คลังเก็บป้ายกำกับ: DATA_LEAKAGE

Honda อินเดียตั้งค่า AWS S3 พลาด ข้อมูลลูกค้ากว่า 50,000 รายรั่วสู่สาธารณะ

อีกหนึ่งกรณีสำหรับการตั้งค่า AWS S3 Bubket ไม่มั่นคงปลอดภัย เมื่อ Kromtech Security บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยออกมาเปิดเผยว่า ข้อมูลส่วนบุคคลของลูกค้า Honda ประเทศอินเดียกว่า 50,000 รายสามารถเข้าถึงได้จากสาธารณะ

Credit: HondaCarIndia.com

Kromtech ระบุว่า ข้อมูลลูกค้าที่รั่วออกมานั้น เป็นข้อมูลผู้ใช้ที่ทำการดาวน์โหลดและติดตั้ง Honda Connect ซึ่งเป็นแอปพลิเคชันบนอุปกรณ์พกพาที่พัฒนาโดย Honda Car India สำหรับช่วยให้ผู้ใช้สามารถบริหารจัดการรถยนต์อัจฉริยะของตนได้ รวมไปถึงเชื่อมต่อกับบริการอื่นๆ ของ Honda Car India

จนถึงตอนนี้ Honda Connect ได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า Honda อินเดียจำนวนมากจากการดาวน์โหลดแอปพลิเคชันมันมากกว่า 1,000,000 ครั้ง ซึ่ง Kromtech ระบุว่า ข้อมูลที่รั่วสู่สาธารณะนั้นประกอบด้วย ชื่อ เพศ เบอร์โทร อีเมล รหัสผ่านบัญชี Car VIN และ Car Connect ID

อย่างไรก็ตาม Kromtech ไม่ใช่คนแรกที่พบว่า AWS S3 Bucket ของ Honda อินเดียตั้งค่าการเข้าถึงผิดพลาด เนื่องจากพบว่าใน S3 Bucket มีไฟล์ที่ชื่อว่า poc.txt อยู่ ไฟล์ดังกล่าวถูกสร้างขึ้นโดยอัตโนมัติโดยนักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อว่า Robbie Wiggins ซึ่งคอยสแกนอินเทอร์เน็ตทั่วโลกเพื่อค้นหาว่ามีใครตั้งค่า AWS S3 Bucket ผิดพลาดบ้าง พร้อมทำการแจ้งเตือนก่อนที่จะถูกผู้ไม่ประสงค์ดีโจมตีหรือขโมยข้อมูล จากการตรวจสอบ Timestamp พบกว่าไฟล์ poc.txt ถูกสร้างขึ้นเมื่อวันที่ 28 กุมภาพันธ์ 2018 หรือก็คือประมาณ 3 เดือนก่อนหน้านี้

Kromtech ได้แจ้งปัญหาที่ค้นพบไปยัง Honda อินเดีย ซึ่งก็ได้ทำการปิดสิทธิ์เข้าถึงจากสาธารณะเป็นที่เรียบร้อย แต่จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่าข้อมูลที่รั่วออกมานี้ถูกใครนำไปใช้ประโยชน์หรือไม่

ที่มา: https://www.bleepingcomputer.com/news/security/honda-india-left-details-of-50-000-customers-exposed-on-an-aws-s3-server/

from:https://www.techtalkthai.com/honda-india-customer-data-in-aws-s3-bucket-exposed/

Advertisements

SANS เผย 5 เทคนิคอันตรายใหม่ในการโจมตีไซเบอร์

ผู้เชี่ยวชาญจาก SANS Institute ศูนย์อบรมด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดังของสหรัฐฯ ออกมาเปิดเผยถึง เทคนิคการโจมตีไซเบอร์ใหม่ที่อันตรายที่สุดรวม 5 รายการภายในเซสชัน Keynote ของงานประชุม RSA Conference ที่เพิ่งจบเมื่อสัปดาห์ที่ผ่านมา

การโจมตีทั้ง 5 รายการประกอบด้วย

1. ข้อมูลรั่วไหลจาก Repositories และ Cloud Storage

SANS ระบุว่า การพัฒนาซอฟต์แวร์ในปัจจุบันเปลี่ยนไปจากอดีต นักพัฒนาเริ่มเก็บโค้ดไว้บน Repositories ออนไลน์และแอปพลิเคชันประเภท Mission Critical ก็เริ่มถูกโฮสต์บน Cloud Storage มากขึ้น ส่งผลให้แฮ็กเกอร์เริ่มพุ่งเป้ามายัง Infrastructure เหล่านี้เพื่อขโมยรหัสผ่าน กุญแจที่ใช้เข้ารหัส โทเค็น หรือข้อมูลสำคัญอื่นๆ

ดังนั้นแล้ว แต่ละองค์กรจึงควรโฟกัสการปกป้องที่จัดเก็บข้อมูล มีการแต่งตั้งผู้ดูแลข้อมูล และให้ความรู้แก่ทั้งผู้ดูแลระบบและนักพัฒนาว่าจะจัดเก็บข้อมูลบน Cloud ให้มั่นคงปลอดภัยได้อย่างไร นอกจากนี้ ผู้ให้บริการระบบ Cloud ควรนำ AI เข้ามาใช้จำแนกและปกป้องข้อมูลภายใน Infrastructure ของตน

2. Big Data Analytics ถูกใช้เพื่อค้นหาความลับและจุดอ่อนของเป้าหมาย

ในอดีต แฮ็กเกอร์พยายามที่จะเข้าถึงคอมพิวเตอร์เป้าหมายเพื่อขโมยข้อมูล แต่ในปัจจุบัน แฮ็กเกอร์เปลี่ยนจากแฮ็กคอมพิวเตอร์ไปเป็นแฮ็กข้อมูลแทน กล่าวคือ แฮ็กเกอร์จะพยายามรวบรวมข้อมูลจากหลายๆ แหล่งแล้วนำมาประกอบกันเพื่อเปิดเผยความลับของเป้าหมายหรือวิเคราะห์หาจุดอ่อนของธุรกิจ

สำหรับการป้องกันนั้น SANS แนะนำให้ทำการวิเคราะห์ความเสี่ยงของข้อมูลและความสัมพันธ์ของข้อมูลจากแหล่งต่างๆ ว่าก่อให้เกิดผลกระทบเชิงลบต่อธุรกิจหรือไม่ โดยเฉพาะประเด็นด้าน Privacy ที่เสี่ยงต่อการสูญเสียภาพลักษณ์และการละเมิดข้อบังคับของหน่วยงานกำกับดูแลที่เกี่ยวข้อง

3. แฮ็กระบบเพื่อหาเงินโดยใช้ Cryptocurrency Miner

ปีที่ผ่านมา Ransomware ถือเป็นเครื่องมือหลักในการขายข้อมูลคืนให้แก่เจ้าของ และเงินดิจิทัลถูกใช้เพื่อจ่ายค่าไถ่ อย่างไรก็ตาม SANS พบว่าแฮ็กเกอร์เริ่มไม่สนใจข้อมูลอีกต่อไป เนื่องจากข้อมูลถูกขายในตลาดมืดเป็นจำนวนมาก ส่งผลให้ราคาของข้อมูลตกลง แฮ็กเกอร์จึงเลือกที่จะติดตั้ง Cryptocurrency Miner บนเครื่องของเหยื่อและลอบขุดเหรียญเงินดิจิทัลสร้างรายได้ให้แก่ตนเองแทน ดังนั้นแต่ละองค์กรจึงควรเรียนรู้วิธีที่จะตรวจจับการใช้ Cryotocurrency Miner รวมไปถึงวิธีตรวจหาช่องโหว่ที่อาจถูกนำมาใช้เจาะระบบเพื่อติดตั้ง Miner เหล่านั้นได้

4. ฮาร์ดแวร์ถูกค้นพบแล้วว่าไม่ได้ไร้ช่องโหว่

นักพัฒนาซอฟต์แวร์หลายคนเชื่อว่าฮาร์ดแวร์นั้นไร้ช่องโหว่ จึงมุ่งเน้นสนใจที่การทำให้ซอฟต์แวร์มีความมั่นคงปลอดภัยเพียงอย่างเดียว ซึ่งเป็นความเชื่อที่ผิด SANS ให้ความเห็นว่า ในปัจจุบันการผลิตฮาร์ดแวร์ก็มีความซับซ้อนไม่ต่างจากซอฟต์แวร์ และอาจมีข้อผิดพลาดเกิดขึ้นในระหว่างกระบวนการผลิตได้ ที่สำคัญคือการแพตช์ฮาร์ดแวร์เป็นเรื่องยาก อาจถึงขั้นต้องเปลี่ยนระบบใหม่ทั้งหมด หรือก่อให้เกิดผลข้างเคียงด้านประสิทธิภาพ

SANS แนะนำว่า นักพัฒนาควรเรียนรู้ที่จะสร้างซอฟต์แวร์โดยไม่พึ่งฮาร์ดแวร์ในการรับมือกับปัญหาด้านความมั่นคงปลอดภัยเพียงอย่างเดียว เช่นเดียวกับการที่ซอฟต์แวร์ใช้การเข้ารหัสข้อมูลบนระบบเครือข่ายสาธารณะ ซอฟต์แวร์ควรมีการพิสูจน์ตัวตนและเข้ารหัสข้อมูลตลอดเวลา ซึ่งอัลกอริธึม Homomorphic Encryption ใหม่ๆ หลายแบบอาจช่วยให้นักพัฒนาสามารถจัดการกับข้อมูลที่เข้ารหัสโดยไม่ต้องถอดรหัสข้อมูลก่อนได้

5. แฮ็กเกอร์เริ่มเลือกล่มระบบ ICS แทนที่จะขโมยข้อมูล

SANS ระบุว่า ปัจจุบันนี้ เป้าหมายในการโจมตีระบบ ICS ของแฮ็กเกอร์เริ่มเปลี่ยนไป จากเดิมที่มุ่งเน้นการสร้างผลประโยชน์แก่ตนเอง กลับเริ่มเลือกที่จะล่มหรือขัดขวางการทำงานของระบบแทน ที่สำคัญคือ ระบบ ICS ยังคงเปราะบางและง่ายต่อการถูกโจมตีอยู่เหมือนเดิม ถึงแม้ว่าเทคโนโลยีจะถูกพัฒนาไปไกล คงกินเวลาอีกหลายปีที่ระบบเหล่านี้จะพร้อมรับมือกับภัยคุกคามไซเบอร์อย่างจริงจัง

ที่มาและเครดิตรูปภาพ: https://www.helpnetsecurity.com/2018/04/23/dangerous-attack-techniques/

from:https://www.techtalkthai.com/sans-institute-reveals-5-dangerous-cyber-attacks/

TrueMove H ตั้งค่า AWS S3 พลาด ข้อมูลลูกค้ากว่า 46,000 รายหลุดสู่สาธารณะ

TrueMove H ผู้ให้บริการมือถือ 4G รายใหญ่ของประเทศไทย เผลอตั้งค่า AWS S3 Bucket ไม่รัดกุม ส่งผลให้ข้อมูลรูปบัตรประชาชนของลูกค้ากว่า 46,000 รายรั่วไหลสู่สาธารณะ อย่างไรก็ตาม TrueMove H ได้ดำเนินการแก้ไขและปิดสิทธิ์การเข้าถึงจากภายนอกเป็นที่เรียบร้อยแล้ว

Niall Merrigan นักวิจัยด้านความมั่นคงปลอดภัยเป็นผู้ค้นพบปัญหาดังกล่าว ซึ่งหลังจากทำการสแกนและตรวจสอบ AWS S3 Bucket ของ TrueMove H พบว่ามีโฟลเดอร์ชื่อ truemoveh/idcard โดยภายในประกอบด้วยโฟลเดอร์ย่อยที่แยกตามเดือนและปี ซึ่งแต่ละโฟลเดอร์บรรจุไฟล์สแกนบัตรประชาชนของลูกค้าทั้งแบบ JPG และ PDF พร้อมระบุข้อความว่า “ใช้เพื่อการลงทะเบียนเลขหมายใหม่กับทรูมูฟเอชเท่านั้น”

“จนถึงจุดนี้ ผมตระหนักแล้วว่าพวกเขาทำการเก็บบัตรประชาชนที่สแกนไว้ของลูกค้าไว้ใน S3 Bucket และไม่มีการรักษาความมั่นคงปลอดภัยใดๆ ที่ช่วยปกป้องไฟล์เหล่านี้ ง่ายๆ คือ ถ้าคุณเจอ URL คุณสามารถดาวน์โหลดข้อมูลที่สแกนของลูกค้าได้ทั้งหมด” — Merrigan ระบุใน Blog

จากการตรวจสอบพบว่า ข้อมูลบัตรประชาชนของลูกค้าถูกเก็บตั้งแต่ปี 2015 ถึง 2018 รวมทั้งสิ้น 32 GB หรือประมาณ 46,000 ราย โดยข้อมูลปี 2016 มีจำนวนมากที่สุด คือ 14.5 GB ในขณะที่ปี 2017 และ 2018 มีข้อมูล 6.6 GB และ 2.2 GB ตามลำดับ

Merrigan ได้แจ้งเรื่องดังกล่าวไปยัง TrueMove H เมื่อวันที่ 8 มีนาคมที่ผ่านมา ซึ่งได้รับคำตอบว่าให้อีเมลรายละเอียดไปที่ truemovecare@truecorp.co.th หลังจากที่ Merrigan ส่งข้อมูลรายละเอียดพร้อมตัวอย่างไปยังอีเมลดังกล่าว กลับพบว่าทีมงาน TrueMove Care ระบุว่า ไม่มีช่องทางติดต่อแผนกความมั่นคงปลอดภัย และให้ Merrigan โทรหาสำนักงานใหญ่แทน อย่างไรก็ตาม แม้ผ่านไป 2 – 3 สัปดาห์แล้วเรื่องกลับไม่คืบหน้า ส่งผลให้ Merrigan แจ้งทาง TrueMove Care ว่าจะเผยแพร่เรื่องนี้สู่สาธารณะ จนในที่สุด วันที่ 4 เมษายน ทาง TrueMove Care จึงได้ติดต่อกลับมาว่าทางทีมงานได้ทราบเรื่องแล้ว และกำลังตรวจสอบอยู่เพื่อดำเนินการแก้ไข ซึ่งกว่าจะจัดการปิดสิทธิ์การเข้าถึงจากสาธารณะก็ดำเนินมาถึงวันที่ 12 เมษายน กินระยะเวลานานกว่า 1 เดือน

จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่า มีบุคคลอื่นเข้าถึงหรือดาวน์โหลดข้อมูลใน AWS S3 ออกไปหรือไม่ คงต้องรอแถลงการณ์อย่างเป็นทางการจาก TrueMove H อีกทีหนึ่ง

ที่มา: https://www.certsandprogs.com/2018/04/another-telco-is-failing-at-security.html#axzz5CXkf6GxS

from:https://www.techtalkthai.com/truemove-h-aws-s3-data-leakage/

ข้อมูลลูกค้า Walmart 1.3 ล้านรายรั่่วทาง AWS S3 จากการตั้งค่าที่ไม่ถูกต้อง

กรณีข้อมูลรั่วผ่านระบบ Cloud Storage ที่ไม่ได้ตั้งค่าอย่างปลอดภัยนั้นยังปรากฏให้เห็นเป็นข่าวกันอย่างต่อเนื่อง และในครั้งนี้ ข้อมูลลูกค้าของ Walmart กว่า 1.3 ล้านรายก็รั่วผ่านทาง Amazon S3 ที่ไม่ได้ตั้งค่าเอาไว้อย่างปลอดภัย

 

Credit: Bloomua/ShutterStock

 

เหตุข้อมูลรั่วครั้งนี้เกิดขึ้นจากบริษัท MBM Company ที่เป็นพาร์ทเนอร์กับ Walmart ได้ทำการสร้าง AWS S3 Bucket ที่มีชื่อว่า walmartsql เอาไว้จัดเก็บข้อมูลสำรองของ Database เอาไว้ และไม่ได้ทำการตั้งค่าเอาไว้อย่างปลอดภัย ทำให้ข้อมูลเหล่านี้สามารถถูกเข้าถึงจากสาธารณะได้ ซึ่งข้อมูลที่ถูกเปิดเผยในครั้งนี้ได้แก่ข้อมูล Mailing List, ข้อมูลบัตรเครดิตที่ถูกเข้ารหัสเอาไว้, รายละเอียดการจ่ายเงิน, โค้ดสำหรับโปรโมชันต่างๆ และการสั่งซื้อสินค้า

Kromtech Security เป็นบริษัทที่ค้นพบข้อมูลเหล่านี้ตั้งแต่เมื่อวันที่ 3 กุมภาพันธ์ 2018 ที่ผ่านมา ได้ระบุว่าข้อมูลที่ถูกเปิดเผยในครั้งนี้เป็นข้อมูลของลูกค้าตั้งแต่ช่วงปี 2000 ถึงช่วงต้นปี 2018

ก็ถือเป็นอีกกรณีที่ข้อมูลรั่วจากความประมาทของภาคธุรกิจเอง ทั้งนี้องค์กรต่างๆ นั้นควรจะต้องมีความรู้ความเข้าใจเกี่ยวกับเทคโนโลยีที่ใช้งานให้ดีขึ้น และให้ความสำคัญกับการตรวจสอบว่าข้อมูลที่เกี่ยวข้องกับธุรกิจของตนเองถูกจัดเก็บอยู่ที่ไหน อย่างไร เป็นส่วนตัวหรือไม่ และปลอดภัยหรือไม่ เพราะประเด็นเหล่านี้ล้วนแล้วแต่ส่งผลกระทบต่อความเชื่อมั่นในธุรกิจทั้งสิ้น

มีความเห็นที่น่าสนใจจากงานสำรวจของ Threat Stack ว่า 3 ใน 4 ของเหล่าองค์กรนั้นมีการตั้งค่า AWS ที่ผิดพลาดอย่างร้ายแรงไม่ทางใดก็ทางหนึ่ง และในขณะเดียวกัน ธุรกิจต่างๆ ที่เติบโตอย่างรวดเร็วนั้นต่างก็ต้องอาศัยระบบ IT Infrastructure ของผู้ให้บริการภายนอก ซึ่งทั้งสองประเด็นนี้ต่างก็ล้วนแสดงให้เห็นถึงความสำคัญของการให้ความสำคัญกับการใช้งานเทคโนโลยีจากผู้ให้บริการภายนอกให้ถูกวิธี

 

ที่มา: https://www.scmagazine.com/open-aws-s3-bucket-managed-by-walmart-jewelry-partner-exposes-info-on-13m-customers/article/751751/

from:https://www.techtalkthai.com/1-3-million-of-walmart-customer-data-leaked-from-misconfigured-aws-s3/

ผู้เชี่ยวชาญเตือน Amazon S3 เสี่ยงถูก Ransomware โจมตีในอนาคตอันใกล้นี้

Kevin Beaumont ผู้เชี่ยวชาญด้าน InfoSec ออกมาแจ้งเตือนผู้ใช้ Amazon S3 ซึ่งเป็นบริการ Cloud Storage ของ AWS เสี่ยงถูก Ransomware โจมตีเพื่อเรียกค่าไถ่เหมือนที่ MongoDB หลายหมื่น Databases ถูกโจมตีตลอดปี 2017 เนื่องจากการตั้งค่าไม่มั่นคงปลอดภัย

Credit: Nicescene/ShutterStock

ในปี 2017 ที่ผ่านมานี้ เราได้เห็นข่าวข้อมูลใน Amazon S3 รั่วไหลออกสู่สาธารณะเป็นจำนวนมาก ไม่ว่าจะเป็น NSA, กองทัพสหรัฐฯ, ผู้ให้บริการการทำ Data Analytics และอื่นๆ ซึ่งส่วนใหญ่มีสาเหตุมาจากการตั้งค่าให้ Amazon S3 เป็นแบบ Publicly-readable โดยไม่รู้ตัว อย่างไรก็ตาม พบว่ามีผู้ใช้บริการบางรายเผลอตั้งค่าแย่ยิ่งกว่านั้น คือเป็น Publicly-writable ซึ่งช่วยให้ใครก็ตาม ต่อให้ไม่มีบัญชี AWS ก็สามารถเขียนหรือลบข้อมูลออกจาก Amazon S3 ได้ทันที จากการสำรวจของ Skyhigh Networks ในเดือนกันยายน 2017 พบว่ามี Amazon S3 ถึง 7% ที่ตั้งค่าแบบ Publicly-writable

ด้วยเหตุนี้ทำให้ผู้เชี่ยวชาญหลายรายเชื่อว่า กลุ่มแฮ็กเกอร์ที่อยู้เบื้องหลังจากโจมตีเพื่อเรียกค่าไถ่จาก MongoDB, ElasticSearch, Hadoop, CouchDB, Cassandra และ MySQL servers ในปี 2017 จะเริ่มหันมาพุ่งเป้าที่ Amazon S3 แบบ Publicly-writable ในปี 2018 นี้ อย่างไรก็ตาม เนื่องจาก Amazon S3 เก็บข้อมูลปริมาณมหาศาล การลบข้อมูลทิ้งทั้งหมดแล้วเรียกค่าไถ่แลกกับการนำข้อมูลกลับคืนมาจึงเป็นไปได้ยาก เนื่องจากแฮ็กเกอร์ส่วนใหญ่คงไม่มีระบบ Storage ที่ใหญ่เพียงพอสำหรับสำรองข้อมูลของเหยื่อหลายๆ ราย ส่งผลให้เป็นไปได้สูงที่เหยื่อจะจ่ายค่าไถ่ฟรีๆ

Mike Gualtieri นักวิจัยด้านความมั่นคงปลอดภัยระบุว่า ในเชิงเทคนิคแล้ว การโจมตีเพื่อเรียกค่าไถ่ Amazon S3 เป็นเรื่องที่เป็นไปได้ โดยเขาประสบความสำเร็จในการเขียนสคริปต์ POC เพื่อเข้าถึง Amazon S3 ที่เปิดให้เขียนข้อมูลลงไปได้ โดยสคริปต์จะทำการลิสต์ไฟล์ทั้งหมดใน S3, ดาวน์โหลดไฟล์มาทำแฮชด้วย MD5, จากนั้นลบไฟล์ทิ้ง แล้วอัปโหลดไฟล์แฮชกลับขึ้นไปพร้อมต่อท้ายด้วย .enc เพื่อหลอกผู้ใช้บริการว่าข้อมูลถูกเข้ารหัสเรียบร้อย

นอกจากนี้ยังพบว่ามีนักวิจัยด้านความมั่นคงปลอดภัยบางราย เช่น Robbie Wiggins ได้ทำการสแกน Amazon S3 ที่ตั้งค่าเป็น Publicly-writable พบว่ามีจำนวนมากถึง 5,260 เครื่อง ซึ่ง 50 เครื่องดำเนินการโดย BBC โดยเขาได้ทำการแนบไฟล์ลงไปใน Amazon S3 ที่ค้นพบด้วยข้อความแจ้งเตือนว่า “Anyone can write to this bucket. Please fix this before a bad guy finds it.”

ที่สำคัญคือ Amazon S3 บางส่วนมีการเก็บข้อมูลสำคัญหรือความลับที่พร้อมถูกเรียกค่าไถ่อีกด้วย ไม่ว่าจะเป็นข้อมูลทางการแพทย์ ข้อมูลด้านการทหาร ข้อมูลทรัพย์สินทางปัญญา ข้อมูลสำรอง ไฟล์ Bitcoin Wallet และอื่นๆ ส่งผลให้ต่อให้ Amazon S3 ไม่ได้เป็นแบบ Publicly-writable การที่แฮ็กเกอร์สามารถเข้าถึงข้อมูลเหล่านี้ได้อาจนำไปสู่การ Blackmail เพื่อเรียกค่าไถ่ โดยเฉพาะอย่างยิ่งการมาถึงของ GDPR ในเดือนพฤษภาคมนี้อาจทำให้เหยื่อยอมจ่ายค่าไถ่แทนที่จะเสียค่าปรับหลายสิบล้านยูโร

อย่างไรก็ตาม ทางด้าน AWS เองก็ได้ออกมาแจ้งเตือนผู้ใช้บริการเกี่ยวกับการตั้งค่า Amazon S3 ให้มั่นคงปลอดภัย พร้อมเปิดให้ใช้ AWS Trusted Advisor S3 Bucket Permissions Check Tool พรี สำหรับตรวจสอบว่า Amazon S3 ที่รันอยู่นั้นมีการตั้งค่า Permission อย่างเหมาะสมหรือไม่ หรือจะใช้ S3 Inspector ซึ่งเป็นสคริปต์ Python จาก Kromtech ในการตรวจเช็คก็ได้

ที่มา: https://www.bleepingcomputer.com/news/security/amazon-aws-servers-might-soon-be-held-for-ransom-similar-to-mongodb/

from:https://www.techtalkthai.com/amazon-s3-tends-to-be-ransomed-soon/

FedEx ทำข้อมูลส่วนตัวของลูกค้านับแสนรายทั่วโลกรั่วทาง Amazon S3 ที่ไม่ได้ตั้งค่าอย่างถูกต้อง

เป็นอีกกรณีหนึ่งของการที่ธุรกิจชื่อดังทำข้อมูลของลูกค้าหลุดรั่วผ่านบริการ Cloud Storage เนื่องจากไม่ได้ทำการตั้งค่าของระบบให้ดี

 

Credit: ShutterStock.com

 

นักวิจัยจาก Kromtech Security Center ได้ออกมาเปิดเผยถึงการค้นพบ Amazon S3 Bucket ของ FedEx ที่มีข้อมูลของลูกค้าจำนวนมากถูกเปิดให้เข้าถึงได้จากสาธารณะ โดยข้อมูลเหล่านี้ครอบคลุมถึงเอกสารจากการแสกนจำนวนมากกว่า 119,000 รายการ ทั้งพาสปอร์ต, ใบขับขี่, ข้อมูลการกรอกแบบฟอร์ม ซึ่งมีทั้งข้อมูลชื่อ, ที่อยู่, เบอร์โทรศัพท์ และเลขไปรษณีย์ของลูกค้าจากหลากหลายประเทศทั่วโลก

ข้อมูลดังกล่าวนี้ถูกเก็บอยู่ภายในบริการ Cloud ซึ่งเดิมทีเป็นของบริษัท Bongo International ซึ่งเป็นบริษัทที่ FedEx เข้าซื้อกิจการมาตั้งแต่ปี 2014 ทำให้ธุรกิจใดๆ ก็ตามที่เคยใช้บริการของบริษัทนี้มาก่อนในช่วงปี 2009 – 2012 ก็อาจตกอยู่ในความเสี่ยงเดียวกันได้เช่นกัน

ปัจจุบันทาง FedEx ได้ทำการปิดการเข้าถึงข้อมูลดังกล่าวจากพื้นที่สาธารณะไปที่เรียบร้อย พร้อมยืนยันว่ายังไม่พบหลักฐานว่าข้อมูลเหล่านี้ได้ตกไปอยู่ในมือของผู้ประสงค์ร้ายแต่อย่างใด

อย่างไรก็ดี ที่ผ่านมานั้นมีการโจมตีซึ่งมุ่งเป้าไปที่การเข้าถึงข้อมูลซึ่งเปิดเผยแบบสาธารณะบน AWS S3 กันมากขึ้นเรื่อยๆ ดังนั้นกรณีนี้ก็ถือเป็นสิ่งที่เหล่าผู้ใช้บริการ Cloud ต้องใส่ใจป้องกันให้ดี

 

ที่มา: https://www.infosecurity-magazine.com/news/fedex-s3-bucket-exposes-private/

from:https://www.techtalkthai.com/fedex-data-leaked-via-amazon-s3/

พบช่องโหว่บน Grammarly Plugin เสี่ยงถูกแฮ็กเกอร์ขโมยข้อมูล

Tavis Ormandy จาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับสูงบน Plugin สำหรับตรวจสอบไวยากรณ์ภาษาอังกฤษที่ชื่อว่า Grammarly บน Google Chrome และ Firefox ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลเอกสารได้ ผู้ใช้กว่า 22 ล้านคนต่างได้รับผลกระทบ

Grammarly เป็นโปรแกรมสำหรับช่วยตรวจสอบการใช้คำศัพท์และไวยากรณ์ภาษาอังกฤษยอดนิยม โดยผู้ใช้สามารถติดตั้งเป็น Plugin บนเว็บเบราว์เซอร์สำหรับใช้ตรวจสอบข้อความภาษาอังกฤษที่พิมพ์ลงไปได้ ซึ่งปัจจุบันนี้มีผู้ใช้มากกว่า 22 ล้านคน อย่างไรก็ตาม Ormandy พบว่า เขาสามารถขโมย Authentication Token จากผู้ใช้ที่ติดตั้ง Plugin บน Chrome และ Firefox ได้โดยใช้โค้ด JavaScript เพียงแค่ 4 บรรทัดเท่านั้น นั่นหมายความว่า เมื่อผู้ใช้ Grammarly เข้าถึงเว็บไซต์ที่มีการใช้ JavaScript ดังกล่าว เจ้าของเว็บไซต์สามารถขโมย Authentication Token ของผู้ใช้คนนั้นเพื่อสวมรอยล็อกอินเข้า Grammarly เพื่อดูเอกสารที่ทำการตรวจไวยากรณ์ ข้อมูลในอดีต Log และข้อมูลอื่นๆ ได้ทันที ส่งผลให้ข้อมูลความลับบนเอกสารเหล่านั้นรั่วไหลสู่ภายนอกได้

Ormandy ได้รายงานช่องโหว่นี้ไปยัง Grammarly เมื่อวันศุกร์ที่ผ่านมา ซึ่งทาง Grammarly ได้ดำเนินการอุดช่องโหว่เป็นที่เรียบร้อยเมื่อช่วงเช้าวันจันทร์ ซึ่งถือว่าเป็นการแก้ไขปัญหาที่รวดเร็วมาก สำหรับอัปเดตใหม่นั้น จะถูกใช้บน Plugin ของทั้ง Chrome และ Firefox โดยอัตโนมัติ โดยที่ผู้ใช้ Grammarly ไม่ต้องดำเนินการใดๆ

ทางโฆษกของ Grammarly ออกมาระบุว่า จนถึงตอนนี้ยังไม่มีหลักฐานใดๆ ที่บ่งชี้ว่ามีผู้ใช้ Grammarly ถูกแฮ็กและขโมยข้อมูลจากช่องโหว่ดังกล่าว

ผู้ที่สนใจสามารถอ่านรายงานเชิงเทคนิคและโค้ด PoC ได้ที่: https://bugs.chromium.org/p/project-zero/issues/detail?id=1527&desc=2

ที่มาและเครดิตรูปภาพ: https://thehackernews.com/2018/02/grammar-checking-software.html

from:https://www.techtalkthai.com/grammary-plugin-vulnerability-leads-to-data-stolen/