Fortinet ออกมายืนยันว่าถูก ขอโมยข้อมูล หลังจากมีการแอบอ้างจากผู้ไม่ประสงค์ดีได้ทำการขโมยไฟล์ขนาด 440GB ไป

    Fortinet บริษัทใหญ่ด้านความปลอดภัยทางไซเบอร์ได้ยืนยันว่ามีการละเมิดข้อมูลเกิดขึ้น หลังจากมีผู้ไม่ประสงค์ดีอ้างว่าได้ขโมยไฟล์ขนาด 440GB จากเซิร์ฟเวอร์ Microsoft SharePoint ของบริษัท

    เหตุเกิดขึ้นเมื่อ ผู้ไม่ประสงค์ดีรายหนึ่งได้โพสต์ในฟอรัมแฮกเกอร์ว่าได้ขโมยข้อมูล 440GB จากระบบ Azure SharePoint ของ Fortinet จากนั้นได้แชร์ข้อมูลการเข้าถึงไปยัง S3 bucket ที่เชื่อว่ามีการเก็บข้อมูลที่ถูกขโมยไว้ เพื่อให้เหล่าผู้ไม่ประสงค์ดีรายอื่น ๆ สามารถดาวน์โหลดได้

    ผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ "Fortibitch" อ้างว่าได้พยายามเรียกค่าไถ่จาก Fortinet โดยคาดว่าจะเป็นการป้องกันไม่ให้ข้อมูลถูกเผยแพร่ แต่ทางบริษัทปฏิเสธที่จะจ่ายเงิน

    ในคำตอบต่อคำถามของ BleepingComputer เกี่ยวกับเหตุการณ์นี้ Fortinet ยืนยันว่ามีข้อมูลลูกค้าถูกขโมยจาก "ไดรฟ์แชร์บนคลาวด์ของบุคคลที่สาม"

    "บุคคลหนึ่งได้เข้าถึงไฟล์จำนวนจำกัดที่จัดเก็บอยู่ในระบบคลาวด์ไดรฟ์ที่ใช้ร่วมกันของบุคคลที่สามของ Fortinet โดยไม่ได้รับอนุญาต ซึ่งรวมถึงข้อมูลจำกัดที่เกี่ยวข้องกับลูกค้า Fortinet จำนวนไม่มาก" บริษัทกล่าวกับ BleepingComputer

    Fortinet ไม่ได้เปิดเผยจำนวนลูกค้าที่ได้รับผลกระทบหรือประเภทของข้อมูลที่ถูกละเมิด แต่ได้กล่าวว่า "ได้สื่อสารกับลูกค้าโดยตรงตามความเหมาะสม"

BleepingComputer ได้ติดต่อ Fortinet เพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับการละเมิดนี้ แต่ยังไม่ได้รับคำตอบในขณะนี้

    ในเดือนพฤษภาคม 2023 ผู้ไม่ประสงค์ดีอ้างว่าบุกเข้าไปในที่เก็บ GitHub ของบริษัท Panopta ซึ่งถูกซื้อโดย Fortinet ในปี 2020 และได้ปล่อยข้อมูลที่ขโมยมาในฟอรัมแฮกเกอร์ที่ใช้ภาษารัสเซีย

Ref : bleepingcomputer

Toyota ยืนยันเหตุการณ์ข้อมูลรั่วหลังจากข้อมูลที่ถูกขโมยถูกเผยแพร่บนฟอรัมแฮ็กเกอร์

    โตโยต้ายืนยันว่าเครือข่ายของบริษัทถูกโจมตีหลังจากผู้ไม่ประสงค์ดีเผยแพร่ไฟล์เก็บข้อมูลขนาด 240GB ที่ถูกขโมยจากระบบของบริษัทบนฟอรัมแฮ็กเกอร์

    "เรารับทราบถึงสถานการณ์นี้แล้ว ปัญหาดังกล่าวมีขอบเขตจำกัดและไม่ใช่ปัญหาที่เกิดขึ้นทั่วทั้งระบบ" โตโยต้ากล่าวกับ BleepingComputer เมื่อถูกถามเพื่อยืนยันคำกล่าวอ้างของผู้ไม่ประสงค์ดี

    ยังกล่าวเสริมว่า "ได้ทำการติดต่อกับผู้ที่ได้รับผลกระทบและจะให้ความช่วยเหลือหากจำเป็น" แต่ยังไม่ได้ให้ข้อมูลเกี่ยวกับเวลาที่ค้นพบการละเมิด วิธีที่ผู้โจมตีเข้าถึงข้อมูล และจำนวนผู้ที่ข้อมูลถูกเปิดเผยในเหตุการณ์นี้

    ZeroSevenGroup (กลุ่มผู้ไม่ประสงค์ดีที่เผยแพร่ข้อมูลที่ถูกขโมย) ระบุว่าพวกเขาได้เจาะระบบสาขาหนึ่งในสหรัฐอเมริกาและสามารถขโมยไฟล์ขนาด 240GB ซึ่งมีข้อมูลของพนักงานและลูกค้าของโตโยต้า รวมถึงสัญญาและข้อมูลทางการเงิน

    พวกเขายังอ้างว่าได้รวบรวมข้อมูลโครงสร้างพื้นฐานของเครือข่าย รวมถึงข้อมูลประจำตัว โดยใช้เครื่องมือ ADRecon แบบโอเพ่นซอร์สที่ช่วยดึงข้อมูลจำนวนมากจากสภาพแวดล้อมของ Active Directory

"เราทำการเจาะระบบสาขาในสหรัฐอเมริกาของหนึ่งในผู้ผลิตรถยนต์รายใหญ่ที่สุดในโลก (TOYOTA) เรามีความยินดีอย่างยิ่งที่จะแชร์ไฟล์เหล่านี้ให้คุณฟรีๆ ขนาดของข้อมูล: 240 GB," ผู้ไม่ประสงค์ดีกล่าว

ทุกอย่างเช่น รายชื่อผู้ติดต่อ, การเงิน, ลูกค้า, โครงการ, พนักงาน, รูปภาพ, ฐานข้อมูล, โครงสร้างพื้นฐานเครือข่าย, อีเมล, และข้อมูลที่สมบูรณ์แบบอีกมากมาย

    แม้ว่าโตโยต้าจะยังไม่ได้เปิดเผยวันที่ของการละเมิดข้อมูล แต่ BleepingComputer พบว่าไฟล์ดังกล่าวถูกขโมยหรือถูกสร้างขึ้นเมื่อวันที่ 25 ธันวาคม 2022 วันที่นี้อาจบ่งชี้ว่าผู้ไม่ประสงค์ดีเข้าถึงเซิร์ฟเวอร์สำรองที่เก็บข้อมูลดังกล่าวได้

    เมื่อปีที่แล้ว บริษัท Toyota Financial Services (TFS) ซึ่งเป็นบริษัทลูกของโตโยต้า ได้แจ้งเตือนลูกค้าในเดือนธันวาคมว่าข้อมูลส่วนบุคคลและข้อมูลทางการเงินที่สำคัญของพวกเขาถูกเปิดเผยจากการละเมิดข้อมูลที่เกิดจากการโจมตีด้วย Medusa ransomware ซึ่งส่งผลกระทบต่อแผนกยุโรปและแอฟริกาของผู้ผลิตรถยนต์สัญชาติญี่ปุ่นรายนี้ในเดือนพฤศจิกายน

    ไม่กี่เดือนก่อนหน้านั้น ในเดือนพฤษภาคม โตโยต้าเปิดเผยการละเมิดข้อมูลอีกครั้งและเปิดเผยว่าข้อมูลตำแหน่งรถยนต์ของลูกค้า 2,150,000 รายถูกเปิดเผยเป็นเวลา 10 ปี ตั้งแต่วันที่ 6 พฤศจิกายน 2013 ถึง 17 เมษายน 2023 เนื่องจากการตั้งค่าฐานข้อมูลผิดพลาดในสภาพแวดล้อมคลาวด์ของบริษัท

ไม่กี่สัปดาห์ต่อมา พบบริการคลาวด์ที่ตั้งค่าผิดพลาดเพิ่มเติมสองรายการซึ่งทำให้ข้อมูลส่วนบุคคลของลูกค้าโตโยต้ารั่วไหลเป็นเวลากว่าเจ็ดปี

    หลังจากเหตุการณ์ทั้งสองนี้ โตโยต้าระบุว่าได้ใช้ระบบอัตโนมัติเพื่อตรวจสอบการตั้งค่าคลาวด์และการตั้งค่าฐานข้อมูลในทุกสภาพแวดล้อมเพื่อป้องกันการรั่วไหลในอนาคต

นอกจากนี้ บริษัทย่อยด้านการขายของโตโยต้าและเล็กซัสหลายแห่งยังถูกโจมตีระบบในปี 2019 เมื่อผู้โจมตีขโมยและเผยแพร่สิ่งที่บริษัทอธิบาย ณ เวลานั้นว่ามี "ข้อมูลลูกค้ามากถึง 3.1 ล้านรายการ"

Ref:bleepingcomputer

พบ Linux Ransomware ตัวใหม่ใช้ชื่อว่า "PLAY"

    กลุ่ม Play Ransomware เป็นกลุ่ม Ransomware ใหม่ที่ถูกกล่าวถึงและมีการใช้ Linux Locker ที่เฉพาะเพื่อเข้ารหัสเครื่อง VMware ESXi

    Trend Micro ได้ออกมาเปิดเผยว่า ได้มีการค้นพบ Ransomware รูปแบบใหม่ และยังมีการใช้ Locker ที่ออกแบบมาเพื่อใช้โจมตีบน VMware ESXi โดยที่จะตรวจสอบก่อนการโจมตี และยังสามารถหลบเลี่ยงการตรวจสอบความปลอดภัยของ Linux ได้อีกด้วย และยังเสริมด้วยอีกว่าในการพัฒนาขีดความสามารถของ Ransomware Linux ในครั้งนี้

    ชี้ให้เห็นว่าในอนาคตอาจจะมีขยายการโจมตีให้ครอบคลุม Linux มากขึ้นไปอีกและอาจจะส่งผลให้กับผู้ใช้งานเพิ่มมากขึ้นไปอีก การปิดเครื่อง VMware ESXi จะส่งผลกระทบให้กับองค์กรอย่างประเมินค่าไม่ได้

    ในการตรวจสอบครั้งนี้ทาง Trend Micro ยังตรวจพบว่ากลุ่มนี้ยังใช้บริการ ย่อ URL ที่ถูกตั้งชื่อว่า Prolific Puma อีกด้วยเมื่อ Play Ransomware ถูกติดตั้งมันจะเริ่มทำการสแกนเครื่อง VM และเมื่อเงื่อนไขของ VM เข้ากับ Ransomware จะทำการสั่ง Lock และ ปิดเครื่องและทำการเปลี่ยนนามสกุลของไฟล์เป็น .PLAY ที่ส่วนท้ายของทุก ๆ ไฟล์ เพื่อทำการปืดเครื่อง VMware ESXi Script ที่ใช้รันจะใช้โค้ดต่อไปนี้

/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"

    นอกจากนี้ Play Ransomware ถ้าเป้าหมายถูกโจมตีสำเร็จจะมีการทิ้งบันทึกเรียกค่าไถ่ใว้ใน Directory Root ของ VM ซึ่งจะปรากฏในพอล์ทัลการเข้าสู่ระบบของ Client ESXi

    เมื่อทำการตรวจสอบเพิ่มเติม พบว่า Play Ransomware ถูกใช้โจมตีมาตั้งแต่ มิถุนายน 2022 จนเมื่อเดือนธันวาคม ในปีเดียวกัน Play Ransomeware ได้โจมตีไปทั่วโลกประมาณ 300 แห่งจนถึงเดือนตุลาคม 2023
หน่วยงานความมั่นคงปลอดภัย CISA ออกประกาศและแจ้งเตือนไปยังผู้ดูแลระบบและผู้ใช้งานถึงวิธีการป้องกัน สามารถทำได้ดังนี้

• เปิดโหมดการยืนยันแบบหลายปัจจัยในระบบที่สามารถทำได้ทันที
• สำรองข้อมูลแบบ Offline 
• Update Software ให้เป็นปัจจุบัน

Ref: bleepingcomputer

Fujitsu ยืนยันข้อมูลลูกค้ารั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ช่วงเดือนมีนาคม

    Fujitsu ยืนยันว่าข้อมูลที่เกี่ยวข้องกับบุคคล และธุรกิจของลูกค้าบางรายรั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ที่ตรวจพบเมื่อต้นปีที่ผ่านมา

    โดยระบุว่า การโจมตีไม่ได้เกี่ยวข้องกับ Ransomware แต่มีการใช้วิธีการที่หลบซ่อนเพื่อหลีกเลี่ยงการตรวจสอบความถูกต้อง ตรวจจับความเคลื่อนไหวในขณะที่ขโมยข้อมูลออกไป โดยในช่วงเดือนมีนาคม บริษัทพบว่าระบบของบริษัทหลายระบบติด Malware และสังเกตเห็นความเป็นไปได้ที่ข้อมูลที่มีความสำคัญของลูกค้าอาจถูก compromised

    ทีมรักษาความมั่นคงปอลดภัยสารสนเทศของ Fujitsu เมื่อทราบเหตุได้เริ่มกระบวนการแยกคอมพิวเตอร์ที่ได้รับผลกระทบ และเริ่มการสืบสวนโดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญภายนอกเพื่อกำหนดขอบเขตของการรั่วไหล

หลังเสร็จสิ้นกระบวนการทำ Digital forensics

    ทาง Fujitsu ได้สรุปการตรวจสอบเหตุการณ์ และยืนยันว่าข้อถูกนำออกไปโดยการใช้งาน Malware ที่แพร่กระจายจากจุดเริ่มต้นเพียงจุดเดียวไปยังคอมพิวเตอร์ 49 เครื่อง โดยที่หลังจาก Malware ถูกติดตั้งบนคอมพิวเตอร์เครื่องหนึ่งของบริษัท ถูกพบว่าได้มีการแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ๆ

"Malware นี้ไม่ใช่ Ransomware แต่ใช้เทคนิคที่ซับซ้อนในการปลอมตัวทำให้ยากต่อการตรวจจับ ซึ่งเกิดจากการโจมตีขั้นสูง"

    Fujitsu ระบุว่าคอมพิวเตอร์ที่ติดมัลแวร์ทั้ง 49 เครื่องถูกแยกออกจากระบบอื่น ๆ ทันทีหลังจากพบการโจมตี และมัลแวร์ถูกจำกัดอยู่ในสภาพแวดล้อมเครือข่ายบริษัทในญี่ปุ่นเท่านั้น

    บริษัทระบุว่า "คำสั่งในการคัดลอกไฟล์ถูกดำเนินการจากพฤติกรรมของมัลแวร์" ด้วยเหตุนี้ Fujitsu จึงระบุว่ามีความเป็นไปได้ที่ข้อมูลอาจถูกขโมยออกไป "ไฟล์ที่สามารถคัดลอกได้มีข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องกับธุรกิจของลูกค้า"

    Fujitsu อธิบายเพิ่มเติมว่ายังไม่ได้รับรายงานว่าข้อมูลที่ถูก compromised ถูกนำไปใช้ในทางที่ผิด หลังจากการวิเคราะห์มัลแวร์ และเหตุการณ์ Fujitsu ได้ใช้มาตรการการตรวจสอบด้านความปลอดภัยสำหรับคอมพิวเตอร์ทั้งหมดในบริษัท และอัปเดตโซลูชันตรวจจับมัลแวร์เพื่อป้องกันการโจมตีที่คล้ายกัน

Ref: bleepingcomputer

พบข้อมูล plaintext password รั่วไหลกว่า 19 ล้านรายการ จาก Firebase instance ที่ตั้งค่าไม่ปลอดภัย

    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รายงานการค้นพบ Plaintext password กว่า 19 ล้านรหัส ที่ถูกเปิดเผยบนอินเทอร์เน็ตจาก Firebase instance ที่ตั้งค่าแบบไม่ปลอดภัย โดย Firebase เป็นแพลตฟอร์มของ Google สำหรับการโฮสต์ฐานข้อมูล 

  การประมวลผลแบบคลาวด์ และการพัฒนาแอป ซึ่งผู้เชี่ยวชาญได้ทำการสแกนโดเมนมากกว่า 5 ล้านโดเมน และพบเว็บไซต์ 916 แห่ง จากองค์กรที่ไม่ได้เปิดใช้งานมาตรการด้านความปลอดภัย หรือตั้งค่าไม่ถูกต้องโดยข้อมูล plaintext password ที่รั่วไหลประกอบไปด้วย ข้อมูลผู้ใช้ที่มีความสำคัญมากกว่า 125 ล้านรายการ รวมถึงอีเมล ชื่อ รหัสผ่าน หมายเลขโทรศัพท์ และข้อมูลการเรียกเก็บเงินพร้อมรายละเอียดธนาคาร

ข้อมูล Plaintext password ที่รั่วไหล

    ผู้เชี่ยวชาญ (Logykk ,xyzeva/Eva และ MrBruh) ได้ค้นหาเว็บสาธารณะเพื่อหาข้อมูลส่วนบุคคล (PII) ที่ถูกเปิดเผยผ่าน Firebase instance ที่มีช่องโหว่ ซึ่งไม่มีการตั้งค่าความปลอดภัยเลย หรือมีการกำหนดค่าไม่ถูกต้อง และอนุญาตให้เข้าถึงฐานข้อมูลแบบ read access ได้

    สำหรับตัวอย่าง database ที่รั่วไหล ถูกแสดงโดยคริปต์ของ Eva ซึ่งเป็น Catalyst ที่มีไว้เพื่อตรวจสอบประเภทของข้อมูลที่พบ และแยกตัวอย่าง 100 รายการ

รายละเอียดของข้อมูล plaintext password ที่รั่วไหล จากการตั้งค่าไม่ปลอดภัย ประกอบไปด้วย:

ชื่อ : 84,221,169 รายการ

อีเมล์: 106,266,766 รายการ

หมายเลขโทรศัพท์: 33,559,863 รายการ

รหัสผ่าน: 20,185,831 รายการ

ข้อมูลการเรียกเก็บเงิน (รายละเอียดธนาคาร ใบแจ้งหนี้ ฯลฯ): 27,487,924 รายการ

ซึ่งรหัสผ่านจำนวน 98% หรือ 19,867,627 รายการ เป็น plaintext password ทำให้มีความเสี่ยงที่จะถูกนำข้อมูลไปใช้ในการโจมตีได้

    ทั้งนี้ผู้เชี่ยวชาญระบุว่าบริษัทต่าง ๆ ควรต้องหลีกเลี่ยงการจัดเก็บรหัสผ่านในรูปแบบ plaintext เนื่องจาก Firebase มี end-to-end identity solution ที่เรียกว่า Firebase Authentication โดยเฉพาะ สำหรับกระบวนการลงชื่อเข้าใช้ที่ปลอดภัย ซึ่งจะไม่เปิดเผยรหัสผ่านของผู้ใช้ใน record หนึ่งในวิธีการรั่วไหลของของรหัสผ่านผู้ใช้ใน Firestore database คือการที่ผู้ดูแลระบบสร้างฟิลด์ 'password' ที่จะจัดเก็บข้อมูลในรูปแบบ plaintext

การแจ้งเตือนไปยังเจ้าของเว็บไซต์

    หลังจากวิเคราะห์ข้อมูลจากตัวอย่างแล้ว ผู้เชี่ยวชาญได้พยายามแจ้งเตือนไปยังบริษัทที่ได้รับผลกระทบทั้งหมดเกี่ยวกับ Firebase instance ที่มีการรักษาความปลอดภัยที่ไม่เหมาะสม โดยส่งอีเมล 842 ฉบับในระยะเวลา 13 วัน แม้ว่าจะมีเจ้าของเว็บไซต์เพียง 1% ตอบกลับอีเมลดังกล่าว แต่พบว่าหนึ่งในสี่ของผู้ดูแลระบบเว็บไซต์ที่ได้รับแจ้งเตือน ได้ทำการแก้ไขการกำหนดค่าที่ไม่ถูกต้องในแพลตฟอร์ม Firebase ของตน รวมถึงผู้เชี่ยวชาญยังได้รับการเยาะเย้ยจากเว็บไซต์การพนันของอินโดนีเซีย 9 รายการ ที่ผู้เชี่ยวชาญได้รายงานปัญหา และแนะนำแนวทางในการแก้ไขปัญหา ซึ่งบริษัทเดียวกันนี้ มีจำนวนบันทึกบัญชีธนาคารที่ถูกเปิดเผยมากที่สุด (8 ล้านรายการ) และรหัสผ่านแบบ plaintext (10 ล้านรายการ)

ข้อมูลที่รั่วไหลทั้งหมด 223 ล้านรายการ

    ผู้เชี่ยวชาญได้ทำการสแกนโดยใช้สคริปต์ Python ที่สร้างโดย MrBruh เพื่อตรวจสอบเว็บไซต์ หรือชุด JavaScript เพื่อหาตัวแปรในการกำหนดค่า Firebase ซึ่งการสแกนอินเทอร์เน็ต แยกวิเคราะห์ข้อมูลดิบ และการจัดระเบียบใช้เวลาประมาณหนึ่งเดือน

    การใช้หน่วยความจำขนาดใหญ่ทำให้สคริปต์ไม่เหมาะสมกับงาน จึงได้เปลี่ยนไปใช้ตัวแปรใน Golang ที่เขียนโดย Logykk ซึ่งใช้เวลามากกว่าสองสัปดาห์ในการสแกนอินเทอร์เน็ตให้เสร็จสิ้น

    โดยสคริปต์ใหม่ได้สแกนโดเมนมากกว่า 5 ล้านโดเมนที่เชื่อมต่อกับแพลตฟอร์ม Firebase ของ Google สำหรับบริการคอมพิวเตอร์คลาวด์แบ็กเอนด์ และการพัฒนาแอปพลิเคชัน ในการตรวจสอบสิทธิ์การอ่านใน Firebase โดยอัตโนมัติ นอกจากนี้ทีมงานยังได้ใช้สคริปต์อื่นจาก Eva ที่จะรวบรวมข้อมูลเว็บไซต์หรือ JavaScript เพื่อเข้าถึง Firebase collections (Cloud Firestore NoSQL databases)

    จำนวนข้อมูลทั้งหมดที่ผู้เชี่ยวชาญค้นพบใน database ที่กำหนดค่าไม่ถูกต้องคือ 223,172,248 รายการ ในจำนวนนี้มีข้อมูลบันทึก 124,605,664 รายการที่เกี่ยวข้องกับผู้ใช้ ส่วนที่เหลือแสดงข้อมูลที่เกี่ยวข้องกับองค์กร และการทดสอบ

จุดเริ่มต้นการค้นพบ

    การสแกนอินเทอร์เน็ตเพื่อหาข้อมูล Personally Identifiable Information in Domain Name System (PII) ที่เปิดเผยจาก Firebase instance ที่กำหนดค่าไม่ถูกต้องเป็นการติดตามผลของอีกโครงการหนึ่งที่ผู้เชี่ยวชาญดำเนินการเมื่อสองเดือนที่แล้ว ซึ่งเป็นโครงการที่ได้รับสิทธิ์ของผู้ดูแลระบบ และสิทธิ์ผู้ดูแลระบบขั้นสูงใน Firebase instance ใช้โดย Chattr ซึ่งเป็นโซลูชันซอฟต์แวร์การจ้างงานที่ขับเคลื่อนด้วย AI

Chattr ถูกใช้โดยร้านอาหารฟาสต์ฟู้ดขนาดใหญ่หลายแห่งในสหรัฐอเมริกา เช่น KFC, Wendy's, Taco Bell, Chick-fil-A, Subway, Arby's, Applebee's และ Jimmy John's เพื่อจ้างพนักงาน

    แม้ว่าบทบาทผู้ดูแลระบบใน Firebase dashboard ของ Chattr จะทำให้สามารถดูข้อมูลที่มีความสำคัญ ที่เกี่ยวข้องกับบุคคลที่พยายามหางานในอุตสาหกรรมอาหารฟาสต์ฟู้ดได้ แต่บทบาท "ผู้ดูแลระบบขั้นสูง" ให้สิทธิ์เข้าถึงบัญชีของบริษัท และดำเนินการในนามของบริษัทสำหรับงานบางอย่าง รวมถึงการตัดสินใจจ้างงานด้วย ทั้งนี้ผู้เชี่ยวชาญได้เปิดเผยช่องโหว่ดังกล่าวต่อ Chattr ซึ่งเป็นผู้แก้ไขช่องโหว่ดังกล่าว

Ref : bleepingcomputer

ARES data leak forums แหล่งซื้อขายข้อมูลรั่วไหลแห่งใหม่ ที่มาแทน Breached forum

   กลุ่มผู้ไม่ประสงค์ดีในชื่อ ARES Group กำลังถูกพูดถึงเป็นอย่างมาก เนื่องจากการเปิดตัวเว็บไซต์ ARES Leaks forums ซึ่งเป็นแหล่งในการซื้อขายข้อมูลที่ถูกขโมยมาจากบริษัท และหน่วยงานของรัฐ ARES Group ปรากฎตัวบน Telegram ในช่วงปลายปี 2021 และมีความเกี่ยวข้องกับการดำเนินการของแรนซัมแวร์ RansomHouse และ KelvinSecurity รวมไปถึงแพลตฟอร์มการซื้อขายข้อมูลรั่วไหล และกลุ่ม Adrastea

    โดยการที่ ARES Group ออกมาประกาศเปิดตัวเว็บไซต์ ARES Leaks forums ซึ่งเป็นแหล่งในการซื้อขายข้อมูลรั่วไหล ที่อาจจะมาแทนที่ Breached forum ที่ปิดตัวลงไป นอกจากนี้ Cyfirma บริษัทด้านความปลอดภัยทางไซเบอร์ได้รายงานว่า ARES Group ได้พยายามสร้างความร่วมมือ และเป็นพันธมิตรกับกลุ่มผู้ไม่ประสงค์ดีอื่น ๆ เพื่อเข้าถึงข้อมูลจากกลุ่มต่าง ๆ อีกด้วย

ARES Leaks

    ARES Leaks มีการประกาศซื้อขายข้อมูลรั่วไหลจากกว่า 65 ประเทศ เช่น สหรัฐอเมริกา ฝรั่งเศส สเปน ออสเตรเลีย และอิตาลี โดยมีข้อมูลทุกประเภท ตั้งแต่หมายเลขโทรศัพท์, ที่อยู่อีเมล, รายละเอียดลูกค้า, B2B, SSN และฐานข้อมูลของบริษัท ไปจนถึงข้อมูล forex, ข้อมูลรั่วไหลของรัฐบาล และหนังสือเดินทาง ซึ่งสมาชิกสามารถซื้อข้อมูลเหล่านี้ได้ โดยการชำระเงินเป็น cryptocurrency

    นอกจากนี้ ARES Leaks ยังมีการประกาศขายช่องโหว่ที่สามารถใช้ในการโจมตี, การทดสอบเจาะระบบ, มัลแวร์ที่ถูกพัฒนาขึ้น และการโจมตีแบบ distributed denial of service (DDoS) อีกด้วย ARES Leaks มีช่องทางในการติดต่อส่วนตัว และช่องทาง VIP เพื่อซื้อขายข้อมูลขององค์กรที่มีชื่อเสียงซึ่งมีมูลค่าที่สูงกว่า รวมถึงการมุ่งเป้าหมายไปยังข้อมูลทางทหาร และฐานข้อมูลที่มีความสำคัญ โดยได้มีการประกาศ และโฆษณาไปยังแพลตฟอร์มต่าง ๆ ของกลุ่ม Hacker

LeakBase

    LeakBase เปิดตัวในต้นปี 2022 โดยเป็นโครงการที่ได้รับการสนับสนุนจากกลุ่ม ARES Group ซึ่งเป็นเว็บไซต์สำหรับกลุ่มผู้ไม่ประสงค์ดีโดยเฉพาะ โดยเปิดให้สามารถสมัครเข้าเป็นสมาชิกได้ฟรี นำเสนอฐานข้อมูลฟรี โดยเป็นพื้นที่ตลาดสำหรับการขายการข้อมูลรั่วไหล การขายช่องโหว่ และบริการการโจมตีต่าง ๆ โดยใช้ระบบการชำระเงิน escrow เพื่อสร้างความไว้วางใจ นอกจากนี้ยังมีพื้นที่สำหรับการเขียนโปรแกรม การเรียนรู้เคล็ดลับการเป็นผู้ไม่ประสงค์ดีเช่น hacking tips, การทำ social engineering, การเจาะระบบ, การเข้ารหัส การไม่เปิดเผยตัวตน และการสนทนาเกี่ยวกับ opsec

    Cyfirma พบเห็นฟอรัมที่กำลังเพิ่มมากขึ้นใน ARES Leaks ภายหลังจากที่ Breached forum ได้ปิดตัวลง รวมไปถึงคาดว่า LeakBase ก็จะค่อย ๆ เติบโต และกลายเป็นเหมือน Breached forum ในเร็ว ๆ นี้

Ref : bleepingcomputer

ข้อมูลผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ถูกประกาศขายใน Dark Web

WhatsApp data leaked - 500 million user records for sale online

    พบการประกาศขายข้อมูลของผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ในฟอรั่มของ Dark Web ชื่อดัง โดยในฟอรั่มได้อ้างว่าเป็นฐานข้อมูลของผู้ใช้งาน WhatsApp ในปี 2022 จำนวนกว่า 487 ล้านหมายเลข

    โดย WhatsApp ถือว่าเป็นหนึ่งในแอพพลิเคชัน Instant messaging และ VoIP ยอดนิยม ที่มีผู้ใช้งานมากกว่า 2,000 ล้านคนต่อเดือนทั่วโลก โดยในรายละเอียดของข้อมูลที่ถูกประกาศขาย ประกอบไปด้วยชุดข้อมูลของผู้ใช้ WhatsApp จากกว่า 84 ประเทศ เช่น

• ผู้ใช้ในประเทศสหรัฐอเมริกา จำนวน 32 ล้านรายชื่อ
• ผู้ใช้ในประเทศอียิปต์ จำนวน 45 ล้านรายชื่อ
• ผู้ใช้ในประเทศอิตาลี จำนวน 35 ล้านรายชื่อ
• ผู้ใช้ในประเทศซาอุดีอาระเบีย จำนวน 29 ล้านรายชื่อ
• ผู้ใช้ในประเทศฝรั่งเศส จำนวน 20 ล้านรายชื่อ
• ผู้ใช้ในประเทศตุรกี จำนวน 20 ล้านรายชื่อ
• ผู้ใช้ในประเทศรัสเซีย จำนวน 10 ล้านรายชื่อ
• ผู้ใช้ในประเทศอังกฤษ จำนวน 11 ล้านรายชื่อ

    โดย Hacker ได้เสนอขายชุดข้อมูลเหล่านี้ แยกเป็นรายประเทศ เช่น ข้อมูลผู้ใช้ในประเทศสหรัฐอเมริกา ขายในราคา 7,000 ดอลลาร์, ข้อมูลผู้ใช้ในประเทศอังกฤษ ขายในราคา 2,500 ดอลลาร์ และข้อมูลผู้ใช้ในประเทศเยอรมนี ขายในราคา 2,000 ดอลลาร์ รวมไปถึง Hacker ยังได้ปล่อยตัวอย่างชุดข้อมูลที่มีข้อมูลผู้ใช้งานของประเทศอังกฤษ 1,097 ราย และประเทศสหรัฐอเมริกา 817 ราย เพื่อพิสูจน์ว่าข้อมูลเหล่านี้เป็นของจริง และนำไปใช้งานได้

    จากการตรวจสอบของ Cybernews พบว่าชุดข้อมูลตัวอย่างที่ได้มานั้นเป็นข้อมูลของผู้ใช้งานจริง และสามารถติดต่อไปยังผู้ใช้งานได้ โดย Hacker ที่ขายข้อมูลไม่ได้บอกว่าได้ชุดข้อมูลเหล่านี้มาด้วยวิธีการใด โดยระบุเพียงว่าพวกเขามีวิธีการที่สามารถเข้าถึงฐานข้อมูล เพื่อให้ได้ข้อมูลดังกล่าวมา รวมทั้งยังยืนยันกับ Cybernews ว่าข้อมูลดังกล่าวทั้งหมดสามารถนำไปใช้ได้จริง

    ปัจจุบัน Cybernews ได้ติดต่อไปยังบริษัท Meta ซึ่งเป็นบริษัทแม่ของ WhatsApp เพื่อสอบถามถึงเหตุการณ์ที่เกิดขึ้น แต่ยังไม่ได้รับการตอบกลับ โดยเมื่อไม่กี่วันก่อนหน้านี้ก็จะพบว่ามีการรั่วไหลของข้อมูลภายในของ LinkedIn และ Facebook Business accounts ซึ่งอยู่ภายใต้บริษัท Meta ที่ถูกนำมาขายในฟอรั่มของ Dark Web ชื่อดังเช่นเดียวกัน

ผลกระทบ

• โดยชุดข้อมูลที่รั่วไหลเหล่านี้ อาจถูกเหล่า Hackers นำไปใช้ประโยชน์ในการโจมตีในรูปแบบ Social Engineering ได้ ไม่ว่าจะเป็นการหลอกลวงผ่านข้อความ หรือการโทร (Smishing and Vishing Attacks), การโจมตีผ่าน Email (Phishing Attack) รวมไปถึงการโจมตีในรูปแบบ Business Email Compromise

การป้องกัน

• ระมัดระวังการเปิดข้อความ SMS อีเมลล์ หรือไฟล์แนบที่ถูกส่งมา ถึงแม้ผู้ส่งจะเป็นบุคคลใกล้ชิด เพื่อนร่วมงาน หรือบุคคลที่มีชื่อเสียงก็ตาม

Ref : cybernews