U.S. convicts ex-Google engineer for sending AI tech data to China
Linwei Ding อดีตวิศวกรซอฟต์แวร์ของ Google ถูกศาลลูกขุนรัฐบาลกลางสหรัฐฯ ตัดสินว่ามีความผิดฐานจารกรรมข้อมูลเกี่ยวกับซูเปอร์คอมพิวเตอร์ AI จาก Google และนำไปแบ่งปันกับบริษัทเทคโนโลยีในประเทศจีน ระหว่างเดือนพฤษภาคม 2022 ถึงเมษายน 2023 Ding ได้ขโมยเอกสารลับกว่า 2,000 หน้า ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน AI…
Cloud storage payment scam floods inboxes with fake renewals
ในช่วงไม่กี่เดือนที่ผ่านมา มีการแพร่ระบาดของแคมเปญหลอกลวงการต่ออายุบริการ Cloud Storage ขนาดใหญ่ โดยส่งอีเมลไปยังผู้ใช้งานทั่วโลกอย่างต่อเนื่อง อีเมลเหล่านี้แอบอ้างว่ารูปภาพ ไฟล์ และบัญชีของผู้รับกำลังจะถูกบล็อกหรือลบเนื่องจากปัญหาการชำระเงินที่ล้มเหลว ข้อความฟิชชิ่งถูกออกแบบมาเพื่อสร้างความเร่งด่วนและนำผู้ใช้ไปยังเว็บไซต์ปลอมที่เลียนแบบพอร์ทัลบริการ Cloud ซึ่งมักจะแสดงโลโก้ Google Cloud ผู้โจมตีจะแจ้งว่าพื้นที่เก็บข้อมูลเต็มและเสนอให้อัปเกรดโดยอ้างว่าเป็นส่วนลดพิเศษ แต่แท้จริงแล้วเป็นการเปลี่ยนเส้นทางไปยังหน้าการตลาดแบบ Affiliate เพื่อขายผลิตภัณฑ์ที่ไม่เกี่ยวข้องและเก็บข้อมูลบัตรเครดิต Severity: สูง…
Mandiant อธิบายวิธีที่ ShinyHunters ใช้ SSO ขโมยข้อมูลคลาวด์
Mandiant รายงานว่าการโจมตีขโมยข้อมูล SaaS โดย ShinyHunters ที่เกิดขึ้นเมื่อเร็วๆ นี้ เกิดจากการโจมตีแบบฟิชชิงด้วยเสียง (vishing) และเว็บไซต์ฟิชชิงที่เลียนแบบองค์กร เพื่อขโมยข้อมูลรับรอง Single Sign-On (SSO) และรหัสยืนยันตัวตนหลายปัจจัย (MFA) หลังจากได้สิทธิ์เข้าถึงบัญชี ผู้โจมตีจะเข้าสู่แดชบอร์ด Okta, Microsoft…
Researcher reveals evidence of private Instagram profiles leaking photos
นักวิจัยด้านความปลอดภัย Jatin Banga ได้เปิดเผยหลักฐานโดยละเอียดว่าบัญชี Instagram ส่วนตัวบางบัญชีมีการรั่วไหลลิงก์รูปภาพของผู้ใช้ให้กับผู้เข้าชมที่ไม่ผ่านการตรวจสอบสิทธิ์ผ่านการตอบสนองของ HTML ซึ่งถือเป็นการละเมิดฟังก์ชันความเป็นส่วนตัวของบัญชีส่วนตัว Instagram Meta ซึ่งเป็นบริษัทแม่ ได้แก้ไขปัญหานี้อย่างเงียบๆ หลังจากที่ได้รับรายงาน แต่กลับปิดเคสโดยระบุว่า ‘ไม่สามารถใช้ได้’ และปฏิเสธที่จะยอมรับว่าเป็นช่องโหว่ โดยอ้างว่าเป็น ‘ผลข้างเคียงที่ไม่ตั้งใจ’ จากการแก้ไขปัญหาอื่น นักวิจัยได้เน้นย้ำถึงความขาดความโปร่งใสของ…
AutoPentestX – Automated Penetration Testing Toolkit Designed for Linux systems
AutoPentestX เป็นชุดเครื่องมือทดสอบการเจาะระบบแบบอัตโนมัติแบบโอเพ่นซอร์สสำหรับระบบ Linux ที่เปิดตัวโดย Gowtham Darkseid ในเดือนพฤศจิกายน 2025 โดยออกแบบมาเพื่อดำเนินการประเมินความปลอดภัยที่ครอบคลุมด้วยคำสั่งเดียว เครื่องมือนี้เน้นการทดสอบที่ปลอดภัยและไม่ก่อให้เกิดความเสียหาย พร้อมสร้างรายงาน PDF ระดับมืออาชีพ รองรับการทำงานบน Kali Linux, Ubuntu และการแจกจ่ายที่ใช้ Debian โดยทำการตรวจจับระบบปฏิบัติการ,…
Panera Bread Data Breach
ในเดือนมกราคม 2026 Panera Bread ประสบเหตุข้อมูลรั่วไหลที่ทำให้ข้อมูลกว่า 14 ล้านรายการถูกเปิดเผย หลังจากการพยายามกรรโชกทรัพย์ล้มเหลว ผู้โจมตีได้เผยแพร่ข้อมูลสู่สาธารณะ ซึ่งรวมถึงที่อยู่อีเมลที่ไม่ซ้ำกัน 5.1 ล้านรายการ พร้อมข้อมูลบัญชีที่เกี่ยวข้อง เช่น ชื่อ, หมายเลขโทรศัพท์ และที่อยู่จริง Panera Bread ได้ยืนยันในภายหลังว่า…
ช่องโหว่ SCADA ทำให้เกิด DoS อาจส่งผลกระทบต่อการทำงานของระบบอุตสาหกรรม
มีการค้นพบช่องโหว่ระดับปานกลาง (CVE-2025-0921) ในระบบ SCADA ของ Iconics Suite ที่อาจทำให้ผู้โจมตีสามารถกระตุ้นเงื่อนไขการปฏิเสธการให้บริการ (Denial-of-Service – DoS) บนระบบควบคุมอุตสาหกรรมที่สำคัญได้ ช่องโหว่นี้ส่งผลกระทบต่อโครงสร้างพื้นฐานการควบคุมและเก็บข้อมูล (SCADA) ที่ใช้งานอย่างแพร่หลายในอุตสาหกรรมยานยนต์ พลังงาน และการผลิต ช่องโหว่นี้มีคะแนน CVSS ที่…
Mandiant พบการโจมตีแบบ Vishing สไตล์ ShinyHunters ขโมย MFA เพื่อเจาะแพลตฟอร์ม SaaS
Mandiant รายงานว่าตรวจพบกิจกรรมภัยคุกคามที่เพิ่มขึ้น ซึ่งมีรูปแบบการโจมตีที่สอดคล้องกับการโจมตีเพื่อรีดไถข้อมูลของกลุ่มแฮกเกอร์ที่มุ่งเน้นผลประโยชน์ทางการเงินที่รู้จักกันในชื่อ ShinyHunters การโจมตีเหล่านี้ใช้เทคนิคฟิชชิ่งทางเสียง (vishing) ขั้นสูง และเว็บไซต์ปลอมเพื่อเก็บข้อมูลประจำตัวเพื่อเข้าถึงสภาพแวดล้อมของเหยื่อโดยไม่ได้รับอนุญาต โดยการรวบรวมข้อมูล Single Sign-On (SSO) และรหัส Multi-Factor Authentication (MFA) เป้าหมายสุดท้ายคือการเจาะแอปพลิเคชัน Software-as-a-Service (SaaS) บนคลาวด์…
CERT Polska Details Coordinated Cyber Attacks on 30+ Wind and Solar Farms
CERT Polska ได้เปิดเผยรายละเอียดเกี่ยวกับการโจมตีทางไซเบอร์ที่ประสานงานกัน ซึ่งพุ่งเป้าไปที่ฟาร์มกังหันลมและโซลาร์เซลล์มากกว่า 30 แห่ง บริษัทภาคการผลิตเอกชน และโรงไฟฟ้าพลังความร้อนร่วม (CHP) ขนาดใหญ่ในโปแลนด์ เมื่อวันที่ 29 ธันวาคม 2025 CERT Polska ระบุว่ากลุ่มภัยคุกคาม ‘Static Tundra’ ซึ่งเชื่อมโยงกับหน่วยงาน…
Metasploit เผยแพร่ 7 โมดูล Exploit ใหม่ ครอบคลุม FreePBX, Cacti และ SmarterMail
Metasploit Framework ได้รับการอัปเดตครั้งสำคัญด้วยการเพิ่มโมดูล Exploit ใหม่ 7 รายการ ที่มุ่งเป้าไปที่ซอฟต์แวร์องค์กรที่ใช้กันทั่วไป เช่น FreePBX, Cacti และ SmarterMail. การอัปเดตนี้ช่วยเพิ่มขีดความสามารถสำหรับผู้ทดสอบการเจาะระบบและ Red Team โดยเน้นที่การโจมตีแบบลูกโซ่เพื่อบรรลุการประมวลผลโค้ดระยะไกล (RCE) และการยกระดับสิทธิ์ รวมถึงโมดูลสำหรับการสร้าง…