Tags:
Apple

หลังจากที่เมื่อเช้านี้ Apple ได้ปล่อยอัพเดต iOS 7.0.6 ออกมาเพื่อแก้ไขปัญหาช่องโหว่การตรวจสอบ SSL แต่ไม่ได้ลงรายละเอียดอะไรมากกว่านั้น นักวิจัยด้านความมั่นคงปลอดภัยหลายรายก็เลยพยายามที่จะวิเคราะห์ว่าปัญหาของช่องโหว่นี้เกิดจากอะไร และมีผลกระทบมากน้อยแค่ไหน

จนในที่สุดก็มีคนไปไล่ดูซอร์สโค้ดของฟังก์ชันที่ใช้แลกเปลี่ยนกุญแจ SSL เลยพบว่า สาเหตุของปัญหานี้เกิดจากการที่ Apple ใส่คำสั่ง goto fail; เกินมา 1 บรรทัด เลยทำให้ระบบไม่ตรวจสอบค่า hostname ที่ผิดพลาดในใบรับรอง SSL

อย่างไรก็ตาม ถึงแม้ว่าทาง Apple จะแก้ไขปัญหาช่องโหว่นี้ไปแล้วใน iOS 7.0.6 แต่ก็มีคนไปพบว่า Safari และฟังก์ชัน cURL ใน OS X 10.9.1 ก็มีช่องโหว่แบบเดียวกัน แต่ปัจจุบันยังไม่มีแพตช์ออกมาแก้ไข

ที่มา - ImperialViolet, Hacker News, Neowin

Tags:
Google

กูเกิลประกาศซื้อ Spider.io บริษัทไซเบอร์รักษาความปลอดภัยที่ต่อสู้กับการทุจริตโฆษณาออนไลน์ บริษัทนี้ตั้งอยู่ที่กรุงลอนดอน ประเทศอังกฤษ

โดย Neal Mohan รองประธานกูเกิลฝ่ายโฆษณากล่าวว่า การซื้อบริษัท Spider.io ครั้งนี้เป็นเพราะว่าบริษัทนี้ มีความเชี่ยวชาญในด้านการต่อสู้กับการทุจริตโฆษณา และการปรับปรุงผลิตภัณฑ์ ซึ่งทำให้มีความพยายามที่จะสามารถขจัดผู้ประสงค์ร้ายต่อระบบของการโฆษณา และปรับปรุงระบบนิเวศแบบเป็นดิจิตัลทั้งหมด

ส่วนข้อมูลเงื่อนไขและมูลค่าในการสั่งซื้อกูเกิลยังไม่มีการเปิดเผยถึงเรื่องนี้ แต่ทางกูเกิลได้บอกว่าจะเอาไว้ใช้กับระบบตรวจจับเกี่ยวกับการแสดงและวิดีโอโฆษณาบริการต่างๆ นั่นเอง

ที่มา - DoubleClick Advertisers Blog via Re/code และ The Next Web

Tags:
Internet Explorer

ไมโครซอฟท์ประกาศพบช่องโหว่ของ IE9 (Vista/7/2008 R2) และ IE10 (7/8/2012) โดยพบหลักฐานว่า IE10 ถูกโจมตีผ่านช่องโหว่นี้แล้ว (IE9 ยังไม่โดนแต่มีช่องโหว่ลักษณะเดียวกัน)

เบื้องต้น ไมโครซอฟท์ได้ออกแพตช์ฉุกเฉิน (fix it) เพื่อลดความเสี่ยงจากช่องโหว่นี้เป็นการชั่วคราวแล้ว แต่แพตช์ตัวเต็มยังต้องรออีกสักระยะหนึ่ง ดังนั้นผู้ที่ใช้ระบบปฏิบัติการข้างต้นก็ควรดาวน์โหลดแพตช์นี้มาติดตั้งกันไปก่อน (ดาวน์โหลดจาก TechNet)

ไมโครซอฟท์ยังแนะนำให้ผู้ใช้ Windows 7 และ Windows Server 2008 R2 อัพเดตเป็น IE11 เพราะไม่มีช่องโหว่นี้

ที่มา - Microsoft, TechNet

Tags:
Flash

Adobe ออกประกาศด้านความปลอดภัยด่วน (emergency update) แจ้งเตือนช่องโหว่ใน Flash Player ทุกเวอร์ชัน (12.0.0.44 หรือเก่ากว่า, บนลินุกซ์คือ 11.2.202.336 หรือเก่ากว่า, รวมถึง Adobe AIR 3.9/4.0 ด้วย)

ช่องโหว่นี้ (มีโค้ดว่า CVE-2014-0502) เกี่ยวข้องกับการข้ามระบบความปลอดภัยที่ใช้เทคนิคหน่วยความจำแบบสุ่ม (ASLR) ถูกค้นพบโดยบริษัทความปลอดภัย FirmEye โดยผู้ประสงค์ร้ายสามารถฝังมัลแวร์ลงในคอมพิวเตอร์ของผู้ใช้ได้ และปัจจุบันมีเว็บไซต์ที่ถูกใช้เป็นฐานสำหรับการโจมตีด้วยช่องโหว่นี้บ้างแล้ว

Adobe แนะนำให้ผู้ใช้วินโดวส์/แมค/Chrome/IE11 อัพเดต Flash Player เป็นเวอร์ชัน 12.0.0.70 ในทันที (Chrome/IE11 อัพเดตอัตโนมัติอยู่แล้ว) ส่วนผู้ใช้บนลินุกซ์ก็ให้อัพเดตเป็น 11.2.202.341

คนที่ต้องดาวน์โหลดเองให้เข้าไปที่ Flash Player Download ครับ

ที่มา - Adobe, Ars Technica

Tags:
Galaxy S5

บล็อกที่เขียนข่าวเกี่ยวกับซัมซุงเป็นประจำ SamMobile อ้างว่ามือถือตัวชูโรงของซัมซุงประจำปีนี้ “Galaxy S5” จะมาพร้อมกับเซ็นเซอร์อ่านลายนิ้วมือจริง โดยเช่นเดียวกับมือถือคู่แข่งอย่าง iPhone 5S เซ็นเซอร์อ่านลายนิ้วมือของ S5 จะอยู่ที่ปุ่มโฮม

อย่างไรก็ตาม ในรายงานระบุว่าการใช้งานเซ็นเซอร์อ่านลายนิ้วมือของซัมซุง จะแตกต่างไปจาก Touch ID ของแอปเปิล ตรงที่ผู้ใช้จะต้องสแกนลายนิ้วมือด้วยวิธี Swipe จากบนลงล่างด้วยความเร็วที่เหมาะสม แต่เช่นเดียวกับ Touch ID เซ็นเซอร์อ่านลายนิ้วมือของซัมซุง ก็จะมีปัญหาในการอ่านลายนิ้วมือจากนิ้วที่เปียก หรือชุ่มชื้น

ซัมซุง ยังได้เพิ่มการสนับสนุนการใช้งานลายนิ้วมือเข้าไปในส่วนต่าง ๆ ของระบบปฏิบัติการ และเป็นไปได้ว่านักพัฒนาอาจจะสามารถนำเซ็นเซอร์นี้มาใช้ประโยชน์ได้

ทีนี้ จะ S5 หรือ 5S ก็ไม่ต้องน้อยหน้าซึ่งกันและกันเรื่องเซ็นเซอร์อ่านลายนิ้วมือแล้วครับ

ที่มา - MacRumors

Tags:
CloudFlare

ความน่ากลัวของการดักฟังที่ได้รับการสนับสนุนจากรัฐแบบที่เปิดเผยโดย NSA ทำให้ผู้ให้บริการที่เคยไว้ใจการเชื่อมต่อระดับศูนย์ ที่ไม่น่ามีใครดักฟังได้ ไม่เชื่อใจกันอีกต่อไป CloudFlare ผู้ให้บริการกระจายข้อมูลไปยังผู้ใช้จึงเพิ่มบริการเชื่อมต่อ SSL แบบใหม่เพิ่มเติม

ก่อนหน้านี้ CloudFlare ให้บริการความปลอดภัยสามแบบ คือ ปิดการเข้ารหัส ไม่มีการยืนยันใดๆ, เปิดการเข้ารหัสเฉพาะข้อมูลที่กระจายออก แต่รับข้อมูลจากเซิร์ฟเวอร์โดยไม่เข้ารหัส (Flexible SSL), และเข้ารหัสเต็ม (Full SSL) แต่แม้จะเป็น Full SSL ทาง CloudFlare ก็ไม่ได้ยืนยันใบรับรองการเข้ารหัสกับเซิร์ฟเวอร์ลูกค้าแต่อย่างใด ทำให้มีความเสี่ยงที่จะถูกทำ man-in-the-middle

บริการ Full SSL (Strict) จะตรวจสอบใบรับรองของผู้ให้บริการที่เป็นลูกค้า CloudFlare กับ Certification Authority (CA) ก่อนที่จะยอมรับการเชื่อมต่อ ทาง CloudFlare เตือนว่า CA ที่ CloudFlare ยอมรับนั้นจะคัดมาเฉพาะเพื่อป้องกัน CA ที่มีประวัติไม่น่าเชื่อถือ ส่วนลูกค้าที่ใช้บริการ Full SSL และใบรับรองตรวจสอบแล้วว่าสามารถใช้ Full SSL (Strict) ได้ จะถูกปรับบริการอัตโนมัติ

หลังประกาศบริการนี้ CloudFlare ส่งโค้ดกลับต้นน้ำคือ nginx ทำให้ nginx สามารถตรวจสอบใบรับรองของเซิร์ฟเวอร์ต้นทางก่อนรับการเชื่อมต่อ, ตรวจสอบรายการยกเลิกใบรับรอง, และรองรับ SNI ในกรณีที่เซิร์ฟเวอร์ต้นทางให้บริการหลายโดเมนในเครื่องเดียวกัน

ที่มา - CloudFlare

Tags:

Sense6 บริษัทหน้าใหม่สัญชาติอเมริกาเปิดตัว Artemis เครื่องประดับอัจฉริยะที่สามารถเชื่อมต่อกับสมาร์ทโฟนเพื่อแจ้งเตือนไปยังเจ้าหน้าที่ หากำบว่าเจ้าของอยู่ในสถานการณ์อันตราย

Jeff Axup ซีอีโอ Sense6 พูดถึง Artemis ว่าออกแบบมาเพื่อให้คุณผู้หญิงสามารถเอาตัวรอดจากสถานการณ์ฉุกเฉินได้ไวขึ้น ตัวเครื่องประดับออกแบบมาให้เชื่อมต่อกับสมาร์ทโฟนผ่านบลูทูธ สามารถอัดเสียง และส่งเสียงผ่านระบบกลุ่มเมฆ และส่งข้อมูลสถานที่ปัจจุบันได้แบบเรียลไทม์ ซึ่งเร็วกว่าวิธีแบบเดิมที่ใช้การโทรศัพท์อย่างมาก

นอกจาก Artemis แล้ว ยังมีอีกบริษัทที่ทำผลิตภัณฑ์มาใช้งานคล้ายกัน แต่มาในรูปแบบที่ต่างออกไปอย่าง First Sign ที่กำลังระดมทุนกลัดผมอัจฉริยะสำหรับผู้หญิงอยู่ในขณะนี้

กลัดผมอัจฉริยะตัวนี้มีฟีเจอร์มากกว่า Artemis พอสมควร สามารถส่งทั้งเสียง วิดีโอ และที่อยู่ได้ผ่านการเชื่อมต่อกับสมาร์ทโฟน

สำหรับความคืบหน้าของทั้งสองราย Sense6 จะเริ่มทดสอบภายในเดือนสองเดือนนี้ ส่วน First Sign จะเริ่มวางขายเดือนมิถุนายนครับ

ที่มา - VentureBeat

Tags:
Linksys

รายงานบั๊กที่ใช้ในเวิร์ม The Moon ที่เริ่มระบาดเมื่อสัปดาห์ที่แล้ว แสดงให้เห็นว่าเราเตอร์หลายรุ่นมีปัญหาความปลอดภัยเพราะไม่ตรวจสอบรหัสผ่านในบาง URL ที่ใชัจัดการเราเตอร์

URL เหล่านี้เป็นโปรโตคอล Home Network Administration Protocol (HNAP) ที่พัฒนาโดย Pure Network และถูกซื้อไปโดยซิสโก้ในภายหลัง เราเตอร์ที่มีบั๊กนี้ได้แก่ 4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, และ E900

เมื่อเวิร์มติดไปยังเราเตอร์แล้วจะแสกนพอร์ต 80 และ 8080 เพื่อหาเหยื่อรายใหม่ต่อไปเรื่อยๆ

ที่มา - The Register

Tags:
Google

กูเกิลเข้าซื้อบริษัท SlickLogin ที่เพิ่งเปิดตัวมาไม่กี่เดือน โดยระบุว่าจะไปพัฒนาความปลอดภัยให้

SlickLogin พัฒนาระบบล็อกอินด้วยเสียงที่มนุษย์ไม่ได้ยิน โดยผู้ใช้ที่ต้องการล็อกอินเว็บสามารถนำโทรศัพท์ไปจ่อกับลำโพงโน้ตบุ๊กเพื่อล็อกอิน

ส่วนกูเกิลเองก็พยายามอย่างมากที่จะพัฒนามาตรฐานการล็อกอินที่ปลอดภัยกว่ารหัสผ่าน พร้อมกับยังใช้งานได้ง่ายอยู่ โดยความคืบหน้าล่าสุดคือการก่อตั้งกลุ่ม FIDO การเข้าซื้อ SlickLogin คงเป็นการเข้าซื้อตัวนักพัฒนาและสิทธิบัตรของ SlickLogin

สำนักงานของ SlickLogin ยังคงอยู่ในอิสราเอลเช่นเดิม

ที่มา - SlickLogin

Tags:
Kickstarter

Kickstarter แถลงยอมรับว่าเมื่อวันพุธที่ผ่านมาหน่วยงานบังคับใช้กฏหมายแจ้งว่าระบบของบริษัทถูกเจาะ และทางบริษัทก็รีบแก้ไขอย่างเร็วที่สุด แต่ก็ไม่ได้ระบุวิธีการที่เจาะเข้ามาขโมยข้อมูล

ถึงแม้ข้อมูลบัตรเครดิตของผู้ใช้จะไม่ถูกขโมยไป แต่ข้อมูลชื่อผู้ใช้ รหัสผ่านที่ถูกเข้ารหัสไว้ อีเมล ที่อยู่ และเบอร์โทรศัพท์ของผู้ใช้บางส่วนถูกขโมยไป (Kickstarter ไม่ได้เปิดเผยว่ามีข้อมูลของผู้ใช้กี่รายที่หลุดออกไป) บริษัทแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านใหม่ทั้งของบนเว็บไซต์ของบริษัทเองและเว็บไซต์อื่นที่ใช้รหัสเดียวกัน

ที่มา: Kickstarter

Tags:
Kickstarter

Kickstarter ประกาศว่าตัวเองถูกแฮ็กเข้าซะแล้ว และข้อมูลของผู้ใช้บางส่วนถูกแฮ็กเกอร์ขโมยไป โดยข้อมูลที่ถูกขโมยคือข้อมูลส่วนตัว ชื่อ อีเมล ที่อยู่ และรหัสผ่านที่ถูกเข้ารหัสแล้ว (ใช้ SHA-1/salted หรือ bcrypt) ส่วนข้อมูลบัตรเครดิตไม่ถูกเจาะไปด้วย

Kickstarter แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านโดยทันที และเปลี่ยนรหัสผ่านชุดเดียวกันที่ใช้กับเว็บไซต์อื่นๆ ด้วย ส่วนผู้ใช้ที่ล็อกอินด้วย Facebook Connect จะถูกรีเซ็ตสิทธิการเข้าถึง และผู้ใช้สามารถอนุมัติสิทธิใหม่อีกครั้งด้วยตนเอง

ที่มา - Kickstarter

Tags:
Mark Zuckerberg

เว็บไซต์ thehackernews.com ได้ประกาศข่าวว่าพวกเขาได้รับ E-mail จากแฮคเกอร์ชาวอียิปต์ที่ใช้นางแฝงว่า Dr.FarFar ซึ่งเขาอ้างว่าเป็นคนแฮคหน้าโปรไฟล์ และลบรูป Cover ของ Mark Zuckerberg เจ้าของและผู้ก่อตั้งเว็บไซต์เฟสบุ๊ค

Tags:

เหล่าแฮกเกอร์ซีเรียยังคงซ่าไม่หยุด ซึ่งเหยื่อรายล่าสุดคือ Forbes นิตยสารด้านเศรษฐกิจชื่อดังของสหรัฐ โดย Forbes เปิดเผยว่าเว็บไซต์ของตัวเองและทวิตเตอร์ในเครือของ Forbes อีก 3 บัญชี ได้แก่ @TheAlexKnapp , @Samsharf และ @ForbesTech เป็นเหยื่อการถูกโจมตีโดยกลุ่ม Syrian Electronic Army (SEA) โดยมีรหัสผ่านผู้ใช้หลุดออกไปนับล้านบัญชี

Tags:
Office 365

ไมโครซอฟท์ประกาศรองรับการยืนยันตัวตนโดยใช้หลายปัจจัย (multi-factor authentication) ใน Office 365 รุ่นสำหรับองค์กร ได้แก่ Office 365 Midsize Business, Enterprise, Academic, Nonprofit, และบริการเดี่ยวสำหรับลูกค้าองค์กรทั้งหมดในกลุ่ม Office 365

แอดมินขององค์กรที่ใช้ Office 365 สามารถเข้าไปเปิดใช้งาน multi-factor ได้แยกรายคน โดยผู้ใช้ที่ถูกแอดมินสั่งให้ใช้งานจะถูกบังคับให้เซ็ตอัพระบบ multi-factor ทันทีที่ล็อกอินครั้งต่อไป

กระบวนการ multi-factor ของ Office 365 มีแนวทางให้ใช้งานได้ 5 ช่องทาง ได้แก่ รับสายโทรศัพท์เพื่อกดรหัสตามที่ไมโครซอฟท์บอก, รับ SMS, รับโทรศัพท์จากหมายเลขอื่น, กดยืนยันจากแอพพลิเคชั่นบนโทรศัพท์, และใช้รหัสผ่านจากแอพพลิเคชั่นบนโทรศัพท์เพื่อยืนยัน

เมื่อเซ็ตอัพการยืนยันแบบ multi-factor แล้วผู้ใช้จะต้องสร้างรหัสผ่านสำหรับแอพพลิเคชั่นแบบเดสก์ทอปแยกแต่ละแอพพลิเคชั่น กระบวนการนี้ทำให้ผู้ใช้สามารถยกเลิกสิทธิในแอพพลิเคชั่นเดสก์ทอปใดๆ ที่เคยไปล็อกอินไว้ได้

ไมโครซอฟท์ระบุว่าเตรียมขยายบริการนี้ออกไปให้ครบทุกแอพพลิเคชั่นที่ตอนนี้ยังไม่รองรับ รวมถึงแอพพลิเคชั่นเดสก์ทอปทั้งหมด และจะรองรับระบบ multi-factor ของผู้ผลิตรายอื่น เช่น บัตร Common Access Card ของกระทรวงกลาโหมสหรัฐฯ

ที่มา - Office Blogs

Tags:
FIDO

FIDO Alliance กลุ่มอุตสาหกรรมที่รวมบริษัททั้งผู้ให้บริการเว็บ และผู้ผลิตฮาร์ดแวร์รายสำคัญ เช่น Google, PayPal, NXP เปิดมาตรฐาน FIDO รุ่นแรกเพื่อรับความเห็นแล้วหลังตั้งกลุ่มมาได้ 9 เดือน

FIDO แก้ปัญหาที่ผู้ใช้ตั้งรหัสผ่านง่ายเกินไปด้วยการใช้กุญแจสาธารณะในการล็อกอินเสมอ เมื่อผู้ใช้ลงทะเบียนบริการใดๆ ครั้งแรก เครื่องของผู้ใช้จะต้องสร้างคู่กุญแจสำหรับบริการนั้นๆ ขึ้นมา แล้วส่งกุญแจสาธารณะไปยังผู้ให้บริการเช่นเว็บ หรือเซิร์ฟเวอร์ของแอพพลิเคชั่น

เมื่อล็อกอิน FIDO ระบุให้ระบบปฎิบัติการหรือเบราว์เซอร์ต้องยืนยันตัวตนกับผู้ใช้อีกครั้งว่าจะล็อกอินหรือไม่ แต่อาจจะยืนยันด้วยกระบวนการที่ง่ายกว่ารหัสผ่านเดิมๆ เช่น การใช้ลายนิ้วมือ, PIN เพียง 4 หลัก, หรือเสียง เมื่อยืนยันแล้วระบบปฎิบัติการจะรับค่า challenge จากผู้ให้บริการ แล้วเข้ารหัสด้วยกุญแจลับ แล้วส่งผลที่ได้ให้กับผู้ให้บริการต่อไป

มาตรฐาน FIDO มีสองแบบ ได้แก่ UAF สำหรับการล็อกอินโดยไม่ต้องมีอุปกรณ์เพิ่มเติม และ U2F สำหรับการล็อกอินด้วย token อีกชุดหนึ่ง ตัวมาตรฐานระบุอย่างละเอียดนับแต่กระบวนการทำงานของฮาร์ดแวร์, ระบบปฎิบัติการ, API การเขียนโปรแกรมบนจาวาสคริปต์, และข้อมูลที่ส่งไปมา

ตอนนี้ Nok Nok Labs ประกาศความพร้อมโซลูชั่น FIDO แล้ว แม้ว่ามาตรฐานยังไม่นิ่งก็ตาม

ที่มา - FIDO, The Register

Tags:
France

ศาลอุทธรณ์ของฝรั่งเศสได้ตัดสินลงโทษปรับเงินนักข่าว/แฮกเกอร์ชาวฝรั่งเศส จากการนำเอกสารในฐานข้อมูลภายในของหน่วยงานรัฐบาลไปเผยแพร่ ที่ได้มาจากการเข้า URL ที่ถูกต้องจากกูเกิล

Olivier Laurelli (ใช้ฉายาออนไลน์ว่า Bluetouff) ทำธุรกิจความปลอดภัยออนไลน์ที่ชื่อว่า Toonux และเป็นผู้ร่วมก่อตั้งเว็บไซต์ข่าว Reflets.info ได้เข้าอินเทอร์เน็ตผ่าน VPN ที่ใช้ IP address ของปานามา (เป็นบริการของ Toonux) ค้นหาข้อมูลผ่านเครื่องมือค้นหาของกูเกิล และได้บังเอิญเข้าไปเจอเอกสารภายในของหน่วยงานความปลอดภัยด้านอาหาร สิ่งแวดล้อม และอาชีพของฝรั่งเศส (ANSES)

Laurelli ได้ใช้เครื่องมือดาวน์โหลดเอกสารทั้งหมดเข้ามาเก็บไว้ในเครื่องของตัวเอง และในภายหลังได้ส่งต่อเอกสารบางส่วนให้กับผู้ร่วมเขียน Reflets คนหนึ่ง ซึ่งต่อมา เว็บไซต์ Reflets ก็ได้เผยแพร่สไลด์บางอันที่เกี่ยวข้องกับสารนาโน

เมื่อ ANSES ได้มาพบว่า มีสไลด์ภายในถูกเผยแพร่บนเว็บไซต์ Reflets จึงได้แจ้งตำรวจว่า อาจมีการบุกรุกเข้าสู่ระบบคอมพิวเตอร์และขโมยข้อมูลจากเครื่องคอมพิวเตอร์ ทำให้สำนักข่าวกรองของฝรั่งเศส (DCRI) เข้ามาร่วมสอบสวนกรณีนี้ด้วย

Tags:

โลกไอทีในองค์กรกำลังเผชิญความท้าทายใหม่ในช่วงเวลาไม่ถึงสามปีที่ผ่านมา จากความก้าวหน้าของอุปกรณ์เคลื่อนที่ทั้งแท็บเล็ต สมาร์ตโฟน รวมไปถึงราคาที่ถูกลงอย่างมากของคอมพิวเตอร์พีซี ทำให้คนในองค์กรมักสะดวกใจกับการใช้คอมพิวเตอร์ส่วนตัวเพื่อทำงานกันมากขึ้น หรือที่เรียกแนวทางนี้เป็นภาษาอังกฤษว่า Bring Your Own Device (BYOD)

หมายเหตุ บทความชุดการจัดการความปลอดภัยสำหรับองค์กร ได้รับการสนับสนุนโดย CAT Cyfence ผู้ให้บริการความปลอดภัยครบวงจรสำหรับธุรกิจทุกระดับ

Tags:
MasterCard

การใช้งานบัตรเครดิตตามร้านค้าต่างๆ แบ่งออกเป็น 2 ระบบใหญ่ๆ คือ ใช้แถบแม่เหล็กที่อยู่ด้านหลังของบัตร (รูดบัตร) และการใช้ชิปที่ฝังอยู่บนบัตร (เสียบบัตรแล้วกด PIN code)

ระบบในยุโรปนั้นใช้แบบ PIN code กันมานานแล้ว แต่ในสหรัฐอเมริกา (รวมถึงประเทศไทย) ยังใช้ระบบแถบแม่เหล็กอยู่ ระบบแถบแม่เหล็กมีปัญหาเรื่องความปลอดภัยที่ถูกปลอมแปลงง่ายกว่าระบบ PIN มาก ซึ่งผู้ให้บริการบัตรเครดิตรายใหญ่ทั้ง Visa และ MasterCard ก็ประกาศให้ร้านค้าในอเมริกาเปลี่ยนไปใช้ระบบ PIN ในเดือนตุลาคม 2015

Carolyn Balfany ผู้บริหารของ MasterCard ให้สัมภาษณ์กับ Wall Street Journal ในประเด็นเรื่องการเปลี่ยนระบบจ่ายเงินไว้ว่า เดิมทีตลาดนอกสหรัฐมีอัตราการโกงบัตรเครดิต (fraud) สูง ทำให้ตลาดเหล่านี้ถูกบีบให้เปลี่ยนไปใช้ระบบ PIN เพื่อให้โกงได้ยากขึ้น พอประเทศอื่นๆ เปลี่ยนระบบกันไปเยอะแล้ว บรรดาแฮ็กเกอร์เริ่มหันมาเจาะระบบบัตรเครดิตของอเมริกาแทน ซึ่งก็เป็นเหตุผลให้อเมริกาต้องรีบเปลี่ยนระบบตาม

Tags:
iOS 7

ดูเหมือน iOS 7 ที่แม้จะมีอัพเดตไปหลายครั้ง แต่ก็ยังมีบั๊กหลงเหลืออยู่ ล่าสุดมีรายงานว่าพบช่องโหว่ให้ผู้ใช้สามารถปิดฟีเจอร์ Find My iPhone โดยไม่ต้องรู้รหัสผ่านได้ (ปกติการจะปิดฟีเจอร์นี้ต้องใช้รหัสผ่าน iCloud ด้วย)

ช่องโหว่ดังกล่าวใช้ได้กับ iOS 7.0.4 ดังนั้นน่าจะอนุมานได้ว่าน่าจะมีผลกับ iOS 7.0.x ทุกรุ่น (ไม่มีข้อมูลว่าใช้กับ iOS 7.0.5 ด้วยได้ไหม) แต่จะไม่มีผลกับผู้ใช้ที่ตั้งค่า Touch ID หรือตั้งรหัสล็อกเครื่องไว้ เพราะผู้อื่นจะไม่สามารถเข้าไปถึงหน้าตั้งค่าได้นั่นเอง

ข่าวดีคือช่องโหว่นี้ใช้กับ iOS 7.1 ไม่ได้ ดังนั้นน่าจะมีแพตช์มาอัพเดตให้กับ iOS 7.0 เร็วๆ นี้ครับ

ที่มา - iDownloadBlog

Tags:
Facebook

Syrian Electronic Army (SEA) เจ้าเก่าทวีตว่าสามารถเข้าไปแก้ไขข้อมูล WHOIS ของโดเมน Facebook.com ได้ โดยเปลี่ยนอีเมลของแอดมินเป็นอีเมลของทาง SEA (แต่ ณ เวลาที่เขียนข่าวนี้ ข้อมูลบน WHOIS กลับเป็นดังเดิมแล้ว)

ถึงแม้เว็บไซต์เฟซบุ๊กจะยังใช้งานได้ตามปกติ SEA เคลมว่าได้เปลี่ยนชื่อเซิร์ฟเวอร์ต่างๆ เพื่อพยายามยึดครอง (hijack) เว็บไซต์ แต่ทีมก็เสียเวลาไปมากกับเรื่องนี้

ดูเหมือนว่าการบุกรุกครั้งนี้ผ่านมาทางบริษัทรับจัดการโดเมนชื่อ MarkMonitor ที่ดูแลโดเมน Facebook.com เนื่องจาก SEA ระบุว่า MarkMonitor ปิดเว็บท่าสำหรับจัดการโดเมนทันทีที่มีข่าวการบุกรุกนี้ พร้อมทั้งได้ทวีตภาพเว็บท่าสำหรับจัดการโดเมนดังกล่าวด้วย

ทั้งเฟซบุ๊กและ MarkMonitor ยังไม่ตอบข้อซักถามในเรื่องการบุกรุกครั้งนี้กับเว็บไซต์ The Next Web แต่อย่างใด

ที่มา: @Official_SEA16 (1, 2) ผ่าน The Next Web