Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น

สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย

Amazon CodeGuru Reviewer บริการบน AWS ที่ใช้รีวิวคุณภาพของโค้ดที่เขียน เพิ่มฟีเจอร์ Secrets Detector ช่วยตรวจหาว่าโปรแกรมเมอร์เผลอฝังรหัสผ่านหรือคีย์ API/SSH ลงไปในโค้ดหรือไม่

ฟีเจอร์นี้เชื่อมต่อกับ AWS Secrets Manager ซึ่งเป็นบริการจัดการรหัสผ่านและคีย์ของ AWS ที่สามารถช่วยหมุนสลับคีย์ (rotate) ให้เปลี่ยนไปเรื่อยๆ ได้

Amazon บอกว่าฟีเจอร์สแกนคีย์ รู้จักประเภทคีย์ยอดนิยม เช่น Atlassian, GitHub, Mailchimp, Salesforce, SendGrid, Shopify, Slack, Stripe, Tableau, Telegram, Twilio รวมถึงอ่านค่าไฟล์คอนฟิกหลากหลายประเภท เช่น .json, .yml, .yaml, .conf, .ini เป็นต้น

BadgerDAO บริการ DeFi สำหรับฟาร์มเงิน รายงานว่าเงินผู้ใช้ถูกถอนโดยไม่ได้รับอนุญาต และตอนนี้ยังไม่แน่ชัดว่าคนร้ายถอนเงินออกไปได้อย่างไร หรือมูลค่าเงินที่ถูกขโมยเงินออกไปเป็นมูลค่าเท่าใด แต่บริษัทวิเคราะห์บล็อคเชน PeckShield ออกมารายงานว่ามูลค่ารวมน่าจะอยู่ที่ 2,100 BTC กับอีก 151 ETH รวมมูลค่าประมาณ 120 ล้านดอลลาร์หรือประมาณ 4,000 ล้านบาท

ตอนนี้ทาง BadgerDAO ยังไม่ระบุว่าช่องโหว่ที่คนร้ายโจมตีนั้นใช่ช่องทางใด แต่ทีมงานก็บอกกับผู้ใช้ว่ากำลังสงสัยว่าคนร้ายแฮกมาทางหน้าเว็บ ไม่ใช่ตัว smart contract โดยตรง และตอนนี้กำลังทำงานร่วมกับ Chainslysis เพื่อสอบสวนเหตุการณ์

NordPass บริษัทพัฒนาแอปช่วยเก็บรหัสผ่าน ออกรายงานประจำปีรหัสผ่านที่มีคนใช้กันมากที่สุด Top 200 Most Common Passwords ของปี 2021 โดย 123456 ยังคงเป็นรหัสผ่านยอดนิยมสูงสุดอีกปี เช่นเดียวกับ 2020, 2019, 2018 (และน่าจะก่อนหน้านั้นด้วย)

ที่มาข้อมูลรหัสผ่านยอดนิยมนั้น NordPass บอกว่าได้ร่วมมือกับทีมงานอิสระ รวมรวมข้อมูลรหัสผ่านที่หลุดออกมาเพื่อใช้ในการจัดอันดับ

หลัง Apple ฟ้อง NSO Group บริษัทอิสราเอลผู้สร้างมัลแวร์ Pegasus และการเจาะช่องโหว่ด้วย FORCEDENTRY พร้อมระบุในแถลงการณ์ ว่า Apple กำลังส่งแจ้งเตือนผู้ใช้ที่บริษัทพบว่าอาจตกเป็นเป้าหมายของ FORCEDENTRY และเมื่อตรวจพบการดำเนินการที่เข้าข่ายว่าเป็นการโจมตีโดยสปายแวร์ที่ได้รับการสนับสนุนจากรัฐ Apple จะแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทราบ

GitHub ออกฟีเจอร์ใหม่ชื่อ Advanced Security Enforcer เป็นสคริปต์เวิร์คโฟลว์ภายใต้ GitHub Actions ที่ช่วยบังคับให้โค้ด repository มีความปลอดภัยสูงขึ้นตั้งแต่แรกเริ่มโครงการ ตามมาตรฐานความปลอดภัยที่ GitHub เตรียมไว้ให้แล้ว

แอปเปิลยื่นฟ้องบริษัท NSO Group ผู้สร้างมัลแวร์ Pegasus ที่สามารถเข้าควบคุมเครื่องเหยื่อได้อย่างสมบูรณ์โดยที่เหยื่อไม่รู้ตัว และสามารถแฮกได้ทั้ง Android และ iOS โดยแอปเปิลนับเป็นบริษัทล่าสุดที่ยื่นฟ้อง หลังจาก WhatsApp ของเฟซบุ๊กฟ้องเป็นบริษัทแรกๆ เมื่อปี 2019 และตามมาด้วยบริษัทไอทีใหญ่ๆ เช่น ไมโครซอฟท์, ซิสโก้, กูเกิล, และเดลล์ เมื่อปลายปี 2020

ผู้ใช้ GitHub ชื่อบัญชี plutooo ประกาศความสำเร็จในการดึงกุญแจ TSEC ออกจากซีพียู Tegra ใน Nintendo Switch ซึ่งหากเป็นกุญแจจริงก็น่าจะเปิดทางให้เครื่องรุ่นใหม่ๆ ติดตั้ง Homebrew กันได้อีกครั้ง

plutooo เล่าถึงช่องโหว่ของ Switch ว่าตัวเฟิร์มแวร์ bootloader นั้นมีช่องโหว่จนเปิดทางให้แฮกเกอร์รันโค้ดได้ตามใจชอบ แต่ Nintendo ก็ออกอัพเดต 6.2.0 ในปี 2018 เปลี่ยนเส้นทางการบูต ไปบูตในซีพียู TSEC ที่เป็นซีพียูย่อยอยู่ใน Tegra อีกที โดยซีพียูตัวนี้จะตรวจสอบโค้ดก่อนรัน และสั่งบูตซีพียูหลักอีกครั้งด้วย bootloader ที่ตรวจสอบแล้ว

Kraken ศูนย์แลกเปลี่ยนเงินคริปโต สาธิตถึงกระบวนการปลอมลายนิ้วมือเพื่อล็อกอินโทรศัพท์และโน้ตบุ๊กในราคาประหยัด ต้นทุนโดยรวมเพียง 5 ดอลลาร์หรือ 160 บาทเท่านั้น

การสาธิตเริ่มจากเก็บภาพลายนิ้วมือด้วยกล้องโทรศัพท์มือถือธรรมดา โดยไม่ต้องเก็บภาพจากนิ้วมือโดยตรงแต่เก็บจากจุดที่ลายนิ้วมือไปติด เช่น พื้นโต๊ะ จากนั้นอาศัยการแต่งภาพเพื่อปรับภาพให้ชัดขึ้นแล้วพิมพ์ลงบนแผ่นใสด้วยเครื่องพิมพ์เลเซอร์ สุดท้ายคือการทากาวลาเท็กซ์ลงไปบนแผ่นใส รอให้แห้งก็จะได้ลายนิ้วมือปลอมออกมา

GoDaddy เว็บโฮสติ้งรายใหญ่ของโลก แจ้งข้อมูลต่อ ก.ล.ต. สหรัฐ (SEC) ว่าบริษัทโดนเจาะระบบให้บริการโฮสติ้ง WordPress เป็นระยะเวลาประมาณ 2 เดือน กระทบลูกค้าอย่างน้อย 1.2 ล้านราย

รายงานของ GoDaddy บอกว่าเหตุการณ์เจาะระบบเกิดขึ้นเมื่อ 6 กันยายน แต่บริษัทเพิ่งมาพบร่องรอยเมื่อ 17 พฤศจิกายนที่ผ่านมา ระบบที่ได้รับผลกระทบคือส่วน Managed WordPress ที่เป็นบริการรับฝากเว็บที่ใช้ WordPress โดยทีมงานของ GoDaddy ดูแลระบบหลังบ้านให้เสร็จสรรพ (ลักษณะเดียวกับ WordPress.com)

Federal Deposit Insurance Corporation (FDIC) หน่วยงานกำกับดูแลธนาคารสหรัฐฯ ออกกฎบังคับให้ธนาคารต้องแจ้งเหตุความมั่นคงปลอดภัยคอมพิวเตอร์ไปยังหน่วยงานกำกับดูแลภายใน 36 ชั่วโมง

กฎนี้ไม่ได้บังคับให้แจ้งทุกครั้ง แต่บังคับเฉพาะเหตุที่มีความรุนแรงอย่างมีนัยสำคัญ โดยเฉพาะเหตุที่กระทบต่อการให้บริการ หรือเสถียรภาพของระบบการเงิน นอกจากนี้ผู้ให้บริการแทนธนาคาร (bank service provider) ก็จะถูกบังคับให้ต้องแจ้งเหตุความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ไปยังธนาคารเช่นกัน

JFrog บริษัทความปลอดภัยรายงานถึงแพ็กเกจมุ่งร้าย 11 รายการที่อัพโหลดอยู่ใน PyPI โดยตั้งชื่อให้คล้ายกับแพ็กเกจยอดนิยม เพื่อล่อให้โปรแกรมเมอร์ที่พิมพ์ผิดดาวน์โหลดไปใช้งาน

รายชื่อแพ็กเกจที่พบได้แก่ importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, yandex-yt, และ yiffparty แต่ละแพ็กเกจมีการดาวน์โหลดหลักร้อยถึงระดับหมื่นครั้ง รวมกว่า 41,000 ครั้ง

Aidan Marlin นักวิจัยด้านความปลอดภัยรายงานว่านักพัฒนาจำนวนเกือบ 4,500 คนอัพโหลดไฟล์ cookie จากเบราว์เซอร์ที่ตัวเองใช้งานอยู่เข้าไปยัง GitHub ส่งผลให้คนร้ายสามารถสวมรอยแทนนักพัฒนาเหล่านี้ไปยังทุกบริการที่ล็อกอินทิ้งไว้ได้

ไฟล์ฐานข้อมูล cookie ในไฟร์ฟอกซ์คือ cookies.sqlite ปกติแล้วจะอยู่ในโฟลเดอร์ของไฟร์ฟอกซ์เอง ไม่แน่ชัดว่าทำไมนักพัฒนาจำนวนหนึ่งจึงอัพโหลดไฟล์เหล่านี้ขึ้น GitHub

ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

การโจมตีแรมแบบ Rowhammer เป็นช่องโหว่ที่ทีม Project Zero ของกูเกิลสาธิตมาตั้งแต่ปี 2015 โดยอาศัยการเปลี่ยนค่าในหน่วยความจำซ้ำๆ จนกระทั่งหน่วยความจำแถว "ข้างๆ" นั้นเปลี่ยนค่าไปด้วย และหลังมีรายงานออกมาผู้ผลิตแรมก็พยายามเพิ่มกระบวนการป้องกันการเปลี่ยนข้อมูลเช่นนี้ ล่าสุดทีมวิจัย COMSEC จากมหาวิทยาลัย ETH Zürich ก็ประสบความสำเร็จในการโจมตีแบบ Blacksmith ที่พัฒนาเทคนิคต่อจาก Rowhammer จนเปลี่ยนค่าในแรมได้แทบทุกยี่ห้อในตลาด

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ประกาศปรับกับกระบวนการจ้างบุคลากรด้านความมั่นคงไซเบอร์ใหม่ทั้งชุด โดยปรับ 3 ด้านจากการจ้างงานราชการอื่นๆ ได้แก่

Cloudflare รายงานถึงการโจมตีแบบ DDoS ครั้งใหญ่ที่สุดที่เคยพบเมื่อสัปดาห์ที่ผ่านมา ปริมาณข้อมูลสูงสุดเกือบ 2 เทราบิตต่อวินาที โดยอาศัย botnet จำนวน 15,000 เครื่องที่ส่วนใหญ่เป็นอุปกรณ์ IoT ที่ถูกแฮก รอบนี้พบว่ามีเซิร์ฟเวอร์ GitLab ที่ไม่ได้แพตช์ถูกใช้งานร่วมด้วย

การโจมตีกินเวลาเพียงนาทีเดียวเท่านั้น แต่ก็เป็นสัญญาณว่าแฮกเกอร์สามารถโจมตีรุนแรงขึ้นเรื่อยๆ อย่างต่อเนื่อง เมื่อเดือนตุลาคมที่ผ่านมา Azure ก็เคยรายงานการโจมตีขนาด 2.4 เทราบิตต่อวินาทีมาแล้ว

Costco ร้านค้าส่งยอดนิยมในสหรัฐฯ แจ้งเตือนลูกค้าว่ามีข้อมูลรั่วไหล หลังจากตรวจพบว่าเครื่องรับบัตรเครดิตถูกติดตั้งเครื่องขโมยข้อมูลบัตรเครดิต/เดบิต (skimmer) ทำให้คนร้ายอาจจะได้ข้อมูลบัตรของลูกค้าทุกคนที่เคยรูดจ่ายเงินผ่านเครื่องรับบัตรนั้น

ดูเหมือนว่าทาง Costco ยังไม่สามารถยืนยันได้ว่าคนร้ายเคยดึงข้อมูลบัตรออกไปจากเครื่องหรือยัง ประกาศแจ้งเตือนจึงเพียงคาดการณ์ผลกระทบว่าหากคนร้ายดึงข้อมูลออกไปแล้ว จะได้ข้อมูล หมายเลขบัตร, ชื่อ-นามสกุล, วันหมดอายุ, และหมายเลข CVV ในแถบแม่เหล็ก

ทีมวิจัยความปลอดภัยของไมโครซอฟท์รายงานถึงการโจมตีแบบเจาะจงเป้าหมายจากกลุ่มแฮกเกอร์หลายกลุ่มว่าเริ่มใช้เทคนิค HTML smuggling เพื่อเจาะเข้าเครื่องของเหยื่อมากขึ้นเรื่อยๆ โดยอาศัยการหลอกล่อผู้ใช้ให้คลิกหรือเปิดไฟล์หลายครั้งเพื่อหลบหลีกการตรวจสอบของไฟร์วอลล์แบบต่างๆ ที่อาจจะตรวจสอบอีเมลและเนื้อหาในเว็บ

กระบวนการ HTML smuggling อาศัยการส่งอีเมลหาเหยื่อเหมือน phishing ทั่วๆ ไป แต่แทนที่จะหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์โดยตรงก็อาศัยผู้ใช้ให้ดาวน์โหลดไฟล์จาวาสคริปต์ที่อยู่ในไฟล์ zip มารันในเครื่องตัวเอง แล้วค่อยใช้จาวาสคริปต์นั้นดาวน์โหลดมัลแวร์มายังเครื่องผู้ใช้อีกต่อหนึ่ง

ปัญหาการฝังรหัสผ่านหรือคีย์ไว้ในซอร์สโค้ด ถือเป็นช่องโหว่ความปลอดภัยที่มักพลาดกันบ่อยๆ ทำให้บริการฝากซอร์สโค้ดอย่าง GitHub มีฟีเจอร์ชื่อ Secret Scanning คอยไล่ตรวจว่าในโค้ดมีการฝังคีย์ลักษณะนี้หรือไม่ (บังคับเฉพาะโค้ดแบบ public ส่วนโค้ดแบบ private เป็นฟีเจอร์แบบเสียเงิน และต้องเลือกเปิดเอง)

วิธีการคือ GitHub ร่วมกับบริษัทดังๆ หลายเจ้า เช่น AWS, Azure, Google Cloud, Dropbox, Slack, Stripe, Shopify, Twilio (รายชื่อทั้งหมด) เพื่อตรวจสอบแพทเทิร์นคีย์ของบริษัทเหล่านี้ และแจ้งเตือนบริษัทผู้ออกคีย์ให้ถอนคีย์ออก หากพบว่ามีคีย์ถูกเผยแพร่ในที่สาธารณะ

แอปเทรดหุ้น Robinhood รายงานว่าถูกโจมตีแบบ social engineering กับฝ่ายซัพพอร์ตลูกค้า ทำให้แฮกเกอร์เข้าถึงข้อมูลผู้ใช้ได้จำนวนมาก แม้ว่าส่วนใหญ่จะไม่มีข้อมูลเชิงลึกเช่นข้อมูลการจ่ายเงินหรือรายการซื้อขายหุ้นก็ตาม

คนร้ายได้อีเมลลูกค้า Robinhood ไป 5 ล้านรายการ ชื่อ-นามสกุลลูกค้าอีก 2 ล้านรายการ และข้อมูลส่วนตัวอื่นๆ เช่น รหัสไปรษณีย์, วันเกิด อีกเล็กน้อย 310 รายการ นอกจากนี้มีข้อมูลของลูกค้าประมาณ 10 ราย ที่ถูกเปิดเผยรายละเอียดในบัญชี

ตอนนี้ทาง Robinhood เรียก Mandiant เข้ามาช่วยสอบสวนกรณีนี้

ที่มา - Robinhood

Europol ประกาศความสำเร็จปฎิบัติการ GoldDust ที่จับกุมผู้เกี่ยวข้องกับมัลแวร์เรียกค่าไถ่ ที่หน่วยงานบังคับใช้กฎหมายร่วมมือกัน 17 ชาติ ตามจับกลุ่มที่เกี่ยวข้องกับมัลแวร์ Sodinokibi/REvil

ผู้ถูกจับกุมในปฎิบัติการนี้กระจายอยู่ใน 4 ชาติ ได้แก่

กลุ่ม fail0verflow ประกาศความสำเร็จในการดึง root key จากเครื่อง PlayStation 5 เปิดทางให้แฮกเกอร์สามารถถอดรหัสเฟิร์มแวร์และข้อมูลอื่นๆ ในเครื่อง

root key ของ PlayStation 5 เป็นกุญแจแบบสมมาตร ใช้สำหรับเข้ารหัสและถอดรหัสเฟิร์มแวร์, ไฟล์เกม, และข้อมูลอื่นๆ ในเครื่อง แต่ตอนนี้ทาง fail0verflow ยังไม่เปิดเผยว่าเข้าถึงกุญแจได้อย่างไร และตอนนี้ยังไม่แน่ชัดว่าหลังจากอ่านเฟิร์มแวร์ได้แล้วแฮกเกอร์จะสามารถเจาะระบบได้มากน้อยแค่ไหน (ในความเป็นจริงแฟนๆ อาจจะไม่อยากให้แฮกได้นัก ไม่อย่างนั้นอาจจะถูกเหมาไปขุดเหมือง)

กลุ่ม fail0verflow เคยเจาะ PlayStation 4 ได้ในปี 2018 โดยอาศัยบั๊กใน HDMI-CEC ยิงโค้ดเข้าไปรันบนชิป south bridge

สหรัฐฯ ประกาศตั้งรางวัลนำจับให้กับผู้ให้เบาะแสไปยังบุคคลหรือกลุ่มบุคคลที่อยู่เบื้องหลงกลุ่มมัลแวร์เรียกค่าไถ่ DarkSide โดยรางวัลสูงสุด 10 ล้านดอลลาร์ โดยตัวเลข 10 ล้านนี้เป็นเพดานสูงสุดเท่านั้น ทางกระทรวงต่างประเทศสหรัฐฯ ไม่ได้บอกเกณฑ์การให้รางวัลนำจับว่าต้องทำอย่างไรจึงได้รางวัลสูงสุดเช่นนี้ แต่ตัวรางวัลครอบคลุมเบาะแสที่นำไปสู่การจับกุมทั้งผู้อยู่เบื้องหลังกลุ่ม DarkSide เองและกลุ่มผู้นำมัลแวร์ไปใช้เพื่อแบ่งผลประโยชน์ (affiliate)