G Suite เปิดฟีเจอร์ Alert Center แจ้งเตือนปัญหาความปลอดภัยให้แอดมินรับทราบ

By mk Founder on Tag: G Suite, Enterprise, Security, Google
G Suite

G Suite เปิดบริการฟีเจอร์ใหม่ Alert Center ระบบแจ้งเตือนปัญหาความปลอดภัยของบัญชี G Suite รวมกันไว้ในที่เดียว

Alert Center จะแจ้งเตือนปัญหาความปลอดภัยด้านต่างๆ ให้แอดมินขององค์กรได้รับทราบ ตั้งแต่ถูก phishing, มัลแวร์, บัญชีมีพฤติกรรมน่าสงสัย ไปจนถึงการถูกเจาะระบบโดยหน่วยงานของรัฐบาล

การแจ้งเตือนแต่ละอย่างจะมีรายละเอียดของปัญหาให้ทราบด้วย เช่น อุปกรณ์ชิ้นที่น่าสงสัย อย่างในภาพเป็นตัวอย่างการแจ้งเตือนอุปกรณ์ Android ที่ถูก root ซึ่งอาจมีผลต่อระบบความปลอดภัยขององค์กร หรือในกรณีที่เป็นมัลแวร์ก็จะแสดงรายการไอพีที่เกี่ยวข้องให้ดูด้วย

Read more

วิธีตรวจสอบว่าเราเป็น 1 ใน 30 ล้านผู้ใช้ Facebook ที่ถูกแฮก token หรือไม่ และสิ่งที่ต้องทำต่อ

By arjin Writer on Tag: Facebook, Data Breach, Security
Facebook

ตามที่ Facebook ออกมาเปิดเผยว่าเว็บถูกแฮก access token ไป และสรุปตัวเลขจากการสอบสวนล่าสุดว่ามีผู้ใช้ได้รับผลกระทบทั้งหมด 30 ล้านราย แม้ Facebook บอกว่าจะแสดงข้อความเตือนผู้ใช้ที่ได้รับผลกระทบ แต่เชื่อว่าหลายคนที่สงสัยว่าตนเองเข้าข่ายด้วยหรือไม่ และไม่เห็นข้อความก็คงอยากรู้เช่นกัน ซึ่ง Facebook ก็ให้วิธีตรวจสอบไว้ดังนี้

Read more

Instagram เปิดระบบยืนยันตัวตนสองปัจจัยโดยใช้แอพให้ผู้ใช้ทุกคนแล้ว

By nutmos Writer on Tag: Instagram, Authentication, Security
Instagram

หลังจากที่ Instagram ทดลองระบบยืนยันตัวตนสองปัจจัยที่ไม่ต้องใช้ SMS โดยการใช้แอพอย่างเช่น Google Authenticator มาสักระยะหนึ่ง วันนี้ Instagram ก็ได้เปิดฟีเจอร์ดังกล่าวให้พร้อมใช้งานกับผู้ใช้ทุกคนแล้ว

Read more

Kanye West ปลดล็อก iPhone X ด้วยรหัส 000000 ออกทีวีระหว่างเข้าพบ Donald Trump

By BlackMiracle Writer on Tag: Kanye West, Security, iPhone X
Kanye West

แร็ปเปอร์และโปรดิวเซอร์ชื่อดัง Kanye West เป็นผู้สนับสนุนประธานาธิบดี Donald Trump อย่างชัดเจน ล่าสุดเขาได้เข้าพบ Trump ที่ทำเนียบขาวในห้องทำงาน Oval Office ซึ่งมีนักข่าวไปถ่ายทำข่าวอยู่ด้วย

ระหว่างการพูดคุย West ได้หยิบ iPhone X ออกมาและปลดล็อกเครื่องด้วยรหัสผ่าน 000000 โดยถูกกล้องของทีมนักข่าวถ่ายภาพออกทีวีไว้ได้ตลอด เรื่องนี้จึงเป็นประเด็นขึ้นมาว่า West ใช้รหัสผ่านที่ถูกคาดเดาได้ง่าย และเขาไม่ได้ใช้ฟีเจอร์ Face ID เพื่อป้องกันคนอื่นแอบมองรหัสผ่าน รวมถึงไม่สนใจคำเตือนของ iOS ที่จะเตือนผู้ใช้หากตั้งรหัสผ่านง่ายๆ เช่น 000000 หรือ 123456

Read more

Bloomberg ยืนยันชิปใช้แฮกเซิร์ฟเวอร์มีจริง ฝังอยู่ในพอร์ตแลน, นักวิจัยชี้ การโจมตีแบบนี้เกิดกับใครก็ได้

By lew Founder on Tag: Security, Bloomberg, Hacking
Security

Bloomberg ออกรายงานล่าสุดยืนยันรายงานก่อนหน้านี้ของตัวเองว่าเซิร์ฟเวอร์ของ Super Micro และบริษัทอื่นๆ ที่เป็นลูกค้าอีกที ถูกฝังชิปเพื่อแฮก โดยอ้างคำพูดของ Yossi Appleboum นักวิจัยความปลอดภัย ที่เคยไปตรวจสอบฮาร์ดแวร์ของบริษัทโทรคมนาคมและพบว่าในพอร์ตแลนมีการฝังชิปเอาไว้

อย่างไรก็ดี Appleboum ระบุอย่างชัดเจนว่าการฝังชิปนั้นไม่ได้มุ่งเป้าไปที่ผู้ผลิตเซิร์ฟเวอร์รายใดรายหนึ่งโดยเฉพาะ และผู้ผลิตเซิร์ฟเวอร์หรือผู้ใช้ทุกรายก็มีโอกาสเป็นเหยื่อได้เหมือนกัน

Read more

Android ปรับนโยบาย แอพที่เก็บข้อมูลการโทรและ SMS ต้องตั้งเป็นดีฟอลต์ ถึงจะทำได้

By mk Founder on Tag: Google Play, Android, Security, Privacy
Google Play

กูเกิลประกาศปรับนโยบายของ Play Store ใหม่เพื่อคุ้มครองข้อมูลส่วนตัวของผู้ใช้ โดยแอพกลุ่มที่ต้องเข้าถึงข้อมูลการโทรศัพท์ (call log) และ SMS ของผู้ใช้งาน จะต้องเป็นแอพที่ผู้ใช้ตั้งค่าเป็นดีฟอลต์ในการโทร/ส่งข้อความเท่านั้น จึงจะมีสิทธิเข้าถึงข้อมูลเหล่านี้ได้

นโยบายนี้มาจากแนวทางช่วงหลังของกูเกิลที่เข้มงวดเรื่องความปลอดภัยและข้อมูลส่วนบุคคลมากขึ้น การที่ผู้ใช้ระบุว่าแอพเหล่านี้เป็นดีฟอลต์ แปลว่าเชื่อมั่นในแอพดังกล่าวจริงๆ จึงยอมให้เข้าถึงข้อมูลส่วนตัวได้ แถมยังช่วยป้องกันปัญหาดาวน์โหลดแอพด้านโทรศัพท์/SMS มา และเผลออนุญาตสิทธิการเข้าถึงไป จนเกิดปัญหาข้อมูลรั่วไหลได้

Read more

Google+ ประกาศปิดตัว สิงหาคม 2019, มีรายงานข้อมูลส่วนตัวผู้ใช้งานรั่วไหล 5 แสนบัญชี

By arjin Writer on Tag: Google+, Google, Security, Social Network
Google+

กูเกิลประกาศวันนี้ว่าบริการโซเชียล Google+ จะปิดตัวในอีก 10 เดือนข้างหน้า โดยเป็นการปิดเฉพาะ Google+ สำหรับผู้ใช้งานทั่วไปเท่านั้น แต่ Google+ สำหรับลูกค้าองค์กรจะยังให้บริการต่อไปตามเดิม

การประกาศปิดตัวโซเชียลที่กูเกิลเคยคาดหวังจะต่อกรกับ Facebook นี้ กูเกิลอธิบายว่าเป็นผลจากโครงการภายในชื่อ Strobe ที่ต้องการปรับปรุงกระบวนการปกป้องข้อมูลผู้ใช้งานทั้งบัญชีกูเกิลและ Android ให้ดีมากขึ้น จึงค้นพบข้อมูลน่าสนใจว่า Google+ สำหรับผู้ใช้งานทั่วไปนั้น มีการใช้งานที่ต่ำมาก โดย 90% ของผู้ใช้งานมีเซสชั่นต่ำกว่า 5 วินาที

Read more

แคลิฟอร์เนียร์ผ่านกฎหมาย ห้ามผู้ผลิตอุปกรณ์เชื่อมต่ออินเทอร์เน็ตใช้รหัสผ่านเริ่มต้นเหมือนกันทุกเครื่อง

By lew Founder on Tag: Internet of Things, Security, Password
Internet of Things

รัฐแคลิฟอร์เนียร์ผ่านกฎหมายควบคุมอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต (SB-327 Information privacy: connected devices.) ที่ควบคุมให้ผู้ผลิตต้องเพิ่มมาตรการความปลอดภัยเพิ่มเติมหากอุปกรณ์สามารถเชื่อมต่ออินเทอร์เน็ตได้ โดยระบุว่าผู้ผลิตต้องเลือกระหว่างใช้รหัสผ่านเริ่มต้นไม่ซ้ำกันในอุปกรณ์แต่ละชิ้นที่ขายไป หรือตั้งให้ผู้ใช้ต้องตั้งรหัสผ่านเองเมื่อเปิดใช้งานครั้งแรก

Read more

กูเกิลปล่อยแพตช์ความปลอดภัย Pixel/Nexus รอบตุลาคม 2018

By tekkasit Contributor on Tag: Android Pie, Android Oreo, Security, Google Pixel, Google Nexus, Android
Android Pie

วันนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนตุลาคม 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 ต.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 ต.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ต.ค. มาด้วย)

สำหรับแพตช์ 1 ต.ค. แก้ช่องโหว่ด้านความปลอดภัย 23 จุด (CVE) เป็นระดับร้ายแรง (critical) 8 จุด เป็นเรื่องของ Mediaserver เจ้าเก่า 4 จุด ส่วนแพตช์ 5 ต.ค. แก้เพิ่มอีก 3 จุด แต่รอบนี้ไม่มีเรื่องช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์แต่อย่างใด

Read more

Python มาแรง กลายเป็นภาษายอดนิยมอันดับหนึ่งของบรรดาแฮ็กเกอร์สายมืด

By mk Founder on Tag: Python, Security, Imperva, Programming
Python

ก่อนหน้านี้เพิ่งมีข่าว Python ได้รับความนิยมจนติด Top 3 ของ TIOBE ที่อ้างอิงข้อมูลจากซอฟต์แวร์ทั่วไปในภาพรวม ส่วนในโลกของบรรดาแฮ็กเกอร์สายมืด Python ก็ได้รับความสนใจไม่แพ้กัน

รายงานจากบริษัทความปลอดภัย Imperva ที่ไปสำรวจโค้ดของเครื่องมือที่ใช้โจมตีที่เปิดโค้ดไว้บน GitHub พบว่า Python ได้รับความนิยมเป็นอันดับหนึ่ง ด้วยส่วนแบ่งประมาณ 25% ของเครื่องมือทั้งหมด

Imperva วิเคราะห์ว่า Python ได้รับความนิยมสูงเพราะเรียนรู้ง่าย ไม่ต้องมีทักษะการเขียนโปรแกรมมาก ก็สามารถสร้างสคริปต์ที่ใช้ในการโจมตีได้ไม่ยากนัก

Read more

Chrome 70 เพิ่มระบบ Permission ให้ส่วนขยาย ผู้ใช้กำหนดได้ว่ารันเฉพาะเว็บใดบ้าง

By mk Founder on Tag: Chrome, Extension, Chrome Web Store, Browser, Security
Chrome

ช่วงหลังกูเกิลมีนโยบายคุมเข้มส่วนขยายของ Chrome มากขึ้นเรื่อยๆ เช่น ปิดไม่ให้ติดตั้งส่วนขยายนอก Chrome Web Store และ แบนส่วนขยายบางตัวที่แอบฝังสคริปต์

ล่าสุดกูเกิลขยับไปอีกขั้นด้วยการเพิ่มระบบ Host Permission ให้กับส่วนขยาย โดยผู้ใช้สามารถกำหนดได้ว่าจะให้ส่วนขยายอ่าน/เขียนข้อมูลบนเว็บไซต์ใดบ้าง สามารถเลือกได้ 3 ระดับคือ ทุกเว็บไซต์, เฉพาะเว็บไซต์ปัจจุบันที่เปิดอยู่ หรือ ทำงานเมื่อคลิกเท่านั้น

Read more

แอพของพรรคอนุรักษ์นิยมอังกฤษเปิดให้ล็อกอินเป็นใครก็ได้ โดยใช้แค่อีเมล ไม่ต้องใส่รหัสผ่าน

By nutmos Writer on Tag: United Kingdom, Security, Data Breach
United Kingdom

พรรคอนุรักษ์นิยมของสหราชอาณาจักรมีแอพบนมือถือสำหรับอำนวยความสะดวกในการประชุมใหญ่ของพรรคชื่อว่า Conservative Party Conference แต่มีรายงานว่าแอพนี้มีช่องโหว่ที่อันตรายมาก คือกดปุ่ม Attendees และ__ใช้เพียงอีเมลแอดเดรสเป็นข้อมูลทำการล็อกอิน__ ก็เห็นข้อมูลของสำคัญของผู้เข้าร่วมการประชุมคนอื่น ๆ ได้ทันที หรือจะแก้ข้อมูลยังได้ แม้ว่าจะเป็นข้อมูลของนักการเมืองคนสำคัญก็ตาม

Read more

ล็อกอินหลุดคือเข้าข่าย เฟซบุ๊กพบช่องโหว่ฟีเจอร์ View As ผู้ใช้ถูกขโมยบัญชีได้, กระทบผู้ใช้ 50 ล้านคน

By lew Founder on Tag: Facebook, Security
Facebook

เฟซบุ๊กประกาศพบช่องโหว่ในฟีเจอร์ View As ที่ให้เราดูหน้าเพจโดยสมมติว่าเป็นเพื่อนของเราเข้ามาดูว่าเห็นอะไรบ้าง ช่องโหว่ทำให้แฮกเกอร์สามารถขโมยบัญชีใครก็ได้ โดยมีผู้ใช้ได้รับผลกระทบรวมเกือบ 50 ล้านคน

เฟซบุ๊กรีเซ็ต token ของผู้ใช้ที่ได้รับผลกระทบทั้งหมด พร้อมกับรีเซ็ต token ของผู้ใช้ที่เคยถูกใช้ View As ในรอบปีที่ผ่านมา อีก 40 ล้านคน ทำให้ผู้ใช้ทั้งหมดล็อกอินหลุด และหลังจากล็อกอินเข้ามาแล้ว เฟซบุ๊กจะแจ้งเตือนว่าเกิดอะไรขึ้นอีกครั้ง

ผมเองก็ล็อกอินหลุดเมื่อช่วงเย็นที่ผ่านมา

Read more

Chronicle บริษัทความปลอดภัยในเครือ Alphabet ออกแอนตี้ไวรัส VirusTotal รุ่น Enterprise

By mk Founder on Tag: VirusTotal, Chronicle, Alphabet, Security, Antivirus, Enterprise
VirusTotal

VirusTotal เป็นบริษัทแอนตี้ไวรัสที่กูเกิลซื้อมาตั้งแต่ปี 2012 และเมื่อต้นปี 2018 ถูกโยกเข้ามาอยู่ภายใต้ Chronicle บริษัทความปลอดภัยใหม่ในเครือ Alphabet

ล่าสุด Chronicle เปิดตัวบริการใหม่ VirusTotal Enterprise เวอร์ชันอัพเกรดสำหรับขายลูกค้าองค์กร โดยเพิ่มความสามารถจากรุ่นปกติ (ที่เป็นของฟรี) ดังนี้

Read more

วัยรุ่นออสเตรเลียผู้แฮกแอปเปิล ถูกคุมความประพฤติ 8 เดือน หลังยอมรับผิด

By lew Founder on Tag: Apple, Hacking, Security
Apple

วัยรุ่นชาวออสเตรเลียผู้ดาวน์โหลดข้อมูลออกจากเครือข่ายของแอปเปิลในช่วงปี 2015 ถึง 2017 โดยดาวน์โหลดข้อมูลประมาณ 1TB ได้รับโทษคุมความประพฤติ, ไม่ถูกบันทึกประวัติ, และไม่เปิดเผยชื่อ เนื่องจากขณะก่อเหตุ เขาอายุ 16 ปี และได้รับความคุ้มครองในฐานะผู้เยาว์

คำพิพากษาระบุกระบวนการแฮกว่าวัยรุ่นรายนี้เจาะ VPN ของแอปเปิลได้สำเร็จ และเจาะระบบภายในเพื่อสร้าง SSH tunnel ไว้ใช้งาน จากนั้นจึงดาวน์โหลดข้อมูลต่างๆ รวมถึงกุญแจเซิร์ฟเวอร์ออกมา

Read more

นักวิจัยความปลอดภัยของ Tencent ถูกปรับ 120,000 บาทหลังแฮกเน็ตเวิร์คโรงแรมในสิงคโปร์แล้วเขียนบล็อก

By lew Founder on Tag: Tencent, Singapore, Security, Hacking
Tencent

Zheng Dutao นักวิจัยความปลอดภัยไซเบอร์จากบริษัท Tencent ไปร่วมงาน Hack in the Box ในสิงคโปร์ แต่กลับลองแฮกเครือข่าย หลังพบว่าอินเทอร์เน็ตเกตเวย์ใช้รหัสผ่านจากโรงงานโดยไม่ได้เปลี่ยน ทำให้เข้าถึงหน้าจอแอดมิน

เขาไม่ได้แจ้งทางโรงแรมถึงช่องโหว่แต่กลับโพสบล็อกเมื่อวันที่ 30 สิงหาคมที่ผ่านมา โดยโพสข้อมูลทั้งหมดรวมถึงรหัสผ่านของเซิร์ฟเวอร์ องค์กรความปลอดภัยไซเบอร์สิงคโปร์ (Cyber Security Agency of Singapore - CSA) ไปพบบล็อกนี้จึงแจ้งทางโรงแรมและจับกุม Zheng

Read more

Yubico ออกกุญแจอิเล็กทรอนิกส์รุ่นใหม่ YubiKey 5 พร้อมรองรับโปรโตคอล FIDO2

By nutmos Writer on Tag: Yubico, Security, U2F
Yubico

Yubico ผู้ผลิตและพัฒนากุญแจอิเล็กทรอนิกส์ประกาศเปิดตัว YubiKey 5 Series ซึ่งมีทั้งหมด 4 รุ่นได้แก่ YubiKey 5 NFC, 5C, 5 Nano และ 5C Nano

กุญแจ YubiKey 5 Series ทุกรุ่นรองรับโปรโตคอลการยืนยันตัวตน FIDO2, FIDO U2F, smart card (PIV), Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response, รองรับอัลกอริทึมการเข้ารหัส RSA 4096, ECC p256 และ ECC p384

Read more

ICANN ยืนยัน เตรียมเปลี่ยนกุญแจตรวจ DNSSEC ครั้งแรกตั้งแต่เริ่มต้นโปรโตคอล วันที่ 11 ตุลาคมนี้

By lew Founder on Tag: ICANN, DNS, DNSSEC, Internet, Security
ICANN

ที่ประชุมบอร์ด ICANN ยืนยันการเปลี่ยนกุญแจสำหรับรับรองกุญแจ (key signing key - KSK) ในวันที่ 11 ตุลาคมนี้ นับเป็นการเปลี่ยนกุญแจครั้งแรกของโครงสร้าง DNSSEC นับแต่เริ่มใช้งานมาตั้งแต่ปี 2010

Read more

พบช่องโหว่บน Grindr สามารถระบุที่อยู่ และข้อมูลของผู้ใช้งานผ่านเว็บไซต์ภายนอก ปิดช่องโหว่แล้ว

By Mekokung Contributor on Tag: Dating, Application, Privacy, Security
Dating

Grindr เป็นแอปหาคู่เดทของกลุ่มชายรักร่วมเพศได้เกิดเหตุอีกครั้ง ในคราวที่แล้วทำข้อมูล HIV และข้อมูลอื่นๆของผู้ใช้หลุด และในครั้งนี้ก็เกิดเหตุแบบเดียวกัน เพิ่มเติมคือระบุที่อยู่ของผู้ใช้ได้บนแผนที่ และสามารถเข้าถึงได้ผ่านทางเว็บไซต์ โดยเรียกข้อมูลผ่านทาง API ส่วนตัวของ Grindr เอง

Read more

Adobe ออกแพตช์ Acrobat นอกรอบ แก้ช่องโหว่รันโค้ดบนเครื่องเหยื่อ

By lew Founder on Tag: Adobe, Security, Security Patch
Adobe

Adobe ออกแพตช์ความปลอดภัยให้กับ Acrobat และ Acrobat Reader นอกรอบปกติ แก้ช่องโหว่ out-of-bounds write ที่เป็นช่องโหว่ระดับวิกฤติ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันบนเครื่องของเหยื่อได้ และช่องโหว่ out-of-bounds read ที่เปิดเผยข้อมูลในเครื่องของเหยื่อ

Adobe เพิ่งปล่อยแพตช์ประจำเดือนไปเมื่อสัปดาห์ก่อน ตรงกับ patch Tuesday ของไมโครซอฟท์ การออกแพตช์นอกรอบเช่นนี้นับว่าเป็นเรื่องผิดปกติ ที่มักมีการปล่อยแพตช์เร่งด่วนเพราะมีการโจมตีแล้ว อย่างไรก็ดี ประกาศของ Adobe ไม่ได้ระบุว่ามีการโจมตีแต่อย่างใด

Read more
Subscribe to Security