Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศว่าแอคเคาท์ไมโครซอฟท์รองรับการล็อกอินด้วยคีย์ FIDO2 และ Windows Hello แล้ว โดยจะใช้ได้เฉพาะบน Windows 10 (October 2018) ขึ้นไปและเฉพาะบน Microsoft Edge เท่านั้น

การตั้งค่าต้องเข้าไปที่หน้าแอคเคาท์ไมโครซอฟท์ เลือก Security และ More Security Options แล้วกด Windows Hello and Security Keys เพื่อตั้งค่า

ที่มา - Microsoft

Tags:
Topics: 
Node Thumbnail

งานเปิดตัวผลิตภัณฑ์ใหม่ของแอปเปิลเมื่อเดือนที่แล้วมาพร้อมกับชิปความปลอดภัย T2 ที่ไม่เพียงดูแลเรื่อง Touch ID หรือการเข้ารหัสข้อมูลในเครื่องเท่านั้น แต่ยังตรวจสอบฮาร์ดแวร์ในเครื่องหลังการซ่อม ว่ามาจากแอปเปิลหรือตัวแทนที่ได้รับการรับรองหรือไม่ด้วย

แอปเปิลยืนยันประเด็นนี้กับ The Verge ระบุว่ามีผลกับอุปกรณ์แมครุ่นใหม่ๆ และกับชิ้นส่วนบางชิ้นอย่างโลจิคบอร์ดหรือ Touch ID แต่ก็ไม่ได้เปิดเผยข้อมูลชิ้นส่วนอื่นๆ ว่าเข้าข่ายแค่ไหน ขณะที่การทำงานของชิปคือจะตรวจสอบว่าชิ้นส่วนที่ถูกเปลี่ยนมานั้น ผ่านการรันด้วยซอฟต์แวร์ Apple Service Toolkit 2 ที่มีเฉพาะแอปเปิลและตัวแทนที่ได้รับการรับรองเท่านั้น

Tags:
Node Thumbnail

บริษัท Voxox ผู้ให้บริการสื่อสารที่มีสำนักงานอยู่ในรัฐแคลิฟอร์เนียถูกค้นพบว่าไม่ได้ล็อกรหัสผ่านเซิร์ฟเวอร์ฐานข้อมูลไว้ เปิดให้ใครก็ได้เข้าใช้งานและเก็บข้อความ SMS ได้ทันทีในระดับเกือบเรียลไทม์

Sébastien Kaul นักวิจัยความปลอดภัยระบุว่า เขาพบเซิร์ฟเวอร์นี้จาก Shodan เสิร์ชเอนจินที่ค้นหาฐานข้อมูลและอุปกรณ์ที่เข้าถึงได้จากสาธารณะ และเซิร์ฟเวอร์นี้ถูกผูกเข้ากับซับโดเมนของ Voxox ด้วย

Tags:
Node Thumbnail

ในยุคนี้ อุปกรณ์ไอทีกลายเป็นของขวัญสำคัญในช่วงเทศกาล ไม่ว่าจะเป็นอุปกรณ์อัจฉริยะ เครื่องเกม ที่ผู้รับจะรู้สึกยินดีที่ได้ ล่าสุด Mozilla ทำการจัดอันดับไอเดียของขวัญที่เป็น gadget อุปกรณ์ไอที 70 ชิ้น ที่ถูกใจผู้รับ แต่ก็เก็บรวบรวมข้อมูลของผู้ใช้ไปมากเช่นกัน

ผู้อ่านสามารถเข้าไปลองดูในเว็บไซต์และกดดูอุปกรณ์แต่ละชิ้นว่าอยู่ในระดับไหน พอรับได้ไหมเรื่องความปลอดภัย มีโอกาสมากเท่าไรที่เราจะถูกสอดแนม ล้วงข้อมูลจากอุปกรณ์ชิ้นนี้ และสามารถถูกขโมยข้อมูลได้จากทางไหนบ้าง เช่น กล้อง ไมโครโฟน พิกัดสถานที่ เป็นต้น และจะมีระบุด้วยว่าอุปกรณ์ชิ้นนี้มีการเข้ารหัสหรือไม่ แชร์ข้อมูลให้ภายนอกหรือไม่ ผู้อ่านยังสามารถไปโหวตได้ว่า เมื่อได้รู้รายละเอียดเรื่องความปลอดภัยแล้ว จะให้คะแนนความปลอดภัยในระดับไหน

Tags:
Node Thumbnail

Mozilla ประกาศอัพเดตฟีเจอร์ใหม่เพิ่มให้ Firefox Monitor ระบบแจ้งเตือนผู้ใช้หากเว็บไซต์มีการรั่วไหลของข้อมูล โดยเพิ่มให้ Firefox Monitor รองรับอีกหลายภาษา และเพิ่มระบบแจ้งเตือน Firefox Monitor ให้แจ้งเตือนผู้ใช้ผ่านเบราว์เซอร์ Firefox ได้เลย

Tags:
Topics: 
Node Thumbnail

มีผู้ใช้ Apple ID บางส่วนประสบปัญหาบัญชีถูกล็อก และบังคับเปลี่ยนรหัสใหม่โดยไม่มีสาเหตุ

ปกติแล้ว ระบบนี้จะทำงานเมื่อมีปัจจัยที่ส่งผลต่อความปลอดภัยของบัญชี เช่น มีคนพยายามล็อกอินเข้าไปยังบัญชีโดยใช้รหัสที่ผิดเป็นจำนวนหลายๆ ครั้ง เมื่อบัญชีถูกล็อกแล้ว ผู้ใช้ต้องใส่รหัสหรือเปลี่ยนรหัสใหม่ หากไม่ทำจะไม่สามารถใช้งาน iMessage, iCloud และ Apple Music ได้

เหตุการณ์ครั้งนี้มีการคาดเดาไว้หลายสาเหตุ เช่น อาจมีกลุ่มผู้ไม่หวังดีพยายามแฮ็กเข้ามาในระบบ (บางคนได้รับข้อความการล็อกอินแอปเปิลไอดีจากอุปกรณ์ใหม่) หรืออาจเป็นแค่บั๊กของแอปเปิลก็เป็นได้ อย่างไรก็ตามยังไม่มีการชี้แจงใดๆ จากแอปเปิลเพื่ออธิบายเหตุการณ์ดังกล่าว

Tags:
Node Thumbnail

PayMe บริการ e-Wallet ของธนาคาร HSBC ในฮ่องกงถูกโจมตีจากอาชญากรด้วยการหลอกเหยื่อเอารหัสอีเมล เพื่อรีเซ็ตรหัสผ่านตัวแอป และสั่งโอนเงินออกไปจากเหยื่อประมาณ 20 ราย รวมมูลค่าความเสียหาย 100,000 ดอลลาร์ฮ่องกง

เหยื่อเหล่านี้ถูกอีเมล phishing หลอกถามรหัสผ่าน แต่ตัวแอปเองกลับไม่ได้ป้องกันเงินด้วยการล็อกอินสองขั้นตอน แต่ต้องการเพียงรหัสผ่านที่รีเซ็ตด้วยอีเมลได้

ผู้เชี่ยวชาญความปลอดภัยไซเบอร์หลายรายในฮ่องกง เช่น ประธานสมาคมอินเทอร์เน็ตฮ่องกง, ประธานสหพันธ์เทคโนโลยีสารสนเทศฮ่องกง ออกมาแสดงความเห็นเป็นเสียงเดียวกันว่าการป้องกันลูกค้าเป็นหน้าที่ของธนาคาร ในกรณีธนาคารควรใช้การล็อกอินสองขั้นตอนเพื่อช่วยเพิ่มความปลอดภัย

ทาง HSBC ยืนยันว่าแอปไม่ได้มีช่องโหว่และปลอดภัยดี

Tags:
Node Thumbnail

กูเกิลรายงานถึงอัตราการติดตั้งแอปพลิเคชั่นที่อาจจะมีอันตราย (Potentially Harmful Applications - PHA) โดยระบุว่าหลังจากนี้จะรวมเข้าเป็นส่วนหนึ่งของรายงานความโปร่งใสของกูเกิล

รายงานแสดงให้เห็นว่าการติดตั้งแอปผ่าน Google Play นั้นเสี่ยงน้อยกว่าการโหลดแอพเองประมาณ 9 เท่าตัว และผู้ใช้แอนดรอยด์เวอร์ชั่นใหม่ๆ ก็เสี่ยงติดตั้งแอป PHA น้อยกว่ามาก และเมื่อแยกอัตราการติดตั้งแอปอันตรายเหล่านี้ สามประเทศแรกที่อัตราการติดตั้งสูงสุดคือ อินโดนีเซีย, อินเดีย, และสหรัฐฯ

Tags:
Node Thumbnail

ไมโครซอฟท์ออกเอกสารคำแนะนำความมั่นคงปลอดภัย ADV180028 แนะนำกระบวนการปิดการเข้ารหัสด้วยเฟิร์มแวร์ของผู้ผลิต SSD และหันมาใช้ซอฟต์แวร์ของ BitLocker เองโดยตรง หลังจากเมื่อวานนี้มีรายงานถึงช่องโหว่ของกระบวนการเข้ารหัสบนเฟิร์มแวร์ผู้ผลิต SSD

กระบวนการ ให้คอนฟิก Group Policy เพื่อบังคับใช้ซอฟต์แวร์เข้ารหัสเท่านั้น, จากนั้นปิดการเข้ารหัส, และสั่งเปิด BitLocker ใหม่อีกครั้ง ดิสก์ก็เข้ารหัสด้วยซอฟต์แวร์ของ BitLocker โดยตรง ไม่ได้ใช้เฟิร์มแวร์ดิสก์อีกต่อไป

เอกสารย้ำว่าผู้ใช้ไม่ต้องฟอร์แมตดิสก์ใหม่แต่อย่างใด

Tags:
Node Thumbnail

SSD รุ่นสูงๆ หลายรุ่นมักโฆษณาว่ามีความสามารถเข้ารหัสดิสก์ในตัว แต่งานวิจัยล่าสุดจากทีมวิจัย มหาวิทยาลัย Radboud ในเนเธอร์แลนด์ พบว่ากระบวนการเข้ารหัสจากผู้ผลิตดิสก์มักมีอ่อนแอ แฮกเกอร์สามารถกู้กุญแจเข้ารหัสได้โดยง่าย

ทีมงานทดสอบ SSD จำนวน 7 รุ่นจาก Crucial และ Samsung พบว่ามีช่องโหว่จำนวนมาก ดิสก์บางรุ่นไม่ได้เข้ารหัสกุญแจถอดรหัสดิสก์ด้วยรหัสผ่าน เมื่อนักวิจัยรีเซ็ตรหัสผ่านของเฟิร์มแวร์ก็สามารถถอดรหัสดิสก์ได้ทันที

Tags:
Node Thumbnail

วันนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนพฤศจิกายน 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 พ.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 พ.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 พ.ย. มาด้วย)

แพตช์ 1 พ.ย. แก้ช่องโหว่ด้านความปลอดภัย 17 จุด (CVE) เป็นระดับร้ายแรง (critical) 4 จุด เป็นเรื่องของ Mediaserver เจ้าเก่าทั้ง 4 จุด ส่วนแพตช์ 5 พ.ย. แก้เพิ่มอีก 19 จุด เกือบทั้งหมดเป็นเรื่องช่องโหว่บนไดรเวอร์ของผู้ผลิตอย่าง Qualcomm เกือบทั้งหมด เป็นช่องโหว่ระดับร้ายแรงถึง 3 จุด

Tags:
Node Thumbnail

Sébastien Lachance นักพัฒนาแอปสายวินโดวส์รายหนึ่งได้พบบั๊กบน Windows 10 ที่กระทบทุกเวอร์ชันก่อน Build 1809 เปิดช่องให้แอป UWP ที่ขอสิทธิ broadFileSystemAccess สามารถเข้าถึงไฟล์ทั้งหมดในเครื่องได้เลย โดยไม่ขึ้นหน้าให้ผู้ใช้กดอนุญาตก่อน

Lachance พบบั๊กนี้หลังจากแอปของตัวเองที่ขอ broadFileSystemAccess แครชตอนเปิดหลังอัพเดตเมื่อเดือนตุลาคมที่ผ่านมา (v1809) เพราะไมโครซอฟท์ได้ปรับแก้ให้ผู้ใช้ต้องกดอนุญาตสำหรับแอปที่ขอเข้าถึงไฟล์ทั้งหมดในหน้า settings ตามที่ระบุเอาไว้ในเอกสารสำหรับนักพัฒนาว่าแอปที่จะเข้าถึง File System จะต้องเปิดหน้า settings ขึ้นมาเพื่อให้ผู้ใช้ยืนยัน

อย่างไรก็ตามไมโครซอฟท์ไม่ได้แสดงความเห็นต่อประเด็นนี้

Tags:
Node Thumbnail

กูเกิลประกาศว่า Chrome 71 ที่มีกำหนดออกในเดือนธันวาคม 2018 จะบล็อคโฆษณาของเว็บไซต์ที่ถูกขึ้นบัญชีดำว่าเป็นเว็บไซต์ที่สร้างประสบการณ์ไม่ดีแก่ผู้ใช้ (กูเกิลใช้คำว่า abusive experience)

เว็บไซต์ที่เข้าข่าย abusive experience คือพยายามล่อให้ผู้ใช้กดโฆษณาบนเว็บไซต์ด้วยวิธีการต่างๆ ทั้งแบนเนอร์ ป๊อปอัพ วิดีโอ หรือหลอกให้ดาวน์โหลดแอพบนมือถือ ตัวอย่างเทคนิคที่ใช้งาน เช่น ปุ่ม x ปิดโฆษณาที่ไม่ได้ปิดโฆษณาจริงๆ หรือแบนเนอร์ที่หน้าตาเหมือนข้อความแจ้งเตือนของ OS

ก่อนหน้านี้กูเกิลมีมาตรการบล็อคป๊อปอัพและการเปิดหน้าต่างใหม่ แต่พบว่ามาตรการเหล่านี้ไม่เพียงพอ กูเกิลจึงตัดสินใจใช้ยาแรงขึ้น โดยบล็อคโฆษณาทั้งหมดอย่างสมบูรณ์

Tags:
Node Thumbnail

คดีมัลแวร์ Mirai ที่ติดไปตามอุปกรณ์ IoT จำนวนมาก จนสามารถยิง DDoS ให้เว็บใดๆ ล่มได้ และสามารถล่มบริการ DynDNS ได้ในปี 2016 ตอนนี้คดีสิ้นสุดลงแล้ว เมื่อศาลนิวเจอร์ซีย์กำหนดโทษให้ Paras Jha ให้ถูกกุมขังในบ้านนาน 6 เดือน ปรับ 8.6 ล้านดอลลาร์หรือ 280 ล้านบาท คุมความประพฤติ 5 ปี และทำงานบริการสังคมอีก 2,500 ชั่วโมง

Jha สารภาพเมื่อปลายปี 2017 ว่าร่วมกับ Dalton Norman สร้างมัลแวร์ Mirai และเผยแพร่มัลแวร์ติดเราท์เตอร์และอุปกรณ์ IoT ได้กว่า 100,000 เครื่อง นอกจากจะใช้ยิง DDoS แล้ว ยังใช้คลิกลิงก์หาค่าโฆษณา

Tags:
Node Thumbnail

นักวิจัยของบริษัท Cymulate บริษัทที่ให้บริการโซลูชันด้านความปลอดภัยได้โพสต์บล็อกเกี่ยวกับการค้นพบช่องโหว่บน Microsoft Word 2016 และเก่ากว่า ผ่านฟีเจอร์ Online Video ที่เปิดให้แฮกเกอร์สามารถรันสคริปต์ผ่านวิดิโอที่ฝังมาบน Word ได้

นักวิจัยระบุว่าช่องโหว่นี้เกิดจาก Word 2016 หรือเก่ากว่า ยอมรันโค้ดจาวาสคริปต์ใดๆ ที่ใส่ไว้ใน attribute embeddedHtml โดย attribute นี้มีไว้เพื่อเก็บค่า iframe จาก YouTube

นักวิจัยสาธิตการโจมตีด้วยการสร้างสตริง base64 ที่สั่งให้รัน Internet Explorere Download Manager ขึ้นมาได้สำเร็จ (ดูคลิปได้จากบล็อกของ Cymulate)

Tags:
Node Thumbnail

บริการ Workplace by Facebook หรือ Facebook เวอร์ชันสำหรับองค์กรธุรกิจที่เปิดตัวในปี 2016 เตรียมย้ายออกจากโดเมน facebook.com ไปใช้โดเมน workplace.com ด้วยเหตุผลเรื่องแบรนด์ Facebook ที่มีชื่อเสียด้านข้อมูลหลุด

ปัจจุบันเว็บไซต์ workplace.com เป็นหน้าโฆษณาบริการ Workplace by Facebook อยู่แล้ว แต่ยังถูกใช้เพื่อการโฆษณาเพียงอย่างเดียว การเปลี่ยนแปลงจะเริ่มเห็นในปี 2019 แต่ไม่ระบุช่วงเวลาแน่ชัด

Tags:
Node Thumbnail

กูเกิลปรับนโยบายความปลอดภัยของการใช้งานบัญชี Google Account โดยบังคับว่าเบราว์เซอร์ต้องเปิดใช้งาน JavaScript ตอนล็อกอินเสมอ

เหตุผลของกูเกิลเป็นเรื่องความปลอดภัย โดยระบบตรวจสอบความเสี่ยงขณะยืนยันตัวตนของกูเกิล จำเป็นต้องใช้ JavaScript ในการทำงาน กรณีของคนส่วนใหญ่คงไม่มีปัญหาและไม่ต้องเปลี่ยนแปลงอะไร แต่กูเกิลก็ให้ข้อมูลว่ามีผู้ใช้ประมาณ 0.1% ที่ปิด JavaScript ในเบราว์เซอร์

Tags:
Node Thumbnail

Digital Crime Unit ของไมโครซอฟท์เอเชียในสิงคโปร์ ได้เผยผลสำรวจจากสุ่มทดลองซื้อพีซีใหม่จากร้านค้าที่ไม่ใช่ตัวแทนจำหน่ายอย่างเป็นทางการ (อาทิ ร้านตู้) ใน 9 ประเทศได้แก่อินเดีย มาเลเซีย สิงคโปร์ เกาหลีใต้ ไต้หวัน ฟิลิปปินส์ เวียดนาม อินโดนีเซียและไทย ปรากฎว่า 83% ของพีซีที่ซื้อมาใน 9 ประเทศนี้มาพร้อมซอฟต์แวร์ผิดลิขสิทธิ์ ที่ส่วนใหญ่จะติดมัลแวร์มาด้วยอีกทอด

Tags:
Node Thumbnail

มอซิลล่าผู้ดูแลโครงการเบราว์เซอร์ไฟร์ฟอกซ์ได้รับทุนจากสหภาพยุโรปมาสร้างหลักสูตรปริญญาเอก OpenDoTT ร่วมกับมหาวิทยาลัย Dundee เพื่อให้นักวิจัยมาศึกษาการออกแบบอุปกรณ์ IoT ที่มีความปลอดภัยและเชื่อถือได้

ทุนนี้มีระยะเวลา 3 ปี โดยปีแรกจะศึกษาการออกแบบงานวิจัยอยู่ที่มหาวิทยาลัย Dundee จากนั้นไปทำงานร่วมกับมอซิลล่าในเบอร์ลินอีก 18 เดือนก่อนจะกลับมาทำวิจัยที่มหาวิทยาลัยอีก 6 เดือน

หัวข้อวิจัย เช่น อุปกรณ์สวมใส่ได้, สมาร์ตโฮม, สมาร์ตซิตี้ ทางมอซิลล่าระบุว่าผู้เข้าร่วมจะมีโอกาสทำงานร่วมกับกลุ่มที่ทำงานเฉพาะทาง เช่น Officine Innesto ผู้ออกแบบฮาร์ดแวร์, SimpleSecure สำหรับการออกแบบความปลอดภัยดิจิตอล

Tags:
Node Thumbnail

ปัญหาผู้ผลิตฮาร์ดแวร์ไม่ยอมอัพเดตแพตช์ Android เป็นเรื่องเรื้อรังมานาน ล่าสุดเว็บไซต์ The Verge ได้เอกสารสัญญาระหว่างกูเกิลกับผู้ผลิตรายหนึ่ง และพบว่ากูเกิลกำหนดเงื่อนไขไว้ในสัญญาโดยตรง ว่าผู้ผลิตต้องอัพเดตแพตช์ความปลอดภัยอย่างน้อย 4 ครั้งในปีแรกที่วางขาย ส่วนปีที่สองระบุว่าต้องอัพเดตแพตช์แต่ไม่ระบุจำนวนครั้ง

การออกแพตช์ยังมีกำหนดเวลาบังคับว่า อุปกรณ์จะต้องปิดช่องโหว่ที่มีอายุเกิน 90 วัน นั่นแปลว่าผู้ผลิตสามารถทิ้งช่วงการออกแพตช์ให้ช้ากว่ารอบแพตช์ของกูเกิลได้ประมาณ 3 เดือน เท่ากับเฉลี่ยแล้วหนึ่งปีต้องออกแพตช์อย่างน้อยไตรมาสละ 1 ครั้ง

เงื่อนไขของกูเกิลมีผลบังคับใช้ตั้งแต่วันที่ 31 มกราคม 2018 เป็นต้นไป และมีผลกับสินค้าที่มีจำนวนผู้ใช้เกิน 1 แสนราย

Tags:
Node Thumbnail

สายการบิน Cathay Pacific รายงานถึงการสอบสวนการเข้าถึงข้อมูลผู้โดยสารโดยไม่ได้รับอนุญาตตั้งแต่เดือนมีนาคมที่ผ่านมา รวมผู้โดยสารที่อาจได้รับผลกระทบ 9.4 ล้านคน ทั้งของ Cathay Pacific เอง และสายการบิน Hong Kong Dragon

ข้อมูลที่ได้รับกระทบได้แก่ ชื่อผู้โดยสาร, สัญชาติ, วันเกิด, เบอร์โทรศัพท์, อีเมล, ที่อยู่, หมายเลขหนังสือเดินทาง, หมายเลขบัตรประชาชน, หมายเลขสะสมไมล์, โน้ตจากศูนย์บริการลูกค้า, หมายเลขบัตรเครดิต, และประวัติการเดินทาง

ข้อมูลของผู้โดยสารแต่ละคนที่ได้รับกระทบไม่เท่ากัน เช่น หมายเลขหนังสือเดินทางกระทบ 860,000 ราย, หมายเลขบัตรประชาชนฮ่องกงกระทบ 245,000 ราย, หมายเลขบัตรเครดิตที่หมดอายุแล้ว 403 ราย, หมายเลขบัตรเครดิตที่ยังไม่หมดอายุ 27 ราย

Tags:
Node Thumbnail

Android Pie มาพร้อมกับ Android Protected Confirmation ฟีเจอร์ด้านความปลอดภัยในการทำธุรกรรม ซึ่ง Google เพิ่งเผยรายละเอียดเรื่องนี้ โดยมี Pixel 3 เป็นมือถือรุ่นแรกที่รองรับฟีเจอร์นี้

Google อธิบายว่า Android Protected Confirmation เป็น API ที่เรียกใช้ฮาร์ดแวร์ช่วยคุ้มครองการทำธุรกรรมหรือสั่งงานอุปกรณ์การแพทย์สำคัญๆ (Trusted UI) แยกจาก OS บนสมาร์ทโฟนอย่างสมบูรณ์ ป้องกันกรณีที่ OS ถูกฝังด้วยมัลแวร์และดักข้อมูลธุรกรรมของเราไป

เมื่อแอปสั่งเรียกใช้งาน Protected Confirmation ตัว Trusted UI จะทำงาน ข้อมูลธุรกรรมจะถูกแสดงผลบนหน้าจอ และให้ผู้ใช้กดยืนยันด้วยปุ่มล็อคหน้าจอ

Tags:
Node Thumbnail

ชิป Titan M ที่ถอดแบบมาจากชิป Titan บนดาต้าเซ็นเตอร์เป็นหนึ่งในฟีเจอร์หลักด้านความปลอดภัยบน Pixel 3 ที่ดูแล bootloader และการเข้ารหัสทั้งหมดแยกส่วนออกมาจากชิปเซ็ตหลักของสมาร์ทโฟน

Xiaowen Xin ผู้จัดการโปรเจ็คด้านความปลอดภัยของ Google เปิดเผยกับ Wired ว่า Google เตรียมจะเปิดโอเพนซอร์สเฟิร์มแวร์ของ Titan M ภายในไม่กี่เดือนข้างหน้าด้วย เพื่อสร้างความมั่นใจให้นักวิจัยด้านความปลอดภัยว่าเรื่องนี้ Google ทำได้จริงอย่างที่พูด

Tags:
Node Thumbnail

Matt Nelson นักวิจัยความปลอดภัยอิสระเล่าบทเรียนถึงการรายงานช่องโหว่การข้ามการบล็อค OLE ในไฟล์ Office 2016 ที่เปิดให้แฮกเกอร์ส่งไฟล์ที่ฝังสคริปต์ไว้ภายในแล้วไปรันบนเครื่องของเหยื่อได้ แต่ความผิดพลาดในการสื่อสารทำให้ไมโครซอฟท์ไม่รับบั๊กไว้ จนกระทั่งมีการใช้ช่องโหว่ไปโจมตีผู้ใช้ในที่สุด

เขารายงานช่องโหว่พร้อมโค้ดตัวอย่าง ตั้งแต่เดือนกุมพาพันธ์ที่ผ่านมา แม้ทีมงาน MSRC (Microsoft Security Response Center) ของไมโครซอฟท์จะส่งผู้จัดการเคสมารับเรื่องอย่างรวดเร็ว แต่การสื่อสารก็ขาดช่วง และสุดท้ายหลังจากผ่านไปเกือบสี่เดือนไมโครซอฟท์ก็แจ้งว่าความร้ายแรงของช่องโหว่ต่ำกว่าระดับที่ MSRC รับดูแล และการรายงานของ Matt ก็ถูกปิดเคสไป

Tags:
Node Thumbnail

บริษัท Pocket iNet ผู้ให้บริการอินเทอร์เน็ตในรัฐวอชิงตันถูกพบว่าปล่อยข้อมูลบน bucket ของ Amazon S3 ออกเป็นสาธารณะ โดยมีข้อมูลรวมทั้งหมด 73GB อยู่ในนั้น

Chris Vickery จากบริษัทด้านความปลอดภัย UpGuard ซึ่งเป็นผู้ค้นพบข้อมูลได้ให้รายละเอียดว่า ไฟล์ที่อยู่ใน bucket นั้น มีหลายอย่าง เช่น ไดอะแกรมการตั้งค่าเครือข่ายของบริษัท, AWS secret key ของพนักงาน, การตั้งค่าเราท์เตอร์, รายละเอียด รวมถึงตำแหน่งที่ตั้งของอุปกรณ์ลูกค้า, สเปรตชีทที่เก็บรหัสผ่านอุปกรณ์ต่าง ๆ แบบ plain text และอื่น ๆ อีกมากมาย ซึ่งแม้ว่าจะไม่มีข้อมูลลูกค้าอยู่ใน bucket นั้น แต่ก็มีข้อมูลบางอย่างเกี่ยวกับลูกค้าบ้าง เช่น มีไฟล์หนึ่งระบุลูกค้า priority ของ Pocket iNet ด้วย

Pages