Tags:
Node Thumbnail

ProtonMail ออกแอป Android เวอร์ชัน 1.11 โดยเพิ่มฟีเจอร์ใหม่สองอย่าง คือระบบปลดล็อกแอปด้วยลายนิ้วมือ และการยืนยันลิงก์

สำหรับระบบปลดล็อกแอปด้วยลายนิ้วมือ ผู้ใช้สามารถเปิดได้โดยไปที่การตั้งค่าของแอปและเลือกแท็บ PIN จากนั้นจะต้องตั้งค่า PIN และเมื่อตั้งค่า PIN แล้วให้เลือก Use Fingerprint ก็เป็นอันเสร็จสิ้น โดยผู้ใช้เข้าแอป ProtonMail ก็จะถามหาลายนิ้วมือ แต่ถ้าไม่มีหรือสแกนไม่ติดก็สามารถกด PIN แทนได้

ถัดไปคือการยืนยันลิงก์ คือเมื่อกดลิงก์ในอีเมลแล้ว ProtonMail จะมีระบบยืนยันลิงก์อีกครั้งโดยขึ้นเป็นกล่องแสดงว่าผู้ใช้กำลังจะไปตามลิงก์ไหน เพื่อป้องกันการกดลิงก์พลาด รวมถึงลิงก์หลอกที่มักจะปรากฏในอีเมล phising

Tags:
Node Thumbnail

Project Zero ของกูเกิลแชร์การรวบรวมข้อมูลช่องโหว่ที่มีการโจมตีก่อนแก้ไข (zero-day exploit/0day) นับจากปี 2014 หรือย้อนหลังไป 5 ปีที่ผ่านมา ระบุทั้งหมายเลข CVE, ผู้ผลิต, ชื่อสินค้า, ประเภทช่องโหว่, กลุ่มผู้โจมตี, วันที่พบการโจมตี, และวันที่ออกแพตช์แก้ไข

การรวบรวมนี้ทำให้เข้าใจการโจมตีได้ดีขึ้น เช่น โดยเฉลี่ยจะพบการโจมตีโดยไม่มีแพตช์ทุก 17 วันต่อช่องโหว่ (ในความจริงห่างกว่านี้มาก เพราะการโจมตีหลายครั้งใช้หลายช่องโหว่รวมกันเป็นชุด), ระยะเวลาที่มีรายงานไปจนถึงผู้ผลิตออกแพตช์เฉลี่ย 15 วัน, และ 68% ของช่องโหว่เป็นปัญหา memory-corruption

Tags:
Node Thumbnail

กูเกิลออกประกาศแจ้งเตือนกุญแจ Titan Security Key ที่เปิดตัวไปเมื่อปีที่แล้ว ว่าการคอนฟิกเฟิร์มแวร์ผิดพลาดทำให้แฮกเกอร์สามารถดักรับข้อความยืนยันการล็อกอินได้, หรือระหว่างการ pair ระหว่างอุปกรณ์ (โทรศัพท์, โน้ตบุ๊ก) กับตัวกุญแจ แฮกเกอร์สามารถสร้างอุปกรณ์มาปลอมเป็นกุญแจเพื่อเข้าควบคุมเครื่องภายหลังได้

คนโจมตีต้องอยู่ในระยะสัญญาณ Bluetooth เพื่อโจมตีช่องโหว่นี้ โดยมีระยะประมาณ 10 เมตร และการล็อกอินด้วย USB และ NFC ไม่มีผลใดๆ โดยการใช้ล็อกอินสองขั้นตอนต้องใช้รหัสผ่านร่วมด้วย การใช้กุญแจยังคงลดความเสี่ยงจากการถูกหลอกให้เข้าเว็บปลอม (phishing) และลดความเสี่ยงในกรณีรหัสผ่านหลุด

Tags:
Node Thumbnail

นักวิจัยได้ค้นพบช่องโหว่ใหม่ในซีพียูของอินเทล ซึ่งสามารถขโมยข้อมูลสำคัญได้โดยตรงผ่านโปรเซสเซอร์ โดยรูปแบบของช่องโหว่นี้คล้ายกับ Meltdown หรือ Spectre ที่อาศัยช่องโหว่จากการออกแบบซีพียูให้ทำงานเร็วขึ้น หรือ speculative execution โดยตั้งชื่อช่องโหว่นี้ว่า ZombieLoad และแจ้งอินเทลให้รับทราบตั้งแต่เดือนที่แล้ว

กระบวนการทำงานนั้นอาศัยการช่วงเวลาที่มีข้อมูลหรือคำสั่งจำนวนมากที่ทำงานไม่ได้ เกิดการเรียกไมโครโค้ดเพื่อป้องกันการแครช ทำให้แอปต่าง ๆ สามารถอ่านข้อมูลโดยตรงผ่านซีพียูได้

Tags:
Topics: 
Node Thumbnail

ทีมนักวิจัยจาก Red Balloon Security รายงานถึงช่องโหว่ 2 รายการของเราท์เตอร์ซิสโก้ และระบบปฏิบัติการ Cisco IOS XE 16 ที่เมื่อใช้ร่วมกันแล้วจะเปิดทางให้ผู้ดูแลเครือข่ายสามารถฝังโค้ดที่ระดับลึกกว่าระบบปฏิบัติการเอาไว้ในตัวเราท์เตอร์ได้ โดยตั้งชื่อชุดการโจมตีนี้ว่า ??? (ชื่อเป็นอีโมจิ อาจจะเรียกว่า The Angry Cat)

ช่องโหว่มีสองช่อง ตัวแรกคือ CVE-2019-1862 เป็นช่องโหว่ของเว็บคอนโซลที่ทำให้ผู้ดูแลระบบสามารถรันคำสั่งที่สิทธิ์ root บนตัวระบบปฏิบัติการได้ ช่องโหว่ที่สองคือ CVE-2019-1649 ที่ผู้ใช้ระดับ root สามารถเข้าแก้ไขเฟิร์มแวร์ของชิป Trust Anchor module (TAm) ที่ทำหน้าที่ตรวจสอบความน่าเชื่อถือของระบบก่อนเริ่มบูต

Tags:
Node Thumbnail

เว็บ The Financial Times รายงานถึงช่องโหว่ CVE-2019-3568 ที่เปิดทางให้แฮกเกอร์ยิงโค้ดเข้ามารันในเครื่องเป้าหมายโดยเหยื่อไม่ต้องกดรับอะไรที่เครื่องตัวเองแม้แต่น้อย แต่เพียงแค่มีสายโทรเข้าเท่านั้น ที่สำคัญคือช่องโหว่นี้ถูกขายโดย NSO Group บริษัทความมั่นคงไซเบอร์จากอิสราเอลที่ให้บริการกับหน่วยงานรัฐหลายชาติ

ทาง WhatsApp ระบุว่าได้แจ้งการโจมตีครั้งนี้ให้กระทรวงยุติธรรมสหรัฐฯ ตั้งแต่สัปดาห์ที่แล้ว และเริ่มแพตช์ฝั่งเซิร์ฟเวอร์ตั้งแต่วันศุกร์ที่ผ่านมา โดยวันนี้จะเริ่มปล่อยอัพเดตให้กับผู้ใช้ทั้งหมด

ตอนนี้ยังไม่สามารถประเมินได้ว่ามีผู้ตกเป็นเหยื่อของช่องโหว่นี้แล้วจำนวนเท่าใด

Tags:
Node Thumbnail

ปกติเราเห็นการอัพเดตไดรเวอร์จีพียู เพื่อแก้บั๊กหรือปรับแต่งประสิทธิภาพของเกมดังที่ออกใหม่ในช่วงนั้น แต่ล่าสุด NVIDIA ประกาศอัพเดตไดรเวอร์จีพียู GeForce, Quadro, Tesla เพื่ออุดช่องโหว่ความปลอดภัย 3 จุด ที่อาจถูกโจมตี DoS หรือแฮ็กมารันมัลแวร์ได้

ช่องโหว่ทั้ง 3 จุด CVE‑2019‑5675, CVE‑2019‑5676, CVE‑2019‑5677 มีผลเฉพาะไดรเวอร์เวอร์ชันวินโดวส์เท่านั้น ปัญหาเกิดจากบั๊กในไฟล์ kernel mode layer (nvlddmkm.sys) เป็นหลัก

สำหรับผู้ใช้ GeForce ควรอัพเดตไดรเวอร์เป็นเวอร์ชัน 430.64 ที่ออกให้อัพเดตกันแล้วผ่านแอพ GeForce Experience ในช่วงสุดสัปดาห์ที่ผ่านมา

ที่มา - NVIDIA, Threatpost

Tags:
Node Thumbnail

กระทรวงยุติธรรมแถลงการจับกุมและแจ้งข้อหาผู้ต้องหารวม 9 คนจากการร่วมกันออกซิมปลอม (SIM Swapping/SIM Hijacking) เพื่อขโมยเงินของเหยื่อ โดยคำฟ้องระบุว่ากลุ่มนี้สามารถโจมตีเหยื่อเพื่อขโมยเงินคริปโตได้สำเร็จ 7 ครั้ง รวมมูลค่าความเสียหาย 2.4 ล้านดอลลาร์หรือ 76 ล้านบาท

ผู้ต้องหา 6 คนเป็นกลุ่มแฮกเกอร์ที่ใช้ชื่อว่า The Community พยายามออกซิมด้วยวิธีการต่างๆ กันไป เช่น ปลอมตัวเป็นเจ้าของหมายเลขโทรศัพท์เพื่อหลอกล่อให้ผู้ให้บริการโทรศัพท์มือถือออกซิมใหม่ให้ ในบางกรณีก็ให้สินบนพนักงานของผู้ให้บริการโทรศัพท์มือถือเพื่อให้ออกซิมใหม่ โดยในการจับกุมครั้งนี้ก็มีอดีตพนักงานผู้ให้บริการถูกแจ้งข้อหาอีก 3 คน

Tags:
Node Thumbnail

พบการโจมตีช่องโหว่ของเซิร์ฟเวอร์ Microsoft SharePoint ในหลายประเทศ โดยเป็นช่องโหว่หมายเลข CVE-2019-0604 ที่ไมโครซอฟท์ออกแพตช์มาแล้วตั้งแต่เดือนกุมภาพันธ์

เวอร์ชันของซอฟต์แวร์ที่ได้รับผลกระทบ มีตั้งแต่ Microsoft SharePoint Server 2010, 2013, 2016, 2019 ส่วนรูปแบบการโจมตีที่กลุ่มแฮ็กเกอร์ใช้งานคือ ฝังมัลแวร์เพื่อควบคุมเซิร์ฟเวอร์ รวมถึงใช้ SharePoint Server เป็นฐานเพื่อเข้าไปยึดครองระบบภายในองค์กรเพิ่มเติม

ตอนนี้หน่วยงานด้านความมั่นคงไซเบอร์ของแคนาดา (Canadian Centre for Cyber Security) และซาอุดีอาระเบีย (Saudi National Cyber Security Center - NCSC) ออกประกาศเตือนภัยแล้ว

Tags:
Node Thumbnail

หลังจาก Mozilla พบปัญหาใบรับรองหมดอายุจนทำให้ add-on หลายตัวไม่ทำงานพร้อมกัน ล่าสุด Eric Rescorla ซีทีโอของ Firefox ได้เขียนรายละเอียดเกี่ยวกับเหตุการณ์ครั้งนี้แล้วว่าทำไมจึงเกิดเหตุการณ์แบบนี้ได้ และจะป้องกันเหตุการณ์ที่จะเกิดขึ้นในอนาคตอย่างไร

Rescorla ระบุว่า ทุกวันนี้ Firefox มี add-on อยู่ราว 15,000 ตัว โดย Firefox กำหนดให้ add-on ทั้งหมดที่ถูกติดตั้งจะต้องผ่านการเซ็นรับรองด้วยด้วยลายเซ็นดิจิทัลเพื่อป้องกัน add-on ที่ไม่พึงประสงค์ โดยทีมงานของ Mozilla จะเป็นผู้ตรวจสอบ add-on เอง

Tags:
Node Thumbnail

ในงาน Google I/O ปีนี้กูเกิลเปิดเผยข้อมูลเพิ่มเติมของ Android Q หลายอย่าง แม้จะมีฟีเจอร์ที่น่าตื่นเต้นสำหรับผู้ใช้ เช่น Live Caption ที่สามารถแปลงเสียงเป็นข้อความได้ทั้งเสียงจากในโทรศัพท์และเสียงจากภายนอก, หรือ Assistant ตัวใหม่ที่ทำงานเร็วขึ้นและมีฟีเจอร์มากขึ้น แต่หัวใจของฟีเจอร์ทั้งหมดคือกูเกิลแก้ข้อครหาด้านความปลอดภัย และความเป็นส่วนตัว

ความเป็นส่วนตัวใน Android Q สำคัญถึงขั้นที่กูเกิลพูดในช่วง keynote ของวันแรก และเป็น session แรกของงานวันที่สอง ฟีเจอร์ความปลอดภัยที่สำคัญๆ เช่น

Tags:
Node Thumbnail

Google ปล่อยแพตช์ความปลอดภัยแอนดรอยด์ประจำเดือนพฤษภาคมแล้ว ซึ่งรวมแพตช์รอบวันที่ 1 เอาไว้ด้วย อุดช่องโหว่ทั้งหมด 30 จุด โดยช่องโหว่ระดับวิกฤติที่สุดเกิดในเฟรมเวิร์คมีเดีย ที่เปิดให้รันโค้ดทางไกลด้วยสิทธิระดับสูง ซึ่ง Google ระบุว่ายังไม่พบการโจมตีด้วยช่องโหว่นี้

แพตช์เดือนนี้ออกให้ครบหมดตั้งแต่ Pixel 3 XL ไปจนถึง Pixel รวมถึง Pixel C ที่รัน Android 8.1 ด้วยเหมือนเดิม หากใครยังกดอัพเดตแล้วไม่ได้ สามารถโหลด OTA Image ไปติดตั้งเองได้

ที่มา - Android Security Bulletin

Tags:
Node Thumbnail

กองทัพอิสราเอลเผยแพร่ภาพอาคารในฉนวนกาซา โดยระบุว่าเป็นที่ทำการกองกำลังไซเบอร์ของกลุ่มฮามาส

ทางอิสราเอลไม่บอกรายละเอียดการโจมตีไซเบอร์ของกลุ่มฮามาส บอกเพียงว่าสามารถป้องกันได้สำเร็จ และหลังจากนั้นก็ส่งกองทัพอากาศไประเบิดอาคารเพื่อไม่ให้กลุ่มฮามาสมีความสามารถด้านไซเบอร์อีก

Dr. Lukasz Olejnik นักวิจัยด้านเทคโนโลยีและความสัมพันธ์ระหว่างประเทศจากมหาวิทยาลัยออกซ์ฟอร์ด ระบุกับ ZDNet ว่าไม่ควรปล่อยให้การตอบโต้การโจมตีไซเบอร์ด้วยการใช้กำลังจริงๆ กลายเป็นเรื่องปกติ

ที่มา - ZDNet, @IDF

Tags:
Node Thumbnail

ระบบสตรีมมิ่งของเว็บไซต์ Cartoon Network ถูกแฮ็กเมื่อสุดสัปดาห์ที่ผ่านมา และแฮ็กเกอร์ได้เปลี่ยนวิดีโอจากการ์ตูน เป็นวิดีโอตลก มีม และเพลงต่างๆ เป็นเวลานานถึง 3 วัน ก่อนที่ Cartoon Network จะรู้ตัวและนำวิดีโอเหล่านี้ออกจากระบบ

ผลคือผู้ชม Cartoon Network ทางเว็บใน 16 ประเทศ (ส่วนใหญ่อยู่ในยุโรป แอฟริกา ตะวันออกกลาง อเมริกาใต้) ก็ได้รับชมวิดีโอเหล่านี้แทนการ์ตูนอย่างที่คาดหวังว่าจะเป็น

โฆษกของ Cartoon Network บอกว่าระบบเว็บไซต์ถูกเจาะ และแฮ็กเกอร์ชาวบราซิลได้เข้ามาเปลี่ยนซอร์สของวิดีโอในระบบสตรีมมิ่งเป็นอย่างอื่น ส่วนเจตนาก็ชัดเจนว่าไม่ได้ประสงค์ร้ายแต่ต้องการสร้างชื่อเท่านั้น

Tags:
Node Thumbnail

ทีม Talos ของซิสโก้แจ้งเตือนถึงการโจมตีช่องโหว่ CVE-2019-2725 ของ WebLogic ที่ออราเคิลเพิ่งออกแพตช์ให้เมื่อสัปดาห์ที่ผ่านมา โดยตอนนี้พบว่ามีกลุ่มแฮกเกอร์ใช้ช่องโหว่นี้เข้ารหัสข้อมูลบนเซิร์ฟเวอร์เพื่อเรียกค่าไถ่

ทีมงานพบว่าแฮกเกอร์กลุ่มนี้พยายามสแกนหาเซิร์ฟเวอร์ที่มีช่องโหว่ตั้งแต่วันที่ 25 เมษายนที่ผ่านมา ก่อนการปล่อยแพตช์หนึ่งวัน และหลังจากนั้นก็ส่งคำสั่งให้เครื่องเหยื่อดาวน์โหลดไฟล์ radm.exe มารัน

ตัวมัลแวร์เข้ารหัสพยายามยกเลิก shadow copy ของข้อมูลบนเซิร์ฟเวอร์เพื่อป้องกันการกู้ข้อมูล จากนั้นเข้ารหัสข้อมูล แล้ววางไฟล์แนะนำวิธีติดต่อคนร้ายบนเว็บ Tor โดยตัวอย่างหน้าจอของ Talos นั้นคนร้ายเรียกค่าไถ่ถึง 2,500 ดอลลาร์

Tags:
Node Thumbnail

ในช่วงนี้รัฐบาลญี่ปุ่นมีนโยบายด้านความมั่นคงทั้งในเชิงรุกและเชิงรับมากขึ้น อย่างกรณีล่าสุดกระทรวงกลาโหมออกมาเปิดเผยว่ามีแผนจะเพิ่มความสามารถในการรับมือภัยคุกคามด้านความมั่นคง ทั้งทางบก, ทางเรือและทางอากาศ ไปจนถึงอวกาศและโลกไซเบอร์ ซึ่งในข้อสุดท้าย กลาโหมรู้ตัวว่ายังคงตามหลังมหาอำนาจเค้าอื่นอยู่มาก

หนึ่งในมาตรการการรับมือการโจมตีทางไซเบอร์ของกระทรวงกลาโหมญี่ปุ่น คือการพัฒนามัลแวร์หรือไวรัสขึ้นมาในฐานะเครื่องมือสำหรับการป้อมปราม โดยกลาโหมยืนยันว่าไวรัสดังกล่าวมีจุดประสงค์สำหรับการป้องกันเท่านั้น จะไม่มีการใช้งานในเชิงรุกหรือนำไปเป็นเครื่องมือในการโจมตีก่อน (pre-emptive attack) อย่างแน่นอน

Tags:
Node Thumbnail

หลังจากเมื่อวานนี้มีรายงานโทรศัพท์ Huawei P30 Pro ติดต่อเซิร์ฟเวอร์หลายตัว รวมถึงเซิร์ฟเวอร์ในโดเมน gov.cn วันนี้คุณ pe3z ก็เพิ่มเติมรายงานว่าเป็นความผิดพลาดระหว่างทดสอบ โดยโดเมน beian.gov.cn นั้นถูกคิวรีเพราะการเข้า baidu.com ที่คุณ pe3z ใส่ไปเองระหว่างการทดสอบ

โดเมน beian.gov.cn นั้นเป็นหน่วยงานให้ใบอนุญาตบริการเว็บไซต์ในจีน หรือเว็บไซต์ที่ใช้โดเมน .cn

ที่มา - GitHub: pe3zx

Tags:
Node Thumbnail

ศูนย์มั่นคงไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) รายงานผลสำรวจความสนใจต่อความมั่นคงปลอดภัยไซเบอร์กับประชากรสหราชอาณาจักร 1,350 คน พบว่ามีประชากรเพียง 15% ที่สามารถป้องกันตัวจากภัยไซเบอร์ส่วนใหญ่ได้ ขณะที่คนกว่าครึ่งกังวลว่าจะถูกขโมยเงินทางออนไลน์ และ 70% เชื่อว่าจะถูกโจมตีเองรูปแบบใดรูปแบบหนึ่งในสองปีข้างหน้า คน 1 ใน 3 ต้องให้เพื่อนหรือครอบครัวช่วยดูแลความมั่นคงปลอดภัยไซเบอร์ให้

Tags:
Node Thumbnail

UPDATE: คุณ pe3z ได้เขียนรายงานเพิ่มเติมเกี่ยวกับโดเมน beian.gov.cn ว่าเกิดจากการเข้า baidu.com

คุณ pe3z ได้ตรวจสอบการเชื่อมต่ออินเทอร์เน็ตของโทรศัพท์ Huawei P30 Pro ว่าได้พยายามขอ resolve ชื่อ DNS ของเซิฟเวอร์ในประเทศจีนหลายรายการ และอาจมีการส่งข้อมูลกลับไปยังเซิฟเวอร์ดังกล่าวด้วย ซึ่งในรายการเซิฟเวอร์ที่ถูกติดต่อไปนั้น หนึ่งในนั้นคือ beian.gov.cn ซึ่งเป็นหน่วยงานด้านความปลอดภัยด้านเครือข่ายของประเทศจีน โดยคุณ pe3z ยังไม่ได้ตรวจสอบเกี่ยวกับข้อมูลที่ถูกส่งออกไปว่ามีเนื้อหาอะไรบ้าง

Tags:
Node Thumbnail

Marcus Hutchins หรือ MalwareTech แฮกเกอร์ผู้หยุดมัลแวร์ WannaCry จากการจดโดเมนเซิร์ฟเวอร์ควบคุม ทำให้มัลแวร์หยุดทำงาน แต่หลังจากเป็นฮีโร่อยู่ครึ่งปีเขาก็ถูกจับฐานสร้างมัลแวร์ โดยช่วงแรกเขาปฎิเสธข้อกล่าวหาทั้งหมด แต่ตอนนี้เขาก็ยอมรับข้อกล่าวหาสองข้อหาจาก 10 ข้อหา โดยอัยการตกลงที่จะถอนข้อหาที่เหลือทั้งหมด

ข้อหาของ Hutchins คือการสร้างมัลแวร์ UPAS และ Kronos สำหรับขโมยข้อมูลธนาคารให้ผู้อื่นใช้งาน โดยเขาขายผ่านตัวแทนที่ใช้ชื่อว่า Vinny นำมัลแวร์ไปขายในตลาดมืด และ FBI ไปล่อซื้อมาในราคา 1,500 ดอลลาร์

Tags:
Node Thumbnail

Google ประกาศเตรียมเพิ่มกระบวนการป้องกันการโจมตีแบบ man-in-the-middle ในกระบวนการล็อกอินอีกขั้น ด้วยการบล็อกไม่ให้มีการล็อกอินแอคเคาท์ Google ผ่านเบราว์เซอร์แบบฝังอย่าง Chromium Embeded Framework

Google ให้เหตุผลว่าเพราะแยกทราฟฟิคที่มาจากเฟรมเวิร์คเบราว์เซอร์แบบฝังไม่ออกว่าเป็นการล็อกอินจริงหรือ MitM ขณะที่มาตรการนี้จะเริ่มใช้งานในเดือนมิถุนายนนี้ พร้อมแนะนำให้นักพัฒนาเปลี่ยนไปใช้ระบบล็อกอิน OAuth แทน

ที่มา - Google Security Blog

Tags:
Node Thumbnail

ข่าวฉาวของ Facebook ยังออกมาเรื่อยๆ ตามปกติ เมื่อปลายเดือนมีนาคม บริษัทยอมรับว่าเก็บรหัสผ่านของผู้ใช้ Facebook แบบ plaintext และกระทบผู้ใช้ "หลักร้อยล้านคน" (hundreds of millions) ถึงแม้ไม่มีหลักฐานบ่งชี้ว่ารหัสผ่านเหล่านี้ถูกเข้าถึงได้จากคนภายนอกบริษัท แต่ Facebook ก็แจ้งเตือนให้ผู้ใช้ที่ได้รับผลกระทบให้เปลี่ยนรหัสผ่านแล้ว

ล่าสุดเมื่อวานนี้ Facebook อัพเดตข้อมูลเพิ่มเติมว่า ค้นพบกรณีเดียวกันแต่เป็นรหัสผ่านของ Instagram ที่ถูกเก็บแบบ plaintext อีกชุดหนึ่ง มีผู้ใช้ที่ได้รับผลกระทบ "หลักล้านคน" (millions of Instagram users) และบริษัทก็จะแจ้งเตือนผู้ใช้กลุ่มนี้เช่นกัน

Tags:
Node Thumbnail

ไมโครซอฟท์ยืนยันว่าบริการอีเมลฟรี Outlook.com (ซึ่งครอบคลุมผู้ใช้อีเมล Hotmail และ MSN ด้วย) ถูกแฮ็กเกอร์เข้าถึงข้อมูลได้ และข้อมูลของลูกค้า "บางส่วน" รั่วไหลออกไป (ไมโครซอฟท์ไม่เปิดเผยตัวเลขที่แน่ชัด)

เหตุการณ์นี้เกิดขึ้นเพราะบัญชีของพนักงานฝ่ายซัพพอร์ตรายหนึ่งถูกแฮ็ก ทำให้แฮ็กเกอร์เข้าถึงระบบของ Outlook.com ได้ (ตัวระบบเองไม่ได้ถูกแฮ็ก) ส่วนข้อมูลที่หลุดออกไปประกอบด้วย ที่อยู่อีเมลของผู้ใช้, ที่อยู่อีเมลที่ติดต่อด้วย, ชื่อโฟลเดอร์ และชื่อเรื่อง (subject) ของอีเมล ส่วนเนื้อหาภายในอีเมลและไฟล์แนบ ถูกแยกเก็บในอีกฐานข้อมูลหนึ่งจึงไม่ได้รับผลกระทบ และรหัสผ่านของผู้ใช้ก็ไม่ได้รับผลกระทบ

Tags:
Node Thumbnail

กูเกิลประกาศว่า Gmail ได้เป็นผู้ให้บริการอีเมลรายใหญ่รายแรก ที่สนับสนุนมาตรฐานความปลอดภัยใหม่ 2 รายการ คือ SMTP MTA Strict Transport Security (MTA-STS) RFC 8461 และ SMTP TLS Reporting RFC 8460 ซึ่งกูเกิลร่วมกับผู้ให้บริการอีเมลรายใหญ่ ผลักดันมาตรฐานนี้ผ่านองค์กร IETF ตั้งแต่ 3 ปีที่แล้ว

อย่างไรก็ตามแม้ Gmail จะประกาศรองรับมาตรฐานใหม่นี้ก่อน แต่หากโดเมนอีเมลของผู้ให้บริการรายอื่นยังไม่รองรับ อีเมลที่ส่งออกไปก็ไม่มีการเข้ารหัสบนมาตรฐานใหม่นี้อยู่ดี กูเกิลจึงหวังว่าผู้ให้บริการอื่นจะรองรับมาตรฐานความปลอดภัยนี้เช่นกัน

ทั้งนี้การร่วมผลักดันมาตรฐานดังกล่าวตั้งแต่ 3 ปีก่อน นอกจากกูเกิล ก็มี ไมโครซอฟท์ และยาฮู ร่วมด้วย

Tags:
Node Thumbnail

นอกจาก Titan Security Key ที่เป็นฮาร์ดแวร์ยืนยันตัวตน 2 ขั้นของ Google แล้ว ล่าสุดบริษัทประกาศให้สามารถใช้สมาร์ทโฟนแอนดรอยด์ เป็นฮาร์ดแวร์โทเคนสำหรับยืนยันตัวตนอีกชั้นหนึ่งสำหรับล็อกอินแอคเคาท์ Google ได้แล้ว หลังแอนดรอยด์ผ่านการรับรอง FIDO2 เมื่อต้นปี

สมาร์ทโฟนที่รองรับเฉพาะแอนดรอยด์ 7.0 ขึ้นไปเท่านั้น รวมถึงสามารถใช้งานได้เฉพาะกับ Chrome เท่านั้นและต้องเปิดบลูทูธเอาไว้ด้วย โดยหากสนใจสามารถเพิ่มสมาร์ทโฟนของตัวเองให้เป็น Security Key ได้ในหน้า 2-step Verification (ต้องเปิดตัวเลือกนี้ด้วย) ในหมวด Security ของแอคเคาท์ Google

Pages