Tags:
Node Thumbnail

Drupal ออกแพตช์รวมช่องโหว่ความปลอดภัยตามรอบ (ที่สลับเดือนระหว่างการแก้บั๊กและการอุดช่องโหว่ความปลอดภัย) โดยรอบนี้ช่องโหว่มีความร้ายแรงระดับปานปลาง

ช่องโหว่ที่ร้ายแรงสักหน่อยใน Drupal 7 คือการฝัง URL ของหน้าเว็บภายนอกลงในแบบฟอร์มได้ ทำให้ผู้ใช้อาจจะถูกหลอกให้เข้าเว็บปลอมโดยไม่รู้ตัว ขณะที่ Drupal 8 มีช่องโหว่ที่โจมตีแบบให้ล่มได้เมื่อสร้าง URL อย่างจงใจ

แพตช์ชุดนี้มีช่องโหว่รวม 4 ช่องโหว่ อีก 2 ช่องโหว่เป็นช่องโหว่ระดับความร้ายแรงต่ำ อย่างไรผู้ดูแลก็ควรรีบแพตช์กันครับ

ที่มา - Drupal Security

Tags:
Topics: 
Node Thumbnail

IBM Security ประกาศตั้งศูนย์บัญชาการ X-Force Command Centers เพื่อรับมือกับภัยคุกคามด้านความมั่นคงไซเบอร์โดยเฉพาะ

ศูนย์บัญชาการแห่งนี้ตั้งอยู่ที่เมือง Cambridge รัฐแมสซาชูเซตส์ จุดเด่นของศูนย์แห่งนี้คือมีระบบซิมูเลเตอร์ Cyber Range จำลองภัยคุกคามด้านความปลอดภัยไซเบอร์ให้ลูกค้าภาคเอกชนทดสอบ เช่น ลองยิงถล่มหรือแฮกระบบ เพื่อทดสอบความพร้อมของลูกค้า และฝึกฝนเจ้าหน้าที่ฝ่ายความปลอดภัยของลูกค้า ให้รับมือกับภัยคุกคามของจริง ตัวซิมูเลเตอร์ Cyber Range จะใช้ไวรัสหรือมัลแวร์ของจริงเฉกเช่นเดียวกับบรรดาแฮกเกอร์

นอกจากนี้ IBM ยังตั้งหน่วยรับมือภัยคุกคามชื่อ IBM X-Force Incident Response and Intelligence Services (IRIS) คอยให้คำปรึกษากับลูกค้า และช่วยสอบสวนหลักฐานในกรณีโดนแฮกไปแล้ว

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศจะเริ่มแจ้งเตือนเว็บไซต์ที่ใช้ใบรับรอง SHA-1 ในวันที่ 14 กุมภาพันธ์ 2017 ซึ่งจะมีผลทั้งบนเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 แต่ในส่วนของผู้ใช้ยังคงมีตัวเลือกในการเข้าชมหน้าเว็บได้อยู่

ใบรับรอง SHA-1 ที่ได้รับผลกระทบคือ ใบรับรองที่เกี่ยวข้อง (chain to) กับ Microsoft Trusted Root CA เท่านั้น แต่ทั้งนี้ไมโครซอฟท์ก็ยังแนะนำให้รีบย้ายไปใช้ใบรับรอง SHA-256 แทน

ที่มา - Microsoft Edge Developer

บทความที่เกียวข้อง: เตรียมลา SHA-1 ตอบคำถามทำไมเข้ารหัสยุ่งยากแล้วต้องอัพเดตใหม่

Tags:
Node Thumbnail

สถานการณ์การรักษาความมั่นคงในอังกฤษมีความคืบหน้าในวันนี้ คือ ร่างกฎหมาย Investigatory Powers ที่ให้อำนาจเจ้าหนาที่สืบสวนในการเข้าถึงข้อมูลอุปกรณ์ไอทีต่างๆ ผ่านสภาในอังกฤษทั้งสองสภาแล้ว ขั้นตอนสุดท้ายเหลือเพียงพระราชินีลงนามยอมรับเท่านั้น

กฎหมายตัวนี้มีการถกเถียงกันมานานเป็นปี เพราะฝั่งปกป้องสิทธิมนุษยชนเห็นว่ากฎหมายนี้ละเมิดความเป็นส่วนตัว เนื้อหาของกฎหมายฉบับนี้ครอบคลุมและมีอำนาจจัดการในเรื่องต่างๆ ดังนี้

Tags:
Node Thumbnail

สถานีโทรทัศน์ในรัสเซียพร้อมกันรายงานข่าวว่า LinkedIn โซเชียลมีเดียด้านการหางานถูกศาลรัสเซียสั่งบล็อค หลังละเมิดกฎหมายไซเบอร์ฉบับใหม่ ที่บังคับให้ผู้ให้บริการเก็บล็อกข้อมูลไว้ในรัสเซีย 6 เดือน

ถึงแม้ศาลจะอ้างว่าละเมิดกฎหมาย แต่หลายฝ่ายก็คาดว่าเป็นความพยายามของรัฐบาลรัสเซีย ที่จะปิดกั้นการเข้าถึงสื่อโซเชียลมีเดียต่างๆ เนื่องจากถูกใช้เป็นเครื่องมือในการปลุกปั่นและนัดประท้วงต่อต้านรัฐบาล ซึ่ง LinkedIn เป็นสื่อโซเชียลมีเดียแรกที่โดน ขณะเดียวกันเจ้าหน้าที่ของรัฐก็อ้างด้วยว่า LinkedIn เคยมีประวัติเสียเรื่องการเก็บล็อกข้อมูลเก่าและข้อมูลผู้ใช้รั่วไหลด้วย

Tags:
Node Thumbnail

Darren Bilby วิศวกรความปลอดภัยของกูเกิลออกมาแนะนำในงาน Kiwicon ให้วงการความปลอดภัยไซเบอร์ลงทุนกับการป้องกันที่ได้ผลสูงดีกว่าการป้องกันที่ได้ผลน้อยอย่าง ระบบป้องกันการบุกรุก (intrusion detection system - IDS) หรือตัวป้องกันไวรัส

เขาระบุว่าวิศวกรถูกบังคับให้ติดตั้งเครื่องมือเหล่านี้เพื่อทำตามมาตรฐาน แทนที่จะลงแรงไปกับมาตรการป้องกันที่ได้ผลจริง เช่น การทำรายการแอปพลิเคชั่นที่ยอมรับได้ (whitelisting)

ในแง่ความปลอดภัยของผู้ใช้ เขาระบุว่าคำแนะนำผู้ใช้ให้ไม่คลิกลิงก์ที่แปลก หรือดาวน์โหลดไฟล์ที่ไม่น่าไว้ใจเป็นคำแนะนำที่เลวร้ายและเป็นการโทษผู้ใช้ทั้งที่สาเหตุมาจากผู้ผลิตที่ผลิตสินค้าที่ไม่ปลอดภัยเพียงพอ

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัยจาก Kryptowire รายงานว่าพวกเขาค้นพบโปรแกรม backdoor ฝังอยู่ในสมาร์ทโฟนแอนดรอยด์ราคาถูกกว่า 700 ล้านเครื่อง คอยแอบส่งข้อมูลกลับประเทศจีนทุก 72 ชั่วโมง

โปรแกรม backdoor ดังกล่าวเป็นของบริษัท AdUps Technology มีสำนักงานอยู่ที่นครเซี่ยงไฮ้ ประเทศจีน ซึ่งบริษัทฯ บอกว่ามีโปรแกรมของตนรันอยู่บนสมาร์ทโฟนทั่วโลกกว่า 700 ล้านเครื่อง นอกจากนี้ AdUps ยังให้ซอฟต์แวร์ของตนแก่ ZTE และ Huawei ด้วย

Tags:
Node Thumbnail

Let's Encrypt เปิดให้บริการใบรับรองฟรีจนกระทั่งมีเว็บจำนวนมากอัพเกรดขึ้นมา แต่การขอใบรับรองผ่านโปรโตคอล ACME ก็อาจจะยุ่งยากสำหรับนักพัฒนาเว็บจำนวนหนึ่ง กลายเป็นอุปสรรคสำหรับการใช้งาน ที่ผ่านมาการใช้งานที่สะดวกที่สุดคือบริการโฮสต์รองรับ Let's Encrypt ให้เองทำให้นักพัฒนาไม่ต้องทำอะไร แต่ตอนนี้ผู้ให้บริการ DNS อย่าง DNSimple ก็ประกาศเพิ่มทางอำนวยความสะดวกอีกทาง

DNSimple สามารถขอใบรับรองแทนเจ้าของโดเมนได้ เพราะ ACME รองรับการยืนยันตัวตนแบบ DNS challenge ทำให้นักพัฒนาเว็บสามารถสมัครใช้บริการและดาวน์โหลดใบรับรองออกไปติดตั้งได้ทันที โดยไม่ต้องพยายามเชื่อมต่อ ACME ด้วยตัวเอง

Tags:
Node Thumbnail

Omise บริการ payment gateway ที่ผ่านการรับรอง PCI-DSS 3.0 มาตั้งแต่ปี 2014 ผ่านมาสองปีทางบริษัทก็ระบุว่าผ่านการรับรอง PCI-DSS 3.2 เรียบร้อยแล้ว พร้อมระบุว่าเป็นบริษัทแรกในไทยที่ผ่านการรับรองมาตรฐานรุ่นล่าสุดนี้ ทั้งการจัดเก็บ, การประมวลผล, และการส่งข้อมูลบัตร

มาตรฐานความปลอดภัย PCI-DSS 3.2 เพิ่มความเข้มงวดในการเข้าถึงระบบเพิ่มเติม และต้องรายงานกระบวนการย้ายออกจาก SSL และ TLS รุ่นเก่าหากยังมีการใช้งานอยู่

ที่มา - Omise

Tags:
Node Thumbnail

Kaspersky Lab รายงานการติดตามตลาดใต้ดิน พบว่าเริ่มมีผู้ผลิต skimmer สำหรับการขโมยข้อมูลชีวภาพ (biometric) จากเหยื่อเพื่อไปใช้ในอาชญากรรม หลังจากหลายอุตสาหกรรมเพิ่มมาตรการการยืนยันตัวตนผู้ใช้ด้วยข้อมูลอื่นนอกจากรหัสผ่าน

ปัญหาของการใช้ข้อมูลชีวภาพ ไม่ว่าจะเป็นลายนิ้วมือ, ใบหน้า, ม่านตา คือข้อมูลเหล่านี้หากหลุดไปยังคนร้ายและสามารถทำสำเนาได้สำเร็จ เหยื่อเองก็จะไม่มีทางเปลี่ยนข้อมูลเหล่านี้ได้อีกเลยตลอดชีวิต ต่างจากการถูกขโมยข้อมูลแถบแม่เหล็กบัตรเครดิต หรือรหัสผ่านบัญชีต่างๆ

ทาง Kaspersky ยังเตือนว่าหากเกิดข้อมูลรั่วไหลในอนาคต เช่น การที่หน่วยงานการเงินถูกแฮก หน่วยงานจะไม่มีทางชดใช้ความเสียหายได้แบบก่อนหน้านี้ที่หากข้อมูลบัตรเครดิตรั่วไหลก็อาจจะมีการออกบัตรใหม่ให้ลูกค้าไป

Tags:
Topics: 
Node Thumbnail

ปัญหาแรงงานด้านความปลอดภัยไซเบอร์ไม่เพียงพอทำให้หลายหน่วยงานไม่สามารถป้องกันระบบของตัวเองได้ แม้แต่ประเทศต้นกำเนิดอย่างสหรัฐฯ เองก็ยังเป็นปัญหา หน่วยงานออกมาตรฐานความปลอดภัยไซเบอร์อย่าง NIST เองก็ต้องลงมาเว็บ CyberSeek แสดงโอกาสความก้าวหน้าในอาชีพด้านนี้

ในสหรัฐฯ มีตำแหน่งงานด้านความปลอดภัยไซเบอร์ที่เปิดรับอยู่ถึงกว่าเจ็ดแสนตำแหน่ง เฉพาะงาน Incident Analyst ที่เป็นระดับเริ่มต้นก็มีรายได้เฉลี่ยปีละ 70,000 ดอลลาร์ นับว่าต่ำที่สุดในสายงานเดียวกัน

เว็บ CyberSeek แสดงให้ผู้สนใจเห็นว่าตำแหน่งงานในสายความมั่นคงปลอดภัยไซเบอร์ต้องมีความรู้ด้านใด มีวุฒิระดับใด ไปจนถึงผู้ว่าจ้างมักต้องการใบรับรองประเภทใดบ้าง

Tags:
Node Thumbnail

ระบบรักษาความปลอดภัยเซิร์ฟเวอร์ที่เราเห็นกันบ่อยๆ คงเป็นไฟร์วอลล์หรือตัวป้องกันเน็ตเวิร์ค แต่ความปลอดภัยพื้นฐานที่สุดคือการรักษาความปลอดภัยการเข้าถึงตัวตู้เซิร์ฟเวอร์เอง ผู้ผลิตอย่าง Schneider Electric ก็เปิดตัว NetBotz ระบบมอนิเตอร์ตู้แร็คและการเข้าถึงตัวตู้

ตัว NetBotz เป็นเหมือน IoT gateway ที่ออกแบบมาเฉพาะสำหรับตู้เซิร์ฟเวอร์ มันรองรับเซ็นเซอร์แบบมีสายได้ 42 ตัวและเซ็นเซอร์ไร้สาย 47 ตัว ตั้งแต่ความชื้น, อุณหภูมิ, ของเหลว, การสัมผัสตัวตู้, ความสั่นไหว, ควันไฟ

นอกจากเซ็นเซอร์ยังมีระบบควบคุมการเข้าถึงตู้เป็นส่วนขยาย สามารถเปลี่ยนตัวล็อกประตูเพื่อควบคุมการเข้าถึงตัวตู้ด้วย RFID มีให้เลือกทั้งบัตรแบบ 125khz และบัตร MIFARE

Tags:
Node Thumbnail

ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ของไต้หวันกำลังอยู่ระหว่างการพิจารณา แต่เนื้อหาเบื้องต้นก็ออกมาแล้วว่าจะมีการแบ่งหน่วยงานรัฐออกเป็นสามระดับ A, B, และ C

หน่วยงานระดับ A เป็นหน่วยงานที่มีข้อมูลสำคัญยิ่งยวด เช่น สำนักงานประธานาธิบดี, สำนักงานความมั่นคง, กระทรวงกลาโหม หน่วยงานเหล่านี้ทั้งหมด 123 หน่วยงานจะถูกตรวจสอบความมั่นคงปลอดภัยปีละสองครั้ง และจะต้องจัดซ้อมการโจมตีไซเบอร์เองอีกปีละครั้ง และการเข้าถึงข้อมูลทั้งหมดจะต้องมีการยืนยันตัวตนก่อนเข้าถึงทุกกรณี รวมถึงผู้ใช้งานระบบจะต้องได้รับการรับรองก่อนทั้งหมด

แม้แต่หน่วยงานที่สำคัญน้อยลงมา เช่น สำนักงานการบินพลเรือน, กรมอุตุนิยมวิทยา, หรือระบบคอมพิวเตอร์ของส่วนปกครองท้องถิ่นขนาดใหญ่ ก็จะอยู่ใต้ระดับ A เช่นกัน

Tags:
Topics: 
Node Thumbnail

ModSecurity CRS (Core Rule Set) กฎตรวจจับการบุกรุกสำหรับ ModSecurity ออกเวอร์ชั่น 3.0.0 ปรับปรุงใหม่ให้มีการแจ้งเตือนผิดพลาด (false positive) ต่ำลง พร้อมโหมดใหม่ๆ สำหรับการสำรวจการใช้งาน

CRS ใช้แจ้งเตือนหรือบล็อคการเชื่อมต่อเมื่อมีความพยายามจะบุกรุกด้วยเทคนิคที่พบได้ทั่วไป เช่น SQL injection, PHP injection, Remote Code Execution, หรือการสแกนเว็บ

ในเวอร์ชั่นใหม่นี้นอกจากการปรับปรุงกฎให้ลดการแจ้งเตือนผิดพลาด ยังมีกฎเฉพาะสำหรับ WordPress และ Drupal ทำให้การติดตั้งมาตรฐานทั้งสองแอปจะไม่มีการรายงานผิดพลาดเลย นอกจากนี้ยังมีโหมด "วิตกจริต" (paranoia) สำหรับการตั้งค่าหนาแน่นเป็นพิเศษ และโหมด sampling สำหรับการสำรวจการใช้งานผู้ใช้บางส่วน

Tags:
Node Thumbnail

เกิดปัญหาข้อมูลผู้ใช้หลุดครั้งใหญ่อีกรอบ เมื่อบริษัท Friend Finder Network เจ้าของเว็บหาคู่นอน AdultFriendFinder.com และเว็บไซต์สำหรับผู้ใหญ่ Penthouse.com กับ Cams.com โดนแฮ็ก และมีบัญชีมากถึง 412 ล้านบัญชีถูกเผย

บัญชีเหล่านี้เป็นข้อมูลที่ Friend Finder Network สะสมมาตลอด 20 ปี ที่น่าสนใจคือบัญชีที่ลูกค้าสั่งลบข้อมูลตัวเองไปยังค้างอยู่ในฐานข้อมูลจำนวน 15 ล้านบัญชี (และแน่นอนว่าหลุดออกมาด้วย) ตอนนี้ยังไม่มีข้อมูลแน่ชัดว่าแฮ็กเกอร์กลุ่มใดอยู่เบื้องหลังการแฮ็กครั้งนี้

ข้อมูลที่หลุดออกมาได้แก่ username, อีเมล, รหัสผ่าน (ทั้งแบบ plaintext และเข้ารหัสด้วย SHA-1 ซึ่งสามารถถอดรหัสได้ไม่ยาก), หมายเลขไอพี และข้อมูลอื่นๆ เกี่ยวกับสถานภาพสมาชิก

Tags:
Node Thumbnail

ทีมแฮ็กเกอร์จากจีนในนาม Qihoo 360 โชว์ผลงานการแฮ็กสมาร์ทโฟน Google Pixel ที่งาน PwnFest ณ กรุงโซล ประเทศเกาหลีใต้ ด้วยการใช้ช่องโหว่ zero-day เพื่อรันโค้ดประสงค์ร้ายบนสมาร์ทโฟนดังกล่าว โดยสามารถสั่งเปิด Google Play Store ขึ้นมา พร้อมเปิดเบราว์เซอร์ Google Chrome และแสดงข้อความว่า "Pwned by 360 Alpha Team" โดยทั้งหมดนี้ใช้เวลาไม่ถึง 60 วินาที (ดูภาพได้จากที่มา)

ทีมงานได้รับเงินรางวัลจากการโจมตีดังกล่าวไปถึง 120,000 ดอลลาร์สหรัฐ และต้องส่งรายละเอียดการแฮ็กทั้งหมดให้กูเกิลเพื่อออกแพตช์แก้ไขต่อไป

หลังจากนั้นทีมเดียวกันนี้ก็ไปโชว์แฮ็ก Adobe Flash โดยใช้ช่องโหว่เก่าร่วมกับช่องโหว่เคอร์เนล win32k และสุดท้ายได้แฮ็กเบราว์เซอร์ Microsoft Edge รวมแล้วได้เงินรางวัลกลับไปมากถึง 520,000 ดอลลาร์สหรัฐ หรือราว 18.4 ล้านบาท

ที่มา - The Register

Tags:
Node Thumbnail

ไลบรารี SSL กลายเป็นจุดโจมตีสำคัญนับแต่ช่องโหว่ Heartbleed เป็นต้นมา ก็มีความพยายามแยกสายการพัฒนาออกมาเป็น LibreSSL โดยทีมงาน OpenBSD หรือ BoringSSL ของกูเกิล ตอนนี้มีโครงการใหม่ในชื่อ BearSSL

BearSSL มีนักพัฒนาหลักคือ Thomas Pornin โปรแกรมเมอร์ด้านวิทยาการเข้ารหัสลับ (เขาเป็นผู้ใช้ระดับ top 0.03% ของ Security StackExchange) โดยมีแนวทางคือการรักษาความเรียบง่ายเพื่อให้มีความปลอดภัยสูงสุด ฟีเจอร์หลักๆ เช่น

Tags:
Node Thumbnail

Google Chrome for Android มีอัพเดตในวันนี้แก้ไขช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถสั่งติดตั้ง apk โดยไม่ได้รับความยินยอมจากผู้ใช้ ทาง Kaspersky คาดว่ามีผู้ถูกโจมตีจากช่องโหว่นี้ไปแล้วกว่าสามแสนราย

ทาง Kaspersky รายงานการโจมตีนี้มาตั้งแต่เดือนสิงหาคมที่ผ่านมาว่ามีการโจมตีโดยส่ง apk มาทางเครือข่ายโฆษณา รวมถึง AdSense ของกูเกิลเอง ตัวมัลแวร์มีความสามารถในการหลอกล่อผู้ใช้ให้ใส่ข้อมูลส่วนตัว ดักรับข้อความ SMS

Tags:
Node Thumbnail

Tesco Bank ประกาศเปิดให้บริการตามปกติหลังปิดบริการไปบางส่วนเมื่อวันจันทร์ที่ผ่านมา รวมค่าเสียหาย 2.5 ล้านปอนด์ หรือราวๆ ร้อยล้านบาท จากทั้งหมด 9,000 บัญชี โดยตอนนี้ทางธนาคารได้คืนเงินไปยังบัญชีผู้เสียหายแล้ว

ตอนนี้ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Centre - NCSC) กำลังเข้าสอบสวนเหตุการณ์ครั้งนี้ โดยยังไม่มีรายละเอียดเพิ่มเติมว่าผู้ร้ายนำเงินออกไปได้อย่างไร

ที่มา - Taipei Times

Tags:
Node Thumbnail

บริการ Safe Browsing ของกูเกิลนับเป็นบริการที่น่ากลัวสำหรับคนทำเว็บ เพราะหากพลาดท่าเว็บกลายเป็นแหล่งแพร่มัลแวร์ กูเกิลจะบล็อคผู้ใช้ไม่ได้เข้าถึงหน้าเว็บพร้อมกับแจ้งเตือนว่าเว็บมีอันตราย ที่ผ่านมาหากแก้ปัญหาได้สำเร็จก็จะจบปัญหาเป็นรอบๆ ไป แต่นโยบายใหม่ของ Safe Browsing จะตรวจสอบว่าเว็บที่เป็นแหล่งแพร่มัลแวร์บ่อยเกินไปหรือไม่ หากบ่อยเกินไปจะถูกปรับสถานะใหม่เป็น Repeat Offenders

เว็บที่ถูกปรับเป็น Repeat Offenders จะไม่สามารถยื่นคำร้องขอให้ Safe Browsing เข้าตรวจสอบเว็บอีกครั้งนานถึง 30 วัน โดยระหว่างนั้นจะมีคำเตือนแสดงให้ผู้ใช้เห็นตลอดเวลา

Tags:
Node Thumbnail

พบกันเป็นประจำทุกจันทร์แรกต้นเดือนครับ รอบนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนพฤศจิกายน 2016 โดยเดือนนี้พิเศษหน่อย มีแยกแพตช์เป็นถึง 3 ชุด ได้แก่ชุด 1 พ.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 พ.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 พ.ย. มาด้วย) และชุดพิเศษ 6 พ.ย. ที่รวมการแก้ไขช่องโหว่ "Dirty COW" ที่เปิดเผยเร็วๆ นี้

ผลิตภัณฑ์ในกลุ่ม Pixel/Nexus ที่ได้รับแพตช์จะมีดังนี้ครับ

Tags:
Node Thumbnail

ศูนย์ไซเบอร์กองทัพบกเพิ่งจัดตั้งมาตั้งแต่เดือนตุลาคมที่ผ่านมา ตอนนี้เว็บไซต์กองทัพบกก็เผยแพร่หลักสูตรอบรมต่างๆ ของศูนย์นี้ ทั้งหมด 5 หลักสูตร ได้แก่

Tags:
Node Thumbnail

Tesco Bank ในสหราชอาณาจักรประกาศปิดบริการจ่ายเงินออนไลน์ หลังช่วงเสาร์อาทิตย์ที่ผ่านมามีบัญชีถูกเข้าถึงอย่างน่าสงสัยถึง 40,000 บัญชี และครึ่งหนึ่งถูกโอนเงินออกไปแล้ว

ลูกค้าของ Tesco Bank มีมากถึงกว่าเจ็ดล้านบัญชี ตอนนี้ลูกค้าทั้งหมดสามารถถอนเงินที่สาขา หรือจ่ายผ่านบัตรชิปได้ รวมถึงระบบจ่ายเงินแบบตัดบัญชีก็ยังคงทำงานตามปกติ แต่ไม่สามารถจ่ายเงินซื้อสินค้าออนไลน์ได้

Tags:
Node Thumbnail

Adrian Ludwig ผู้อำนวยการฝ่ายความปลอดภัยของ Android ให้สัมภาษณ์กับเว็บ Motherboard ถึงประเด็นถกเถียงเรื่อง iOS กับ Android ใครปลอดภัยมากกว่ากัน มุมมองของเขาคือ Android มีระดับความปลอดภัยทัดเทียมกับ iOS ในปัจจุบัน และจะดีกว่าในอนาคต

Ludwig กล่าวถึงฟีเจอร์ด้านความปลอดภัยของแพลตฟอร์ม Android (ที่คนมักไม่ค่อยรู้จักกัน) คือ SafetyNet ระบบสแกนความปลอดภัยของกูเกิล ที่ตรวจสอบอุปกรณ์ 400 ล้านชิ้นต่อวันว่ามีมัลแวร์ฝังอยู่หรือไม่ และกูเกิลสามารถใช้เทคนิคลดความเสี่ยง (exploit mitigation) แบบต่างๆ เข้าช่วยป้องกัน จากสถิติของกูเกิลมีอุปกรณ์เพียง 1% เท่านั้นที่พบมัลแวร์

Tags:
Topics: 
Node Thumbnail

Dawud Golunski นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ race condition ในระบบฐานข้อมูลของ MySQL ทำให้ผู้ใช้ที่มีสิทธิ์เพียงพื้นฐาน เช่น SELECT, INSERT, CREATE สามารถเข้ายึดเซิร์ฟเวอร์ฐานข้อมูลได้ทั้งหมด และมีโอกาสทีแฮกเกอร์จะรันโค้ดด้วยสิทธิ์ระดับเดียวกับเซิร์ฟเวอร์ของ MySQL ได้

Golunski เคยรายงานช่องโหว่ CVE-2016-6662 เมื่อเดือนกันยายนที่ผ่านมา

Pages