npm รายงานข้อมูลรั่วจากโทเค็น Heroku/Travis-CI คนร้ายได้แฮชรหัสผ่านผู้ใช้แสนคน

By lew Founder on Tag: NPM, GitHub, Security, Data Breach, Heroku
NPM

GitHub รายงานข้อมูลเพิ่มเติมจากเหตุโทเค็น OAuth รั่วไหลเมื่อเดือนเมษายนที่ผ่านมา พบว่าคนร้ายได้รับข้อมูลมากกว่าซอร์สโค้ดของ npm เอง โดยคนร้ายได้ฐานข้อมูล ชื่อผู้ใช้, อีเมล, และค่าแฮชรหัสผ่าน ของผู้ใช้ประมาณ 100,000 คนไปด้วย

ข้อมูลที่หลุดไปอยู่ในไฟล์สำรองข้อมูลของเว็บ skimdb.npmjs.com ที่สำรองไว้ตั้งแต่วันที่ 7 เมษายน 2021 ในไฟล์ข้อมูลยังมี metadata ของแพ็กเกจส่วนตัวทั้งหมด, และแพ็กเกจภายในขององค์กรสององค์กร

Read more

Heroku เปิดการเชื่อมต่อ GitHub กลับมาแล้ว หลังฐานข้อมูลรั่วจนต้องปิดไปเดือนกว่า

By lew Founder on Tag: Heroku, Security
Heroku

Heroku ประกาศเปิดการเชื่อมต่อเข้ากับ GitHub ดังเดิม หลังจากปิดให้บริการไปตั้งแต่ช่วงกลางเดือนเมษายน เมื่อทาง GitHub พบว่าโทเค็นรั่วไหล นับเป็นการปิดเคสใหญ่ที่ทำให้บริการทำงานได้ไม่สมบูรณ์นานกว่าหนึ่งเดือน

ทาง Heroku ระบุว่าจะทำงานร่วมกับ GitHub เพื่อให้สามารถออกโทเค็นที่ได้สิทธิ์เท่าที่จำเป็นสำหรับการทำงานร่วมกันเท่านั้น จากเดิมที่เป็นการขอสิทธิ์ repo ซึ่งได้สิทธิ์มาเกินที่ใช้งาน พร้อมกับเตรียมเปิดใช้มาตรฐาน RFC8705 สำหรับการล็อกโทเค็นเข้ากับใบรับรองเข้ารหัส

Read more

พบแฮกเกอร์แทรกโค้ดเข้าแพ็กเกจ ctx ในภาษา Python และ phpass ใน PHP เพื่อขโมยกุญแจ AWS

By lew Founder on Tag: Security, PHP, Python
Security

สัปดาห์ที่ผ่านมามีรายงานถึงการอัพเดตแพ็กเกจโอเพนซอร์สที่ไม่ได้อัพเดตมานานหลายปีแล้ว สองแพ็กเกจ คือ ctx ในภาษา Python และ phpass ในภาษา PHP กลับถูกอัพเดตขึ้นมา และแทรกโค้ดขโมยกุญแจ AWS เข้ามาด้วย

เวอร์ชั่นมุ่งร้ายของแพ็กเกจทั้งสองจะหา environment variable สองตัว คือ AWS_ACCESS_KEY และ AWS_SECRET_KEY เพื่อส่งกลับไปยังแอป Heroku ของคนร้าย ตอนนี้ยังไม่มีรายงานว่ามีเหยื่อถูกโจมตี AWS ด้วยแนวทางนี้มากน้อยแค่ไหน

Read more

สหรัฐฯ ประกาศนโยบายไม่ดำเนินคดีนักวิจัยทดสอบความปลอดภัยไซเบอร์

By lew Founder on Tag: USA, Department of Justice, Security
USA

กระทรวงยุติธรรมสหรัฐฯ ประกาศนโยบายการดำเนินคดีตามกฏหมายคอมพิวเตอร์สหรัฐฯ (Computer Fraud and Abuse Act - CFAA) ระบุว่าหากนักวิจัยทดสอบระบบในรูปแบบที่พยายามหลีกเลี่ยงการสร้างความเสียหาย และทำไปเพื่อเสริมสร้างความปลอดภัยโดยรวมแล้วจะไม่ดำเนินคดี

แนวนโยบายชุดนี้ยังระบุถึงประเภทคดีที่จะไม่ดำเนินคดีตาม CFAA เช่น ลูกจ้างใช้คอมพิวเตอร์เข้าเว็บไซต์ที่ไม่เกี่ยวกับงาน, ผู้ใช้เว็บไซต์ไม่ทำตามข้อตกลงการใช้งาน (เช่น เว็บระบุให้ใช้ชื่อจริง),

อย่างไรก็ดีหากอัยการมีข้อสงสัยว่าแฮกเกอร์ใช้การวิจัยความปลอดภัยเป็นการบังหน้า ก็จะมีส่วนงานอาชญากรรมคอมพิวเตอร์มาพิจารณาคดีเป็นรายๆ ไปอีกชั้นหนึ่ง

Read more

Acer เปิดตัวโน้ตบุ๊กธุรกิจ TravelMate P4 และ P2, ฝังชิปความปลอดภัย Microsoft Pluton

By mk Founder on Tag: Acer, Notebook, Security, TravelMate
Acer

Acer ออกโน้ตบุ๊กธุรกิจซีรีส์ TravelMate P4 และ P2 ตามรอบซีพียูโน้ตบุ๊กของอินเทลและเอเอ็มดี ดังนี้

  • Acer TravelMate P4 โน้ตบุ๊กสายมาตรฐาน มีทั้งหน้าจอ 14" และ 16" เลือกได้ซีพียูอินเทล 12th Gen Core vPro หรือเอเอ็มดี Ryzen 7 Pro ราคาเริ่มต้นที่ 1,099 ดอลลาร์
  • Acer TravelMate Spin P4 โน้ตบุ๊กจอสัมผัส พับจอเป็นแท็บเล็ตได้ มีให้เลือกขนาดหน้าจอ 14" ตัวเดียว ราคาเริ่มต้น 1,199 ดอลลาร์
  • Acer TravelMate P2 โน้ตบุ๊กธุรกิจราคาย่อมเยา มีหน้าจอ 14" และ 15.6" มีแต่ซีพียูอินเทล ราคาเริ่มต้น 899 ดอลลาร์
Read more

Heroku แจ้งลูกค้าโทเค็นอื่นๆ นอกจาก GitHub อาจถูกขโมยไปด้วย ควรรีเซ็ตทั้งหมด

By lew Founder on Tag: Heroku, Data Breach, Security
Heroku

เหตุการณ์ Heroku ถูกคนร้ายเข้าถึงฐานข้อมูลในช่วงเดือนเมษายน จนกระทั่งโทเค็น GitHub รั่วไหลยังไม่จบง่ายๆ โดยวันนี้บริษัทส่งอีเมลแจ้งลูกค้าว่าอาจจะมีข้อมูลอื่นๆ รั่วไหลเพิ่มเติม

ข้อมูลที่คนร้ายอาจจะได้ไปคือ pipeline-level config vars ซึ่งอาจจะมีโทเค็นของบริการอื่นๆ นอกเหนือจาก GitHub ผู้ใช้ Heroku ที่เก็บข้อมูลควรรีบรีเซ็ตโทเค็นเหล่านี้ทั้งหมด

ทาง Heroku ระบุว่าตรวจสอบพบว่าคนร้ายเข้าถึงฐานข้อมูล pipeline นี้เมื่อวันที่ 16 พฤษภาคมที่ผ่านมาจึงนำมาแจ้งลูกค้า และคาดว่ากระบวนการสอบสวนจะเสร็จสิ้นในวันที่ 30 พฤษภาคมนี้

Read more

Google Cloud ประกาศโครงการดูแลความปลอดภัยซอฟต์แวร์โอเพนซอร์สครบวงจร

By lew Founder on Tag: Google Cloud, Open Source, Security
Google Cloud

Google Cloud เปิดโครงการ Assured Open Source Software (Assured OSS) ดูแลความปลอดภัยซอฟต์แวร์โอเพนซอร์สให้จากซอร์สโค้ดจนถึงแพ็กเกจพร้อมติดตั้ง โดยคาดว่าช่วงแรกจะเริ่มกับแพ็กเกจบางส่วนของจาวาและไพธอนก่อน

ซอฟต์แวร์ที่เข้าโครงการนี้จะถูกสแกนหาและวิเคราะห์ช่องโหว่, รัน fuzz-test เพื่อหาบั๊ก กระบวนการคอมไพล์เป็นแพ็กเกจต้องรันบน Cloud Build จากนั้นแพ็กเกจที่ได้จะถูกเซ็นดิจิทัลโดยกูเกิลและแจกจ่ายผ่านบริการ Artifact Registry

Read more

นักวิจัยแก้เฟิร์มแวร์ Bluetooth ไอโฟนสำเร็จ แทรก Find My ของคนร้ายเข้าเครื่องเหยื่อรายงานตำแหน่งไม่รู้ตัว

By lew Founder on Tag: iPhone, Security, Bluetooth
iPhone

ทีมวิจัยจาก Secure Mobile Networking Lab, TU Darmstad ในเยอรมนีรายงานถึงการสำรวจช่องโหว่ะดับฮาร์ดแวร์ของไอโฟน ที่เฟิร์มแวร์ส่วนใหญ่จะถูกตรวจสอบความถูกต้องด้วยลายเซ็นดิจิทัล แต่ชิป Bluetooth กลับไม่ได้ตรวจสอบความถูกต้องเฟิร์มแวร์ เปิดทางให้แฮกเกอร์แก้ไขและใส่โค้ดมุ่งร้ายลงไป

ชิป Bluetooth เป็นหนึ่งในวงจรที่ทำงานบนไอโฟนโดยปิดไม่ได้ เรียกว่า low power mode (LPM) โหมดนี้มีไว้สำหรับการทำงานของ Find My ที่สามารถหาโทรศัพท์หายได้แม้ปิดเครื่อง หรือ NFC ที่สามารถจ่ายเงินได้เสมอ

Read more

NCC Group สาธิตดึงสัญญาณ Bluetooth ไปสตาร์ตรถ Tesla ได้สำเร็จ

By lew Founder on Tag: Bluetooth, Tesla, Security
Bluetooth

NCC Group แจ้งเตือนช่องโหว่ร้ายแรงปานกลางในแอป Tesla ที่สามารถปลดล็อกและสตาร์ตรถได้เมื่อโทรศัพท์ผู้ใช้หรือกุญแจไร้สายอยู่ใกล้รถ โดยการโจมตีใช้ relay attack ดึงสัญญาณเชื่อมต่อรถกับโทรศัพท์แม้จะอยู่ไกลกัน โดยการโจมตีแบบนี้อาจจะใช้กับการปลดล็อกอุปกรณ์อื่นๆ ที่อาศัยการประมาณระยะห่างของโทรศัพท์กับอุปกรณ์ด้วยความแรงสัญญาณได้เหมือนกัน

Read more

Linux Foundation เสนอแผน 10 ข้อเพิ่มความปลอดภัยโอเพนซอร์ส ป้องกัน Supply Chain Attack

By mk Founder on Tag: Linux Foundation, Open Source, Security
Linux Foundation

มูลนิธิด้านโอเพนซอร์ส 2 แห่งคือ Linux Foundation และ Open Source Software Security Foundation (OpenSSF) ประกาศแผน 10 ข้อเพื่อยกระดับความปลอดภัยของวงการโอเพนซอร์ส และป้องกันปัญหา supply chain attack ในอนาคต

Read more

กูเกิลสแกนซอร์สโค้ดซอฟต์แวร์โอเพนซอร์สยอดนิยม เปิดฐานข้อมูลให้ใช้ฟรีใน BigQuery

By mk Founder on Tag: BigQuery, Google, Open Source, Security
BigQuery

เมื่อปีที่แล้ว กูเกิลมีโครงการชื่อ Open Source Insights สแกนซอร์สโค้ดในโครงการโอเพนซอร์สยอดนิยมจำนวนมาก (เช่น npm, PyPI, Go, Maven, Cargo) เพื่อมาวิเคราะห์หาความเชื่อมโยงในแง่มุมต่างๆ

ประเด็นหนึ่งที่ถูกจับตามองอย่างมากในโลกโอเพนซอร์สคือ supply chain security ช่องโหว่ความปลอดภัยในแพ็กเกจยอดนิยม ที่อาจส่งผลสะเทือนต่อซอฟต์แวร์จำนวนมาก (เช่น กรณีของ log4j) การสแกนซอร์สโค้ดย่อมเป็นวิธีการหนึ่งที่ช่วยให้โอกาสค้นพบช่องโหว่มากขึ้น

Read more

อินเทลเตรียมเปิดบริการยืนยันว่าคลาวด์รันในซีพียูอินเทลจริง, เตรียมเพิ่มชุดคำสั่งเร่งความเร็วการเข้ารหัสทนคอมพิวเตอร์ควอนตัม

By lew Founder on Tag: Intel, Security, Quantum Cryptography
Intel

อินเทลเปิดตัว Project Amber บริการยืนยันว่าซอฟต์แวร์ถูกนำไปรันบนซีพียูอินเทลที่ตรวจสอบได้จริง โดยสามารถใช้งานได้ทั้งการตรวจสอบการใช้บริการบนคลาวด์ และบนคอมพิวเตอร์แบบ edge อื่นๆ

บริการนี้จะอาศัย trusted execution environment (TEE) ที่อยู่ในซีพียูยืนยันว่าตัวซอฟต์แวร์และข้อมูลที่ถูกใช้งาน (data in use) จะถูกประมวลผลด้วยซีพียูตามรุ่นที่ระบุจริง (ไม่ใช่ระบบจำลอง หรือซีพียู x86 ของแบรนด์อื่นๆ) สามารถตรวจสอบบริการปลายทางได้ทั้งเซิร์ฟเวอร์ bare metal, virtual machine, และ container

Read more

Microsoft ปิดช่องโหว่รันโค้ดระยะไกลใน Azure Integration Runtime

By BlackMiracle Writer on Tag: Microsoft Azure, Microsoft, Security
Microsoft Azure

บริการด้านการวิเคราะห์ข้อมูลบน Azure มักใช้ Azure Synapse Analytics ส่วนการทำ ETL ก็มี Azure Data Factory เป็นเครื่องมือ ทั้งสองตัวจะมีการใช้งาน Azure Integration Runtime (IR) ที่ทำหน้าที่รันงานต่างๆ ที่กำหนดไว้ เช่นการโยนข้อมูลจากต้นทางไปปลายทาง, การแปลงข้อมูลต่างๆ ฯลฯ

เมื่อต้นปี 2022 มีนักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบช่องโหว่ใน Azure IR ที่สามารถสั่งรันโค้ดระยะไกลได้ นำไปสู่การเข้าถึง Synapse workspace ของผู้ใช้รายอื่นและดึง credentials ต่างๆ ของคนอื่นออกมาได้ โดยช่องโหว่นี้มาจากไดรเวอร์ ODBC ที่ Microsoft ใช้งานต่ออีกทีหนึ่ง

Read more

ไมโครซอฟท์บุกตลาดผู้เชี่ยวชาญความปลอดภัยรับจ้าง เปิด Microsoft Security Experts

By mk Founder on Tag: Microsoft, Security, Enterprise
Microsoft

ไมโครซอฟท์มีธุรกิจด้านความปลอดภัยมาได้สักพักใหญ่ๆ แล้ว (แถมโฆษณาว่าตัวเองเป็น the world’s largest security company) แต่ทั้งหมดยังเป็นซอฟต์แวร์-บริการแบบจ่ายค่าสมาชิกเท่านั้น เช่น Microsoft Defender, Microsoft Purview, Azure Firewall, Azure DDoS Protection

Read more

สกมช. แจกทุนสอบใบรับรองความปลอดภัยไซเบอร์ CISSP ฟรี เพิ่มจำนวนผู้เชี่ยวชาญในไทย

By mk Founder on Tag: NCSA, Cybersecurity, Security, Certification, Thailand
NCSA

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. หรือ NDSA) หน่วยงานใหม่ที่ดูแลด้านความปลอดภัยไซเบอร์ ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ประกาศโครงการให้ทุนสอบใบรับรองผู้เชี่ยวชาญด้านความปลอดภัยระบบไอที Certified Information Systems Security Professional (CISSP) จำนวน 50-60 คน

Read more

Apple, Microsoft และ Google ประกาศความร่วมมือผลักดันล็อกอินไม่ต้องใช้รหัสผ่าน มาตรฐาน FIDO

By arjin Writer on Tag: Passkey, FIDO, Apple, Microsoft, Google, Standard, Security, Authentication, Password
Passkey

แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)

ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด

Read more

Heroku ยืนยันฐานข้อมูลรั่ว จนทำให้บัญชี GitHub ลูกค้าถูกแฮก

By lew Founder on Tag: Heroku, Security, Data Breach
Heroku

เมื่อกลางเดือนเมษายนที่ผ่านมา GitHub แจ้งผู้ใช้ว่ามีโทเค็นรั่วไหลจำนวนหนึ่ง โดยพบว่าโทเค็นเหล่านี้ออกให้กับ Heroku และ Travis-CI ตอนนี้ทาง Heroku ก็ออกมายืนยันแล้วว่าฐานข้อมูลรั่วไหลจริง

Heroku ระบุว่าคนร้ายเข้าถึงฐานข้อมูลได้เมื่อวันที่ 7 เมษายนที่ผ่านมา และเริ่มใช้งานโทเค็นในวันที่ 8 เมษายน ตัว Heroku เองก็ถูกคนร้ายใช้โทเค็นขโมยซอร์สโค้ดออกไปจาก GitHub เมื่อวันที่ 9 เมษายน ทาง GitHub รู้ตัวในวันที่ 12 เมษายนเนื่องจากคนร้ายใช้โทเค็นของ npm

Read more

Android 13 เตรียมล็อกสิทธิ์ Accessibility API เพิ่มเติมหากผู้ใช้ติดตั้งโปรแกรมนอกสโตร์

By lew Founder on Tag: Android, Android 13, Security, Accessibility
Android

กูเกิลเริ่มทดสอบ Android 13 ตั้งแต่ต้นปีที่ผ่านมา ตอนนี้ Esper บริษัทให้บริการการจัดการอุปกรณ์แอนดรอยด์ก็ออกมาระบุว่า Android 13 จะจำกัดสิทธิ์ Accessibility API เพิ่มเติมหากผู้ใช้ติดตั้งแอปนอกสโตร์ เช่น Google Play หรือ F-Droid

Accessibility API นั้นเปิดให้นักพัฒนาสามารถช่วยควบคุมแอนดรอยด์ได้ตามความต้องการของคนกลุ่มต่างๆ เช่น ผู้ที่มีปัญหาการมองเห็นก็อาจใช้แอปช่วยอ่านหน้าจอ หรือบางแอปอาจจะช่วยควบคุม คลิกจุดต่างๆ ให้ผ่านอินพุตแบบอื่นๆ แต่ API นี้ก็เป็นสิทธิ์ระดับสูงทำให้แอปเห็นข้อมูลทุกอย่างของผู้ใช้ และสามารถควบคุมแทนผู้ใช้ได้ ทำให้มัลแวร์หลายตัวพยายามขอสิทธิ์เช่นนี้

Read more

GitHub บังคับบัญชีนักพัฒนาต้องเปิดใช้ 2FA มีผลภายในสิ้นปี 2023

By arjin Writer on Tag: GitHub, Security, Authentication
GitHub

GitHub ประกาศปรับนโยบายการใช้งาน โดยบังคับให้นักพัฒนาที่อัพโหลดโค้ดเข้ามา ต้องเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) อย่างน้อย 1 วิธีการ มีผลภายในสิ้นปี 2023

Mike Hanley หัวหน้าฝ่ายความปลอดภัยของ GitHub บอกว่าแนวคิดนี้เกิดจากพื้นฐานว่า กระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยรัดกุมทุกขั้นตอน ต้องเริ่มต้นที่นักพัฒนาเป็นลำดับแรก เพราะบัญชีนักพัฒนาเป็นเป้าหมายแรกของผู้โจมตีในการสอดไส้มัลแวร์เข้าไปในโค้ด

Read more

ไมโครซอฟท์เพิ่มตัวสุ่มรหัสผ่านให้แอป Authenticator, Edge, และ Autofill

By lew Founder on Tag: Microsoft, Security, Password
Microsoft

ไมโครซอฟท์เพิ่มตัวสุ่มรหัสผ่านให้กับแอป Microsoft Authenticator ทำให้แอปมีความสามารถเทียบเท่ากับโปรแกรมจัดการรหัสผ่านเต็มรูปแบบมากยิ่งขึ้น

ตัวสุ่มรหัสผ่านของไมโครซอฟท์สามารถกำหนดเงื่อนไขได้บางส่วน เช่น กำหนดความยาว, ตัวอักษรพิเศษ, ตัวเลข แต่ไม่สามารถกำหนดรายละเอียดเช่นหลีกเลี่ยงตัวอักษรคล้ายกัน หรือสุ่มให้อ่านออกเสียงได้ง่ายเหมือนตัวจัดการรหัสผ่านหลายๆ ตัว

ฟีเจอร์นี้ใช้ได้แทบทุกที่ ทั้งผ่านแอป Authenticator บน iOS และ Android, ส่วนขยาย Autofill สำหรับ Chrome, และ Edge

Read more
Subscribe to Security