กรณี Deloitte ยังไม่จบ! ข้อมูล Login สำหรับ VPN และ Proxy ถูกเปิดสาธารณะ เปิด RDP ให้เข้าจากภายนอกโดยตรงได้จำนวนมาก

ข่าวประจำวัน

Loading

ยังไม่จบกับเรื่องราวของ Deloitte ที่เพิ่งมีเหตุข้อมูลรั่วไป อ่านต่อได้ที่ (ยืนยัน Deloitte ถูกแฮ็ค ข้อมูลอีเมลลูกค้ารั่วสู่สาธารณะ) ล่าสุดนี้มีการพบหลักฐานมากมายเกี่ยวกับประเด็นปัญหาด้านความมั่นคงปลอดภัยของ Deloitte เพิ่มเติม ไม่ว่าจะเป็นกรณี Credential ของ VPN ถูกเปิดเผยบน GitHub, Credential ของ Proxy ถูกเผยบน Google+ และยังมีการเปิดให้เชื่อมต่อ RDP เข้าไปยังบริการสำคัญภายใน Deloitte จากภายนอกโดยตรงได้อีกจำนวนมาก ในวันอังคารที่ผ่านมาได้มีผู้พบการเปิดเผยข้อมูล VPN Username, Password และวิธีการใช้งานของ Deloitte บน GitHub ที่เปิดสาธารณะ และปัจจุบันได้ถูกลบออกไปแล้ว รวมถึงยังมีกรณีที่พนักงานของ Deloitte เองได้ทำการอัปโหลดข้อมูล Login Credential สำหรับบริการ Proxy ภายใน Deloitte ขึ้นไปบน Google+ มาแล้วเป็นเวลากว่า 6 เดือน ก่อนจะถูกลบออกไปเมื่อไม่นานมานี้ นอกจากนี้ Dan Tentler…

จับตาวิจัยไทย…พาไปดูนวัตกรรมหุ่นยนต์เก็บกู้-ทำลายวัตถุระเบิด เวอร์ชั่นเพิ่มประสิทธิภาพ

ข่าวประจำวัน

Loading

เรื่องโดย กรกนก มาอินทร์/ ประชาชาติธุรกิจออนไลน์ ในยุคที่โลกให้ความสำคัญกับ “หุ่นยนต์” และระบบออโตเมชั่นมากขึ้นทุกขณะ เพื่อทดแทนการใช้แรงงานหรือทักษะบางอย่างจากมนุษย์ ด้านหนึ่งแม้จะถูกมองถึงภาพสะท้อนของระบบทุน ที่ต้องการออกแบบ หาวิธีการลดต้นทุนทุกอย่าง จึงนำมาสู่นวัตกรรมของยุคหุ่นยนต์ แต่ด้านหนึ่งเราก็มองเห็นถึงประโยชน์ของหุ่นยนต์และระบบออโตเมชั่นที่สามารถช่วยลดความเสี่ยงของชีวิตมนุษย์ได้ โครงการ “การประเมินสมรรถนะอุปกรณ์ต้นเเบบของหุ่นยนต์อีโอดีเเละการสร้างหลักสูตรผู้บังคับหุ่นยนต์” เป็นโครงการประเมินสมรรถนะอุปกรณ์ต้นเเบบเเละการสร้างหลักสูตรสำหรับการสร้างหุ่นยนต์ จากงาน 25 ปี สกว.: สร้างคน สร้างความรู้ สร้างอนาคต โดยสกว.ได้ใช้การวิจัยเป็นกลไกสร้างฐานความรู้เเละใช้ความรู้สำหรับเเก้ปัญหาให้สังคม “ดนุชา ประเสิรฐสม” อาจารย์ภาควิชาวิศวกรรมไฟฟ้าเเละคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ เผยถึงที่มาของโครงการ หุ่นยนต์อีโอดี กับ “ประชาชาติธุรกิจออนไลน์” ว่า หุ่นยนต์อีโอดี (EOD) ประกอบด้วยหุ่นยนต์ 3 ตัว ที่ทำงานเป็นทีม เเยกภารกิจกันทำเพื่อการเก็บกู้-ทำลายวัตถุระเบิด หากหุ่นยนต์ตัวใดตัวหนึ่งขัดข้อง หุ่นยนต์ที่เหลืออยู่ยังสามารถเก็บกู้ ทำงานต่อได้ ต่างจากหุ่นยนต์อีโอดี ทั่วไปที่มีความเป็นเอนกประสงค์สูง เเม้ทำได้หลายภารกิจเเต่อาจขัดเเย้งกัน เป็นอุปสรรคต่อการเก็บกู้-ทำลายวัตถุระเบิด เเละหากเกิดปัญหากับหุ่นยนต์ การดำเนินการเก็บกู้-ทำลายวัตถุระเบิดจะยุติทันทีเพราะอุปกรณ์ทุกอย่างบรรทุกอยู่บนหุ่นยนต์ตัวเดียว “ก่อนหน้านี้มีโครงการหุ่นยนต์อีโอดีอยู่เเล้ว ส่วนชุดหุ่นยนต์ที่เราทำนั้นเกิดจากความต้องการของกรมสรรพาวุธที่อยากมีปืนทำลายวัตถุระเบิด หรือปืนยิงน้ำเเรงดันสูง เข้าไปทำลายวัตถุระเบิด เเต่กรมสรรพาวุธมีปืนยิงน้ำเเรงดันสูงอยู่เเล้ว เมื่อยิงวัตถุระเบิดปืนจะสะท้อนกลับหลังไกลเป็นสิบเมตร การที่เราเริ่มพัฒนาหุ่นยนต์ให้ทำหน้าที่นี้จึงเป็นเรื่องยาก ต้องคำนึงถึงเเรงกระเเทกที่ย้อนกลับมา”อาจารย์ดนุชา กล่าว การดีไซน์หุ่นยนต์สำหรับจับปืนยิงน้ำเเรงดันสูงนั้น ต้องคำนึงถึงความเสียหายที่เกิดจากเเรงกระเเทกย้อนกลับ ซึ่งอาจทำให้หุ่นยนต์เสียหายได้…

จาเร็ต คุชเนอร์ ใช้อีเมล์ส่วนตัวในการติดต่อกับเจ้าหน้าที่ทำเนียบขาว

ข่าวประจำวัน

Loading

จาเร็ต คุชเนอร์ ใช้อีเมล์ส่วนตัวแทนการใช้อีเมล์ของราชการในการติดต่อกับเจ้าหน้าที่ทำเนียบขาว สำนักข่าว CNN รายงานเมื่อ 25 ก.ย.60 ว่านายจาเร็ต คุชเนอร์ (Jared Kushner) ที่ปรึกษาอาวุโสของทำเนียบขาว และลูกเขยของโดนัลด์ ทรัมป์ ประธานาธิบดีสหรัฐฯ ใช้อีเมล์ส่วนตัวเป็นครั้งคราวเพื่อติดต่อกับเจ้าหน้าที่ของเขา นายแอบบีย์ โลเวลล์ (Abbe Lowell) ทนายความของคุชเนอร์แถลงการณ์เมื่อวันอาทิตย์ที่ผ่านมาตามเวลาท้องถิ่น (24 ก.ย.60) ว่า นายคุชเนอร์ใช้อีเมล์ส่วนตัวติดต่อกับเพื่อนร่วมงานในทำเนียบขาวตั้งแต่ ม.ค.ถึง ส.ค. น้อยกว่าหนึ่งร้อยฉบับ ซึ่งส่วนใหญ่เป็นการส่งต่อบทความหรือคำวิจารณ์ทางการเมืองและจะใช้เมื่อมีคนส่งอีเมล์ไปยังบัญชีอีเมล์ส่วนตัวของเขาก่อน ทั้งนี้ รายงานของสำนักข่าว Politico อ้างว่านายคุชเนอร์ใช้อีเมล์ส่วนตัวนี้เป็นครั้งแรก โดยอีเมล์ดังกล่าวถูกตั้งขึ้นในเดือน ธ.ค.59 กฎหมายของรัฐบาลกลางสหรัฐฯ กำหนดให้บันทึกข้อมูลของทำเนียบขาวทุกฉบับรวมถึงข้อมูลในอีเมล์ด้วย ในเรื่องความกังวลว่าอีเมล์บางฉบับของนายคุชเนอร์อาจไม่ได้รับการเก็บรักษาเอาไว้ นายโลเวลล์กล่าวว่า อีเมล์ทั้งหมดที่ไม่ใช่อีเมล์ส่วนตัวถูกส่งต่อไปยังอีเมล์ทางราชการและได้รับการเก็บรักษาไว้ทุกกรณี อย่างไรก็ดี ในระหว่างการหาเสียงในปี 2559 นายทรัมป์ได้วิพากษ์วิจารณ์ถึงการใช้อีเมล์ส่วนตัวของนางฮิลลารี คลินตัน ผู้สมัครชิงตำแหน่งประธานาธิบดีสหรัฐฯ ซึ่งเป็นประเด็นที่ทำให้นางคลินตันมีคะแนนเสียงที่ลดลง ลิงค์ : http://edition.cnn.com/2017/09/24/politics/jared-kushner-private-email/index.html

ยืนยัน Deloitte ถูกแฮ็ค ข้อมูลอีเมลลูกค้ารั่วสู่สาธารณะ

ข่าวประจำวัน

Loading

Deloitte หนึ่งในสี่บิ๊กโฟว์บริษัทด้านการตรวจสอบบัญชี ออกแถลงการณ์ยอมรับ ระบบของบริษัทถูกโจมตีไซเบอร์ ส่งผลให้ข้อมูลความลับ ได้แก่ อีเมลและเอกสารสำคัญของลูกค้าถูกขโมยออกไป Deloitte เป็นหนึ่งในบริษัทตรวจสอบบัญชีสี่แห่งที่ใหญ่ที่สุดในโลก ให้บริการทั้งด้านการบัญชีและที่ปรึกษา ได้แก่ การสอบบัญชี การทำบัญชี การวางแผนยุทธศาสตร์ เทคโนโลยีสารสนเทศ การจัดการการเงิน และการควบคุมประสิทธิภาพ นอกจากนี้ยังให้บริการด้านการจัดหางานและที่ปรึกษาภาษีอากร รวมถึงการให้บริการธุรกิจแก่รัฐบาลและสถาบันการเงินระหว่างประเทศที่ดำเนินการในตลาดเกิดใหม่ รายงานจาก The Guardian ระบุว่า Deloitte แถลงเมื่อวันจันทร์ที่ผ่านมาว่า ระบบอีเมลของบริษัทถูกแฮ็คเกอร์โจมตีตั้งแต่เดือนตุลาคม 2016 จนถึงต้นเดือนมีนาคมที่ผ่านมา ส่งผลให้ลูกค้าส่วนหนึ่ง ซึ่งเป็น “ส่วนน้อยมากๆ” ได้รับผลกระทบ Deloitte ค้นพบว่าบริษัทของตนถูกโจมตีเมื่อเดือนมีนาคม แต่เชื่อว่าแฮ็คเกอร์ (ยังไม่ทราบว่าเป็นใคร) น่าจะเข้าถึงระบบอีเมลตั้งแต่ช่วยประมาณเดือนตุลาคมถึงเดือนพฤศจิกายน 2016 ที่ผ่านมา โดยแฮ็คเกอร์ประสบความสำเร็จในการเข้าถึง Email Sever ของ Deloitte ผ่านทางการใช้ชื่อบัญชี Admin ซึ่งไม่ได้ถูกตั้งค่าให้ใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication ส่งผลให้แฮ็คเกอร์สามารถเข้าถึง Mailbox บนระบบปฏิบัติการ Windows ได้ทั้งหมด นอกจากนี้ยังเป็นไปได้สูงที่แฮ็คเกอร์สามารถเข้าถึง ชื่อผู้ใช้ รหัสผ่าน หมายเลข IP…

ตั้งค่า Cloud ผิด ข้อมูลระบบติดตามยานพาหนะกว่า 540,000 คันรั่วไหลสู่สาธารณะ

ข่าวประจำวัน

Loading

Kromtech Security Center ออกมาแจ้งเตือนถึงเหตุการณ์ข้อมูลล็อกอินของระบบติดตามยานพาหนะของบริษัท SVR กว่า 540,000 บัญชีผู้ใช้รั่วไหลสู่สาธารณะ ชี้สาเหตุมาจากการตั้งค่า Amazon S3 Cloud Storage ผิดพลาด   เรียกได้ว่าเป็นหนึ่งในตัวอย่างของเหตุการณ์ Data Breach ครั้งใหญ่ที่เกิดจากการเก็บข้อมูลสำคัญบน Public Cloud แต่ตั้งค่าไม่ดีเพียงพอ ส่งผลให้ข้อมูลรั่วไปสู่โลกออนไลน์ โดยเหตุการณ์นี้เกิดขึ้นกับ SVR (Stolen Vehicle Records) ซึ่งให้บริการระบบติดตามยานพาหนะแก่ลูกค้าแบบเรียลไทม์ผ่านการติดตั้งอุปกรณ์ติดตามไว้ที่ตัวรถ ซึ่งจะคอยส่งสัญญาณตำแหน่งกลับมายังบริษัท ส่งผลให้ลูกค้าของ SVR สามารถเฝ้าระวังและตามรอยยานพาหนะของตนเมื่อถูกขโมยได้ Kromtech พบว่า SVR ได้ทำการเก็บข้อมูลระบบติดตามยานพาหนะดังกล่าวลงบน Amazon S3 Cloud Storage แต่ตั้งค่าไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเข้าถึงข้อมูล Cache ที่ถูกเก็บไว้ได้ จากการตรวจสอบพบว่า ข้อมูล Cache ที่รั่วไหลออกมานี้ประกอบด้วยข้อมูลบัญชีผู้ใช้ SVR กว่า 540,000 รายชื่อ ได้แก่ อีเมล…

อาชีพ ‘นักรบไซเบอร์ไทย’ เหมาะกับคุณหรือไม่

ข่าวประจำวัน

Loading

พล.อ.ประยุทธ์ จันทร์โอชา ได้กล่าวเมื่อเช้านี้ว่ารัฐบาลกำลังผลักดันให้มี “นักรบไซเบอร์” รวม 1,000 คนภายในปีหน้า เพื่อช่วยรักษาความปลอดภัยในโลกไซเบอร์รองรับแผนพัฒนาดิจิตัล นี่อาจจะเป็นโอกาสการทำงานสำหรับคนรุ่นใหม่ที่ต้องการความท้าทาย “นักรบไซเบอร์” มีหน้าที่หลักในการเฝ้าระวังและรักษาความปลอดภัยทางด้านอินเทอร์เน็ต และผู้เชี่ยวชาญซึ่งทำงานกับกองทัพมากว่า 10 ปี ได้เคยอธิบายกับบีบีซีไทยว่านักรบไซเบอร์ไม่ได้ทำงานเชิงบุกรุกหรือต่อสู้แต่อย่างใด แต่ถึงแม้การทำงานจะเน้นไปที่การรักษาความปลอดภัย ผู้มีประสบการณ์เกี่ยวข้องกับเทคโนโลยีสารสนเทศยังเชื่อว่า หน้าที่ของนักรบไซเบอร์นี้ต้องอาศัยทักษะเฉพาะทางที่หาได้ไม่ง่ายนักในประเทศ ปรับกองทัพรับศึกไซเบอร์ แก้ กม ดึงมือดีเอกชนร่วม กูเกิลจับมือเอชทีซี เจาะตลาดสมาร์ทโฟน   พวกเขาจะมาจากไหน “ยากมากครับ เพราะว่าบุคลากรพวกนี้ต้องได้รับการฝึกฝนอย่างมาก คนที่อยู่ในอาชีพ IT หรือ server security บ้านเรามันน้อยมาก” ภาณุทัต เตชะเสน เจ้าของบริษัทจิมมี่ซอฟต์แวร์ และอดีตกรรมการบริหาร สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ กล่าว ภาณุทัตกล่าวว่าการตื่นตัวด้านความปลอดภัยไซเบอร์เป็นเรื่องที่ดี โดยเฉพาะเมื่อเว็บไซต์ส่วนใหญ่ของไทยขาดการดูแลด้านความปลอดภัยอย่างถูกต้อง เขาอธิบายว่าโดยทั่วไปแล้ว เวบไซต์จะต้องอาศัยการทำงานของโปรแกรมในฝั่งเซิร์ฟเวอร์ “ซึ่งโปรแกรมพวกนี้มันมักจะมีช่องโหว่ และผู้ผลิตซอฟต์แวร์ก็จะทำการอัพเดทเพื่ออุดช่องโหว่เป็นระยะๆ” แต่โดยธรรมชาติของการจ้างบริษัทพัฒนาเว็บไซต์ในไทย ทั้งของรัฐและเอกชน จะเป็นสัญญาจ้างครั้งเดียว โดยไม่มีระบบบำรุงรักษา (maintenance) ทำให้มีความระดับความปลอดภัยค่อนข้างน้อย ตามความเห็นของ ภาณุทัต “ถึงเนื้อหาบนเว็บไม่เปลี่ยน…