Amazon Photos มีความเสี่ยงสูง
2023.01.05
CONTENTS
Amazon Photos มีความเสี่ยงสูง
ผู้ใช้ Amazon Photos ทุกคน โปรดระวังช่องโหว่ที่มีความรุนแรงสูงในแอปที่คุณใช้เพื่อจัดเก็บรูปภาพและวิดีโอในคุณภาพต้นฉบับ แอปพลิเคชันดังกล่าวที่พบว่ามีการดาวน์โหลดมากกว่า 50 ล้านครั้ง สามารถถูกแฮ็กเกอร์ใช้เพื่อขโมยโทเค็นการเข้าถึงของ Amazon และขโมยข้อมูลหลังจากนั้น
นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Checkmarx ได้ยืนยันข้อบกพร่องด้านความปลอดภัยในแอปพลิเคชันโทรศัพท์ Android ที่อาจอนุญาตให้แฮกเกอร์ขโมยข้อมูลส่วนบุคคลของแฮ็กเกอร์ นักวิจัยอ้างว่าแอปพลิเคชันมีองค์ประกอบที่กำหนดค่าผิดพลาดซึ่งส่งออกในไฟล์รายการแอปพลิเคชัน ซึ่งทำให้แอปภายนอกเข้าถึงข้อมูลได้
การมีอิสระในการเข้าถึงโทเค็นช่วยให้อาชญากรไซเบอร์สามารถเปลี่ยนไฟล์และลบประวัติที่นำไปสู่ปัญหาในการกู้คืน เนื่องจากการเข้าถึงไฟล์สามารถลบไฟล์และโฟลเดอร์ออกจากบัญชี Amazon Drive ได้อย่างสมบูรณ์ เมื่อพบช่องโหว่ Checkmarx ได้ติดต่อ Amazon ในระดับแรกของการดำเนินการและแจ้งข้อบกพร่องไปยังยักษ์ใหญ่ด้านเทคโนโลยี
มีรายงานว่าอเมซอนรับทราบปัญหาโดยเผยแพร่วิธีแก้ไขทันทีที่วิเคราะห์ข้อเท็จจริงและให้วิศวกรตรวจสอบพบว่าเป็นความจริง ข่าวช่องโหว่ของ Amazon Photos เกิดขึ้นเพียงหนึ่งเดือนหลังจากพบว่าบริษัทในจีนเปิดเผยเซิร์ฟเวอร์ Elasticsearch ของตนต่อแฮกเกอร์ที่ไม่มีรหัสผ่านหรือการป้องกัน 2FA และข้อมูล เช่น ที่อยู่อีเมลส่วนบุคคล นามสกุล บัญชี PayPal และโปรไฟล์บัญชีที่เกี่ยวข้องกับผู้ขายของ Amazon เพื่อคว้าใครมา
ที่น่าสนใจคือเซิร์ฟเวอร์ดังกล่าวยังโฮสต์บทวิจารณ์ของผู้ใช้ Amazon บนแพลตฟอร์มซึ่งได้รับการพิจารณาแล้วว่าปลอมในภายหลัง
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
Oracle แจ้งลูกค้าหลังเกิดเหตุ Data Breach ทำให้ข้อมูลหลุดจากระบบ Cloud
Oracle แจ้งลูกค้าหลังเกิดเหตุ Data Breach ทำให้ข้อมูลหลุดจากระบบ Cloud
2025.04.10
ข่าว
ความปลอดภัย
มัลแวร์มือถือที่กำหนดเป้าหมายธนาคารในอินเดียทำให้ผู้ใช้กว่า 50,000 รายเสี่ยงต่อการถูกโจมตี
การโจมตีอุปกรณ์เคลื่อนที่ขนาดใหญ่ นักวิจัยของ zLabs วิเคราะห์ตัวอย่างมัลแวร์เกือบ 900 ตัวอย่างและพบความพยายามร่วมกันในการใช้ประโยชน์จากอุปกรณ์ Android มัลแวร์ซึ่งจัดอยู่ในประเภทโทรจันของธนาคาร ปลอมตัวเป็นแอปธนาคารหรือแอปของรัฐบาลที่ถูกกฎหมายและแพร่กระจายผ่าน WhatsApp ในรูปแบบไฟล์ APK เมื่อติดตั้งแล้ว มัลแวร์จะขอข้อมูลที่ละเอียดอ่อน
2025.03.14
ข่าว
ความปลอดภัย
แฮกเกอร์ชาวเกาหลีเหนือตั้งเป้านักพัฒนาอิสระเพื่อหลอกลวงการทำงานด้วยมัลแวร์
นักพัฒนาซอฟต์แวร์อิสระเป็นเป้าหมายของแคมเปญต่อเนื่องที่ใช้การล่อใจที่เกี่ยวข้องกับการสัมภาษณ์งานเพื่อส่งมอบมัลแวร์ข้ามแพลตฟอร์มที่รู้จักกันในชื่อ BeaverTail และ InvisibleFerret กิจกรรมดังกล่าวซึ่งเชื่อมโยงกับเกาหลีเหนือมีชื่อรหัสว่า DeceptiveDevelopment ซึ่งทับซ้อนกับคลัสเตอร์ที่ติดตามภายใต้ชื่อContagious Interview (หรือCL-STA-0240 ), DEV#POPPER, Famous Chollima, PurpleBravo และ Tenacious Pungsan แคมเปญนี้ดำเนินไปอย่างต่อเนื่องตั้งแต่ช่วงปลายปี 2023 เป็นอย่างน้อย บริษัทด้านความปลอดภัยทางไซเบอร์ ESET กล่าวในรายงานที่แบ่งปันกับ The Hacker News ว่า"DeceptiveDevelopment กำหนดเป้าหมายนักพัฒนาซอฟต์แวร์อิสระผ่านการฟิชชิ่งแบบเจาะจงบนเว็บไซต์หางานและฟรีแลนซ์ โดยมีเป้าหมายเพื่อขโมยกระเป๋าสตางค์สกุลเงินดิจิทัลและข้อมูลการเข้าสู่ระบบจากเบราว์เซอร์และตัวจัดการรหัสผ่าน"
2025.02.21
