hashcat โปแกรมแกะรหัสผ่านจากค่าแฮชประกาศโอเพนซอร์สให้คนนำไปใช้งานต่อได้ โดยใช้สัญญาอนุญาตแบบ MIT ทำให้คนที่นำไปใช้ต่อมีอิสระแทบทุกอย่าง

ผู้ดูแลโครงการระบุว่าก่อนหน้านี้เคยพิจารณาจะเปิดซอร์สของ hashcat มาแล้วหลายครั้ง แต่ติดปัญหาเช่นผู้ใช้บางส่วนติดสัญญาไม่เปิดเผยข้อมูล ขณะเดียวกันการเปิดซอร์สก็จะทำให้โครงการ hashcat ใช้ทรัพยากรโอเพนซอร์สได้อีกมาก เช่นโครงการ GPG การตัดสินใจครั้งล่าสุดมาจากการอิมพลีเมนต์เคอร์เนล DES GPU ที่จำเป็นต้องคอมไพล์ค่า salt เข้าไปในโค้ดเพื่อรีดประสิทธิภาพสูงสุด

หลังจากเลื่อนมาหลายรอบ วันนี้ก็เป็นวันแรกที่ Let's Encrypt บริการออกใบรับรองดิจิตอลสำหรับเว็บที่ให้บริการฟรี เริ่มให้บริการต่อสาธารณะ จากช่วงบริการในวงปิดที่มีโดเมนต่างๆ ใช้งานอยู่ก่อนแล้วกว่า 26,000 โดเมน หลังจากเปิดบริการไม่ถึงวัน ตอนนี้ทางโครงการก็ออกใบรับรองไปแล้วกว่า 36,000 โดเมน

รายชื่อโดเมนที่ออกใบรับรองโดย Let's Encrypt เปิดเผยผ่านกระบวนการ Certificate Transparency โดยโพสอยู่ที่ crt.sh

มีรายงานช่องโหว่ใน Raspbian ทำให้ค่าสุ่มของกุญแจ Secure Shell (SSH) สามารถคาดเดาได้ ทำให้แฮกเกอร์อาจจะคั่นกลางการเชื่อมต่อเพื่อปลอมตัวเองเป็นตัว Raspberry Pi ปลายทางได้

ช่องโหว่เช่นนี้เป็นปัญหาของลินุกซ์ที่สร้างกุญแจ SSH ใหม่ทันทีหลังการบูต เพราะเครื่องยังทำงานมาไม่นานพอที่จะสะสมความยุ่งเหยิง (entropy) ของระบบ แต่สำหรับเครื่องขนาดเล็กอย่าง Raspberry Pi ที่มีอุปกรณ์และ I/O ในเครื่องไม่เยอะนักเมื่อเทียบกับพีซี ปัญหานี้จะรุนแรงกว่าปกติ ทำให้กุญแจที่สร้างขึ้นมาคาดเดาได้ง่ายมาก

VTech ผู้ผลิตของเล่นอิเล็กทรอนิกส์จากฮ่องกง ถูกแฮกทำให้ฐานข้อมูลผู้ใช้ ได้แก่ ชื่อ, อีเมล, รหัสผ่าน, คำถามขอรหัส, ที่อยู่, และประวัติการดาวน์โหลด โดยแฮกเกอร์ได้ติดต่อกับเว็บไซต์ Motherboard เพื่อแจ้งช่องโหว่ของระบบนี้ และส่งตัวอย่างข้อมูลบางส่วนให้ทางเว็บไซต์

นอกจากข้อมูลบัญชีผู้ใช้จากบริการ Learning Lodge แล้ว บริการแชตกับผู้ปกครอง Kid Connect ก็รั่วด้วยเช่นกัน ส่งผลให้ให้มีภาพเด็กนับหมื่นภาพ และวิดีโอการสนทนารั่วออกมาด้วย

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

ศูนย์วิจัย Microsoft Research-Inria Joint Centre สร้างไลบรารี TLS ที่ตั้งเป้าหมายว่าจะตรวจสอบทางคณิตศาสตร์ได้ว่าไม่มีช่องโหว่ให้โจมตีได้ ใช้ชื่อว่า miTLS

ตัวไลบรารีเขียนด้วยภาษา F# และสร้างสเปคการตรวจสอบด้วยภาษา F7 และเวอร์ชั่นใหม่จะพัฒนาด้วยภาษา F*

NSA ปล่อยหนังสือเรียนประวัติศาสตร์การรักษาความปลอดภัยการสื่อสาร (A History of U.S. Communications Security) ที่ใช้มาตั้งแต่ปี 1973 และเคยเปิดเผยบางส่วนในปี 2008 ก่อนจะมีการยื่นอุทธรณ์ในปี 2009 และเพิ่งได้รับอนุมัติให้เปิดเผยเนื้อหาเกือบทั้งหมดในเดือนที่แล้ว

Candid Wueest จาก Symantec รายงานถึงม้ลแวร์เรียกค่าไถ่ (ransomware) ที่ล็อกหน้าจอสมาร์ตทีวีจนใช้งานไม่ได้ โดยตัวแอปที่ติดตั้งเข้ามาจะเด้งขึ้นมาทุกสองวินาที และเริ่มต้นทำงานหลังบูตขึ้นมาเพียง 20 วินาทีทำให้ผู้ใช้ไม่สามารถเข้าเมนูไปลบแอปออกจากระบบได้ทัน

กระบวนการถอนการติดตั้งมัลแวร์เหล่านี้ที่ได้ผลที่สุดคือต่อสาย USB และใช้ adb เข้าไปสั่งถอนการติดตั้ง แต่หากผู้ใช้ไม่ได้เปิดโหมดนักพัฒนาไว้ก็จะยิ่งกลายเป็นเรื่องยุ่งยาก

Samy Kamkar แฮกเกอร์จากสหรัฐฯ สาธิตเครื่อง MagSpoof วงจรปล่อยคลื่นแม่เหล็กที่ปลอมตัวเองเป็นบัตรเครดิต สามารถยิงข้อมูลเข้าไปยังเครื่องอ่านบัตรเหมือนกับรูดบัตรเครดิตแล้วได้

หลังจากเมื่อวานนี้มีรายงานพบใบรับรอง root CA ที่ชื่อว่า eDellRoot ในคอมพิวเตอร์เดลล์หลายรุ่น และทางโฆษกของเดลล์ออกมาให้สัมภาษณ์นักข่าวบางสำนัก ตอนนี้ทางเดลล์ก็เขียนบล็อกเรื่องนี้เป็นทางการ โดยทางเดลล์ชี้แจงว่าติดตั้งใบรับรองนี้เพื่อส่งค่า service tag กลับไปยังระบบซัพพอร์ตของเดลล์

ผู้ใช้เว็บ reddit ชื่อว่า rotorcowboy และผู้ใช้ทวิตเตอร์ @jhnord รายงานว่าเครื่อง Dell XPS 15 ของเขามี root CA แปลกๆ ติดตั้งมาด้วยในเครื่อง ใช้ชื่อว่า eDellRoot พร้อมกับติดตั้งกุญแจลับ (private key) เอาไว้ในเครื่อง

Zerodium บริษัทรับซื้อช่องโหว่ซอฟต์แวร์ที่ประกาศจ่ายเงินล้านดอลลาร์สำหรับช่องโหว่ iOS และเพิ่งได้จ่ายไปไม่นานนี้ ออกมาประกาศรายการราคาช่องโหว่ซอฟต์แวร์ประเภทต่างๆ ที่รับซื้อ

อเมซอนฝั่งค้าปลีกเปิดบริการการยืนยันตัวตนผู้ใช้สองขั้นตอนสำหรับลูกค้าทั่วไปแล้ว โดยต้องยืนยันหมายเลขโทรศัพท์ก่อน จึงสามารถขอข้อมูลสำหรับการยืนยันตัวตนผ่านแอป เช่น Google Authenticator ได้

โครงการ Tor ออกมาระบุว่าทีมวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ได้รับเงินทุนจาก FBI ให้มาเจาะ Tor มูลค่าอย่างน้อยหนึ่งล้านดอลลาร์ วันนี้ทางมหาวิทยาลัยก็ออกมาโต้ข่าวแล้ว

ทางมหาวิทยาลัยไม่ได้ระบุข่าวโดยตรง แต่ระบุเพียงว่าสถาบันวิศวกรรมซอฟต์แวร์ (Software Engineering Institute - SEI) ได้รับเงินทุนจากรัฐบาลกลาง และศูนย์ CERT ก็เป็นศูนย์ภายใต้สถาบันที่ทำหน้าที่วิจัยหาช่องโหว่ซอฟต์แวร์ ทางศูนย์ได้รับหมายศาลเพื่อขอข้อมูลงานวิจัยอยู่เป็นระยะและเป็นหน้าที่ของมหาวิทยาลัยที่จะทำตามหมายเหล่านั้น โดยไม่ได้รับเงินตอบแทนแต่อย่างใด