเกจไฟล์เพื่อตัดการซัพพอร์ทไฟล์ ACE เลย เพราะทีมงานไม่มีซอสโค้ดของไลบรารี UNACEV2.dll มาตั้งแต่ปี 2015 —————————————————- ที่มา : Blognone / 22…

จับช่างติดตั้งระบบคอมพ์ให้ตำรวจ แอบนำรหัสเข้าระบบตรวจสอบประวัติอาชญากรรม ไปขายให้คนทั่วไป

MGR online – ศปอส.ตร. จับช่างรับจ้างติดตั้งและเชื่อมต่อระบบสารสนเทศของสำนักงานตำรวจแห่งชาติ แอบลักลอบนำรหัสของเจ้าหน้าที่ตำรวจ เพื่อเข้าระบบตรวจสอบประวัติอาชญากรรมของบุคคลต่างๆ แล้วนำไปขายให้ทนายความ นักการเมืองท้องถิ่น และประชาชนทั่วๆไป รับทำมาแล้ว 5 ปี ได้ค่าจ้างครั้งละ 500-1,000 บาท รับทำมาแล้ว 5 ปี  วันนี้ (19 ก.พ.) สำนักงานตำรวจแห่งชาติ (ตร.) พล.ต.อ.รุ่งโรจน์ แสงคร้าม รอง ผบ.ตร. ในฐานะผู้อำนวยการศูนย์ปราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศ สำนักงานตำรวจแห่งชาติ (ศปอส.ตร.) พล.ต.ท.สุรเชษฐ์ หักพาล ผบช.สตม. ในฐานะรอง ผอ. ศปอส.ตร. แถลงผลการจับกุมนายอิงค์สง่า ชมดี หรือช่างกร อายุ 40 ปี ทำหน้าที่รับจ้างติดตั้งและเชื่อมต่อระบบสารสนเทศของสำนักงานตำรวจแห่งชาติ ผู้ต้องหาผู้ลักลอบเข้าระบบคอมพิวเตอร์ (Polis) ของสำนักงานตำรวจแห่งชาติ  พล.ต.ท.สุรเชษฐ์ กล่าวว่า จากกรณีเจ้าหน้าที่ตำรวจจับกุมนายสมชาย เข็มเพชร อายุ 37 ปี รองนายกเทศมนตรี…

นักวิจัยพบทวิตเตอร์เก็บข้อความส่วนตัวไว้เป็นปี แม้จะลบบัญชีออกไปแล้วก็ตาม

ภาพจาก Shutterstock Karan Saini นักวิจัยความปลอดภัยไซเบอร์พบว่าทวิตเตอร์ไม่ได้ลบข้อมูลในแชทส่วนตัวออก แม้ผู้ใช้จะลบบัญชีนั้นไปแล้วก็ตาม โดยเขาพบข้อความที่มีอายุหลายปีใน archive ผ่านเว็บไซต์ซึ่งเขาพบว่าเป็นข้อความของบัญชีทวิตเตอร์ที่ไม่มีบนทวิตเตอร์แล้ว หรืออาจลบบัญชีออกไป ทวิตเตอร์ระบุในนโยบายความเป็นส่วนตัวว่า เมื่อลบบัญชีออกและผ่านช่วงผ่อนผัน 30 วันไปแล้ว บัญชีผู้ใช้และข้อมูลต่างๆ ก็จะหายไปด้วย แต่จากการทดสอบโดยนักวิจัยความปลอดภัยไซเบอร์พบว่าไม่ไดเป็นเช่นนั้น เพราะยังสามารถกู้คืนข้อมูลแชทได้แม้จะผ่านไปเป็นปี โดยสามารถดาวน์โหลดผ่าน account’s data Saini บอกว่านี่น่าจะเป็น functional bug บั๊กที่ใช้งานได้มากกว่าจะเป็นความบกพร่องระบบความปลอดภัย แต่ก็เป็นปัญหาเรื่องความเป็นส่วนตัวอยู่ดี เพราะทวิตเตอร์บอกจะลบ แต่กลายเป็นว่าข้อมูลยังอยู่ อาจส่งผลกระทบต่อนักเคลื่อนไหวการเมือง นักข่าว ถ้ารัฐบาลเรียกดูข้อมูลที่ผ่านไปนานแล้ว และเป้นไปได้ว่าจะผิดกฎใหม่คุ้มครองข้อมูลส่วนบุคคล GDPR ด้วย ————————————– ที่มา : Blognone / 16 February 2019 Link : https://www.blognone.com/node/108170

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

Credit: Myki หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก Antoine Vincent Jebara ผู้ร่วมก่อตั้งและ CEO แห่ง Myki ได้ออกมาให้ข้อมูลแก่ The Hacker News ถึงกรณีที่ทีมงานของเขาได้พบกับการโจมตี Phishing ที่สมจริงมากๆ ในครั้งนี้ โดยการโจมตีนี้จะปรากฏอยู่ในเว็บไซต์หรือ Blog ต่างๆ และจะแสดงหน้า Popup ขึ้นมาแจ้งว่าหากสนใจโปรโมชันหรือต้องการอ่านบทความต่อ จะต้องทำการ Login ด้วย Facebook เท่านั้น ซึ่งหากผู้ใช้งานหลงคลิกเข้าไป หน้าต่าง Facebook Login…

24 เว็บไซต์ดังถูกแฮ็ก ข้อมูลผู้ใช้กว่า 834 ล้านรายชื่อถูกขายใน Dark Web

Credit: ShutterStock.com สัปดาห์ที่ผ่านมาแฮ็กเกอร์ชาวปากีสถานได้ติดต่อมายังเว็บไซต์ The Hacker News ระบุว่าตัวเองได้ทำการแฮ็กเว็บไซต์ชื่อดังรายแห่ง แล้วนำข้อมูลส่วนบุคคลของผู้ใช้ที่ได้ไปขายให้แก่กลุ่มอาชญากรไซเบอร์และขายบน Dark Web ซึ่งจนถึงตอนนี้เว็บไซต์บางรายยังไม่รู้ตัวว่าตนเองเกิดเหตุ Data Breach ด้วยซ้ำ เว็บไซต์ที่ถูกแฮ็กแบ่งออกเป็น 2 ล็อต ล็อตแรกจำนวน 16 เว็บไซต์ โดยมีแฮ็กเกอร์ที่ใช้ชื่อว่า gnosticplayersกำลังวางขายข้อมูลผู้ใช้ที่ได้มารวม 617 ล้านรายชื่อบน Dark Web Marketplace ที่ชื่อว่า Dream Market ด้วยมูลค่าประมาณ 630,000 บาทในรูปของ Bitcoin ดังนี้ Dubsmash — 162 ล้านรายชื่อ MyFitnessPal — 151 ล้านรายชื่อ MyHeritage — 92 ล้านรายชื่อ ShareThis — 41 ล้านรายชื่อ HauteLook — 28 ล้านรายชื่อ Animoto…

Password Checkup ส่วนเสริม Chrome ช่วยเตือนรหัสผ่านโดนแฮกรึไม่

มาแล้ว Password Checkup ส่วนเสริมของ Google Chrome ที่ช่วยเพิ่มความปลอดภัยให้เรามากขึ้น แจ้งให้เรารู้ได้ว่ารหัสผ่านเราถูกแฮกรึเปล่า เดือนที่ผ่านมาเรียกว่ามีการหลุดบัญชีผู้ใช้และรหัสผ่านที่ถูกแฮกมาเป็นจำนวนมหาศาล แถมข่าวช่องโหว่และการจู่โจมต่างๆก็ออกมาอย่างต่อเนื่อง แล้วผู้ใช้อย่างเราๆจะต้องระมัดระวังตัวมากแค่ไหนถึงจะไม่ตกเป็นเหยื่อ ล่าสุดทาง Google ได้เพิ่มเครื่องมือใหม่ นั่นก็คือ Password Checkup ส่วนเสริมบน Google Chrome ที่ช่วยให้เราปลอดภัยมากขึ้น เมื่อเราติดตั้งและเปิดใช้งาน มันจะทำการเทียบบัญชีผู้ใช้ของคุณกับฐานข้อมูลที่ Google มีอยู่มากกว่า 4,000 ล้านข้อมูลที่บัญชีผู้ใช้ไม่ปลอดภัย เครื่องมือตัวนี้พัฒนาร่วมกับผู้เชี่ยวชาญด้านการเข้ารหัสจาก Stanford University เพื่อให้มั่นใจว่าทาง Google จะไม่ได้ล่วงรู้ถึงบัญชีหรือรหัสผ่านของเราที่ถือเป็นความลับที่สุด เมื่อเราติดตั้งส่วนเสริมนี้บน Chrome แล้ว ก็จะมีไอคอนปรากฎขึ้นที่แถบด้านบน เมื่อเราทำการล็อกอิน Username หรือรหัสผ่านที่ไม่ปลอดภัย เคยมีประวัติในฐานข้อมูลว่าเคยโดนแฮกหรือมีรหัสผ่านหลุดออกมา ก็จะแจ้งให้เรารู้ทันที สิ่งที่เราต้องทำก็คือเข้าไปเปลี่ยนรหัสผ่านใหม่ให้เร็วที่สุดค่ะ ส่วนการทำงานนั้นจะออกแบบโดยไม่ให้รบกวนผู้ใช้คือ จะแจ้งเฉพาะกรณีที่ผู้ใช้มีความเสี่ยงจริงๆ คนที่ตั้งรหัสผ่านที่เดาได้ง่ายอย่าง 123456 อันนี้จะไม่แจ้งเตือนค่ะ ——————————————————– ที่มา : Dailygizmo / Feb 6, 2019 Link : https://www.dailygizmo.tv/2019/02/06/google-chrome-password-checkup/