Tag Archives: ความปลอดภัยไซเบอร์

ข้อมูลส่วนตัวของลูกค้า Swisscom กว่า 800,000 ราย รั่วไหลสู่สาธารณะ

Swisscom บริษัทผู้ให้บริการทางด้านโทรคมนาคมที่ใหญ่ที่สุดในสวิตเซอร์แลนด์ เผลอทำข้อมูลส่วนตัวของลูกค้ากว่า 800,000 ราย รั่วไหลสู่สาธารณะ คิดเป็นเกือบ 10% ของประชากรประเทศสวิตเซอร์แลนด์ทั้งหมด Credit: Helpnetsecurity ข้อมูลที่รั่วไหลออกสู่สาธารณะ ประกอบไปด้วยข้อมูลส่วนตัวของลูกค้าของ Swisscom เช่น ชื่อ-นามสกุล, ที่อยู่, วันเดือนปีเกิด, เบอร์โทรศัพท์ และข้อมูลอื่นๆ ซึ่ง Swisscom เองไม่ได้นิ่งนอนใจ ออกแถลงการณ์ผ่านหน้าเว็บไซต์เกี่ยวกับรายละเอียดของข้อมูลที่รั่วไหล สามารถอ่านเพิ่มเติมได้ที่นี่ ทัั้งนี้ข้อมูลดังกล่าวถูกจัดอยู่ในหมวดหมู่แบบ “Non-sensitive” ภายใต้กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล นั่นคือไม่มีข้อมูลที่ละเอียดอ่อน (Sensitive) เช่น พาสเวิร์ด, หมายเลขบัตรเครดิต, บทสนทนาต่างๆ และข้อมูลในการชำระเงิน การรั่วไหลของข้อมูลในครั้งนี้ คาดว่าเกิดจากเปลี่ยนแปลงสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ของบริษัทคู่ค้าของ Swisscom ซึ่งโดยปกติแล้วจะถูกจำกัดสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ระบบจะบังคับให้มีการใส่ยูสเซอร์เนมและพาสเวิร์ดก่อนเสมอเพื่อเข้าถึงข้อมูล แต่แฮ็คเกอร์น่าจะอาศัยช่องโหว่บางอย่างเพื่อหลบหลีกการยืนยันตัวตนนี้ ท้ายที่สุดแล้ว Swisscom ตัดสินใจเพิ่มมาตรการรักษาความปลอดภัยให้มีความเข้มงวดมากขึ้น มีการเปิดใช้งานระบบยืนยันตัวตนแบบสองชั้น (Two-factor authentication) สำหรับบริษัทคู่ค้า รวมไปถึงการห้ามให้มีการค้นฐานข้อมูลลูกค้าคราวละมากๆ เพื่อป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในอนาคต ที่มา : techtalkthai ลิงค์ : https://www.techtalkthai.com/swisscom-data-breach-800000-customers-affected/  

Facebook และ Microsoft ออกระบบ Privacy ใหม่ รับ GDPR

General Data Protection Regulation (GDPR) หรือกฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ในเขตสหภาพยุโรปเตรียมถูกประกาศใช้อย่างเป็นทางการในเดือนพฤษภาคม 2018 ที่จะถึงนี้ ทำให้หลายบริษัททั่วโลกเตรียมรีบเร่งเพื่อออกนโยบายและมาตรการควบคุมให้สอดคล้องกับกฎหมายดังกล่าว ไม่เว้นแม้แต่บริษัทยักษ์ใหญ่อย่าง Facebook และ Microsoft Credit: ShutterStock.com เพื่อสามารถให้บริการตาม GDPR ทาง Facebook ได้ออก Global Privacy Center ใหม่ เพื่อให้ผู้ใช้ Facebook สามารถบริหารจัดการข้อมูลที่ตนต้องการจะแชร์ หรืออีกนัยหนึ่งคือ ตั้งค่าความเป็นส่วนบุคคล (Privacy) ของตนได้อย่างครอบคลุม สำหรับ Microsoft นั้น ได้เพิ่มหน้า Activity History เข้าไปยัง Microsoft Privacy Dashboard ซึ่งช่วยให้ผู้ใช้สามารถดูว่ามีข้อมูลอะไรที่บันทึกอยู่ในบัญชีของ Microsoft บ้าง รวมไปถึงปรับแต่งความเป็นส่วนบุคคลของตนบนอุปกรณ์และเบราว์เซอร์ได้ และในอีกไม่กี่เดือนข้างหน้านี้ ผู้ใช้จะสามารถเรียกดูและบริหารจัดการข้อมูลที่ใช้ไป กิจกรรมที่เกิดขึ้นบนอุปกรณ์และบริการต่างๆ รวมไปถึงสามารถนำข้อมูลที่เห็นบน Dashboard ออกมาและลบบางส่วนที่ไม่ต้องการทิ้งได้ ตรงกับความต้องการของ GDPR ที่ระบุว่าผู้ใช้ต้องมีสิทธิ์ลบข้อมูลส่วนบุคคลทิ้งได้ตามความต้องการ นอกจากนี้ยังมี…

ใครคือผู้ได้รับผลกระทบจากกฏหมาย GDPR

กฏหมาย GDPR กำลังจะถูกใช้ในกลุ่มประเทศ EU ประมาณกลางปี 2018 โดยเรื่องนี้มีผู้ได้ผลกระทบไม่น้อย วันนี้เราจึงสรุปบทความที่นำเสนอถึงมุมมองว่า GDPR นั้นมีผลกระทบอย่างไร จริงๆแล้วใครมีผลกระทบบ้างและบริษัทหรือผู้ให้บริการ Cloud มีการรับมือกับกฏหมายนี้อย่างไร ซึ่งแม้แต่ในประเทศเราเองหากท่านใดที่มีการทำธุรกิจกับกลุ่มประเทศใน EU หรือมีการใช้ Cloud ในโซนนั้นก็ได้รับผลกระทบเช่นเดียวกัน ส่วนนึงที่สำคัญมากกับกฏหมายนี้คือคำว่า ‘Data Localization‘ ซึ่งอ้างถึงการเก็บข้อมูลต้องอยู่ภายในภูมิภาคหรือประเทศเดียวกันกับที่ๆ ข้อมูลนั้นเกิดขึ้น ซึ่งประเทศอย่าง จีน เยอรมัน สวิตเซอร์แลนด์ เนเธอแลนด์ รัสเซีย อินโดนีเซีย แคนย่า แทนซาเนีย และอีกหลายประเทศสามารถผ่านคำสั่งนี้ก่อนปี 2018 แล้ว อันที่จริงแล้ว GDPR ได้กล่าวถึงการที่ข้อมูลส่วนบุคคลจะสามารถถูกส่งไปในประเทศนอก EU ซึ่งมีระดับการปกป้องที่ได้รับการรับรองแล้วเท่านั้น หากองค์กรใดมีข้อสงสัยแม้เพียงน้อยนิดต่อปลายทางนั้นก็ไม่สามารส่งข้อมูลไปที่นั่นได้ เนื่องด้วยบทปรับอันแสนแพงหลายองค์กรจึงต้องทำให้แน่ใจว่าข้อมูลของลูกค้าจะไม่ออกไปนอก EU รวมถึงประเทศที่ข้อมูลนั้นเกิดขึ้นด้วย นอกจากนี้ภายในกฏหมาย GDPR ยังมีนิยามคำว่า ‘Data Controller’ และ ‘Data Processor’ ที่ต้องเข้าใจดังนี้ Data Controller หมายถึง…

เวียดนามตั้งกองกำลังทำสงครามไซเบอร์เพื่อปราบปรามกลุ่มต่อต้านรัฐบาล

1. เวียดนามดำเนินมาตรการเชิงรุกขยายวงกว้างปราบปรามกลุ่มต่อต้านรัฐบาล ซึ่งใช้อินเทอร์เน็ตหรือสื่อสังคมออนไลน์เป็นเครื่องมือเผยแพร่ทัศนคติและข้อมูลข่าวสารโฆษณาชวนเชื่อต่อต้านรัฐบาลในเชิงลบ โดยพลโท Nguyen Trong Nghia รองประธานกรมการเมืองใหญ่ กองทัพประชาชนเวียดนาม เปิดเผยเมื่อ 25 ธันวาคม 2560 ว่า เวียดนามมีหน่วยพิเศษ Force 47 เป็นหน่วยทำสงครามไซเบอร์ในการควบคุม/ตรวจสอบความเคลื่อนไหวทางการเมืองและสื่อมวลชนผ่านกิจกรรมออนไลน์ กองกำลังดังกล่าวมีเจ้าหน้าที่จำนวนกว่า 10,000 คน ซึ่งมีทักษะ ความรู้ ความชำนาญด้านเทคโนโลยี และอุดมการณ์ที่ดีทางการเมืองเป็นกองกำลังหลักร่วมกับหน่วยงานความมั่นคงภายใน ทำสงครามข้อมูลข่าวสารบนอินเทอร์เน็ตหรือเครือข่ายคอมพิวเตอร์ โดยเฉพาะกลุ่มที่พยายามบ่อนทำลายความมั่นคงของเวียดนาม     2. การเปิดเผยหน่วยงานดังกล่าวเป็นการส่งสัญญาณเตือนไปยังกลุ่มต่อต้านรัฐบาลเวียดนามถึงความจริงจังของรัฐบาลในการควบคุมความเคลื่อนไหวของกลุ่มดังกล่าวซึ่งทวีความรุนแรงมากขึ้น เห็นได้จากในห้วงหลายเดือนที่ผ่านมา เวียดนามจับกุมและจำคุกกลุ่มเห็นต่างทางการเมือง กลุ่มสนับสนุนประชาธิปไตย กลุ่มปกป้องสิทธินักเคลื่อนไหวด้านสิทธิมนุษยชน บล็อกเกอร์ นักเขียน อดีตนายทหาร และชนกลุ่มน้อยทางศาสนา (ตามประมวลกฎหมายอาญา บทลงโทษในข้อหาโฆษณาชวนเชื่อต่อต้านรัฐบาล จำคุกสูงถึง 20 ปี ขณะที่บทลงโทษกลุ่มบุคคลล้มล้างอำนาจรัฐสูงสุดคือ ประหารชีวิต) รวมถึงขอความร่วมมือจากผู้ให้บริการเทคโนโลยีรายใหญ่จากต่างประเทศให้ช่วยสกัดกั้นความเคลื่อนไหวของกลุ่มดังกล่าวเมื่อกลางธันวาคม 2560 เช่น Facebook ถอดบัญชีผู้ใช้ซึ่งวิจารณ์ผู้นำรัฐบาลและเผยแพร่การโฆษณาชวนเชื่อต่อต้านรัฐและพรรคคอมมิวนิสต์ ทั้งสิ้น 159 บัญชี ขณะที่ Google…

คอยน์เช็ค : เกิดเหตุ ‘โจรกรรม’ สกุลเงินดิจิทัลครั้งใหญ่สุดในโลก ‘1.67 หมื่นล้านบาท’

คอย์เช็ค (Coincheck) หนึ่งในบริษัทรับแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดของญี่ปุ่น ระบุว่า สูญเงินเสมือนจริงมูลค่าประมาณ 534 ล้านดอลลาร์สหรัฐฯ หรือราว 1.67 หมื่นล้านบาท หลังถูกล้วงข้อมูลผ่านเครือข่ายของตัวเอง คอยน์เช็คได้พักการรับฝากและถอนเงินสกุลเงินดิจิทัลต่าง ๆ แล้วเป็นการชั่วคราวยกเว้น บิทคอยน์ (Bitcoin) ขณะที่กำลังตรวจสอบความเสียหายของสกุลเงิน NEM ซึ่งเป็นสกุลเงินดิจิทัลที่ไม่เป็นที่รู้จักมากนัก ถ้ามีการยืนยันการโจรกรรมครั้งนี้ จะถือว่าเป็นการโจรกรรมมูลค่ามากที่สุดที่เกี่ยวข้องกับสกุลเงินดิจิทัล บริษัท MtGox ซึ่งเป็นบริษัทรับแลกเปลี่ยนสกุลเงินดิจิทัลของญี่ปุ่นอีกแห่งหนึ่ง ปิดตัวไปเมื่อปี 2014 หลังจากยอมรับว่ามีการถูกขโมยเงินมูลค่า 400 ล้านดอลลาร์สหรัฐฯ หรือราว 1.25 หมื่นล้านบาทจากเครือข่ายของตัวเอง มีรายงานว่าเงินของคอยน์เช็คที่ถูกขโมยไปถูกเก็บไว้ใน “กระเป๋าร้อน” ซึ่งเป็นส่วนหนึ่งของบริษัทรับแลกเปลี่ยนสกุลเงินนี้ที่เชื่อมต่อกับอินเทอร์เน็ต ตรงข้ามกับกระเป๋าเย็น ซึ่งเงินจะถูกเก็บไว้อย่างปลอดภัยโดยไม่มีการเชื่อมต่อออนไลน์ คอยน์เช็ค ระบุว่า รู้ที่อยู่ดิจิทัลที่เงินถูกส่งไปแล้ว และจะทำทุกทางที่ทำได้เพื่อชดเชยแก่นักลงทุน เรารู้อะไรบ้างเกี่ยวกับการล้วงข้อมูล? ทางบริษัทระบุในแถลงการณ์ว่า นักล้วงข้อมูลทางคอมพิวเตอร์ หรือ แฮ็กเกอร์ ได้เจาะระบบเข้ามาเมื่อเวลา 2.57 น. ตามเวลาท้องถิ่นเมื่อวันศุกร์ แต่ทางบริษัทรู้ตัวเมื่อเวลา 11.25 น. ตามเวลาท้องถิ่น หรือเกือบ…

เตือนช่องโหว่บนแอป Transmission BitTorrent เสี่ยงถูกแฮ็กเกอร์เข้าควบคุมคอมพิวเตอร์

Tavis Ormandy นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่บนแอปพลิเคชัน Transmission BitTorrent ซึ่งช่วยให้แฮ็กเกอร์สามารถรันคำสั่งและเข้าควบคุมคอมพิวเตอร์ของผู้ใช้จากระยะไกลได้ทันที ที่สำคัญคือยังไม่มีแพตช์สำหรับอุดช่องโหว่จากเจ้าของผลิตภัณฑ์ แอปพลิเคชัน Transmission BitTorrent ทำงานในรูปแบบ Server-client โดยผู้ใช้จำเป็นต้องติดตั้ง Daemon Service บนคอมพิวเตอร์เพื่อใช้งานแอปพลิเคชันผ่านทางเว็บเบราว์เซอร์ Daemon Service นี้จะทำการติดต่อกับ Server เพื่อดาวน์โหลดและอัปโหลดไฟล์ผ่านทางเบราว์เซอร์โดยร้องขอผ่าน JSON RPC Ormandy พบว่า แฮ็กเกอร์สามารถใช้เทคนิคการแฮ็กที่เรียกว่า Domain Name System Rebinding เพื่อโจมตีการทำงานดังกล่าวผ่าน Daemon Serice ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันคำสั่งอันตรายบนคอมพิวเตอร์ของผู้ใช้จากระยะไกลเมื่อผู้ใช้เผลอเข้าถึงเว็บไซต์ที่ถูกออกแบบมาเป็นพิเศษของแฮ็กเกอร์ได้ทันที จากการตรวจสอบพบว่าปัญหามาจาก Daemon Service ที่ถูกติดตั้งลงบนคอมพิวเตอร์สามารถถูกนำไปใช้เพื่อติดต่อกับเว็บไซต์อื่นนอกจาก Transmission BitTorrent ได้ Google ได้เปิดเผยโค้ดและรายละเอียดสำหรับการทำ Proof-of-Concept หลังจากค้นพบช่องโหว่และรายงานเจ้าของผลิตภัณฑ์เพียง 40 วัน แทนที่จะเป็น 90 วันตามการดำเนินงานปกติ เนื่องจากไม่ได้รับการตอบรับหรือมีการอัปเดตใดๆ จากทีมนักพัฒนาของ Transmission BitTorrent อย่างไรก็ตาม…