เมื่อช่วงบ่ายที่ผ่านมา กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท) แถลงว่าสามารถจับกุมตัวแฮกเกอร์ 9Near ที่โพสต์ขายข้อมูลคนไทย 55 ล้านรายการ ได้แล้ว โดยเจ้าตัวเข้ามามอบตัวกับตำรวจ

ขณะที่ข้อมูลคนไทย เจ้าตัวยอมรับว่าซื้อมาจาก Dark Web ในราคาเพียง 8,000 บาท แต่ได้มาไม่ถึง 55 ล้านรายการ พร้อมยืนยันว่าข้อมูลยังไม่ได้รั่วไหลไปไหน ส่วนการโพสต์ขายนั้น เพียงเพราะอยากรู้เท่านั้น

ตำรวจไซเบอร์ชี้แจงด้วยว่าจ่าสิบโทคนดังกล่าว เรียนจบปริญญาตรี คณะสารสนเทศ ทำให้มีความรู้ด้านนี้เป็นอย่างดี ขณะที่ภรรยาที่เบื้องต้นตกเป็นผู้ต้องสงสัยร่วมกระทำความผิด หลังการสอบปากคำก็พบว่า ไม่มีส่วนเกี่ยวข้อง

MSI ยอมรับว่าโดนแฮ็กระบบภายใน แฮ็กเกอร์เข้าถึงซอร์สโค้ดของบริษัทด้วย ทำให้ MSI ต้องออกมาเตือนลูกค้าว่าจากนี้ไปขอให้ดาวน์โหลดไฟล์เฟิร์มแวร์ หรือ BIOS จากช่องทางอย่างเป็นทางการของบริษัทเท่านั้น เพราะมีโอกาสโดนฝังมัลแวร์สูงหากดาวน์โหลดจากเว็บไซต์ภายนอก

เหตุการณ์นี้มีแก๊งแรนซัมแวร์ชื่อ Money Message ออกมาประกาศตัวว่าได้ข้อมูลของ MSI ไป และเรียกค่าไถ่เป็นเงิน 4 ล้านดอลลาร์ แลกกับการไม่ปล่อยข้อมูลเหล่านี้ต่อสาธารณะ

ที่มา - MSI, PCMag

เว็บไซต์ The Economist ในเกาหลีใต้รายงานว่า Samsung Electronics เกิดเหตุข้อมูลรั่วไหล 3 ครั้งหลังพนักงานนำข้อมูลสำคัญไปถาม ChatGPT แม้บริษัทจะอนุญาตให้พนักงานใช้งาน ChatGPT ในเรื่องทั่วๆ ไปได้ก็ตาม เหตุการณ์ที่พนักงานถูกลงโทษได้แก่

GitHub แจ้งเตือนว่าได้เผลอเปิดกุญแจลับแบบ RSA สำหรับการล็อกอิน SSH สู่สาธารณะเป็นเวลาสั้นๆ ทำให้มีความเสี่ยงว่าถ้ามีคนร้ายได้กุญแจไปจะสามารถปลอมตัวเป็น GitHub ได้ จึงต้องตัดสินใจเปลี่ยนกุญแจ

ผลกระทบจะทำให้ผู้ใช้ที่เชื่อมต่อ SSH แบบกุญแจ RSA ได้รับการแจ้งเตือนว่าเซิร์ฟเวอร์อาจจะถูกปลอมตัว และผู้ใช้จำเป้นต้องลบกุญแจเดิมที่ SSH จำไว้ออกจากฐานข้อมูล known_hosts และล็อกอินผ่าน SSH ใหม่จะเห็นกุญแจ SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s แสดงขึ้นมา

ผู้ใช้ที่เชื่อมต่อด้วยกุญแจ ECDSA หรือ Ed25519 ไม่ได้รับผลกระทบจากปัญหานี้

ที่มา - GitHub

เมื่อวานนี้ผู้ใช้ Reddit ชื่อบัญชี Competitive-Hair-311 รายงานว่า ChatGPT แสดงรายการแชตเดิมเป็นคำถามเกี่ยวกับรัฐบาลจีนจำนวนมาก แม้ตัวเขาเองจะไม่เคยคุยกับ ChatGPT ด้วยเรื่องดังกล่าวเลยก็ตาม และหลังนั้นก็มีผู้ใช้อีกจำนวนหนึ่งรายงานปัญหาเดียวกัน โดยแต่ละคนมองเห็นรายการแชตต่างกันไป

ผู้ใช้บางรายระบุว่าเคยเห็นเหตุการณ์แบบนี้เกิดขึ้นมาก่อนแล้วในช่วงสองสัปดาห์ที่ผ่านมา อย่างไรก็ตาม ส่วนที่มีรายงานนั้นเป็นเพียงรายการหัวข้อแชตเท่านั้น ไม่ได้มองเห็นประวัติการสนทนาจริงๆ ผู้ใช้อีกส่วนหนึ่งระบุว่าหน้าอัพเกรดไปเป็นแพ็กเกจ Plus ก็มีปัญหาแบบเดียวกัน โดยแสดงอีเมลของคนอื่นขึ้นมา

แฮกเกอร์ที่ใช้นามแฝงบนเว็บบอร์ด Bleach ว่า 9Near โพสต์ขายข้อมูลส่วนตัวคนไทยจำนวน 55 ล้านรายการ ประกอบไปด้วยเลขบัตรประชาชน ชื่อ ที่อยู่ วันเกิดและเบอร์โทรศัพท์ โดยเจ้าตัวบอกว่า ได้ข้อมูลนี้จากหน่วยงานภาครัฐ แต่ไม่ระบุหน่วยงาน

ที่มา - Breach Forums

LastPass รายงานถึงเหตุข้อมูลรั่วเมื่อปลายปี 2022 ที่ร้ายแรงถึงขนาดที่คนร้ายได้ฐานข้อมูลรหัสผ่านลูกค้าไป แม้ตัวฐานข้อมูลจะเข้ารหัสด้วย master password ก็ตาม

บริษัทระบุว่าวิศวกรที่เข้าถึงข้อมูลชุดนี้ได้มีเพียงวิศวกร DevOps สี่คนเท่านั้น และคนร้ายก็โจมตีคอมพิวเตอร์ที่บ้านของวิศวกรหนึ่งในสี่คนนี้ด้วยการเจาะโปรแกรมจากผู้ผลิตภายนอกและฝังเอา keylogger ลงในคอมพิวเตอร์ได้สำเร็จ เมื่อวิศวกรผู้นี้เข้าถึง vault ของบริษัทคนร้ายก็ได้ master password ของบริษัทไป ภายในมีกุญแจสำหรับเข้าถึง AWS S3 จำนวนมาก โดยเฉพาะระบบสำรองข้อมูล

IBM เปิดเผยรายงานการศึกษาและสำรวจประเด็นด้านความปลอดภัยไซเบอร์พบว่า ในช่วง 2 ปีที่ผ่านมา ต้นทุนเฉลี่ยขององค์กรที่เผชิญกับปัญหาข้อมูลหลุด (data breach) สูงมากขึ้นราว 13% อยู่ที่ประมาณ 4.35 ล้านดอลลาร์ ซึ่งต้นทุนที่สูงขึ้นขององค์กรเหล่านี้ นำไปสู่การขึ้นราคาสินค้าบริการด้วย โดย IBM พบว่าองค์กรราว 60% จากที่สำรวจ ขึ้นราคาสินค้าบริการ จากสาเหตุของข้อมูลหลุดโดยตรง

ปัญหาหลักๆ ของความปลอดภัยในองค์กรส่วนใหญ่ ยังคงอยู่ที่เรื่องการใช้เทคโนโลยีด้านความปลอดภัยที่ยังค่อนข้างต่ำ อย่างเช่นไม่มีการใช้ zero-trust policy นอกจากนี้ IBM พบว่าองค์กรราว 40% แทบยังไม่ใช้หรืออยู่ในช่วงเริ่มต้นของการใช้นโยบายและเทคโนโลยีด้านความปลอดภัยไซเบอร์

GoTo บริษัทแม่ของ LastPass ประกาศเหตุข้อมูลรั่วไหลเนื่องจากใช้คลาวด์สตอเรจแชร์กับ LastPass ที่ทำข้อมูลหลุดเมื่อปีที่แล้ว โดยคนร้ายได้ไฟล์สำรองข้อมูลและกุญแจถอดรหัสไฟล์สำรองข้อมูลบางส่วนไป

Thinkst Canary บริษัทให้บริการความปลอดภัยไซเบอร์ด้วยแนวทางขุดบ่อล่อ (honeypot) เปิดบริการเลขบัตรเครดิตปลอมที่จะแจ้งเตือนเมื่อมีการใช้งาน สำหรับวางไว้ร่วมกับข้อมูลอื่นว่าไฟล์หลุดหรือไม่

Canarytoken เดิมมีโทเค็นแบบอื่นๆ เพื่อล่อแฮกเกอร์แบบนี้อยู่แล้ว เช่น กุญแจ AWS, DNS (ตรวจสอบว่าโดเมนถูกคิวรี), หรืออีเมล แต่เพิ่งเพิ่มบริการเลขบัตรเครดิต บริการนี้เป็นบริการฟรี

แนวทางการใช้งานเลขบัตรเครดิตปลอมแบบนี้อาจจะใส่ไปในฐานข้อมูลผสมกับข้อมูลลูกค้า หากเลขบัตรนี้ถูกใช้งานก็แสดงว่าฐานข้อมูลชุดนั้นรั่วไหล หรืออาจจะใช้ตรวจสอบกับพนักงานภายในว่าทำข้อมูลหลุดหรือเอาข้อมูลที่มีคนเผลอส่งให้ไปใช้งานหรือไม่

PayPal ส่งอีเมลแจ้งเตือนผู้ใช้งาน (บางส่วน) ว่าพบการล็อกอินเข้าบัญชีของผู้ใช้ โดยใช้รหัสผ่านที่หลุดมาจากที่อื่น (ไม่ใช่ PayPal ทำหลุดเอง) แต่ยังไม่พบการทำธุรกรรมที่ผิดปกติ

PayPal บอกว่าค้นพบการเข้าถึงบัญชีกลุ่มนี้ในวันที่ 20 ธันวาคม 2022 และคาดว่าเหตุการณ์เข้าถึงเกิดขึ้นราววันที่ 6-8 ธันวาคม 2022 มีผู้ใช้ได้รับผลกระทบ 34,942 ราย ข้อมูลที่ถูกเข้าถึงได้ประกอบด้วยชื่อ ที่อยู่ หมายเลขประกันสังคม (SSN) หมายเลขภาษี และวันเกิด

บัญชีที่ได้รับผลกระทบถูกรีเซ็ตรหัสผ่านแล้ว และ PayPal แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านของบัญชีอื่นๆ หากใช้รหัสผ่านเดียวกัน รวมถึงเปิดใช้การล็อกอินแบบ 2FA ด้วย

CircleCI เปิดเผยรายละเอียดการถูกแฮ็กระบบในช่วงปลายปี 2022 ที่ผ่านมา

CircleCI ระบุว่าตรวจพบความเคลื่อนไหวผิดปกติในช่องทางการล็อกอิน GitHub OAuth ของลูกค้ารายหนึ่ง จึงเริ่มตรวจสอบ และร่วมมือกับ GitHub สลับ OAuth token ของลูกค้าทั้งหมด

Tom Forbes นักพัฒนาซอฟต์แวร์จากสหราชอาณาจักรเขียนโปรแกรมสแกนแพ็กเกจบน PyPI, HexPM, และ RubyGems เพื่อหากุญแจ AWS เองแล้วนำไปแจ้ง AWS ให้ยกเลิกกุญแจเสีย โดยตั้งระบบอัตโนมัติผ่านทาง GitHub Actions เอาไว้ หลังจากสแกนไปได้ระยะหนึ่งก็พบว่ามีแพ็กเกจที่ทำกุญแจหลุดไปถึง 57 แพ็กเกจ

กุญแจ AWS ทั้ง 57 รายการแบ่งตามประเภทเป็นกุญแจ Root 11 รายการ, กุญแจระดับผู้ใช้ 18 รายการ, และกุญแจระดับ Service อีก 22 รายการ (Forbes ไม่ระบุว่าทำไมแบ่งตามประเภทแล้วไม่ครบ 57 รายการ) กุญแจตัวหนึ่งถูกอัปโหลดไว้ใน PyPI ตั้งแต่ปี 2013 หรือเกือบสิบปีแล้ว

ชายนิรนามคนหนึ่งยื่นขอฟ้องแบบกลุ่ม (class action) กับ LastPass หลังข้อมูลหลุดขนานใหญ่ หลังชายผู้นี้ถูกแฮกบิตคอยน์มูลค่า 53,000 ดอลลาร์หรือประมาณ 1.8 ล้านบาท โดยที่เก็บกุญแจบิตคอยน์ไว้ใน LastPass

ขายผู้นี้ใช้ LastPass มาตั้งแต่ปี 2016 แต่เพิ่งเริ่มซื้อบิตคอยน์เมื่อกลางปี 2022 ที่ผ่านมาโดยใช้ master password ยาวกว่า 12 ตัวอักษร และเมื่อได้ทราบข่าวก็ลบข้อมูลออกจาก LastPass แต่เดือนพฤศจิกายนที่ผ่านมาก็ถูกขโมยบิตคอยน์อยู่ดี

หลังเหตุการณ์ LastPass ข้อมูลหลุด ตอนนี้คู่แข่งสำคัญอย่าง 1Password ก็ออกมาแสดงความเห็นว่าแม้รหัสผ่านของผู้ใช้จะถูกเข้ารหัสด้วย PBKDF2 และทาง LastPass จะระบุว่าการเดารหัสผ่านจะใช้เวลานานนับล้านปี หากผู้ใช้ตั้งรหัสผ่านโดยสุ่มมาดีพอและยาว 12 ตัวอักษรขึ้นไป แต่ทาง 1Password ก็ชี้ว่าโดยทั่วไปมนุษย์ไม่สามารถตั้งรหัสผ่านคุณภาพสูงได้อยู่แล้วยกเว้นว่าจะใช้ซอฟต์แวร์สุ่มรหัสผ่านมาให้

Evan J Johnson อดีตวิศวกรซอฟต์แวร์ของ LastPass ที่ทำงานมาตั้งแต่ช่วงปี 2013-2015 แสดงความเห็นต่อ เหตุการณ์ข้อมูลหลุดครั้งล่าสุดว่าเป็นเหตุการณ์ร้ายแรงที่สุดที่บริษัทเคยเจอ เพราะปกติฐานข้อมูลรหัสผ่านของลูกค้าถูกแยกฐานข้อมูลเอาไว้แล้ว

Johnson ยังเตือนว่ามีข้อมูลหลายอย่างที่คนร้ายเห็นแม้ตัวรหัสผ่านจะเข้ารหัสไว้ด้วยตัว master password ก็ตามที่ ประเด็นหลักๆ ได้แก่

แฮกเกอร์ที่ใช้ชื่อบัญชี Ryushi เผยแพร่ข้อมูลบัญชีทวิตเตอร์ 1,000 คนแรกที่ได้รับการยืนยันบัญชี พร้อมกับประกาศขายข้อมูลบัญชีทั้งหมดกว่า 400 ล้านบัญชี โดยข้อมูลสำคัญคือ อีเมลและหมายเลขโทรศัพท์ นอกจากนี้ยังมีจำนวนผู้ติดตามและวันที่สร้างบัญชี

Ryushi ไม่ได้เปิดเผยว่าได้ข้อมูลทางช่องทางใด แต่เมื่อเดือนสิงหาคมที่ผ่านมาทวิตเตอร์เพิ่งเปิดเผยว่ามีช่องโหว่ของระบบทำให้คนร้ายสามารถดูดข้อมูลโทรศัพท์และอีเมลได้จริง แต่ก่อนหน้านี้ก็ยังไม่มีคนร้ายออกมาเปิดเผยว่าดูดข้อมูลตามช่องโหว่นี้

LastPass รายงานถึงเหตุข้อมูลรั่วจากระบบคลาวด์สตอเรจ ทำให้คนร้ายเข้าถึงข้อมูลสำรองทั้งระบบ โดยเหตุการณ์นี้เกี่ยวเนื่องกับเหตุการณ์เมื่อเดือนสิงหาคมที่ผ่านมา เพราะคนร้ายใช้ข้อมูลที่ได้ไปครั้งนั้นเอาไปเข้าระบบสตอเรจอีกที

ข้อมูลสำรองที่ได้ไป ทำให้คนร้ายข้อมูลไปจำนวนมาก โดยเฉพาะข้อมูลลูกค้า เช่น ชื่อบริษัท, ชื่อผู้ใช้, ที่อยู่เรียกเก็บเงิน, อีเมล, หมายเลขโทรศัพท์, และหมายเลขไอพีที่เข้าใช้งาน รวมถึงตัวฐานข้อมูลรหัสผ่านของลูกค้าเอง ยกเว้นข้อมูลหมายเลขบัตรเครดิตที่ไม่ได้สำรองไว้ในระบบนี้

LastPass อัพเดตข้อมูลกรณีการโดนแฮ็กเมื่อเดือนสิงหาคม 2022 ที่ตอนแรกเชื่อว่าข้อมูลลูกค้าไม่ได้รับผลกระทบ เพราะแฮ็กเกอร์เข้าถึงเฉพาะซอร์สโค้ดของบริษัท

จากการตรวจสอบอย่างละเอียด LastPass ยอมรับว่าแฮ็กเกอร์เข้าถึงข้อมูลบางส่วนของลูกค้า (certain elements of our customers’ information) แต่ไม่ได้เข้าถึงข้อมูลรหัสผ่านของลูกค้าที่ถูกเข้ารหัสอีกที และตัว LastPass เองก็ไม่สามารถเข้าถึงได้

LastPass บอกว่าตอนนี้กำลังวิเคราะห์อยู่ว่ามีข้อมูลใดบ้างถูกเข้าถึงได้ และจะประกาศข้อมูลเพิ่มเติมต่อไป

ออสเตรเลียผ่านกฎหมายขึ้นค่าปรับการทำข้อมูลส่วนบุคคล จากเดิมที่ค่าปรับสูงสุดอยู่ที่ 2.2 ล้านดอลลาร์ออสเตรเลีย กลายเป็นค่าปรับไม่มีเพดานแต่จะคิดจากความเสียหายหรือขนาดองค์กรที่ทำข้อมูลหลุดแทน โดยค่าปรับในกรณีที่เกิดความเสียร้ายแรงหรือทำผิดซ้ำ โดยเพดานค่าปรับจะดูจากสามเงื่อนไขและคิดเงื่อนไขที่เพดานค่าปรับสูงสุด เงื่อนไขได้แก่

• 50 ล้านดอลลาร์ออสเตรเลีย
• สามเท่ามูลค่าผลประโยชน์ที่คนร้ายได้ไปจากการใช้ข้อมูล
• 30% ของเงินหมุนเวียนของบริษัท (adjusted turnover)

ออสเตรเลียพบปัญหาข้อมูลหลุดครั้งใหญ่ๆ หลายครั้งในปีนี้ เช่น เครือข่ายโทรศัพท์มือถือ Optus ทำข้อมูลลูกค้าหลุด 9.8 ล้านคน หรือบริการประกันสุขภาพ Medibank ที่ทำข้อมูลหลุดถึง 9.7 ล้านคน

Dropbox เปิดเผยว่าถูกแฮ็กเข้าระบบจัดการซอร์สโค้ดภายใน (เป็น GitHub แบบบัญชีองค์กร) โดยแฮ็กเกอร์ใช้วิธี phishing หลอกเอาล็อกอิน สามารถเข้าถึงซอร์สโค้ดจำนวน 130 repositories และข้อมูลพนักงาน-คู่ค้าจำนวนหนึ่ง แต่เข้าไม่ถึงซอร์สโค้ดของแอพหลัก และข้อมูลทั้งหมดของลูกค้า

Dropbox บอกว่าได้รับแจ้งเตือนจาก GitHub ที่ตรวจพบความเคลื่อนไหวผิดปกติของบัญชีนักพัฒนา หลังสอบสวนแล้วพบว่าบัญชีถูกแฮ็ก โดยแฮ็กเกอร์ปลอมตัวเป็นอีเมลของระบบ CircleCI บริการ CI/CD ที่ Dropbox ใช้งาน หลอกเอา API key ของบัญชีพนักงานรายหนึ่งไปได้

SOCRadar บริษัทด้านความปลอดภัยไซเบอร์ได้เปิดเผยรายงานระบุว่า Microsoft ทำข้อมูลภายในรั่วไหล ซึ่งเป็นข้อมูลที่เก็บตั้งแต่ปี 2017 มาจนถึงเดือนสิงหาคมปีนี้ รวมปริมาณ 2.4 TB

ข้อมูลที่หลุดออกมามีทั้งเอกสารภายในเกี่ยวกับการดำเนินของบริษัท, ข้อมูลผู้ใช้, รายละเอียดการสั่งซื้อและการเสนอขายผลิตภัณฑ์, รายละเอียดโครงการต่างๆ, ข้อมูลส่วนบุคคลที่ใช้ระบุตัวตนได้ รวมทั้งเอกสารอื่นที่อาจนำไปสู่การเปิดเผยทรัพย์สินทางปัญญาของบริษัท ทั้งนี้ SOCRadar ระบุว่าข้อมูลชุดนี้มาจากการปรับแต่งที่ผิดพลาดของ Azure Blob Storage

Plex โปรแกรมสำหรับทำ Media Server เพื่อใช้งานเอง รายงานพบการเจอข้อมูลรั่วไหลเมื่อวานนี้ (23 สิงหาคม) ที่ผ่านมา

ทาง Plex ไม่ได้อธิบายว่าแฮคเกอร์โจมตีด้วยวิธีใด แต่ระบุว่ามีข้อมูลของผู้ใช้เพียงบางส่วน ได้แก่อีเมล์ ชื่อผู้ใช้ และรหัสผ่านที่ผ่านการเข้ารหัส และข้อมูลที่หลุดเพียงผู้ใช้บางกลุ่มเท่านั้น

แต่อย่างไรก็ตาม ทาง Plex ยังคงแนะนำให้รีบเปลี่ยนรหัสผ่านทันที และเปิดใช้งาน Two-Factor Authentication เพื่อเพิ่มความปลอดภัย

Twilio บริษัทที่ให้บริการ API ส่งข้อความ SMS, โทรศัพท์อัตโนมัติ และแชท ประกาศข่าวว่าระบบถูกเจาะเมื่อวันที่ 4 สิงหาคมที่ผ่านมา และมีบัญชีของลูกค้าบางส่วนถูกเข้าถึงได้

Twilio อธิบายว่าถูกโจมตีด้วยการ phishing พนักงานของบริษัทอย่างจงใจ ทำให้ข้อมูลการล็อกอินเข้าระบบของพนักงานรั่วไหล และถูกแฮ็กเกอร์ใช้เป็นช่องทางเข้าระบบได้ รูปแบบการโจมตีที่พบคือการส่ง SMS ไปยังหมายเลขของพนักงานเพื่อหลอกให้คลิกลิงก์ (ปลอม) ตามภาพ

Twilio บอกว่าได้แจ้งไปยังลูกค้าที่ได้รับผลกระทบแล้ว และจะพยายามเข้มงวดกับพนักงานไม่ให้โดนหลอก phishing ได้ง่าย ซึ่งตอนนี้พบเจอการโจมตีแบบเดียวกันกับพนักงานของบริษัทใหญ่ๆ ในสหรัฐด้วย

สำนักข่าว Wall Street Journal อ้างแหล่งข่าวไม่เปิดเผยตัวระบุว่ารัฐบาลเซี่ยงไฮ้เรียกผู้บริหาร Alibaba Cloud เข้าให้ข้อมูล หลังจากข้อมูลประชาชนจีนกว่าพันล้านรายการหลุดออกจากระบบของตำรวจเซี่ยงไฮ้ที่ใช้บริการ Aliyun หรือ Alibaba Cloud

ก่อนหน้านี้ LeakIX เว็บไซต์ติดตามเหตุข้อมูลรั่วเคยวิเคราะห์เหตุการณ์ข้อมูลรั่วของเซี่ยงไฮ้ว่าเกิดจากการตั้งค่าของ Elasticsearch บน Alibaba Cloud จะเปิดให้ Kibana ได้จากอินเทอร์เน็ตเป็นค่าเริ่มต้น แถมรหัสผ่านของ Elasticsearch เองก็ใช้ username/password ว่า elastic/elastic ทำให้แฮกเกอร์สามารถสแกนด้วยรหัสผ่านได้ไม่ยาก