Meta จ่ายปิดปาก 37.5 ล้าน คดีเฟซบุ๊ก ลักลอบติดตามตำแหน่งบนสมาร์ทโฟนของทุกคน

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  Meta โดนคดีเรื่องเก็บข้อมูลส่วนตัวผู้ใช้เฟซบุ๊กโดยไม่ได้รับอนุญาตอีกครั้ง และครั้งนี้เป็นเรื่องของการติดตามที่ฝังอยู่ในแอปพลิเคชันเฟซบุ๊ก ซึ่งคดีนี้ทางบริษัทได้ยอมจ่ายเงินกว่า 37.5 ล้านดอลลาร์สหรัฐฯ   สมาร์ทโฟนและความเป็นส่วนตัวของผู้ใช้ ได้กลายเป็นประเด็นอีกครั้งเนื่องจาก Meta ได้ถูกฟ้องในคดีที่ติดตามผู้ใช้โดยแพลตฟอร์มเฟซบุ๊ก ซึ่งผู้ใช้สังเกตได้ว่าเมื่อล็อกอินออกจากเฟซบุ๊ก แต่การติดตามตำแหน่งยังคงมีอยู่ ซึ่งนั่นแสดงให้เห็นว่าเฟซบุ๊กกำลังเก็บข้อมูลและตำแหน่งของผู้ใช้อยู่ตลอดเวลา ซึ่งเป็นการล่วงละเมิดข้อมูลส่วนตัวที่ในสหรัฐอเมริกายอมรับไม่ได้   มีหลายแนวคิดที่เข้ามาถกเถียงกันว่า เฟซบุ๊กนั้นเก็บข้อมูลตำแหน่งจาก IP Address ซึ่งจะเป็นตัวเลขที่รันอยู่บนอินเทอร์เน็ต และสามารถระบุตำแหน่งได้   ก่อนหน้านี้ในเดือนมิถุนายน 2018 Facebook และประธานเจ้าหน้าที่บริหาร Mark Zuckerberg บอกกับรัฐสภาคองเกรสแห่งสหรัฐอเมริกาว่า ใช้ข้อมูลตำแหน่ง “เพื่อช่วยให้ผู้โฆษณาเข้าถึงผู้คนในพื้นที่เฉพาะ” แต่ด้วยเหตุผลนี้ก็ยังถือว่าผิดกฎหมายในการล้วงข้อมูลส่วนตัวอยู่ดี   ตัวอย่างเช่น ผู้ใช้ที่รับประทานอาหารในร้านอาหารบางแห่งอาจได้รับโพสต์จากเพื่อนที่ทานอาหารที่นั่นด้วย หรือโฆษณาจากธุรกิจที่ต้องการให้บริการในบริเวณใกล้เคียง   เฟซบุ๊กสามารถรู้ที่อยู่เราได้จากอะไรบ้าง?   ตำแหน่ง (Location) ซึ่งเฟซบุ๊กมักจะบังคับเปิดเมื่อคุณต้องการจะแท็กสถานที่หรือทำการเช็กอิน ซึ่งจะจับตำแหน่งจาก GPS ของโทรศัพท์หรือแท็บเล็ตของคุณ รวมถึงตำแหน่ง Wi-Fi และเครือข่ายมือถือด้วย   ที่อยู่ IP (อินเทอร์เน็ต) ด้วยตัวเลขของอินเทอร์เน็ต…

ญี่ปุ่นเตรียมแก้กฎหมาย เลิกใช้ Floppy Disk ส่งข้อมูลให้หน่วยงานรัฐ

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  ในการประชุม Digital Society Concept Conference ครั้งที่ 5 ของญี่ปุ่นเพื่อวางแผนการให้บริการด้านดิจิทัลของรัฐบาลในอนาคต   Karo Tono รัฐมนตรีว่าการกระทรวงดิจิทัลของญี่ปุ่นเปิดเผยว่า จะแก้กฎหมายเรื่องการส่งเอกสารให้หน่วยงานของรัฐบาล โดยจะเปลี่ยนจากการบังคับให้ส่งด้วยแผ่น Floppy Disk หรือซีดีรอม ไปเป็นวิธีที่ทันสมัยมากขึ้นโดยเร็วที่สุด   รัฐมนตรีฯ ได้ศึกษากฎหมายเกี่ยวกับการส่งข้อมูลให้หน่วยงานของรัฐและพบว่ามีข้อบังคับมากกว่า 1,900 ข้อ ที่เกี่ยวข้องซึ่งข้อบังคับจำนวนมากระบุให้ใช้แผ่นดิสก์หรือซีดีรอม ส่วนวิธีที่ทันสมัยกว่า เช่น การอัปโหลดลงอินเทอร์เน็ต ไม่ได้ระบุไว้ในข้อบังคับ ซึ่งถือว่าเป็นวิธีไม่ได้รับการอนุญาต   นาย Tono ยังวางแผนว่า รัฐบาลจะมีการพูดคุยกันถึงเรื่องความขาดแคลนทักษะด้านเทคโนโลยีในองค์กรรัฐบาล การพัฒนาโครงสร้างพื้นฐานด้านการสื่อสาร หรือแม้แต่การนำระบบอินเทอร์เน็ตแบบ Web3 มาใช้     ที่มา: The Register           ที่มา :         …

ไมโครซอฟท์พบช่องโหว่ใน WebView ของแอป TikTok เปิดทางแฮ็กเกอร์ยึดบัญชี

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  ไมโครซอฟท์รายงานถึงช่องโหว่ใน API ที่ TikTok เพิ่มลงในเบราว์เซอร์ภายในแอปผ่านทาง WebView เปิดทางให้แฮ็กเกอร์ดึงเอา token สำหรับยืนยันตัวตนไปได้ โดยทีมงานของไมโครซอฟท์ยืนยันช่องโหว่ด้วยการสร้างลิงก์ที่ผู้ใช้ TikTok บนแอนดรอยด์คลิปแล้วจะถูกเปลี่ยนโปรไฟล์เป็น “!! SECURITY BREACH !!!”   ช่องโหว่ใน API ของ WebView อาจจะต้องเปิดจากลิงก์ในแอปเท่านั้ แต่เนื่องจากตัวแอป TikTok รองรับ deeplink ผ่านทาง URL ที่ขึ้นต้นด้วย https://m.tiktok[.]com/redirect อีกทางทำให้แฮ็กเกอร์สามารถสร้างลิงก์จากภายนอกแอปแต่ก็เปิดจากเบราว์เซอร์ในแอป TikTok อยู่ดี แม้ที่จริง TikTok จะป้องกันการทำเช่นนี้ไว้แต่ทีมงานของไมโครซอฟท์ก็พบวิธีการหลบฟิลเตอร์ได้   API ที่ TikTok ใส่เพิ่มเข้าไปใน WebView มีมากกว่า 70 รายการ บาง API เปิดให้เข้าถึงข้อมูลส่วนตัวของผู้ใช้ บางส่วนเปิดให้ยิง HTTP POST ไปยังเซิร์ฟเวอร์แล้วคืนค่าทุกอย่างกลับมา รวมถึง HTTP…

เจออีก ส่วนขยาย Chrome อันตราย แอบดูดข้อมูล ส่องประวัติท่องเว็บ

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  นักวิจัยด้านความปลอดภัยของ McAfee ได้ตรวจพบ ส่วนขยาย Chrome อันตรายจำนวน 5 ตัว ที่มีการดาวน์โหลดใช้งานรวมกันมากถึง 1.4 ล้านครั้ง ส่วนขยายอันตรายเหล่านี้ จะมีการติดตามกิจกรรมการท่องเว็บของผู้ใช้งาน ซึ่งสามารถระบุได้ถึงขั้นละเอียดว่า ตำแหน่งของอุปกรณ์อยู่ที่ใด ประเทศอะไร เมืองอะไร รหัสไปรษณีย์อะไร ซึ่งสามารถเอาไปทำเป็นข้อมูลการตลาดหรือเอาไปขายได้ครับ และหากผู้ใช้งานมีการเข้าเว็บไซต์ E-Commerce ต่าง ๆ ส่วนขยายเหล่านี้จะมีการเปลี่ยนแปลงคุกกี้ของผู้ใช้งาน และทำเหมือนว่าตัวเองเป็นคนนำผู้ใช้อย่างเราเข้าไปสู่เว็บ E-Commerce นั้น ๆ (ทั้ง ๆ ที่เรากดเข้าไปเอง) เพื่อเคลมเงินกับเว็บ E-Commerce ครับ ส่วนขยายอันตรายที่พบคือ + Netflix Party – 800,000 downloads + Netflix Party 2 – 300,000 downloads + Full Page Screenshot Capture –…

แค่ฟังเสียงก็รู้! แฮ็กเกอร์สาธิตการถอดข้อความโดยอาศัยแค่การวิเคราะห์เสียงกดแป้นพิมพ์

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

สาธิตใช้ Keytap3 ถอดรหัสข้อความจากเสียงกดแป้นพิมพ์ Georgi Gerganov นักวิจัยความปลอดภัยได้โพสต์คลิปวิดีโอสาธิตการดักจับข้อความที่ถูกพิมพ์โดยอาศัยเพียงการดักฟังเสียงกดแป้นพิมพ์เท่านั้น Gerganov ได้พัฒนาซอฟต์แวร์ที่มีชื่อว่า Keytap3 ที่ทำการถอดรหัสข้อความแบบเรียลไทม์จากเสียงกดแป้นพิมพ์ที่มันจับเสียงได้ ตัวอย่างที่เขาสาธิตนั้นอาศัยเพียงไมโครโฟนของสมาร์ทโฟนธรรมดาก็ดีเพียงพอสำหรับการทำงานของ Keytap3 แล้ว จากชื่อของมัน Keytap3 นี้เป็นซอฟต์แวร์ที่พัฒนามาเป็นเวอร์ชั่นที่ 3 แล้ว ในเวอร์ชั่นก่อนนั้นการจับเสียงจะต้องวางไมโครโฟนไว้ตำแหน่งเดียวห้ามเคลื่อนย้าย และจะต้องมีการพิมพ์ข้อความมาตรฐาน (เหมือนเป็นการปรับศูนย์จูนระบบ) ลงบนแป้นพิมพ์ให้จบก่อน ซอฟต์แวร์จึงจะเริ่มทำการถอดรหัสข้อความหลังจากนั้นได้ แต่แน่นอนว่า Keytap3 ในตอนนี้ไม่ต้องมีเงื่อนไขเหล่านั้นอีกต่อไป Gerganov อธิบายแนวคิดการวิเคราะห์เสียงของ Keytap3 ว่ามันจำแนกเสียงการกดแป้นพิมพ์ตัวอักษรต่างๆ ที่มีเสียงคล้ายคลึงกันถูกจัดไว้เป็นกลุ่มเดียวกัน จากนั้นนำเอาข้อมูลเชิงสถิติว่าตัวอักษรใดถูกใช้งานบ่อยมากน้อยแค่ไหนในภาษานั้นๆ เข้ามาวิเคราะห์ประกอบด้วย และเพื่อยืนยันว่าการวิเคราะห์ถอดรหัสข้อความนั้นอาศัยใช้แค่ข้อมูลเสียงการพิมพ์เท่านั้น คลิปวิดีโอสาธิตของเขาจึงนำเอาแป้นพิมพ์เปล่าๆ ที่ไม่ได้เสียบสายใดๆ มาพิมพ์ข้อความโชว์ให้เห็นกันชัดๆ     อย่างไรก็ตามในตอนนี้ Keytap3 สามารถวิเคราะห์ได้เฉพาะเสียงกดของแป้นพิมพ์แบบเมคานิคอลเป็นหลัก เนื่องจากมีเสียงกดที่ดังและชัดเจนพอสำหรับการวิเคราะห์ ใครที่อยากลองเล่น Keytap3 ก็สามารถเข้าไปทดลองใช้งานได้ที่นี่ ที่มา – TechRadar     ที่มา : blognone   / …

นาโตสอบสวนเหตุแฮ็กเกอร์ขายข้อมูลลับบริษัทผลิตขีปนาวุธ

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

MBDA MISSILE SYSTEMS   องค์การสนธิสัญญาแอตแลนติกเหนือ หรือ นาโต เปิดการสืบสวนสอบสวนเพื่อประเมินผลกระทบจากการละเมิดข้อมูลในเอกสารลับด้านการทหารที่แฮ็กเกอร์กลุ่มหนึ่งขโมยไปขายทางออนไลน์   แฮ็กเกอร์กลุ่มดังกล่าวได้ขโมยข้อมูลที่เชื่อมโยงกับบริษัทผู้ผลิตอาวุธรายใหญ่ในยุโรป โดยแฟ้มข้อมูลที่อาชญากรกลุ่มนี้นำออกขาย รวมถึงพิมพ์เขียวอาวุธของชาติพันธมิตรนาโตที่ใช้ในสงครามยูเครน   MBDA Missile Systems บริษัทผลิตอาวุธร่วมทุนของหลายชาติในยุโรปยอมรับว่าข้อมูลของบริษัทอยู่ในแฟ้มที่ถูกขโมยไปขาย แต่ระบุว่าสิ่งที่คนร้ายได้ไปไม่ใช่ข้อมูลลับของบริษัท   MBDA ซึ่งมีสำนักงานใหญ่ในฝรั่งเศสระบุว่า แฮ็กเกอร์ได้ล้วงข้อมูลดังกล่าวไปจากฮาร์ดไดรฟ์แบบพกพา และขณะนี้ได้ประสานงานกับทางการอิตาลี ซึ่งเป็นประเทศที่เกิดเหตุแล้ว   เชื่อกันว่า การสอบสวนมุ่งเป้าไปยังบริษัทซัพพลายเออร์ ที่ผลิตสินค้าให้ MBDA   โฆษกนาโตระบุในแถลงการณ์ว่า “เรากำลังตรวจสอบการแจ้งเหตุเรื่องข้อมูลที่ถูกขโมยไปจาก MBDA แต่เรายังไม่พบข้อบ่งชี้ใด ๆ ว่าเครือข่ายของนาโตได้รับความเสียหาย”   แฮ็กเกอร์กลุ่มนี้ซึ่งเคลื่อนไหวอยู่ในช่องทางบนโลกออนไลน์ทั้งภาษารัสเซียและภาษาอังกฤษได้ประกาศขายแฟ้มข้อมูลดังกล่าวซึ่งมีขนาด 80 กิกะไบต์ ในราคา 15 เหรียญบิทคอยน์ (ราว 756,000 บาท) และอ้างว่าขณะนี้ได้ขายข้อมูลให้ผู้ซื้อนิรนามไปแล้วอย่างน้อย 1 ราย   MBDA MISSILE SYSTEMS ข้อมูลที่ถูกขโมยไปเป็นพิมพ์เขียวอุปกรณ์ของ MBDA…