คลังเก็บป้ายกำกับ: HACKING

Riot Games ยอมรับโดนแฮ็ก แฮ็กเกอร์เรียกค่าไถ่หลังได้ซอร์สโค้ด League of Legends

Riot Games เผยรายละเอียดการถูกแฮ็กระบบ จนทำให้ซอร์สโค้ดของเกมดังอย่าง League of Legends, Teamfight Tactics และระบบป้องกันการโกง (ตัวเก่า) รั่วไหลออกไปสู่มือแฮ็กเกอร์

แฮ็กเกอร์ยังส่งอีเมลมาเรียกค่าไถ่แลกกับซอร์สโค้ดชุดนี้ ซึ่ง Riot Games ประกาศชัดว่าจะไม่จ่ายเงิน ด้วยเหตุผลว่าไม่มีข้อมูลผู้เล่นรั่วไหล ผลกระทบมีเพียงแค่กลุ่มผู้โกงเกมอาจสร้างระบบโกงที่ดีขึ้นจากการเห็นซอร์สโค้ดของเกม ซึ่งทีมงานฝั่ง anticheat จะเตรียมมาตรการต่างๆ ไว้รับมือ หากเจอการโกงแบบใหม่ๆ ก็พร้อมเข้าไปจัดการทันที

Riot Games ยังบอกว่าในซอร์สโค้ดที่หลุดออกไป อาจมีฟีเจอร์หรือโหมดเกมใหม่ๆ ที่ทดลองทำอยู่ และอาจไม่ถูกนำมาใช้จริงเสมอไป ดังนั้นหากแฟนๆ เห็นข่าวฟีเจอร์หลุดเหล่านี้ก็ไม่ควรคาดหวังว่าจะได้ใช้งานกัน

No Description

from:https://www.blognone.com/node/132376

การแฮกโทรศัพท์ด้วยสาย USB ทำได้ยากมาก ถ้ามีจริงก็เหลือหลักฐานตรวจสอบง่าย

หลายวันมานี้มีข่าวพูดถึงเหยื่อถูกแฮกขโมยเงินจากบัญชีในโทรศัพท์มือถือ โดนหลายคนตั้งข้อสังเกตว่าอาจจะมีการโจมตีด้วยสายชาร์จ USB ที่ออกแบบมาเพื่อมุ่งร้ายโดยเฉพาะ เช่น สาย O.MG ที่มีขายกันก่อนหน้านี้ แต่ในโลกความเป็นจริง การโจมตีด้วยสายเหล่านี้ทำได้ยาก มีต้นทุนที่สูง และหากมีการโจมตีจริงก็ควรจะพบตัวอย่างสายที่ใช้โจมตีบ้างแล้วเนื่องจากเหยื่อมีหลายคน

สาย USB สำหรับโจมตี เน้นเก็บข้อมูลเหยื่อ

การใช้สาย USB เพื่อโจมตีระบบคอมพิวเตอร์นั้นมีจริง โดยเฉพาะในยุคที่ผู้ใช้ส่วนมากใช้งานพีซีที่ต้องเชื่อมต่อคีย์บอร์ดและเมาส์ผ่านสาย USB หากแฮกเกอร์สามารถติดตั้งสายของตัวเองได้ ก็จะสามารถดักจับข้อมูลทุกอย่างที่ผู้ใช้พิมพ์ลงไปได้

การโจมตีที่ชัดเจนที่สุดคือสาย SURLYSPAWN ของ NSA ที่ Edward Snowden นำข้อมูลออกมาเปิดเผย แสดงให้เห็นว่า NSA สามารถติดตั้งวงจรขนาดเล็กเข้าไปในสาย USB เพื่อดึงข้อมูลที่ผู้ใช้พิมพ์ออกไปเป็นสัญญาณวิทยุ เพื่อให้สายลับของ NSA ที่อาจจะอยู่ไกลออกไปสามารถบันทึกการพิมพ์ทุกตัวอักษรเอาไว้ได้

แนวคิดของ NSA ทำให้มีผู้ผลิตเอกชน อย่างกลุ่ม Hak5 ผลิตสาย USB ชื่อว่า O.MG ออกมาโดยแนวคิดในการออกแบบเหมือนเดิม คือใช้ดักฟังการพิมพ์เท่านั้น แต่การส่งข้อมูลไปยังแฮกเกอร์นั้นใช้ Wi-Fi แถมตัวสายมีฟีเจอร์เก็บข้อมูลไว้ได้หากแฮกเกอร์ยังไม่เชื่อมต่อเข้ามา ต่างจากสาย SURELYSPAWN ของ NSA ที่ออกมาก่อนหน้านับสิบปีที่สายลับต้องคอยฟังสัญญาณวิทยุตลอดเวลา

O.MG พัฒนาสายเวอร์ชั่นต่อมามีฟีเจอร์มากขึ้น สามารถแทรกข้อมูลเข้าไปได้ นั่นแปลว่าคนร้ายสามารถสั่งให้สายทำตัวเป็นคีย์บอร์ดแล้วพิมพ์ข้อมูลเข้าไปได้ แต่การโจมตีเช่นนี้ก็ทำโดยที่เหยื่อไม่รู้ตัวได้ยาก เพราะเหยื่อจะเห็นข้อความที่หน้าจอเหมือนการพิมพ์โดยคีย์บอร์ดตามปกติ

ข้อจำกัดสำคัญคือผู้ใช้ทุกวันนี้แทบไม่มีใครต่อคีย์บอร์ดกับโทรศัพท์มือถือ การที่อุปกรณ์สามารถจำลองเป็นคีย์บอร์ดได้แทบจะไม่ได้ข้อมูลอะไรจากเครื่อง (ยกเว้นบ้าง เช่น ข้อมูลว่าผู้ใช้กดปุ่ม CapLock/ScrollLock/NumLock หรือยัง เพื่อให้คีย์บอร์ดแสดงไฟได้ถูกต้อง) และหากอุปกรณ์ล็อกไว้คนร้ายก็ไม่สามารถพิมพ์คำสั่งอะไรได้หากยังไม่ปลดหน้าจอ

มัลแวร์ที่เหยื่อโดนหลอกให้ติดตั้งเป็นของจริง มีหลักฐาน ยังไม่ถูกแก้ไข

ขณะที่สื่อและหน่วยงานต่างๆ พากันนำเสนอความน่ากลัวของสายชาร์จมุ่งร้าย แต่ในความเป็นจริง การโจมตีดูดเงินจากบัญชีธนาคารของไทยนั้นมีมานานหลายเดือน โดยโจมตีผ่านมัลแวร์

ข่าวในรายการเรื่องเล่าเช้านี้ เมื่อวานนี้ระบุว่าเหยื่อทั้งหมดยังเป็นผู้ใช้โทรศัพท์แอนดรอยด์เท่านั้น เป็นสัญญาณที่แสดงว่าน่าจะเป็นมัลแวร์กลุ่มเดิมๆ ที่ผู้ใช้ถูกโจมตีกันมานานหลายเดือนแล้ว

มัลแวร์เหล่านั้นมีความสามารถในการอ่านและ SMS โดยที่ผู้ใช้ไม่รู้ตัว คนร้ายสามารถดูหน้าจอของเหยื่อได้จากระยะไกล และควบคุมได้โดยที่เหยื่อไม่ต้องทำอะไร โดยอาศัยฟีเจอร์ของโทรศัพท์ที่เปิดให้ติดตั้งแอปช่วยเหลือสำหรับคนพิการ ที่สำคัญคือประเทศไทยขาดการประสานงานกับผู้ผลิต ทำให้มัลแวร์เหล่านี้ไม่ถูกเตือนว่าเป็นซอฟต์แวร์มุ่งร้าย มัลแวร์ดูดเงินที่มีการรายงานมาหลายเดือนแล้ว อย่าง DSI.apk ก็ยังไม่ถูกเตือนว่าเป็นมัลแวร์

Topics: 

from:https://www.blognone.com/node/132272

CircleCI เผยรายละเอียดการถูกแฮ็ก พนักงานโดนมัลแวร์, ข้อมูลลูกค้าหลุด, ถูกนำไปใช้แฮ็กต่อแล้ว

CircleCI เปิดเผยรายละเอียดการถูกแฮ็กระบบในช่วงปลายปี 2022 ที่ผ่านมา

CircleCI ระบุว่าตรวจพบความเคลื่อนไหวผิดปกติในช่องทางการล็อกอิน GitHub OAuth ของลูกค้ารายหนึ่ง จึงเริ่มตรวจสอบ และร่วมมือกับ GitHub สลับ OAuth token ของลูกค้าทั้งหมด

หลังการตรวจสอบอย่างละเอียด CircleCI พบว่ามีวิศวกรรายหนึ่งโดนมัลแวร์ในโน้ตบุ๊กของบริษัทมาตั้งแต่วันที่ 16 มิถุนายน ทำให้ผู้บุกรุกสามารถเข้าถึงเซสชันการล็อกอิน (ที่ป้องกันด้วย 2FA) ได้ และส่งผลให้เขาถึงระบบ production ภายในบางส่วนได้สำเร็จ โชคร้ายว่าพนักงานรายนี้มีสิทธิสร้าง token สำหรับเข้าถึงระบบภายในด้วย (ตามตำแหน่งงาน) ทำให้ผู้บุกรุกเข้าถึงข้อมูลบางส่วนของลูกค้า ได้แก่ environment variables, tokens, keys

CircleCI ได้สลับ token/key ที่เกี่ยวข้อง รวมถึงในระบบของพาร์ทเนอร์ได้แก่ AWS, GitHub, Bitbucket แต่ก็ยอมรับว่ามีลูกค้าบางราย (ระบุตัวเลขว่าน้อยกว่า 5 ราย) ได้แจ้งเตือนบริษัทถึงการโจมตีต่อเนื่องไปยังระบบอื่นๆ จากข้อมูลหลุดครั้งนี้แล้ว (fewer than 5 customers have informed us of unauthorized access to third-party systems as a result of this incident.)

บริษัทบอกว่ามั่นใจว่าระบบภายในของตัวเองกลับมาทำงานได้ปกติแล้ว และเพิ่มมาตรการความปลอดภัยอื่นๆ เพื่อไม่ให้เกิดการแฮ็กแบบนี้ขึ้นได้อีก ทั้งระบบแอนตี้ไวรัสที่ตรวจจับเคสแบบนี้ได้เจาะจงมากขึ้น และการป้องกันการขโมยเซสชันด้วย

ที่มา – CircleCI

No Description

from:https://www.blognone.com/node/132264

ชายนิรนามฟ้อง LastPass ทำข้อมูลหลุด ระบุถูกแฮกบิตคอยน์มูลค่า 1.8 ล้านบาท

ชายนิรนามคนหนึ่งยื่นขอฟ้องแบบกลุ่ม (class action) กับ LastPass หลังข้อมูลหลุดขนานใหญ่ หลังชายผู้นี้ถูกแฮกบิตคอยน์มูลค่า 53,000 ดอลลาร์หรือประมาณ 1.8 ล้านบาท โดยที่เก็บกุญแจบิตคอยน์ไว้ใน LastPass

ขายผู้นี้ใช้ LastPass มาตั้งแต่ปี 2016 แต่เพิ่งเริ่มซื้อบิตคอยน์เมื่อกลางปี 2022 ที่ผ่านมาโดยใช้ master password ยาวกว่า 12 ตัวอักษร และเมื่อได้ทราบข่าวก็ลบข้อมูลออกจาก LastPass แต่เดือนพฤศจิกายนที่ผ่านมาก็ถูกขโมยบิตคอยน์อยู่ดี

คำฟ้องระบุว่า LastPass ไม่ได้ใช้กระบวนการปกป้องข้อมูลดีพอ กระบวนการแฮช PBKDF2 นั้นแฮชเพียง 100,100 รอบ ต่ำกว่าที่ OWASP แนะนำไว้ที่ 310,000 รอบ และเมื่อข้อมูลหลุดตั้งแต่เดือนสิงหาคมที่ผ่านมา LastPass ก็แจ้งผู้ใช้ว่าไม่มีความเสี่ยงมาโดยตลอด

ที่มา – PC Magazine

from:https://www.blognone.com/node/132141

Slack ถูกแฮกเอาซอร์สโค้ดไปจาก GitHub ยืนยันไม่กระทบลูกค้า

Slack รายงานว่าช่วงสิ้นปีที่ผ่านมาพบว่ามีการเข้าถึง repository บน GitHub อย่างผิดปกติ และเมื่อตรวจสอบก็พบว่าพนักงานบางคนถูกขโมยโทเค็นไป

บริษัทไม่ได้ระบุว่าโค้ดส่วนที่คนร้ายเข้าถึงนี้เป็นโค้ดอะไร แต่ระบุว่าโค้ดหลักไม่ได้รับผลกระทบ และส่วนที่ถูกดาวน์โหลดไปไม่มีข้อมูลลูกค้า และคนร้ายไม่ได้เข้าถึงส่วนสำคัญอย่างส่วนข้อมูลลูกค้าหรือระบบโปรดักชั่นอื่นๆ

รายงานของ Slack แสดงให้เห็นว่าบริษัทน่าจะยังไม่แน่ใจนักว่าต้นตอที่คนร้ายได้โทเค็นไปแต่แรกนั้นเป็นช่องทางไหน โดยระบุว่าการสอบสวนพบว่าไม่ได้มาจากช่องโหว่ของ Slack เอง

ที่มา – Slack

Topics: 

from:https://www.blognone.com/node/132140

โครงการ PyTorch ถูกแฮ็กระบบจัดการแพ็กเกจ PyPI, ไบนารีถูกฝังมัลแวร์

PyTorch เฟรมเวิร์คด้าน AI ยอดนิยม โดนแฮ็กระบบแพ็กเกจ (Python Package Index หรือ PyPI) ในช่วงวันคริสต์มาส 2022 ที่ผ่านมา และตัวไฟล์ไบนารีของ PyTorch ถูกฝังมัลแวร์แอบมาด้วย

ความโชคดีคือไบนารี PyTorch ที่ถูกฝังมีเฉพาะเวอร์ชันทดสอบรายวัน (nightly) ที่มีผู้ใช้งานไม่เยอะนัก อย่างไรก็ตาม ผู้ที่ใช้แพ็กเกจ PyTorch-nightly ผ่านระบบแพ็กเกจ pip ของลินุกซ์ระหว่าง 25-30 ธันวาคม 2022 ควรถอนการติดตั้งและตรวจสอบระบบทันที

รายละเอียดของเหตุการณ์คือแพ็กเกจย่อยชื่อ torchtriton ถูกปรับแก้ให้อัพโหลดข้อมูลในเครื่องกลับไปยังแฮ็กเกอร์ และส่งขึ้นระบบแพ็กเกจ PyPI ซึ่งทีมงาน PyTorch ตรวจพบเรื่องนี้ในวันที่ 30 ธันวาคม ตอนนี้ทีมงานแก้ปัญหาฝั่งเซิร์ฟเวอร์แล้ว เปลี่ยนชื่อแพ็กเกจตัวนี้ใหม่เป็น pytorch-triton เพื่อไม่ให้โค้ด PyTorch หลักเรียกแพ็กเกจเดิมที่มีปัญหาอีก แต่ยังไม่มีข้อมูลว่าบัญชี PyPI ของ PyTorch ถูกเจาะได้อย่างไร

การโจมตีลักษณะนี้เรียกว่า supply chain attack ซึ่งได้รับความนิยมมากขึ้นเรื่อยๆ เพราะแฮ็กเกอร์เจาะที่ต้นทาง แอบฝังของบางอย่างไว้ แล้วกระจายผ่านช่องทางการกระจายซอฟต์แวร์ตามปกติ ซึ่งจะส่งผลกระทบในวงกว้างหากเป็นแพ็กเกจที่มีคนนิยมใช้กันมากๆ (กรณีของ PyPI ก่อนหน้านี้)

ช่วงหลังเราจึงเห็นระบบจัดการแพ็กเกจหลายๆ ตัวหันมาเข้มงวดเรื่องความปลอดภัยมากขึ้น เช่น PyPI ประกาศบังคับล็อกอินด้วยกุญแจ U2F

ที่มา – PyTorch, Naked Security

No Description

from:https://www.blognone.com/node/132069

อัยการอัลบาเนียเอาผิดอาญาผู้ดูแลระบบ 5 คนฐานไม่อัพเดตแพตช์ SharePoint จนโดนแฮก

เมื่อเดือนพฤศจิกายนที่ผ่านมาอัยการอัลบาเนียยื่นฟ้องผู้ดูแลระบบเว็บไซต์ของรัฐบาล 5 ราย ฐานปฎิบัติหน้าที่โดยมิชอบ (abuse of post) จากการไม่อัพเดตแพตช์ระบบและอัพเดตตัวป้องกันไวรัส จนระบบของรัฐบาลถูกแฮก

ผู้ดูแลระบบทั้ง 5 รับผิดชอบระบบ SharePoint ของรัฐบาล แต่สุดท้ายระบบถูกแฮกด้วยช่องโหว่ CVE-2019-0604 จากนั้นคนร้ายเข้าไปยังระบบอื่นๆ ผ่านทางโปรโตคอลต่างๆ ทั้ง RDP, SMB, และ FTP การแฮกขยายวงไปมากจนกระทบระบบของรัฐบาลเป็นวงกว้าง คนร้ายเข้าถึงระบบอีเมลและ VPN จากนั้นดึงข้อมูลออกไป 3-20GB แล้วเข้ารหัสข้อมูลเรียกค่าไถ่ หรือบางเครื่องก็ถูกลบข้อมูลออก

คดีนี้ทำให้รัฐบาลอัลบาเนียไม่พอใจอิหร่านที่เชื่อว่าอยู่เบื้องหลังอย่างมาก ถึงกับตัดความสัมพันธ์ทางการทูตแม้ว่าทางอิหร่านจะยืนยันว่าไม่ได้อยู่เบื้องหลัง

ข้อหาที่อัยการสั่งฟ้องผู้ดูแลระบบทั้ง 5 รายนั้นมีโทษจำคุกสูงสุด 7 ปี แต่คดีนี้อัยการยื่นฟ้องขอให้ศาลสั่งกักตัวในบ้าน (house arrest) โดยอัยการมองว่าหากทั้ง 5 คนดูแลระบบตามมาตรฐานก็จะไม่ถูกโจมตีเช่นนี้

Bruce Schneier นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ให้ความเห็นว่าหากยังใช้แนวทางเอาผิดกับผู้ดูแล ต่อไปนักพัฒนาก็อาจจะถูกเอาผิดอาญาฐานออกแพตช์ช้าหรือไม่ก็เอาผิดโปรแกรมเมอร์ที่เขียนซอฟต์แวร์มีช่องโหว่

ที่มา – Schneier on Security, Slate.com

No Description

ภาพโดย Bru-nO

Topics: 

from:https://www.blognone.com/node/132038

Okta ถูกแฮ็กระบบ GitHub ซอร์สโค้ดของบริษัทถูกเข้าถึง แต่ข้อมูลลูกค้าไม่กระทบ

Okta บริษัทการจัดการข้อมูลระบุตัวตน (identity management) ยอมรับว่าถูกแฮ็กเข้าระบบ GitHub ที่เก็บซอร์สโค้ดของบริษัท แต่ข้อมูลของลูกค้าไม่ได้รับผลกระทบ

เหตุการณ์เกิดขึ้นช่วงต้นเดือนธันวาคมนี้ โดย GitHub เป็นฝ่ายตรวจพบการเข้าถึง repository ของ Okta และแจ้งเตือนไปยัง Okta โดยซอร์สโค้ดที่ถูกเข้าถึงคือ Okta Workforce Identity Cloud (WIC) ในขณะที่ซอฟต์แวร์ฝั่ง Auth0 ที่ Okta ซื้อกิจการมา ไม่ถูกเข้าถึง

Okta ไม่ได้เปิดเผยว่าถูกเข้าถึง GitHub ได้อย่างไร บอกแค่ว่าจัดการระบบความปลอดภัยของ GitHub ใหม่แล้ว และแจ้งเตือนลูกค้าให้ทราบถึงปัญหานี้ ส่วนบริการยืนยันตัวตนของ Okta ยังเปิดให้บริการตามปกติ

ปีนี้อาจไม่ใช่ปีที่ดีนักของ Okta ในด้านการเจาะระบบ เพราะเมื่อเดือนมีนาคม Okta เพิ่งถูกแฮ็กระบบโดยกลุ่มแฮ็กเกอร์ $LAPSUS และมีข้อมูลของลูกค้ารั่วออกไปด้วย

ที่มา – Okta, BleepingComputer, ภาพจาก Okta

No Description

from:https://www.blognone.com/node/131967

LastPass อัพเดตกรณีถูกแฮ็ก สรุปว่าแฮ็กเกอร์เข้าถึงข้อมูลลูกค้าได้ แต่ไม่ได้รหัสผ่าน

LastPass อัพเดตข้อมูลกรณีการโดนแฮ็กเมื่อเดือนสิงหาคม 2022 ที่ตอนแรกเชื่อว่าข้อมูลลูกค้าไม่ได้รับผลกระทบ เพราะแฮ็กเกอร์เข้าถึงเฉพาะซอร์สโค้ดของบริษัท

จากการตรวจสอบอย่างละเอียด LastPass ยอมรับว่าแฮ็กเกอร์เข้าถึงข้อมูลบางส่วนของลูกค้า (certain elements of our customers’ information) แต่ไม่ได้เข้าถึงข้อมูลรหัสผ่านของลูกค้าที่ถูกเข้ารหัสอีกที และตัว LastPass เองก็ไม่สามารถเข้าถึงได้

LastPass บอกว่าตอนนี้กำลังวิเคราะห์อยู่ว่ามีข้อมูลใดบ้างถูกเข้าถึงได้ และจะประกาศข้อมูลเพิ่มเติมต่อไป

ที่มา – LastPass

from:https://www.blognone.com/node/131681

ดราม่ายังไม่จบ FTX Wallet โดนแฮ็ก แฮ็กเกอร์โอนถ่ายเหรียญออกไปมูลค่า 600 ล้านดอลลาร์

ดราม่า FTX ยังไม่จบลงง่ายๆ แม้ยื่นขอล้มละลายไปแล้ว ล่าสุด FTX รายงานปัญหาผ่านห้องแชทใน Telegram ว่าโดนแฮ็กที่แอพ FTX Wallet ทำให้แฮ็กเกอร์สามารถโอนเงินคริปโตออกไปได้เป็นมูลค่า 600 ล้านดอลลาร์ (บางแห่งก็บอก 400 ล้านดอลลาร์)

ข้อความใน Telegram ของ FTX ระบุว่าตัวแอพ FTX Wallet มีมัลแวร์ และขอให้ลบออกทันที ส่วน Ryne Miller หัวหน้าฝ่ายกฎหมายของ FTX โพสต์ผ่านทวิตเตอร์ว่ากำลังสอบสวนปัญหานี้ และจะรายงานข้อมูลเพิ่มเติมต่อไป เขายังโพสต์อีกข้อความบอกว่าตอนนี้ FTX ย้ายสินทรัพย์ที่เหลือไปเก็บไว้ใน cold wallet/cold storage ที่เข้าถึงได้ยาก เพื่อความปลอดภัยที่มากขึ้น

หลังมีข่าว FTX โดนแฮ็กและโดนโอนถ่ายสินทรัพย์ดิจิทัลออกไป บล็อกเชนบางแห่ง เช่น Tether ก็ได้บล็อคที่อยู่ของผู้โอนออกแล้ว เพื่อช่วยสกัดกั้นการโอนถ่ายสินทรัพย์ครั้งนี้

No Description

ภาพจาก FTX

ที่มา – Coindesk, Coindesk

from:https://www.blognone.com/node/131467