ความปลอดภัยไซเบอร์ Archives

พบช่องโหว่บนปลั๊กอิน Autofill ของ LinkedIn เสี่ยงถูกบุคคลที่สามขโมยข้อมูล

ข่าวประจำวันBy Admin S.10 23 April 2018

Jack Cable นักวิจัยด้านความมั่นคงปลอดภัยวัย 18 ปีจาก Lightning Security ออกมาแจ้งเตือนช่องโหว่บนปลั๊กอิน AutoFill ของ LinkedIn ซึ่งช่วยให้บุคคลที่สามสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้ได้โดยที่ผู้ใช้ไม่รู้ตัว LinkedIn ให้บริการปลั๊กอิน AutoFill สำหรับเว็บไซต์อื่นๆ มาอย่างยาวนาน ซึ่งช่วยให้ผู้ใช้ LinkedIn สามารถกรอกข้อมูลลงบนเว็บไซต์เหล่านั้นได้อย่างรวดเร็ว ไม่ว่าจะเป็นชื่อนามสกุล เบอร์โทรศัพท์ อีเมล บริษัท และตำแหน่ง ด้วยการกดคลิกเป็นครั้งเดียว Cable ระบุว่า โดยปกติแล้วปุ่ม AutoFill ควรทำงานเฉพาะบนเว็บไซต์ที่ถูก Whitelist โดย LinkedIn เท่านั้น แต่เขาพบช่องโหว่ที่ช่วยให้เว็บไซต์ใดๆ ก็ตามสามารถเก็บรวบรวมข้อมูลของผู้ใช้ LinkedIn ได้ผ่านทางฟังก์ชัน AutoFill ดังกล่าวโดยที่ผู้ใช้ไม่รู้ตัว กล่าวคือ โดยปกติแล้ว เว็บไซต์ทั่วไปจะวางปุ่ม AutoFill ไว้ข้างๆ ฟิลด์ที่ต้องการให้กดปุ่มกรอกข้อมูลอัตโนมัติ แต่ Cable พบว่า แฮ็กเกอร์สามารถแก้คุณสมบัติของปุ่ม AutoFill เพื่อขยายปุ่มไปทั่วทั้งหน้าเว็บไซต์ แล้วทำให้มันล่องหน เมื่อผู้ใช้คลิกส่วนใดส่วนหนึ่งของเว็บไซต์ก็จะเป็นการเรียกใช้ฟังก์ชัน…

นักวิจัยระบุหลายล้านแอปพลิเคชันเผยข้อมูลผู้ใช้ผ่าน SDK การโฆษณา

ข่าวประจำวันBy Admin S.10 19 April 2018

ในงาน RSA ที่จัดขึ้นที่ประเทศสหรัฐอเมริกานักวิจัยจาก Kaspersky Lab ได้เผยถึงงานวิจัยว่า “มีแอปพลิเคชันหลายล้าน รวมถึง SDK จาก Thrid-party เผยให้เห็นถึงข้อมูลส่วนบุคคลที่สามารถดักจับและแก้ไขเปลี่ยนแปลงได้ง่าย ซึ่งอาจนำไปสู่การติดมัลแวร์ Blackmail หรือการโจมตีในรูปแบบอื่นต่ออุปกรณ์ต่อไป“ นาย Roman Unuchek ได้กล่าวถึงว่าปัญหาคือข้อมูลนั้นถูกส่งผ่าน HTTP จะถูกดักจับได้ง่ายเพราะไม่มีการป้องกันและถูกแชร์อยู่ในเครือข่าย Wi-Fi หรือ ISP เดียวกัน แม้กระทั่งมัลแวร์ที่อาจฝังอยู่ในเร้าเตอร์ตามบ้านเอง โดยข้อมูลที่ไม่มีการปกป้องเหล่านี้สามารถถูกผู้ร้ายแก้ไขเปลี่ยนแปลง เช่น แก้ไขเพื่อแสดงโฆษณาอันตราย ล่อลวงให้ผู้ใช้โหลด Trojan มาติดตั้งเพื่อนำไปสู่มัลแวร์อื่นๆ ต่อไป เมื่อสืบเสาะกลับไปที่ต้นตอของปัญหาพบว่านักพัฒนาใช้ SDK ที่ผูกติดกับเครือข่ายโฆษณาที่ได้รับความนิยมเพื่อประหยัดเวลา อย่างไรก็ตาม Kaspersky พบว่า SDK เหล่านั้นมีช่องโหว่เนื่องจากไม่มีการปกป้องข้อมูลที่ถูกส่งระหว่างแอปพลิเคชันและเซิร์ฟเวอร์เพื่อการโฆษณา ซึ่งมีแอปพลิเคชันหลายล้านใช้งาน SDK โค้ดเหล่านั้นอยู่เสียด้วย งานวิจัยที่ Unuchek ทำคือการมุ่งเป้าไปยังแอปพลิเคชันที่ใช้งาน HTTP Request ด้วย Method ของ GET และ POST ซึ่งจากการสำรวจ…

ความสำคัญของ Big Data

บทความน่าสนใจBy Admin S.10 17 April 2018

โดย ณรงค์ศักดิ์ ปลอดมีชัย กรรมการผู้จัดการและประธานเจ้าหน้าที่บริหารการลงทุนบริษัทหลักทรัพย์จัดการกองทุน ไทยพาณิชย์ จำกัด ในโลกปัจจุบันนี้เป็นโลกที่เต็มไปด้วยข้อมูลข่าวสารต่างๆ มากมาย ไม่ว่าจะเป็นข้อมูลขนาดใหญ่หรือเล็ก โดยเฉพาะข้อมูลขนาดใหญ่หรือที่เราเรียกกันว่า Big Data เช่น ข้อมูลในอินเทอร์เน็ตที่มีสัดส่วนเพิ่มมากขึ้นทุกปี ในปี 2017 มีการประมาณว่าจำนวนเว็บไซต์ในอินเทอร์เน็ตมีขนาดกว่า 1,766 ล้านเว็บไซต์ โดยเพิ่มจากในปี 2016 จำนวน 1,045 ล้านเว็บไซต์ คิดเป็นอัตราการเติบโตกว่า 69% นอกจากนี้จำนวนผู้ใช้ Social Media มีจำนวนผู้ใช้บริการกว่า 3,196 ล้านคน เพิ่มขึ้นกว่า 7% โดยใน Facebook, Twitter, Instagram เฉลี่ยมีการกด like หรือ tweet ขึ้นมากกว่าล้านครั้งในแต่ละนาที ในโลกของการลงทุนก็เช่นกัน มีการให้ความสำคัญเกี่ยวกับเรื่องของ Big Data และการวิเคราะห์ข้อมูลดังกล่าว โดยเฉพาะกองทุนเฮดจ์ฟันด์ (Hedge Fund) เช่น กองทุน Renaissance Technologies, DE…

รักษาความปลอดภัยข้อมูลส่วนตัวบน “เฟซบุ๊ก”

ข่าวประจำวันBy Webmaster 22 March 2018

ในขณะที่ราคาหุ้นของเฟซบุ๊กกำลังตกลงอย่างต่อเนื่อง และแฮชแทก #DeleteFacebook หรือ #ลบเฟซบุ๊ก กำลังเป็นที่นิยมอยู่ในทวิตเตอร์ขณะนี้ คำถามสำหรับผู้ใช้เฟซบุ๊กหลายคนคือ ข้อมูลส่วนตัวของเราถูกใครเอาไปใช้บ้าง และเราสามารถทวงคืนมันกลับมาได้หรือเปล่า? คำถามนี้เกิดขึ้นจากกรณีข้อกล่าวหาที่ว่าบริษัทที่ปรึกษาด้านการเมือง เคมบริดจ์ อนาลิติกา (Cambridge Analytica) นำข้อมูลผู้ใช้เฟซบุ๊กกว่า 50 ล้านคนไปใช้ และล่าสุดคณะกรรมาธิการสอบข้อเท็จจริงของสภาสามัญชนของอังกฤษ ก็ได้เรียกตัว มาร์ค ซัคเคอร์เบิร์ก ผู้ก่อตั้งและซีอีโอเฟซบุ๊ก เข้าให้ปากคำ สำหรับเฟซบุ๊กแล้ว ข้อมูลส่วนตัวของผู้ใช้เป็นสิ่งจูงใจให้บริษัทต่าง ๆ เข้ามาซื้อโฆษณา และเป็นที่รู้กันดีว่าเฟซบุ๊กสามารถเข้าใจตัวตนและสร้างโปรไฟล์ของผู้ใช้ขึ้นมาอย่างละเอียดลึกซึ้งผ่านการกดไลค์ การกดอันไลค์ ดูรูปแบบการใช้ชีวิต และความคิดทางการเมือง ของผู้ใช้ และด้วยเหตุนี้ คำถามที่สำคัญก็คือ เฟซบุ๊กได้ให้ข้อมูลเหล่านี้ไปกับใครบ้าง และเราจะทวงคืนข้อมูลส่วนตัวเรากลับมาได้หรือไม่ มาลองทดสอบไอคิวของคุณกัน เราหลายคนอาจเคยเล่น ควิซ หรือ แบบทดสอบบนเฟซบุ๊ก อาจจะเป็นทดสอบบุคลิกส่วนตัวคุณ หรือไม่ก็วัดระดับสติปัญญาหรือไอคิว และแบบทดสอบที่กำลังเป็นที่ถกเถียงอยู่ในขณะนี้คือแบบทดสอบที่ชื่อ This is Your Digital Life โดยบริษัทเคมบริดจ์ อนาลิติกา ถูกกล่าวหาว่าได้ใช้แบบทดสอบนี้เพื่อดึงข้อมูลของผู้ใช้เฟซบุ๊กหลายล้านคนไปใช้เพื่อชักจูงผลโหวตการเลือกตั้งประธานาธิบดีสหรัฐฯ เมื่อปี…

เฟซบุ๊กอึ้ง ถูกดูดข้อมูลไปใช้ในแคมเปญหาเสียงเลือกตั้งประธานาธิบดี

ข่าวประจำวันBy Admin S.10 19 March 2018

เมื่อวันศุกร์ที่ผ่านมา (16 มี.ค.) มีรายงานว่า เฟซบุ๊ก (Facebook) โซเชียลมีเดียชื่อดัง ได้ยุติการเข้าถึงข้อมูลของบริษัท Strategic Communication Laboratories (SCL) และบริษัทด้านดาต้าอะนาไลติกส์อย่าง แคมบริดจ์ อะนาไลติกา (Cambridge Analytica) เนื่องจากพบว่ามีการเก็บและแชร์ข้อมูลส่วนบุคคลของผู้ใช้งานเฟซบุ๊กประมาณ 50 ล้านคน โดยปราศจากการได้รับอนุญาตใด ๆ จากเจ้าตัว การกระทำดังกล่าวถือว่ากระทบต่อข้อกำหนดในการให้บริการของเฟซบุ๊ก และทำให้เกิดข้อสงสัยว่า ข้อมูลที่บริษัทดังกล่าวเก็บไปได้นั้น ถูกนำไปใช้กับแคมเปญหาเสียงของประธานาธิบดีแห่งสหรัฐฯ โดนัลด์ ทรัมป์ เมื่อปี 2016 หรือไม่ เนื่องจากมันเป็นข้อมูลจำนวนมากพอที่นักการตลาดสามารถสร้างโปรไฟล์ส่วนบุคคล รวมถึงสามารถสร้างโฆษณาที่เจาะจงกลุ่มเป้าหมายได้อย่างเต็มที่ ผู้ที่ออกมาแจ้งความผิดปกติดังกล่าว คือ พนักงานในส่วน Academic ของมหาวิทยาลัย Cambridge ชื่อคริสโตเฟอร์ ไวลี่ ที่ได้มีการส่งข้อมูลเหล่านั้นไปยัง The Observer และนิวยอร์กไทม์ พร้อมอธิบายว่า บริษัทมีการกระทำบางอย่างที่อาจผิดศีลธรรม การรั่วไหลของข้อมูลครั้งนี้ ได้ทำให้หลายฝ่ายจับตามากขึ้นว่า แพลตฟอร์มของเฟซบุ๊กไม่ปลอดภัย แต่เฟซบุ๊กก็ได้ออกมาชี้แจงว่า ข้อมูลที่รั่วไหลนั้นไม่ได้เกิดจากเฟซบุ๊ก ตรงกันข้าม มันเป็นการส่งผ่านข้อมูลโดยศาสตราจารย์…

ที่ปรึกษาปูตินระบุ ‘รัสเซีย’สามารถตัดขาดจาก ‘อินเทอร์เน็ตระดับโลก’ ได้ในเวลาเกิดสงคราม

ข่าวประจำวันBy Admin S.10 14 March 2018

เฮอร์มาน คลีเมนโค ที่ปรึกษาคนสำคัญด้านไอทีของประธานาธิบดีวลาดิมีร์ ปูติน พูดเมื่อเร็วๆ นี้ว่า รัสเซียสามารถตัดขาดตัวเองออกจากอินเทอร์เน็ตระดับโลกในเวลาเกิดสงคราม รวมทั้งยังกำลังสร้างระบบชื่อโดเมนแบบทางเลือกขึ้นมา ที่ปรึกษาระดับท็อปทางด้านเทคโนโลยีสารสนเทศของประธานาธิบดีวลาดิมีร์ ปูติน พูดชี้เอาไว้ระหว่างการให้สัมภาษณ์คราวหนึ่งเมื่อเร็วๆ นี้ว่า รัสเซียนั้นสามารถที่จะตัดขาดตัวเองออกจากอินเทอร์เน็ตระดับโลกได้ในเวลาที่เกิดสงคราม ทั้งนี้เพื่อลดทอนจำกัดจุดอ่อนเปราะบางที่อาจจะถูกฝ่ายตะวันตกเจาะเล่นงาน “ในทางเทคนิคแล้ว เวลานี้เราพรักพร้อมอยู่แล้วสำหรับการลงมือปฏิบัติการ” รายงานข่าวอ้างคำพูดของที่ปรึกษาผู้มีนามว่า เฮอร์มาน คลีเมนโค (Herman Klimenko) ซึ่งบอกกับสถานีโทรทัศน์ “เอ็นทีวี” (NTV) ของรัสเซียเมื่อวันที่ 6 มีนาคมที่ผ่านมา แต่คลีเมนโคก็กล่าวด้วยว่า ความเคลื่อนไหวในลักษณะดังกล่าว แม้กระทั่งว่ายังไม่ถึงขั้นที่มีการปฏิบัติการในเชิงเป็นปรปักษ์ใดๆ ก็ใช่ว่าจะไม่สร้างความเจ็บปวดบาดแผลให้แก่รัสเซีย –ตรงนี้ดูเหมือนเป็นการพูดพาดพิงมุ่งแสดงให้เห็นว่า แดนหมีขาวต้องพึ่งพิงอาศัยการต่อเชื่อมต่างๆ กับอินเทอร์เน็ตระดับโลกถึงขนาดไหน “ดีเฟนซ์ วัน” (Defense One) เว็บไซต์ของกองทัพสหรัฐฯ คือผู้ที่เขียนถึงเรื่องนี้เอาไว้ (ดูเพิ่มเติมได้ที่ http://www.defenseone.com/technology/2018/03/if-war-comes-russia-could-disconnect-internet-yes-entire-country/146572/?oref=d-skybox) โดยบอกด้วยว่า มอสโกกำลังทำงานกันง่วนในช่วงเวลา 2 ปีที่ผ่านมา เพื่อแสวงหาวิธีการต่างๆ ที่จะทำให้กองทัพของตนสามารถที่จะพึ่งพาอาศัยเฉพาะเครือข่ายออนไลน์ภายในเท่านั้นในระหว่างที่เกิดสงคราม กล่าวกันว่าความพยายามเช่นนี้กำลังถูกนำมาขยายให้กลายเป็นแรงผลักดันในแวดวงกว้างขวางใหญ่โตยิ่งขึ้นมาก เพื่อทำให้รัฐบาลรัสเซียและภาคประชาสังคมของรัสเซียสามารถตัดขาดในทางดิจิตอลจากลิงก์อินเตอร์เน็ตภายนอกทั้งหลาย หากเมื่อถึงเวลาที่เกิดความจำเป็นต้องทำเช่นนั้น “ในปี 2016 รัฐบาลรัสเซียเริ่มต้นการใช้งาน ‘Closed…

Tag Archives: ความปลอดภัยไซเบอร์