🧨 “ช่องโหว่ Figma MCP เปิดทางแฮกเกอร์รันโค้ดระยะไกล — นักพัฒนาเสี่ยงข้อมูลรั่วจากการใช้ AI Agent” นักวิจัยด้านความปลอดภัยจาก Imperva เปิดเผยช่องโหว่ร้ายแรงในแพ็กเกจ npm ชื่อ figma-developer-mpc ซึ่งเป็นตัวกลางเชื่อมระหว่าง Figma กับ AI coding agents เช่น Cursor และ GitHub Copilot ผ่านโปรโตคอล Model Context Protocol (MCP) โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-53967 และได้รับคะแนนความรุนแรง 7.5/10 ช่องโหว่นี้เกิดจากการใช้คำสั่ง child_process.exec ใน Node.js โดยนำข้อมูลจากผู้ใช้มาแทรกลงในคำสั่ง shell โดยไม่มีการตรวจสอบ ทำให้แฮกเกอร์สามารถแทรก metacharacters เช่น |, &&, > เพื่อรันคำสั่งอันตรายบนเซิร์ฟเวอร์ที่ติดตั้งแพ็กเกจนี้ได้ทันที การโจมตีสามารถเกิดขึ้นได้ผ่านการส่งคำสั่ง JSONRPC ไปยัง MCP server เช่น tools/call เพื่อเรียกใช้ฟังก์ชันอย่าง get_figma_data หรือ download_figma_images ซึ่งหาก fetch ล้มเหลว ระบบจะ fallback ไปใช้ curl ผ่าน exec ซึ่งเป็นจุดที่เปิดช่องให้แฮกเกอร์แทรกคำสั่งได้ ช่องโหว่นี้ถูกพบในเดือนกรกฎาคม 2025 และได้รับการแก้ไขในเวอร์ชัน 0.6.3 ที่เผยแพร่เมื่อวันที่ 29 กันยายน 2025 โดยแนะนำให้ผู้ใช้เปลี่ยนไปใช้ child_process.execFile ซึ่งปลอดภัยกว่า เพราะแยก argument ออกจากคำสั่งหลัก ทำให้ไม่สามารถแทรกคำสั่ง shell ได้ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-53967 อยู่ในแพ็กเกจ figma-developer-mpc ➡️ ใช้ child_process.exec โดยไม่มีการตรวจสอบ input จากผู้ใช้ ➡️ แฮกเกอร์สามารถแทรก metacharacters เพื่อรันคำสั่งอันตรายได้ ➡️ การโจมตีเกิดผ่านคำสั่ง JSONRPC เช่น tools/call ➡️ หาก fetch ล้มเหลว ระบบจะ fallback ไปใช้ curl ผ่าน exec ➡️ ช่องโหว่ถูกค้นพบโดย Imperva และแก้ไขในเวอร์ชัน 0.6.3 ➡️ แนะนำให้เปลี่ยนไปใช้ execFile เพื่อความปลอดภัย ➡️ ช่องโหว่นี้มีผลต่อระบบที่เชื่อม Figma กับ AI coding agents เช่น Cursor https://www.techradar.com/pro/security/worrying-figma-mcp-security-flaw-could-let-hackers-execute-code-remotely-heres-how-to-stay-safe

🛡️ “Chrome 141 อุดช่องโหว่ร้ายแรง 3 จุด — เสี่ยงถูกแฮกผ่าน Sync, Storage และ WebCodecs” Google ได้ปล่อยอัปเดต Chrome เวอร์ชัน 141.0.7390.65/.66 สำหรับ Windows และ macOS และ 141.0.7390.65 สำหรับ Linux โดยมีการแก้ไขช่องโหว่ความปลอดภัยสำคัญ 3 รายการที่อาจเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลหรือรันโค้ดอันตรายผ่านการจัดการหน่วยความจำผิดพลาด ช่องโหว่แรกคือ CVE-2025-11458 ซึ่งเป็นช่องโหว่ระดับสูงในฟีเจอร์ Sync ของ Chrome ที่ใช้ในการซิงก์ข้อมูลผู้ใช้ เช่น bookmarks, history และ settings ข้ามอุปกรณ์ โดยมีการเขียนข้อมูลเกินขอบเขตของหน่วยความจำ (heap buffer overflow) ซึ่งอาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาตหรือทำให้เบราว์เซอร์ล่ม ช่องโหว่ที่สองคือ CVE-2025-11460 ซึ่งเป็นบั๊กแบบ use-after-free ในระบบ Storage ของ Chrome ที่จัดการฐานข้อมูลภายใน เช่น IndexedDB และ LocalStorage หากถูกโจมตีผ่านเว็บเพจที่ออกแบบมาเฉพาะ อาจทำให้เกิดการใช้หน่วยความจำที่ถูกปล่อยแล้ว ส่งผลให้ข้อมูลรั่วไหลหรือรันโค้ดอันตรายได้ ช่องโหว่สุดท้ายคือ CVE-2025-11211 ซึ่งเป็นช่องโหว่ระดับกลางใน WebCodecs API ที่ใช้สำหรับประมวลผลวิดีโอและเสียง โดยเกิดจากการอ่านข้อมูลนอกขอบเขตหน่วยความจำ (out-of-bounds read) ซึ่งอาจทำให้ข้อมูลในหน่วยความจำรั่วไหลหรือทำให้เบราว์เซอร์ไม่เสถียรระหว่างการเล่นไฟล์มีเดีย Google แนะนำให้ผู้ใช้ทุกคนอัปเดต Chrome โดยเร็วที่สุด โดยสามารถเข้าไปที่ Settings → Help → About Google Chrome เพื่อเริ่มการอัปเดตและรีสตาร์ทเบราว์เซอร์ทันที ✅ ข้อมูลสำคัญจากข่าว ➡️ Chrome 141 อัปเดตเพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการ ➡️ CVE-2025-11458: heap buffer overflow ในฟีเจอร์ Sync ➡️ CVE-2025-11460: use-after-free ในระบบ Storage ➡️ CVE-2025-11211: out-of-bounds read ใน WebCodecs API ➡️ ช่องโหว่ใน Sync อาจนำไปสู่การรันโค้ดหรือทำให้เบราว์เซอร์ล่ม ➡️ ช่องโหว่ใน Storage อาจทำให้ข้อมูลรั่วไหลหรือถูกโจมตีผ่านเว็บเพจ ➡️ ช่องโหว่ใน WebCodecs อาจทำให้ข้อมูลในหน่วยความจำรั่วไหล ➡️ Chrome เวอร์ชันใหม่คือ 141.0.7390.65/.66 สำหรับ Windows/macOS และ .65 สำหรับ Linux ➡️ ผู้ใช้สามารถอัปเดตผ่าน Settings → Help → About Google Chrome ✅ ข้อมูลเสริมจากภายนอก ➡️ ช่องโหว่ heap overflow และ use-after-free เป็นเป้าหมายหลักของการโจมตีเบราว์เซอร์ ➡️ WebCodecs เป็น API ใหม่ที่ช่วยให้เว็บแอปจัดการวิดีโอได้มีประสิทธิภาพมากขึ้น ➡️ Chrome ใช้สถาปัตยกรรม multiprocess เพื่อจำกัดผลกระทบจากการโจมตี ➡️ Google มีโปรแกรมแจกรางวัลสำหรับผู้รายงานช่องโหว่ (VRP) สูงสุดถึง $5,000 ➡️ ช่องโหว่ใน Storage อาจถูกใช้ร่วมกับเทคนิค sandbox escape เพื่อเข้าถึงระบบ https://securityonline.info/chrome-141-stable-fixes-two-high-severity-flaws-heap-overflow-in-sync-and-uaf-in-storage/

🕵️‍♂️ “Oracle ถูกขู่เรียกค่าไถ่จากแฮกเกอร์ — ข้อมูลลูกค้า E-Business Suite อาจถูกเจาะผ่านช่องโหว่เดิม” Oracle กำลังเผชิญกับการโจมตีไซเบอร์ครั้งใหญ่ เมื่อกลุ่มแฮกเกอร์ที่เชื่อมโยงกับ Cl0p ransomware ได้ส่งอีเมลขู่เรียกค่าไถ่ไปยังผู้บริหารขององค์กรต่าง ๆ ที่ใช้ระบบ Oracle E-Business Suite โดยอ้างว่าขโมยข้อมูลสำคัญไปแล้ว และเรียกร้องเงินสูงสุดถึง 50 ล้านดอลลาร์เพื่อไม่ให้เปิดเผยข้อมูลเหล่านั้น การโจมตีเริ่มต้นเมื่อปลายเดือนกันยายน 2025 โดยแฮกเกอร์ใช้บัญชีอีเมลที่ถูกเจาะจำนวนมาก ส่งอีเมลไปยังผู้บริหารระดับสูง พร้อมแนบหลักฐาน เช่น ภาพหน้าจอและโครงสร้างไฟล์ เพื่อแสดงว่าพวกเขาเข้าถึงระบบได้จริง แม้ว่า Google และ Mandiant จะยังไม่สามารถยืนยันได้ว่าข้อมูลถูกขโมยจริงหรือไม่ แต่ก็พบว่ามีการใช้บัญชีที่เคยเกี่ยวข้องกับกลุ่ม Cl0p และ FIN11 ซึ่งเป็นกลุ่มอาชญากรรมไซเบอร์ที่มีประวัติการโจมตีองค์กรขนาดใหญ่ทั่วโลก ช่องทางที่แฮกเกอร์ใช้คือการเจาะบัญชีผู้ใช้และใช้ฟีเจอร์รีเซ็ตรหัสผ่านในหน้า AppsLocalLogin.jsp ซึ่งมักไม่อยู่ภายใต้ระบบ SSO และไม่มีการเปิดใช้ MFA ทำให้สามารถเข้าถึงระบบได้โดยง่าย โดย Oracle ยอมรับว่าการโจมตีอาจใช้ช่องโหว่ที่เคยถูกระบุไว้ก่อนหน้านี้ และแนะนำให้ลูกค้าอัปเดตแพตช์ล่าสุดทันที แม้จะยังไม่มีการยืนยันว่าข้อมูลถูกขโมยจริง แต่ผู้เชี่ยวชาญเตือนว่าแค่อีเมลขู่ก็สามารถสร้างความเสียหายต่อชื่อเสียงและความเชื่อมั่นขององค์กรได้แล้ว และแนะนำให้ทุกองค์กรที่ใช้ Oracle EBS ตรวจสอบระบบอย่างละเอียดเพื่อหาหลักฐานการเจาะระบบหรือการเข้าถึงที่ผิดปกติ ✅ ข้อมูลสำคัญจากข่าว ➡️ Oracle ยืนยันว่าลูกค้าได้รับอีเมลขู่เรียกค่าไถ่จากแฮกเกอร์ ➡️ กลุ่มที่เกี่ยวข้องคือ Cl0p และ FIN11 ซึ่งมีประวัติการโจมตีองค์กรขนาดใหญ่ ➡️ อีเมลขู่มีหลักฐาน เช่น ภาพหน้าจอและโครงสร้างไฟล์ เพื่อเพิ่มแรงกดดัน ➡️ เริ่มต้นเมื่อปลายเดือนกันยายน 2025 และยังดำเนินอยู่ ➡️ ใช้ช่องทางรีเซ็ตรหัสผ่านผ่านหน้า AppsLocalLogin.jsp ที่ไม่มี MFA ➡️ Oracle แนะนำให้ลูกค้าอัปเดตแพตช์ล่าสุดเพื่อปิดช่องโหว่ ➡️ มีการเรียกร้องเงินสูงสุดถึง 50 ล้านดอลลาร์ในบางกรณี ➡️ อีเมลถูกส่งจากบัญชีที่เคยเกี่ยวข้องกับ Cl0p และปรากฏบนเว็บ data leak ของกลุ่ม ➡️ Google และ Mandiant ยังไม่สามารถยืนยันได้ว่าข้อมูลถูกขโมยจริง ✅ ข้อมูลเสริมจากภายนอก ➡️ Oracle E-Business Suite เป็นระบบ ERP ที่ใช้จัดการการเงิน, HR, CRM และซัพพลายเชน ➡️ Cl0p เคยโจมตี MOVEit Transfer ในปี 2023 ทำให้ข้อมูลรั่วไหลจากองค์กรกว่า 2,700 แห่ง ➡️ FIN11 เป็นกลุ่มที่ใช้ Cl0p ransomware และมีประวัติการโจมตีแบบ phishing และ credential abuse ➡️ การไม่มี MFA ในระบบ login ภายในองค์กรเป็นช่องโหว่ที่พบได้บ่อย ➡️ การรีเซ็ตรหัสผ่านผ่านหน้าเว็บที่เปิดสาธารณะเป็นจุดเสี่ยงสูง https://www.thestar.com.my/tech/tech-news/2025/10/03/oracle-says-hackers-are-trying-to-extort-its-customers

🛡️ “รีเซ็ตระบบความปลอดภัยองค์กร — บทเรียนจาก Marriott และแนวทางใหม่สำหรับ CISO ยุค AI” หลังจากเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ที่เกิดขึ้นกับ Marriott ซึ่งส่งผลกระทบต่อข้อมูลส่วนตัวของแขกกว่า 344 ล้านรายตั้งแต่ปี 2014 จนถึง 2020 หน่วยงาน FTC ของสหรัฐฯ ได้ออกคำสั่งให้บริษัทปรับโครงสร้างระบบความปลอดภัยใหม่ทั้งหมด โดยเน้นการควบคุมสิทธิ์เข้าถึง การตรวจสอบผู้ให้บริการ และการทดสอบระบบอย่างต่อเนื่อง บทเรียนสำคัญคือ: อย่ารอให้เกิดเหตุการณ์ร้ายแรงหรือคำสั่งจากภาครัฐก่อนจะปรับปรุงระบบความปลอดภัย เพราะความเสียหายที่เกิดขึ้นอาจเกินเยียวยา ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำว่า CISO ควรตั้งคำถามง่าย ๆ ว่า “ระบบความปลอดภัยของเรามีประสิทธิภาพจริงหรือไม่” และคำตอบที่ว่า “ยังไม่เคยโดนเจาะ” ไม่ใช่คำตอบที่ดีพอ สัญญาณเตือนล่วงหน้าที่ควรจับตา ได้แก่ การโจมตีที่สำเร็จมากขึ้น, ความเหนื่อยล้าจากเครื่องมือที่มากเกินไป, ความล้มเหลวด้านกฎระเบียบ และความรู้สึกในองค์กรว่าทีมความปลอดภัยเป็น “ตัวขัดขวาง” มากกว่าพันธมิตร เมื่อองค์กรต้องเปลี่ยน CISO หลังเหตุการณ์ร้ายแรง สิ่งสำคัญคือการฟื้นฟูความไว้วางใจ การรีวิวระบบแบบครบวงจรโดยบุคคลที่สาม และการประเมินว่าผู้นำระดับสูงเคยสนับสนุนทีมความปลอดภัยจริงหรือไม่ เพราะปัญหาอาจไม่ได้อยู่ที่คน แต่ที่วัฒนธรรมองค์กร CISO ใหม่ควรเริ่มต้นด้วยการ “ฟัง” — ไม่ใช่แค่ทีมความปลอดภัย แต่รวมถึง IT, ฝ่ายพัฒนา, และผู้บริหาร เพื่อเข้าใจว่าปัญหาอยู่ตรงไหน และจะสร้างความร่วมมือได้อย่างไร จากนั้นจึงค่อยหาชัยชนะเล็ก ๆ ที่เห็นผลเร็ว เพื่อสร้างแรงผลักดันให้การเปลี่ยนแปลงใหญ่เกิดขึ้นได้จริง การปรับโครงสร้างควรทำเป็นระยะ เพราะเทคโนโลยีเปลี่ยนเร็วมาก โดยเฉพาะเมื่อ AI เข้ามามีบทบาทมากขึ้น การใช้เครื่องมือที่เหมาะสม การลดจำนวนเครื่องมือที่ซ้ำซ้อน และการลงทุนในทีมงานที่มีความสามารถในการปรับตัว คือหัวใจของระบบความปลอดภัยที่ยั่งยืน ✅ ข้อมูลสำคัญจากข่าว ➡️ Marriott ถูก FTC สั่งปรับโครงสร้างระบบความปลอดภัยหลังข้อมูลรั่วไหลหลายครั้ง ➡️ ข้อมูลส่วนตัวของแขกกว่า 344 ล้านรายถูกเปิดเผยระหว่างปี 2014–2020 ➡️ การรอให้เกิดเหตุการณ์หรือคำสั่งจากภาครัฐก่อนปรับปรุงระบบเป็นความเสี่ยงสูง ➡️ สัญญาณเตือนล่วงหน้าคือการโจมตีที่เพิ่มขึ้น, ความเหนื่อยล้าจากเครื่องมือ, และความรู้สึกว่า “ความปลอดภัยคืออุปสรรค” ➡️ CISO ใหม่ควรรีวิวระบบแบบครบวงจร และประเมินการสนับสนุนจากผู้บริหาร ➡️ การฟังทีมงานทุกฝ่ายช่วยสร้างความไว้วางใจและเปิดเผยปัญหาเชิงระบบ ➡️ ควรเริ่มจากชัยชนะเล็ก ๆ ที่เห็นผลเร็วเพื่อสร้างแรงผลักดัน ➡️ การปรับโครงสร้างควรทำเป็นระยะตามการเปลี่ยนแปลงของเทคโนโลยี ➡️ การลดจำนวนเครื่องมือและใช้ AI อย่างเหมาะสมช่วยเพิ่มประสิทธิภาพ ➡️ การลงทุนในทีมงานและการฝึกอบรมคือหัวใจของระบบที่ปรับตัวได้ ✅ ข้อมูลเสริมจากภายนอก ➡️ FTC สั่งให้ Marriott ลบข้อมูลส่วนตัวที่ไม่จำเป็น และปรับปรุงระบบรีวิวบัญชีลูกค้า ➡️ การใช้ AI ในระบบความปลอดภัยสามารถเพิ่มประสิทธิภาพได้ถึง 10 เท่า ➡️ Soft skills เช่น การเจรจาและการสร้างความร่วมมือ เป็นทักษะสำคัญของ CISO ยุคใหม่ ➡️ การจ้างคนจากหลากหลายพื้นหลัง เช่น startup หรือภาครัฐ ช่วยเพิ่มมุมมองใหม่ ➡️ การใช้ cloud-native infrastructure และการ outsource บางส่วนช่วยลดภาระทีมงาน https://www.csoonline.com/article/4063708/how-to-restructure-a-security-program.html

🔓 “Copilot เข้าถึงข้อมูลลับกว่า 3 ล้านรายการต่อองค์กร — เมื่อ AI กลายเป็นช่องโหว่ใหม่ของการจัดการข้อมูล” รายงาน Data Risk Report ปี 2025 จาก Concentric AI ได้เปิดเผยข้อมูลที่น่าตกใจว่า Microsoft Copilot ซึ่งเป็นเครื่องมือ AI ที่ถูกนำมาใช้ในองค์กรต่าง ๆ เพื่อเพิ่มประสิทธิภาพการทำงาน ได้เข้าถึงข้อมูลลับเฉลี่ยกว่า 3 ล้านรายการต่อองค์กรในช่วงครึ่งปีแรกของปีนี้เพียงอย่างเดียว โดยข้อมูลเหล่านี้คิดเป็นกว่า 55% ของไฟล์ทั้งหมดที่ถูกแชร์ออกไปภายนอกองค์กร รายงานนี้อ้างอิงจากข้อมูลจริงของลูกค้า Concentric AI ในหลากหลายอุตสาหกรรม เช่น เทคโนโลยี การเงิน การแพทย์ และภาครัฐ ซึ่งพบว่า 57% ของข้อมูลที่ถูกแชร์ภายในองค์กรมีลักษณะเป็นข้อมูลลับหรือมีสิทธิ์เข้าถึงจำกัด และในบางอุตสาหกรรม เช่น การเงินและสุขภาพ ตัวเลขนี้พุ่งสูงถึง 70% นอกจากนี้ยังพบว่า มีข้อมูลสำคัญเฉลี่ยกว่า 2 ล้านรายการต่อองค์กรที่ถูกแชร์โดยไม่มีการจำกัดสิทธิ์ และกว่า 400,000 รายการถูกแชร์ไปยังบัญชีส่วนตัว ซึ่ง 60% ของข้อมูลเหล่านั้นเป็นข้อมูลลับอีกด้วย Copilot มีการโต้ตอบกับผู้ใช้เฉลี่ยกว่า 3,000 ครั้งต่อองค์กร ซึ่งแต่ละครั้งอาจมีการเข้าถึงหรือแก้ไขข้อมูลสำคัญโดยไม่ตั้งใจ ขณะเดียวกันองค์กรยังเผชิญปัญหาเดิม ๆ เช่น ข้อมูลซ้ำซ้อน ข้อมูลเก่าเก็บ และบัญชีผู้ใช้ที่ไม่มีการใช้งาน ซึ่งทั้งหมดนี้ยิ่งเพิ่มความเสี่ยงเมื่อรวมกับการใช้ AI โดยไม่มีการควบคุมที่ชัดเจน ✅ ข้อมูลสำคัญจากข่าว ➡️ Copilot เข้าถึงข้อมูลลับเฉลี่ยกว่า 3 ล้านรายการต่อองค์กรในครึ่งปีแรก ➡️ ข้อมูลที่ถูกแชร์ภายนอกมีลักษณะเป็นข้อมูลลับถึง 55% ➡️ ในอุตสาหกรรมการเงินและสุขภาพ ตัวเลขนี้สูงถึง 70% ➡️ มีข้อมูลสำคัญเฉลี่ย 2 ล้านรายการที่ถูกแชร์โดยไม่มีการจำกัดสิทธิ์ ➡️ กว่า 400,000 รายการถูกแชร์ไปยังบัญชีส่วนตัว โดย 60% เป็นข้อมูลลับ ➡️ Copilot มีการโต้ตอบกับผู้ใช้เฉลี่ย 3,000 ครั้งต่อองค์กร ➡️ ข้อมูลซ้ำซ้อนและเก่าเก็บมีจำนวนมหาศาล เช่น ข้อมูลซ้ำกว่า 10 ล้านรายการ และข้อมูลเก่าเกิน 10 ปีอีก 7 ล้านรายการ ➡️ บัญชีผู้ใช้ที่ไม่มีการใช้งานยังคงมีข้อมูลอยู่ และเพิ่มความเสี่ยงด้านความปลอดภัย ➡️ การใช้ Copilot โดยไม่มีการควบคุมเพิ่มความเสี่ยงต่อการรั่วไหลของข้อมูล ✅ ข้อมูลเสริมจากภายนอก ➡️ “Anyone link” หรือการแชร์ไฟล์แบบไม่ต้องลงชื่อเข้าใช้ เป็นช่องโหว่ที่พบได้บ่อยในองค์กร ➡️ การใช้ GenAI โดยไม่มีการกำกับเรียกว่า “Shadow AI” ซึ่งองค์กรอาจไม่รู้ว่าข้อมูลไปอยู่ที่ใด ➡️ การจัดการสิทธิ์เข้าถึง (access governance) เป็นหัวใจของการป้องกันข้อมูลรั่วไหล ➡️ ระบบ Semantic Intelligence สามารถช่วยตรวจจับข้อมูลลับก่อนที่ AI จะเข้าถึง ➡️ การใช้ AI ในองค์กรควรมี “guardrails” หรือแนวปฏิบัติที่ชัดเจนเพื่อป้องกันความเสี่ยง https://www.techradar.com/pro/microsoft-copilot-has-access-to-three-million-sensitive-data-records-per-organization-wide-ranging-ai-survey-finds-heres-why-it-matters

🛡️ “Google Chrome อัปเดตด่วน! แก้ 3 ช่องโหว่ร้ายแรงใน V8 — หนึ่งในนั้นอาจทำให้ข้อมูลรั่วโดยไม่ต้องคลิกอะไรเลย” Google ได้ปล่อยอัปเดตเวอร์ชันใหม่ของ Chrome สำหรับ Windows, macOS และ Linux (140.0.7339.207/.208) เพื่อแก้ไขช่องโหว่ร้ายแรง 3 รายการใน V8 ซึ่งเป็นเอนจิน JavaScript ที่ขับเคลื่อนเว็บแอปทั่วโลก โดยช่องโหว่เหล่านี้ถูกค้นพบทั้งจากนักวิจัยอิสระและระบบ AI ของ Google เอง ช่องโหว่แรกคือ CVE-2025-10890 ซึ่งเป็นการรั่วไหลข้อมูลแบบ side-channel — หมายถึงการที่ผู้โจมตีสามารถสังเกตพฤติกรรมเล็ก ๆ ของระบบ เช่น เวลาในการประมวลผล หรือการเปลี่ยนแปลงเล็กน้อยในหน่วยความจำ เพื่อสกัดข้อมูลลับ เช่น session ID หรือคีย์เข้ารหัส โดยไม่ต้องเจาะระบบโดยตรง ช่องโหว่ที่สองและสาม (CVE-2025-10891 และ CVE-2025-10892) เป็นช่องโหว่แบบ integer overflow ซึ่งเกิดจากการคำนวณที่เกินขนาดหน่วยความจำ ทำให้สามารถเปลี่ยนโครงสร้างหน่วยความจำและอาจนำไปสู่การรันโค้ดอันตรายได้ ช่องโหว่เหล่านี้ถูกค้นพบโดยระบบ AI ที่ชื่อว่า Big Sleep ซึ่งพัฒนาโดย DeepMind และทีม Project Zero ของ Google การค้นพบโดย AI แสดงให้เห็นถึงความก้าวหน้าของการใช้ระบบอัตโนมัติในการตรวจสอบช่องโหว่ โดยเฉพาะในเอนจินที่ซับซ้อนอย่าง V8 ซึ่งมีบทบาทสำคัญในเบราว์เซอร์และแอปพลิเคชันจำนวนมหาศาล ✅ ข้อมูลสำคัญจากข่าว ➡️ Google Chrome อัปเดตเวอร์ชัน 140.0.7339.207/.208 เพื่อแก้ 3 ช่องโหว่ร้ายแรงใน V8 ➡️ CVE-2025-10890 เป็นช่องโหว่แบบ side-channel ที่อาจทำให้ข้อมูลลับรั่ว ➡️ CVE-2025-10891 และ CVE-2025-10892 เป็นช่องโหว่แบบ integer overflow ➡️ ช่องโหว่ถูกค้นพบโดยนักวิจัยอิสระและระบบ AI “Big Sleep” ของ Google ➡️ การโจมตีแบบ side-channel สามารถขโมยข้อมูลโดยไม่ต้องเจาะระบบโดยตรง ➡️ ช่องโหว่แบบ overflow อาจนำไปสู่การรันโค้ดอันตรายในหน่วยความจำ ➡️ ผู้ใช้ควรอัปเดต Chrome ทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลเสริมจากภายนอก ➡️ V8 เป็นเอนจิน JavaScript ที่ใช้ใน Chrome, Edge, Brave และเบราว์เซอร์อื่น ๆ ที่ใช้ Chromium ➡️ Side-channel attack เคยถูกใช้ในการขโมยคีย์เข้ารหัสจาก CPU โดยไม่ต้องเข้าถึงระบบโดยตรง ➡️ Integer overflow เป็นช่องโหว่ที่พบได้บ่อยในระบบที่จัดการหน่วยความจำแบบ low-level ➡️ AI อย่าง Big Sleep ใช้เทคนิค fuzzing และ symbolic execution เพื่อค้นหาช่องโหว่ ➡️ การอัปเดต Chrome สามารถทำได้โดยไปที่ Settings > About Chrome แล้วรีสตาร์ตเบราว์เซอร์ https://securityonline.info/google-chrome-patches-three-high-severity-flaws-in-v8-engine/

📄 “เอกสารดิจิทัลไม่ใช่แค่ไฟล์ — เมื่อการแก้ไขอย่างปลอดภัยกลายเป็นเกราะป้องกันธุรกิจยุคใหม่” ในยุคที่ข้อมูลสำคัญขององค์กรถูกเก็บไว้ในรูปแบบเอกสารดิจิทัล ไม่ว่าจะเป็นสัญญา บันทึกทางการแพทย์ หรือแผนการเงิน การแก้ไขเอกสารอย่างปลอดภัย (Secure Document Editing) จึงไม่ใช่แค่เรื่องของเทคโนโลยี แต่เป็นความรับผิดชอบระดับองค์กรที่ส่งผลต่อความเชื่อมั่นและการปฏิบัติตามกฎหมายโดยตรง บทความจาก HackRead ได้ยกตัวอย่างกรณีที่ผู้บริหารคนหนึ่งแชร์ประสบการณ์ในเวิร์กช็อปว่า เอกสารนโยบายภายในองค์กรถูกดักฟังระหว่างการแก้ไข ส่งผลให้ข้อมูลรั่วไหลและเกิดความเสียหายถาวร เหตุการณ์นี้สะท้อนถึงความจำเป็นในการใช้เครื่องมือแก้ไขเอกสารที่มีการเข้ารหัสและระบบควบคุมสิทธิ์อย่างรัดกุม ภัยคุกคามไม่ได้มาจากภายนอกเท่านั้น แต่ยังเกิดจากการจัดการสิทธิ์ภายในที่ไม่เหมาะสม เช่น การแชร์ไฟล์ผ่านอีเมลหรือคลาวด์โดยไม่มีการควบคุม ทำให้ข้อมูลสำคัญ เช่น ผลตรวจสุขภาพหรือข้อมูลลูกค้า ตกเป็นเป้าหมายของแฮกเกอร์ การเข้ารหัสและการยืนยันตัวตนจึงเป็นหัวใจของการแก้ไขเอกสารอย่างปลอดภัย โดยเฉพาะในยุคที่ค่าเสียหายจากการรั่วไหลข้อมูลพุ่งสูงถึง 4.45 ล้านดอลลาร์ต่อกรณีในปี 2023 และกฎหมายใหม่ในปี 2025 เช่น HIPAA, GDPR, SOX ต่างกำหนดให้การเข้ารหัสไม่ใช่แค่ “แนะนำ” แต่เป็น “ข้อบังคับ” นอกจากเรื่องกฎหมาย การแก้ไขเอกสารอย่างปลอดภัยยังช่วยสร้างความเชื่อมั่นให้กับลูกค้า เช่น บริษัทกฎหมายแห่งหนึ่งที่ใช้ระบบแก้ไขเอกสารแบบเข้ารหัสและมีระบบติดตามการเปลี่ยนแปลง ทำให้ลูกค้ารู้สึกมั่นใจและแนะนำบริการต่อ สุดท้าย การแก้ไขเอกสารอย่างปลอดภัยควรถูกฝังอยู่ใน workflow ขององค์กร ไม่ใช่เป็นแค่เครื่องมือเสริม โดยควรมีระบบเซ็นชื่อดิจิทัล การควบคุมสิทธิ์ตามบทบาท และการเก็บเวอร์ชันอย่างเป็นระบบ เพื่อให้ทีมงานทำงานได้อย่างราบรื่นโดยไม่ลดระดับความปลอดภัย ✅ ข้อมูลสำคัญจากบทความ ➡️ เอกสารดิจิทัล เช่น สัญญาและข้อมูลสุขภาพ ต้องได้รับการปกป้องอย่างเข้มงวด ➡️ การแก้ไขเอกสารอย่างปลอดภัยต้องมีการเข้ารหัสและควบคุมสิทธิ์ ➡️ ค่าเสียหายจากการรั่วไหลข้อมูลเฉลี่ยอยู่ที่ 4.45 ล้านดอลลาร์ต่อกรณีในปี 2023 ➡️ กฎหมายใหม่ในปี 2025 เช่น HIPAA และ GDPR กำหนดให้การเข้ารหัสเป็นข้อบังคับ ✅ แนวทางการแก้ไขเอกสารอย่างปลอดภัย ➡️ ใช้ระบบที่รองรับการเซ็นชื่อดิจิทัลและการควบคุมสิทธิ์ตามบทบาท ➡️ มีระบบติดตามเวอร์ชันและประวัติการแก้ไข (audit trail) ➡️ ควรฝังระบบความปลอดภัยไว้ใน workflow ไม่ใช่เป็นแค่เครื่องมือเสริม ➡️ การใช้ระบบที่ใช้งานง่ายช่วยลดการหลีกเลี่ยงจากผู้ใช้ ✅ ข้อมูลเสริมจากภายนอก ➡️ มาตรฐานการเข้ารหัสที่แนะนำในปี 2025 ได้แก่ AES-256 และ RSA-4096 ➡️ การเข้ารหัสแบบ zero-knowledge ช่วยป้องกันแม้แต่ผู้ดูแลระบบไม่สามารถเข้าถึงข้อมูลได้ ➡️ การปฏิบัติตาม GDPR ต้องแจ้งเหตุรั่วไหลภายใน 72 ชั่วโมง และมีสิทธิ์ลบข้อมูลตามคำขอผู้ใช้ ➡️ การไม่ปฏิบัติตามอาจถูกปรับสูงสุดถึง 4% ของรายได้ทั่วโลก https://hackread.com/why-secure-document-editing-important-than-ever/

🎙️ เมื่อข้อมูลรั่วไหลไม่ใช่แค่เรื่องเทคนิค แต่เป็นเรื่องเงิน ชื่อเสียง และอนาคตขององค์กร ลองจินตนาการว่าองค์กรของคุณถูกเจาะระบบ ข้อมูลลูกค้าไหลออกไปสู่มือแฮกเกอร์ และคุณต้องรับมือกับความเสียหายที่ไม่ใช่แค่ค่าแก้ไขระบบ แต่รวมถึงค่าปรับทางกฎหมาย การสูญเสียลูกค้า และราคาหุ้นที่ร่วงลง รายงานล่าสุดจาก IBM และ Ponemon Institute เผยว่า แม้ค่าเฉลี่ยของการรั่วไหลข้อมูลทั่วโลกจะลดลงเหลือ $4.44 ล้านในปี 2025 — ครั้งแรกในรอบ 5 ปี — แต่ในสหรัฐฯ กลับพุ่งขึ้นเป็น $10.22 ล้านต่อเหตุการณ์ เพราะค่าปรับและต้นทุนการตรวจจับที่สูงขึ้น ต้นเหตุหลักของการรั่วไหลยังคงเป็น phishing (16%) และการเจาะระบบผ่านซัพพลายเชน (15%) ซึ่งใช้ช่องโหว่จาก API หรือแอปพลิเคชันที่ไม่ได้รับการควบคุมอย่างเหมาะสม โดยเฉพาะในระบบ AI ที่กำลังถูกนำมาใช้โดยไม่มีการกำกับดูแลที่เพียงพอ ที่น่าตกใจคือ 97% ขององค์กรที่ถูกโจมตีผ่าน AI ไม่มีระบบควบคุมการเข้าถึง AI และ 63% ยังไม่มีนโยบายกำกับดูแล AI เลยด้วยซ้ำ แม้ AI จะช่วยลดเวลาในการตรวจจับและตอบสนองต่อเหตุการณ์ได้มากถึง 80 วัน และลดค่าใช้จ่ายได้เฉลี่ย $2.22 ล้าน แต่หากไม่มีการจัดการ governance ที่ดี ก็อาจกลายเป็นช่องโหว่ใหม่ที่ทำให้ความเสียหายหนักขึ้น 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ ค่าเฉลี่ยของการรั่วไหลข้อมูลทั่วโลกในปี 2025 อยู่ที่ $4.44 ล้าน ลดลง 9% จากปี 2024 ➡️ สหรัฐฯ มีค่าเสียหายสูงสุดที่ $10.22 ล้าน เพิ่มขึ้นจากปีที่แล้ว ➡️ Healthcare เป็นอุตสาหกรรมที่เสียหายมากที่สุด เฉลี่ย $7.42 ล้านต่อเหตุการณ์ ➡️ Phishing เป็นสาเหตุหลักของการรั่วไหล (16%) รองลงมาคือการเจาะระบบซัพพลายเชน (15%) ➡️ เวลาเฉลี่ยในการตรวจจับและควบคุมเหตุการณ์ลดลงเหลือ 241 วัน ➡️ การใช้ AI และ automation ช่วยลดค่าใช้จ่ายได้เฉลี่ย $2.22 ล้านต่อเหตุการณ์ ➡️ Shadow AI เป็นสาเหตุของการรั่วไหลใน 20% ขององค์กรที่ถูกโจมตี ➡️ 97% ขององค์กรที่ถูกโจมตีผ่าน AI ไม่มีระบบควบคุมการเข้าถึง AI ➡️ 63% ขององค์กรยังไม่มีนโยบายกำกับดูแล AI หรือกำลังอยู่ระหว่างพัฒนา ➡️ การใช้ DevSecOps และ SIEM เป็นปัจจัยสำคัญที่ช่วยลดค่าใช้จ่ายจากการรั่วไหล ✅ ข้อมูลเสริมจากภายนอก ➡️ การเจาะระบบผ่าน API ที่ไม่ได้รับการตรวจสอบเป็นช่องทางหลักในการโจมตี AI ➡️ Shadow AI มักใช้ API ที่ไม่มีการล็อกอินหรือการตรวจสอบ ทำให้ตรวจจับยาก ➡️ การรั่วไหลผ่าน AI มีผลกระทบต่อข้อมูลส่วนบุคคล (65%) และทรัพย์สินทางปัญญา (40%) ➡️ การโจมตีผ่าน AI มักใช้ phishing และ deepfake เพื่อหลอกลวงผู้ใช้ ➡️ การไม่มีระบบ inventory สำหรับ API ทำให้ไม่สามารถตรวจสอบช่องโหว่ได้ทันเวลา https://www.csoonline.com/article/567697/what-is-the-cost-of-a-data-breach-3.html

📞🕵️‍♂️ เรื่องเล่าจากโลกไซเบอร์: เมื่อ Google ถูกหลอกด้วยเสียง และข้อมูลลูกค้าก็หลุดไป ในเดือนมิถุนายน 2025 Google ได้ยืนยันว่าเกิดเหตุข้อมูลรั่วไหลจากระบบ Salesforce ภายในของบริษัท ซึ่งใช้เก็บข้อมูลลูกค้าธุรกิจขนาดกลางและขนาดเล็ก โดยกลุ่มแฮกเกอร์ชื่อดัง ShinyHunters (หรือ UNC6040) ใช้เทคนิค “vishing” หรือการหลอกลวงผ่านเสียงโทรศัพท์ เพื่อหลอกพนักงานให้อนุมัติแอปปลอมที่แฝงตัวเป็นเครื่องมือ Salesforce Data Loader เมื่อได้รับสิทธิ์เข้าถึงแล้ว แฮกเกอร์สามารถดูดข้อมูลออกจากระบบได้ในช่วงเวลาสั้น ๆ ก่อนที่ Google จะตรวจพบและตัดการเข้าถึง โดยข้อมูลที่ถูกขโมยนั้นเป็นข้อมูลพื้นฐาน เช่น ชื่อบริษัท เบอร์โทร และโน้ตประกอบ ซึ่ง Google ระบุว่าเป็นข้อมูลที่ “ส่วนใหญ่เปิดเผยอยู่แล้ว” อย่างไรก็ตาม เหตุการณ์นี้สะท้อนถึงความเปราะบางของระบบที่พึ่งพามนุษย์เป็นด่านแรก และเป็นส่วนหนึ่งของแคมเปญโจมตีที่กว้างขึ้น ซึ่งมีเป้าหมายเป็นบริษัทที่ใช้ Salesforce เช่น Chanel, Dior, Pandora, Qantas และ Allianz โดยกลุ่ม UNC6240 ซึ่งเชื่อว่าเป็นแขนงของ ShinyHunters จะตามมาด้วยการขู่เรียกค่าไถ่ภายใน 72 ชั่วโมง พร้อมขู่ว่าจะเปิดเผยข้อมูลผ่านเว็บไซต์ “Data Leak Site” ✅ Google ยืนยันว่าระบบ Salesforce ภายในถูกเจาะข้อมูล ➡️ เกิดขึ้นในเดือนมิถุนายน 2025 โดยกลุ่ม UNC6040 ✅ ข้อมูลที่ถูกขโมยเป็นข้อมูลพื้นฐานของลูกค้าธุรกิจ SMB ➡️ เช่น ชื่อบริษัท เบอร์โทร และโน้ตประกอบ ✅ แฮกเกอร์ใช้เทคนิค vishing หลอกพนักงานผ่านโทรศัพท์ ➡️ โดยปลอมตัวเป็นฝ่าย IT และให้ติดตั้งแอปปลอม ✅ แอปปลอมถูกระบุว่าเป็น Salesforce Data Loader หรือชื่อหลอกเช่น “My Ticket Portal” ➡️ ใช้ OAuth เพื่อเข้าถึงข้อมูลโดยไม่ถูกตรวจจับ ✅ Google ตัดการเข้าถึงได้ภายใน “ช่วงเวลาสั้น ๆ” ➡️ และแจ้งลูกค้าที่ได้รับผลกระทบทันที ✅ กลุ่ม UNC6240 ตามมาด้วยการขู่เรียกค่าไถ่ ➡️ โดยส่งอีเมลหรือโทรศัพท์เรียกเงินในรูปแบบ Bitcoin ภายใน 72 ชั่วโมง ✅ ShinyHunters เคยโจมตี Snowflake, AT&T, PowerSchool และ Oracle Cloud ➡️ เป็นกลุ่มที่มีประวัติการเจาะระบบระดับสูง ✅ Salesforce ยืนยันว่าแพลตฟอร์มไม่มีช่องโหว่ ➡️ ปัญหาเกิดจากการหลอกลวงผู้ใช้ ไม่ใช่ระบบ ✅ การเชื่อมต่อแอปภายนอกใน Salesforce ใช้รหัส 8 หลัก ➡️ เป็นช่องทางที่แฮกเกอร์ใช้หลอกให้เชื่อมต่อกับแอปปลอม ✅ บริษัทที่ตกเป็นเหยื่อมีทั้งแบรนด์หรูและสายการบิน ➡️ เช่น Chanel, Dior, Louis Vuitton, Qantas และ Allianz ✅ Google แนะนำให้ใช้ MFA, จำกัดสิทธิ์ และฝึกอบรมพนักงาน ➡️ เพื่อป้องกันการโจมตีแบบ social engineering https://hackread.com/google-salesforce-data-breach-shinyhunters-vishing-scam/

🧠 เรื่องเล่าจากสนามโค้ด: เมื่อ vibe coding คือการรูดบัตรเครดิตโดยไม่รู้ยอดหนี้ “Vibe coding” เป็นคำที่ Andrej Karpathy นิยามไว้ในต้นปี 2025 หมายถึงการเขียนโค้ดด้วย AI โดยไม่ต้องเข้าใจโค้ดทั้งหมด—แค่บอกสิ่งที่ต้องการ แล้วปล่อยให้ LLM (เช่น GPT-4 หรือ Claude) สร้างโค้ดให้เอง มันเหมาะกับการสร้างโปรเจกต์เล็ก ๆ หรือแอปต้นแบบที่ไม่ต้องดูแลระยะยาว เช่น แอปคำนวณ, เกมเล็ก ๆ, หรือเครื่องมือส่วนตัว เพราะเร็วและไม่ต้องลงแรงมาก แต่เมื่อ vibe coding ถูกใช้กับโปรเจกต์ใหญ่หรือระบบที่ต้องดูแลต่อเนื่อง มันกลายเป็น “legacy code” ที่ไม่มีใครเข้าใจ และนำไปสู่ “หนี้เทคโนโลยี” ที่ต้องจ่ายคืนด้วยเวลาและแรงงานมหาศาลในอนาคต ✅ Vibe coding คือการเขียนโค้ดด้วย AI โดยไม่ต้องเข้าใจโค้ดทั้งหมด ➡️ ใช้ LLM สร้างโค้ดจากคำสั่งธรรมดา เช่น “สร้างเว็บแสดงข้อมูลประชากรตามเมือง” ➡️ ผู้ใช้ทำหน้าที่เป็นผู้กำกับ ไม่ใช่ผู้เขียนโค้ดโดยตรง ✅ เหมาะกับโปรเจกต์ต้นแบบหรือแอปที่ไม่ต้องดูแลระยะยาว ➡️ เช่น แอปคำนวณ, เกมเล็ก ๆ, หรือเครื่องมือส่วนตัว ➡️ ไม่ต้องเข้าใจโค้ดลึก เพราะไม่ต้องแก้ไขหรือขยายในอนาคต ✅ Vibe coding ทำให้คนทั่วไปสามารถสร้างซอฟต์แวร์ได้โดยไม่ต้องเรียนเขียนโค้ด ➡️ เป็นการ democratize การพัฒนาโปรแกรม ➡️ ลดเวลาและต้นทุนในการสร้าง MVP หรือไอเดียใหม่ ✅ แต่เมื่อใช้กับโปรเจกต์จริง จะเกิด “หนี้เทคโนโลยี” (technical debt) ➡️ โค้ดที่ไม่มีโครงสร้างชัดเจน, ไม่มีเอกสาร, และไม่มีการทดสอบ ➡️ ยากต่อการแก้ไข, ขยาย, หรือ debug ในอนาคต ✅ นักพัฒนาบางคนใช้ vibe coding แบบมีสติ—ให้ AI ช่วยเฉพาะจุด และตรวจสอบทุกบรรทัด ➡️ ใช้ AI เป็นผู้ช่วย ไม่ใช่ผู้แทน ➡️ เหมาะกับงานที่ต้องการความแม่นยำและความปลอดภัย ✅ เครื่องมืออย่าง Townie, Cursor, และ Bugbot ถูกสร้างขึ้นเพื่อควบคุมคุณภาพของ vibe coding ➡️ ตรวจสอบโค้ดอัตโนมัติ, แนะนำการแก้ไข, และลดข้อผิดพลาด ➡️ ช่วยให้ vibe coding ปลอดภัยขึ้นในระดับองค์กร ‼️ การใช้ vibe coding โดยไม่เข้าใจโค้ด อาจนำไปสู่ระบบที่ไม่มีใครดูแลได้ ⛔ เมื่อเกิดปัญหา จะไม่มีใครรู้ว่าจะแก้ตรงไหน ⛔ ต้องพึ่ง AI ในการแก้ไข ซึ่งอาจทำให้ปัญหาซับซ้อนขึ้น ‼️ หนี้เทคโนโลยีจาก vibe coding อาจสะสมจนทำให้โครงการล่ม ⛔ โค้ดที่ดูดีภายนอกอาจมีปัญหาเชิงโครงสร้างภายใน ⛔ การ refactor หรือ rewrite อาจใช้เวลามากกว่าการเขียนใหม่ตั้งแต่ต้น ‼️ ผู้ใช้ที่ไม่มีพื้นฐานการเขียนโค้ดอาจเข้าใจผิดว่า AI สร้างโค้ดที่ “ดีพอ” แล้ว ⛔ ขาดการตรวจสอบความปลอดภัย, ประสิทธิภาพ, และความสามารถในการขยาย ⛔ อาจเกิดช่องโหว่ด้านความปลอดภัยหรือข้อมูลรั่วไหล ‼️ การใช้ vibe coding ในระบบที่ต้องดูแลต่อเนื่องควรมีแนวทางควบคุมที่ชัดเจน ⛔ ต้องมีการตรวจสอบโค้ด, เขียนเอกสาร, และทดสอบอย่างสม่ำเสมอ ⛔ ไม่ควรใช้ AI แทนมนุษย์ในทุกขั้นตอนของการพัฒนา ถ้าอยากให้ผมช่วยวางแนวทางการใช้ vibe coding อย่างปลอดภัยในองค์กร หรือเปรียบเทียบเครื่องมือช่วยตรวจสอบโค้ด AI เช่น Bugbot, Cursor, หรือ GitHub Copilot ผมพร้อมเจาะลึกให้คุณได้เลยครับ 🤖🧠💻 https://blog.val.town/vibe-code

🔓 เรื่องเล่าจากสายโทรศัพท์: เมื่อแฮกเกอร์แค่ “ขอรหัส” แล้วได้จริง ย้อนกลับไปในเดือนสิงหาคม 2023 บริษัท Clorox ผู้ผลิตน้ำยาฟอกขาวชื่อดัง ถูกโจมตีด้วยแรนซัมแวร์โดยกลุ่ม Scattered Spider ซึ่งใช้วิธีง่ายๆ อย่างการโทรไปยังฝ่าย IT ของ Cognizant—ผู้ให้บริการด้านเทคโนโลยีของ Clorox—แล้ว “ขอรหัสผ่าน” โดยแอบอ้างว่าเป็นพนักงาน สิ่งที่น่าตกใจคือ พนักงานของ Cognizant กลับให้รหัสผ่านโดยไม่ตรวจสอบตัวตนใดๆ ทั้งสิ้น! ไม่ถามชื่อผู้จัดการ ไม่ตรวจสอบอีเมล ไม่ใช้ระบบยืนยันตัวตนที่ Clorox เตรียมไว้เลยแม้แต่นิดเดียว ผลลัพธ์คือ Clorox ต้องหยุดการผลิต, ปิดระบบ IT, และใช้การจัดการคำสั่งซื้อแบบแมนนวลนานหลายสัปดาห์ รวมความเสียหายกว่า 380 ล้านดอลลาร์ และล่าสุด Clorox ได้ฟ้อง Cognizant ฐานประมาทเลินเล่ออย่างร้ายแรง ✅ Clorox ถูกโจมตีด้วยแรนซัมแวร์ในเดือนสิงหาคม 2023 โดยกลุ่ม Scattered Spider ➡️ ใช้วิธี social engineering โทรไปขอรหัสผ่านจากฝ่าย IT โดยแอบอ้างเป็นพนักงาน ➡️ ไม่ใช้มัลแวร์หรือเทคนิคซับซ้อนใดๆ ✅ Cognizant เป็นผู้ให้บริการ IT ที่ดูแลระบบภายในของ Clorox รวมถึงการรีเซ็ตรหัสผ่านและ MFA ➡️ มีหน้าที่ตรวจสอบตัวตนก่อนให้ข้อมูลสำคัญ ➡️ แต่กลับละเลยขั้นตอนทั้งหมดที่ Clorox กำหนดไว้ ✅ Clorox ฟ้อง Cognizant เรียกค่าเสียหาย 380 ล้านดอลลาร์ ➡️ รวมถึงค่าใช้จ่ายในการฟื้นฟูระบบกว่า 49 ล้านดอลลาร์ ➡️ และความเสียหายจากการหยุดผลิตและจัดส่งสินค้า ✅ มีหลักฐานเป็นบทสนทนาระหว่างแฮกเกอร์กับพนักงาน Cognizant ที่ให้รหัสโดยไม่ตรวจสอบ ➡️ “I don’t have a password, so I can’t connect.” ➡️ “Oh, ok. Ok. So, let me provide the password to you, okay?” ✅ ระบบที่ควรใช้คือ MyID และการตรวจสอบผ่านชื่อผู้จัดการและอีเมลยืนยัน ➡️ แต่ไม่ได้ถูกนำมาใช้เลยในเหตุการณ์นี้ ➡️ แสดงถึงความล้มเหลวในการฝึกอบรมและควบคุมคุณภาพ ‼️ การละเลยขั้นตอนตรวจสอบตัวตนสามารถเปิดช่องให้เกิดการโจมตีร้ายแรง ⛔ แม้จะมีระบบความปลอดภัยดีแค่ไหน แต่จุดอ่อนคือ “มนุษย์” ที่ไม่ทำตามขั้นตอน ⛔ การแอบอ้างตัวตนเป็นวิธีพื้นฐานที่ยังได้ผลในหลายองค์กร ‼️ การจ้างบริษัทภายนอกดูแลระบบ IT ต้องมีการกำกับและตรวจสอบอย่างเข้มงวด ⛔ ไม่ควรคิดว่า “จ้างแล้วจบ” โดยไม่ติดตามการปฏิบัติงานจริง ⛔ ควรมีสัญญาที่ระบุขั้นตอนความปลอดภัยอย่างชัดเจน ‼️ การตอบสนองต่อเหตุการณ์โจมตีต้องรวดเร็วและแม่นยำ ⛔ Clorox ระบุว่า Cognizantใช้เวลานานเกินไปในการติดตั้งเครื่องมือป้องกัน ⛔ ส่งผลให้การควบคุมความเสียหายล่าช้าไปหลายชั่วโมง ‼️ การละเมิดขั้นตอนพื้นฐานอาจนำไปสู่ความเสียหายระดับองค์กร ⛔ ไม่ใช่แค่ข้อมูลรั่ว แต่กระทบถึงการผลิต, การจัดส่ง, และความเชื่อมั่นของลูกค้า ⛔ อาจต้องใช้เวลาหลายเดือนในการฟื้นฟูภาพลักษณ์และระบบ https://www.tomshardware.com/tech-industry/cyber-security/it-provider-sued-after-it-simply-handed-the-credentials-to-hackers-clorox-claims-cognizant-gaffe-enabled-a-usd380m-ransomware-attack

🧠 เรื่องเล่าจากโลกไซเบอร์: เมื่อ “การรู้เร็ว” คืออาวุธลับขององค์กร ลองจินตนาการว่าองค์กรของคุณมีระบบความปลอดภัยครบครัน แต่กลับรู้ว่าข้อมูลบัญชีผู้ใช้งานถูกแฮก...จากอีเมลเรียกค่าไถ่ หรือจากฝ่ายซัพพอร์ตที่แจ้งว่ามีคนล็อกอินผิดปกติ! นั่นคือปัญหาที่ xonPlus ต้องการแก้—แพลตฟอร์มใหม่ที่เพิ่งเปิดตัวจากทีมเบื้องหลัง XposedOrNot ซึ่งเป็นเครื่องมือโอเพ่นซอร์สสำหรับตรวจสอบการรั่วไหลของข้อมูลที่มีผู้ใช้หลายล้านคนทั่วโลก xonPlus ทำให้ทีมรักษาความปลอดภัยสามารถรู้ได้ทันทีเมื่ออีเมลหรือโดเมนขององค์กรปรากฏในฐานข้อมูลรั่วไหลหรือฟอรั่มในดาร์กเว็บ พร้อมแจ้งเตือนภายในไม่กี่นาทีหลังจากพบข้อมูลรั่วจริง ระบบนี้ไม่เพียงแค่ตรวจจับ แต่ยังเชื่อมต่อกับเครื่องมือที่องค์กรใช้อยู่แล้ว เช่น SIEM, Slack, Microsoft Teams และอีเมล เพื่อให้การตอบสนองเป็นไปอย่างรวดเร็วและมีประสิทธิภาพ ⭕ จุดเด่นของ xonPlus ที่ปรากฏในข่าว ✅ แจ้งเตือนการรั่วไหลของข้อมูลแบบเรียลไทม์ ➡️ ตรวจพบข้อมูลบัญชีที่รั่วใน breach dumps หรือ dark web ➡️ แจ้งเตือนภายในไม่กี่นาที พร้อมแหล่งที่มาและคำแนะนำ ✅ สร้างบนฐานข้อมูลของ XposedOrNot ➡️ ใช้ข้อมูลจากการติดตาม breach กว่า 10 พันล้านรายการใน 8 ปี ➡️ รองรับการค้นหาหลายล้านครั้งทั่วโลก ✅ โครงสร้างที่ปลอดภัยระดับองค์กร ➡️ ใช้ Cloudflare และ Google Cloud เป็นโครงสร้างพื้นฐาน ➡️ รองรับการใช้งานระดับ enterprise ด้วยความเร็วและความเสถียรสูง ✅ เชื่อมต่อกับระบบที่องค์กรใช้อยู่แล้ว ➡️ รองรับการเชื่อมต่อกับ SIEM, Slack, Microsoft Teams และอีเมล ➡️ มี API สำหรับนักพัฒนา พร้อมระบบ log และ token ✅ รองรับการตรวจสอบหลายโดเมนและอีเมลจำนวนมาก ➡️ ตั้งค่า threshold การแจ้งเตือนได้ตามต้องการ ➡️ ใช้งานได้ทั้งองค์กรใหญ่และทีมเล็กที่ไม่มี SOC ✅ มีโมเดลการใช้งานที่ยืดหยุ่นและราคาคุ้มค่า ➡️ ค่าบริการแบบรายเดือนที่โปร่งใส ➡️ ประหยัดกว่าระบบ threat intel แบบเดิมถึง 5–10 เท่า ‼️ องค์กรที่ไม่มีระบบแจ้งเตือนแบบเรียลไทม์เสี่ยงสูง ⛔ อาจรู้ตัวช้าเมื่อข้อมูลบัญชีถูกแฮก ⛔ การตอบสนองล่าช้าอาจนำไปสู่การเข้าถึงระบบภายในโดยผู้ไม่หวังดี ‼️ การพึ่งพาเครื่องมือแบบเดิมอาจไม่ทันต่อภัยคุกคามยุคใหม่ ⛔ ระบบที่ต้องตั้งค่าซับซ้อนและสัญญาระยะยาวอาจไม่เหมาะกับทีมเล็ก ⛔ การไม่มี API หรือการเชื่อมต่อกับระบบที่ใช้อยู่แล้วทำให้การตอบสนองช้า ‼️ การไม่ตรวจสอบข้อมูลใน dark web เป็นช่องโหว่สำคัญ ⛔ ข้อมูลที่รั่วอาจถูกใช้โจมตีแบบ account takeover หรือ ransomware ⛔ การไม่รู้ว่าข้อมูลขององค์กรอยู่ในมือใครคือความเสี่ยงที่ควบคุมไม่ได้ https://hackread.com/xonplus-launches-real-time-breach-alerting-platform-for-enterprise-credential-exposure/

🎙️ เรื่องเล่าจากโลกองค์กร: เมื่อ AI เปลี่ยนเกม GRC และ CISO ต้องปรับตัวทัน ในอดีต GRC คือการจัดการความเสี่ยงตามกฎระเบียบและจริยธรรม แต่เมื่อ AI โดยเฉพาะ Generative AI เข้ามาในองค์กร ความเสี่ยงใหม่ ๆ เช่น การรั่วไหลของข้อมูล, การตัดสินใจผิดพลาดจากโมเดล, bias, hallucination และการใช้งานโดยไม่มีการควบคุม (shadow AI) ก็เพิ่มขึ้นอย่างรวดเร็ว รายงานจาก Check Point พบว่า 1 ใน 80 prompts ที่ส่งจากอุปกรณ์องค์กรไปยัง AI มีความเสี่ยงต่อการรั่วไหลของข้อมูลสำคัญ ขณะที่รายงานจาก Lenovo ระบุว่า มีเพียง 24% ขององค์กรที่มีนโยบาย GRC สำหรับ AI อย่างจริงจัง CISO จึงต้องทำหน้าที่สองด้าน คือ สนับสนุนการใช้งาน AI เพื่อเพิ่มประสิทธิภาพ และในขณะเดียวกันก็ต้องวางกรอบความปลอดภัยและการกำกับดูแลอย่างรัดกุม โดยใช้แนวทางเชิงกลยุทธ์และเชิงปฏิบัติ เช่น การจัดประเภท AI ด้วยระบบไฟจราจร (แดง-เหลือง-เขียว), การสร้าง model card สำหรับแต่ละ use case, และการใช้ framework เช่น NIST AI RMF, ISO/IEC 42001, FAIR, COSO, COBIT เพื่อประเมินความเสี่ยงทั้งเชิงคุณภาพและเชิงปริมาณ ✅ AI เปลี่ยนแปลงแนวทาง GRC อย่างมีนัยสำคัญ ➡️ เพิ่มความเสี่ยงใหม่ เช่น shadow AI, bias, hallucination, legal risk ✅ รายงานจาก Check Point พบว่า 1.25% ของ prompts มีความเสี่ยงรั่วไหล ➡️ เป็นภัยที่เกิดจากการใช้งาน AI โดยไม่มีกลไกควบคุม ✅ มีเพียง 24% ขององค์กรที่มีนโยบาย AI GRC ครบถ้วน ➡️ จากรายงาน Lenovo CIO Playbook ปี 2025 ✅ CISO ต้องทำหน้าที่สองด้าน: สนับสนุน AI และควบคุมความเสี่ยง ➡️ ต้องใช้แนวทางเชิงกลยุทธ์และ tactical พร้อมกัน ✅ แนวทาง tactical เช่น secure-by-design, shadow AI discovery, AI inventory ➡️ ใช้จัดการ AI ขนาดเล็กที่กระจายอยู่ใน SaaS และผลิตภัณฑ์ต่าง ๆ ✅ แนวทาง strategic ใช้กับ AI ขนาดใหญ่ เช่น Copilot, ChatGPT ➡️ ควบคุมผ่าน internal oversight forum และการจัดลำดับความเสี่ยง ✅ Framework ที่แนะนำ: NIST AI RMF, ISO/IEC 42001, FAIR, COSO, COBIT ➡️ ใช้ประเมินความเสี่ยง AI ทั้งเชิงคุณภาพและเชิงปริมาณ ✅ การจัดประเภท AI ด้วยระบบไฟจราจร (แดง-เหลือง-เขียว) ➡️ ช่วยให้พนักงานเข้าใจและใช้งาน AI ได้อย่างปลอดภัย ✅ การสร้าง model card สำหรับแต่ละ use case ➡️ ระบุ input, output, data flow, third party, และความเสี่ยงที่เกี่ยวข้อง ‼️ การใช้งาน AI โดยไม่มีการควบคุมอาจนำไปสู่ shadow AI ⛔ ทำให้ข้อมูลรั่วไหลและเกิดการใช้งานที่ไม่ปลอดภัย ‼️ การประเมินความเสี่ยง AI ยังไม่เป็นระบบในหลายองค์กร ⛔ ทำให้ CISO ขาดข้อมูลในการตัดสินใจเชิงกลยุทธ์ ‼️ การใช้ AI โดยไม่มี governance อาจละเมิดกฎหมายหรือจริยธรรม ⛔ เช่น การใช้ข้อมูลลูกค้าโดยไม่ได้รับความยินยอม ‼️ การใช้ framework โดยไม่ปรับให้เหมาะกับ AI อาจไม่ครอบคลุม ⛔ เช่น COBIT หรือ COSO ที่ยังเน้น IT แบบเดิม ‼️ การประเมินความเสี่ยงเฉพาะ use case อาจไม่พอ ⛔ ต้องมีการรวมข้อมูลเพื่อวางแผนเชิงกลยุทธ์ระดับองค์กร https://www.csoonline.com/article/4016464/how-ai-is-changing-the-grc-strategy.html

ดาร์กเว็บไม่ใช่แค่ของแฮกเกอร์ – นักป้องกันไซเบอร์ก็ใช้มันเพื่อปกป้องคุณ แม้ภาพจำของดาร์กเว็บจะเป็นแหล่งรวมอาชญากรไซเบอร์ แต่ในความเป็นจริง นักวิจัยด้านความปลอดภัย, นักข่าว, และแม้แต่หน่วยงานรัฐก็ใช้มันเพื่อวัตถุประสงค์เชิงบวก เช่น: - ตรวจสอบภัยคุกคามล่วงหน้า เช่น มัลแวร์ใหม่, ช่องโหว่, และเครื่องมือฟิชชิ่ง - ติดตามข้อมูลรั่วไหลจากการโจมตี ransomware - สืบหาตัวผู้ก่อเหตุและกลุ่มแฮกเกอร์ - ใช้เป็นช่องทางสื่อสารกับผู้โจมตีในกรณีเจรจาเรียกค่าไถ่ - ตรวจสอบความเสียหายจากการรั่วไหลของข้อมูล เช่น ข้อมูลลูกค้า, พาสปอร์ต, หรือข้อมูลสุขภาพ - ใช้ในการวิจัยและรายงานข่าวอย่างเป็นอิสระ โดยไม่เปิดเผยตัวตน นอกจากนี้ ดาร์กเว็บยังเป็นช่องทางสำคัญสำหรับผู้แจ้งเบาะแสในประเทศที่มีการเซ็นเซอร์หรือควบคุมอินเทอร์เน็ต เช่น การเข้าถึงเว็บไซต์ข่าวที่ถูกแบน หรือการเปิดโปงการทุจริตของรัฐ หน่วยงานอย่าง FBI, Interpol และตำรวจสากลก็ใช้ดาร์กเว็บในการสืบสวนและจับกุมกลุ่มอาชญากร เช่น การปิดเว็บขายยาเสพติด หรือการล้มล้างบริการมัลแวร์แบบ MaaS (Malware-as-a-Service) ✅ ข้อมูลจากข่าว - ดาร์กเว็บถูกใช้โดยนักวิจัย, นักข่าว, และหน่วยงานรัฐเพื่อวัตถุประสงค์ด้านความปลอดภัย - ใช้ตรวจสอบภัยคุกคามล่วงหน้า เช่น มัลแวร์ใหม่, ช่องโหว่, และเครื่องมือฟิชชิ่ง - ใช้ติดตามข้อมูลรั่วไหลจากการโจมตี ransomware และการขายข้อมูลในฟอรัมลับ - ใช้สืบหาตัวผู้ก่อเหตุและกลุ่มแฮกเกอร์ รวมถึงเจรจาเรียกค่าไถ่ - ใช้ในการวิจัยและรายงานข่าวอย่างเป็นอิสระ โดยไม่เปิดเผยตัวตน - หน่วยงานรัฐใช้ดาร์กเว็บในการสืบสวนและจับกุมกลุ่มอาชญากรไซเบอร์ - ผู้แจ้งเบาะแสและนักเคลื่อนไหวใช้ดาร์กเว็บเพื่อหลีกเลี่ยงการเซ็นเซอร์ - บริการตรวจสอบข้อมูลรั่วไหล เช่น HaveIBeenPwned และ Intelligence X ใช้ดาร์กเว็บในการแจ้งเตือนผู้ใช้ ‼️ คำเตือนและข้อควรระวัง - การเข้าถึงดาร์กเว็บต้องใช้เครื่องมือเฉพาะ เช่น Tor และควรมีความรู้ด้านความปลอดภัย - หากใช้งานโดยไม่ระวัง อาจตกเป็นเป้าหมายของมัลแวร์หรือการหลอกลวง - ข้อมูลที่พบในดาร์กเว็บอาจไม่ถูกต้องหรือเป็นข้อมูลปลอม ต้องตรวจสอบอย่างรอบคอบ - การสื่อสารกับผู้โจมตีผ่านดาร์กเว็บอาจมีความเสี่ยงด้านกฎหมายและจริยธรรม - ผู้ใช้ทั่วไปไม่ควรเข้าไปในดาร์กเว็บโดยไม่มีเหตุผลหรือการป้องกันที่เพียงพอ https://www.csoonline.com/article/4017766/how-defenders-use-the-dark-web.html

เราคิดว่าอีเมลที่ส่งผ่าน Microsoft 365 หรือ Gmail ธุรกิจนั้น “ถูกเข้ารหัสตามมาตรฐานเสมอ” ใช่ไหมครับ? แต่ความจริงคือ ถ้ามีปัญหาการเข้ารหัสเกิดขึ้นระหว่างส่ง (เช่น ฝั่งรับไม่รองรับ TLS) — ระบบจะ: - Google Workspace: ยอมลดมาตรฐาน กลับไปใช้ TLS 1.0 หรือ 1.1 ที่เก่ามาก (เสี่ยงต่อการดักฟัง) - Microsoft 365: ถ้าหา TLS ที่ใช้งานร่วมกันไม่ได้เลย ก็ส่งออกไปเลย “แบบไม่เข้ารหัส” — โดยไม่มีการเตือนใด ๆ! ผลคือข้อมูลละเอียดอ่อน เช่น Health Data, PHI, หรือเอกสารทางกฎหมาย อาจรั่วไหลโดยที่ทั้งผู้ใช้ และแอดมิน “ไม่รู้ตัวเลยว่ามันไม่ได้เข้ารหัส” — ซึ่งอันตรายมาก ๆ โดยเฉพาะในวงการ Healthcare ที่ต้องทำตามกฎ HIPAA งานวิจัยจาก Paubox ยังพบว่า: - 43% ของเหตุการณ์ข้อมูลรั่วใน Healthcare ปี 2024 เกี่ยวข้องกับ Microsoft 365 - 31.1% ขององค์กรที่ถูกเจาะ มีการตั้ง “บังคับใช้ TLS” แล้ว — แต่ระบบก็ยัง fallback ลงมาโดยไม่แจ้งเตือน ✅ Microsoft 365 จะส่งอีเมลเป็น plain text หากเข้ารหัส TLS ไม่สำเร็จ   • ไม่มีการแจ้งผู้ส่ง หรือ log เตือน   • เสี่ยงละเมิดกฎข้อมูล เช่น HIPAA หรือ GDPR ✅ Google Workspace ยอมใช้ TLS เวอร์ชัน 1.0/1.1 ที่เสี่ยงต่อการถูกโจมตีแบบ downgrade   • ไม่ปฏิเสธอีเมล ไม่แจ้งเตือนเช่นกัน ✅ รายงานจาก Paubox ชี้ว่าพฤติกรรม default เหล่านี้ก่อให้เกิด blind spot ร้ายแรง   • ให้ “ความมั่นใจจอมปลอม” (false sense of security) แก่ผู้ใช้งาน   • สุดท้ายเปิดช่องให้ข้อมูลรั่วไหลเงียบ ๆ ✅ กรณี Solara Medical (2021): อีเมลไม่มี encryption ทำให้ข้อมูลผู้ป่วย 114,000 รายรั่ว — ถูกปรับกว่า $12 ล้าน ✅ หน่วยงานด้านความมั่นคง เช่น NSA เตือนห้ามใช้ TLS 1.0/1.1 เพราะมีช่องโหว่ downgrade attack https://www.techradar.com/pro/security/microsoft-365-and-google-workspace-could-put-sensitive-data-at-risk-because-of-a-blind-spot-in-default-email-behavior

ช่วงนี้อิสราเอลกำลังเผชิญการโจมตีจากอิหร่าน ไม่ว่าจะเป็นขีปนาวุธหรือปฏิบัติการไซเบอร์ หนึ่งในแนวรุกของฝ่ายตรงข้ามคือ... แฮ็กกล้องวงจรปิดตามบ้านของประชาชน โดยเฉพาะกล้องที่ใช้รหัสผ่านเดิมจากโรงงาน หรือรหัสง่าย ๆ เดาง่าย เช่น “123456” สิ่งที่แฮกเกอร์ทำคือ เจาะกล้องเพื่อ ดูว่า “มิสไซล์ที่ยิงไปตกตรงไหน”, มีการเคลื่อนไหวของรถทหารหรือไม่ หรือแม้แต่ตรวจสอบจุดยุทธศาสตร์ที่ถูก blackout ข้อมูลในสื่อ กระทรวงไซเบอร์ของอิสราเอลยอมรับว่า มีความพยายามเจาะระบบกล้องเพิ่มขึ้นมากในช่วงไม่กี่วันหลังการยิงขีปนาวุธ ย้อนไปปี 2022 เคยมีการเตือนแล้วว่า “กล้องกว่า 66,000 ตัวในอิสราเอลยังใช้รหัสผ่านเริ่มต้น” — และหลายหมู่บ้านที่ถูกบุกในปีถัดมาก็ไม่เปลี่ยนแปลงอะไร จนกลายเป็นปัญหาข้อมูลรั่ววงกว้าง รัฐบาลจึงขอให้ประชาชน ปิดกล้องที่ไม่จำเป็น, เปลี่ยนรหัสผ่าน, เปิด two-factor authentication และถ้าเป็นไปได้... อย่าติดตั้งกล้องที่ “สตรีมออนไลน์” ได้เอง เพราะอาจกลายเป็นหน้าต่างเปิดให้ศัตรูมองย้อนกลับมา กรณีนี้ไม่ได้เกิดแค่ในอิสราเอล — ในยูเครน เคยมีการแบนกล้องวงจรปิด เพราะพบว่ารัสเซียใช้วิดีโอแบบ live มา “ปรับทิศการโจมตีอากาศ” แบบทันทีได้เช่นกัน ✅ รัฐบาลอิสราเอลเตือนประชาชนให้ “ปิดกล้องวงจรปิดที่ไม่จำเป็น” หรืออย่างน้อยให้เปลี่ยนรหัสผ่านใหม่   • ลดความเสี่ยงที่กลุ่มอิหร่านเจาะเข้าไปดู live feed เพื่อเก็บข้อมูล ✅ พบว่าแฮกเกอร์จากอิหร่านพยายามแฮกกล้องเพื่อดูผลกระทบของมิสไซล์ และการเคลื่อนไหวทางทหาร   • เป็นการเจาะระบบในช่วงสื่อถูกจำกัดการเผยข้อมูล ✅ เคยมีการเตือนเมื่อปี 2022 ว่ามีกล้อง 66,000 ตัวใช้รหัสผ่านจากโรงงาน (default password)   • ส่วนใหญ่ไม่ถูกเปลี่ยนแม้มีคำเตือน ✅ รัฐบาลสามารถปิดการทำงานของกล้องภาครัฐและส่วนบุคคลในพื้นที่อ่อนไหว เช่น พรมแดน หรือโครงสร้างสำคัญแล้ว • ใช้กฎหมายพิเศษในช่วงภัยพิบัติ ✅ กรณีคล้ายกันเคยเกิดในยูเครน — เมื่อรัสเซียใช้วิดีโอจากกล้องสาธารณะเพื่อเจาะพิกัดเป้าหมาย ✅ ผู้เชี่ยวชาญแนะให้เลือกกล้องที่มีระบบความปลอดภัยดี รองรับการตั้งค่ารหัส, การเข้ารหัส และปิดการสตรีมออนไลน์ได้ https://www.techspot.com/news/108401-israel-urges-citizens-turn-off-home-cameras-iran.html

🔒 Google ออกแพตช์แก้ไขช่องโหว่ Zero-Day ใน Chrome Google ได้ออก แพตช์ความปลอดภัย สำหรับ ช่องโหว่ Zero-Day ใน Chrome ซึ่งกำลังถูกใช้โจมตีในโลกออนไลน์ โดยช่องโหว่นี้เป็น Out-of-Bounds Read และ Write Vulnerability ใน V8 ซึ่งเป็น JavaScript Engine ที่ใช้ใน Chrome และ Node.js ช่องโหว่นี้ถูกติดตามภายใต้รหัส CVE-2025-5419 และได้รับ คะแนนความรุนแรง 8.8 (สูง) โดย แฮกเกอร์สามารถสร้างเว็บไซต์ที่เป็นอันตราย เพื่อ รันโค้ดบนระบบของเหยื่อ ซึ่งอาจนำไปสู่ การเข้าควบคุมระบบ, ขโมยข้อมูล หรือแพร่กระจายมัลแวร์เพิ่มเติม Google ระบุว่า ช่องโหว่นี้กำลังถูกใช้โจมตีในโลกออนไลน์ แต่ยังไม่เปิดเผยรายละเอียดเพิ่มเติมจนกว่าผู้ใช้ส่วนใหญ่จะอัปเดต Chrome เป็นเวอร์ชันล่าสุด ✅ ข้อมูลจากข่าว - Google ออกแพตช์แก้ไขช่องโหว่ Zero-Day ใน Chrome - ช่องโหว่ CVE-2025-5419 เป็น Out-of-Bounds Read และ Write Vulnerability ใน V8 - ได้รับคะแนนความรุนแรง 8.8 (สูง) - แฮกเกอร์สามารถใช้ช่องโหว่นี้เพื่อรันโค้ดบนระบบของเหยื่อ - แพตช์ถูกปล่อยในเวอร์ชัน 137.0.7151.68 สำหรับ Windows, macOS และ Linux ‼️ คำเตือนที่ควรพิจารณา - ช่องโหว่นี้กำลังถูกใช้โจมตีในโลกออนไลน์ - Google ยังไม่เปิดเผยรายละเอียดเพิ่มเติมจนกว่าผู้ใช้ส่วนใหญ่จะอัปเดต Chrome - ผู้ใช้ควรอัปเดต Chrome ทันทีเพื่อป้องกันการโจมตี - หากไม่ได้อัปเดต อาจเสี่ยงต่อการถูกแฮกและข้อมูลรั่วไหล Chrome มักจะอัปเดตโดยอัตโนมัติเมื่อเปิดใหม่ แต่ผู้ใช้สามารถ ตรวจสอบและอัปเดตด้วยตนเอง โดยไปที่ เมนู Chrome > Help > About Google Chrome แล้วคลิก “Relaunch” เพื่อใช้เวอร์ชันล่าสุด https://www.techradar.com/pro/security/google-quietly-released-a-security-fix-for-a-worrying-chrome-zero-day-flaw-so-patch-now

💻 KDE เชิญชวนผู้ใช้ Windows 10 เปลี่ยนมาใช้ Linux ก่อนหมดการสนับสนุน KDE ได้เปิดตัวแคมเปญ "End of 10" เพื่อช่วยให้ผู้ใช้ Windows 10 ที่กำลังจะหมดการสนับสนุนในวันที่ 14 ตุลาคม 2025 สามารถเปลี่ยนมาใช้ Linux แทนการซื้อฮาร์ดแวร์ใหม่ KDE ระบุว่า Windows 10 จะกลายเป็น "ขยะ" และ "ล้าสมัย" หลังจาก Microsoft หยุดการอัปเดต ทำให้เกิด ช่องโหว่ด้านความปลอดภัย ที่อาจนำไปสู่การถูกแฮกและข้อมูลรั่วไหล นอกจากนี้ แอปพลิเคชันใหม่ ๆ จะไม่สามารถรันบน Windows 10 ได้ และ Microsoft อาจ บล็อกการอัปเกรดเป็น Windows เวอร์ชันใหม่ เว้นแต่ผู้ใช้จะซื้อฮาร์ดแวร์ใหม่ ซึ่ง KDE เรียกสิ่งนี้ว่า "การรีดไถทางเทคโนโลยี" ✅ ข้อมูลจากข่าว - Windows 10 จะหมดการสนับสนุนในวันที่ 14 ตุลาคม 2025 - KDE เปิดตัวแคมเปญ "End of 10" เพื่อช่วยให้ผู้ใช้เปลี่ยนมาใช้ Linux - Windows 10 ที่ไม่ได้รับการอัปเดตจะมีช่องโหว่ด้านความปลอดภัย - Microsoft อาจบล็อกการอัปเกรดเป็น Windows เวอร์ชันใหม่ เว้นแต่ซื้อฮาร์ดแวร์ใหม่ - KDE Plasma สามารถรันได้ดีแม้บนเครื่องที่มีอายุ 10 ปี ‼️ คำเตือนที่ควรพิจารณา - การเปลี่ยนมาใช้ Linux ต้องใช้เวลาในการปรับตัว เนื่องจากระบบแตกต่างจาก Windows - ผู้ใช้ต้องหาแอปพลิเคชันที่สามารถทดแทนโปรแกรม Windows ที่เคยใช้ - บางเกมและซอฟต์แวร์ เช่น Adobe Creative Suite และ Microsoft Office อาจไม่สามารถใช้งานบน Linux ได้ - ต้องติดตามว่าผู้ใช้ Windows 10 จะเลือกเปลี่ยนไปใช้ Linux มากน้อยเพียงใด KDE พยายามนำเสนอ Linux เป็นทางเลือกที่ช่วยให้ผู้ใช้สามารถใช้ฮาร์ดแวร์เดิมต่อไปได้ โดยไม่ต้องซื้อเครื่องใหม่ อย่างไรก็ตาม ต้องติดตามว่าผู้ใช้จะยอมรับการเปลี่ยนแปลงนี้หรือไม่ https://www.neowin.net/news/as-windows-10-support-winds-down-kde-welcomes-windows-10-exiles-to-linux/

Adidas ได้ยืนยันว่า ข้อมูลลูกค้าถูกขโมย จากการโจมตีทางไซเบอร์ โดยข้อมูลที่ถูกขโมยนั้นมาจาก ผู้ให้บริการลูกค้าภายนอก ซึ่งเป็นบุคคลที่สาม อย่างไรก็ตาม ข้อมูลบัตรเครดิตและรหัสผ่านไม่ได้รับผลกระทบ ปี 2025 มีการโจมตีไซเบอร์ครั้งใหญ่ในอุตสาหกรรมค้าปลีก โดย Harrods, Marks & Spencer และ Co-op ต่างก็ถูกโจมตี และบางบริษัทต้องปิดระบบชั่วคราวเพื่อป้องกันข้อมูลรั่วไหล นอกจากนี้ Dior ก็เป็นอีกแบรนด์ที่ถูกโจมตี ทำให้ข้อมูลลูกค้ารั่วไหล ซึ่งสะท้อนถึงแนวโน้มการโจมตีที่เพิ่มขึ้นในอุตสาหกรรมแฟชั่นและค้าปลีก ✅ ข้อมูลจากข่าว - Adidas ถูกโจมตีทางไซเบอร์ และข้อมูลลูกค้าถูกขโมย - ข้อมูลที่ได้รับผลกระทบ เป็นข้อมูลติดต่อของลูกค้าที่เคยติดต่อฝ่ายบริการลูกค้า - ไม่มีข้อมูลบัตรเครดิตหรือรหัสผ่านที่ถูกขโมย - Adidas กำลังแจ้งเตือนลูกค้าที่อาจได้รับผลกระทบ และรายงานไปยังหน่วยงานที่เกี่ยวข้อง ‼️ คำเตือนที่ควรพิจารณา - ลูกค้าควรระวังการหลอกลวงทางอีเมล ที่อาจใช้ข้อมูลที่ถูกขโมย - การโจมตีไซเบอร์ในอุตสาหกรรมค้าปลีกเพิ่มขึ้น และลูกค้าควรตรวจสอบบัญชีของตนเองอย่างสม่ำเสมอ - อาจมีความเสี่ยงด้านการขโมยข้อมูลส่วนตัว แม้ว่าข้อมูลบัตรเครดิตจะไม่ได้รับผลกระทบ - ควรเปลี่ยนรหัสผ่านและเปิดใช้งานการยืนยันตัวตนสองขั้นตอน เพื่อเพิ่มความปลอดภัย การโจมตีไซเบอร์ในอุตสาหกรรมค้าปลีกกำลังเพิ่มขึ้น และลูกค้าควรตื่นตัวกับความปลอดภัยของข้อมูลส่วนตัวของตนเอง https://www.techradar.com/pro/security/adidas-confirms-customer-data-stolen-in-worrying-cyberattack

คณะกรรมการสิทธิมนุษยชนแห่งออสเตรเลียทำข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ คณะกรรมการสิทธิมนุษยชนแห่งออสเตรเลีย (AHRC) เกิดเหตุข้อมูลรั่วไหล เนื่องจากข้อผิดพลาดในการตั้งค่าการจัดทำดัชนีของเบราว์เซอร์ ทำให้เอกสารส่วนตัวและข้อมูลส่วนบุคคล ถูกเปิดเผยโดยไม่ได้ตั้งใจ บนอินเทอร์เน็ต ✅ เอกสารประมาณ 670 ฉบับถูกเปิดเผยโดยไม่ได้ตั้งใจ - ในจำนวนนี้ มีประมาณ 100 ฉบับที่ถูกเข้าถึงผ่าน Bing หรือ Google ✅ ข้อมูลที่รั่วไหลรวมถึงเอกสารจากโครงการสำคัญของ AHRC - เช่น Speaking from Experience Project (มี.ค. – ก.ย. 2024), Human Rights Awards 2023 (ก.ค. – ก.ย. 2023) และ National Anti-Racism Framework (ต.ค. 2021 – ก.พ. 2022) ✅ AHRC ได้แจ้งเตือนผู้ที่ได้รับผลกระทบแล้ว - ผู้ที่อาจได้รับผลกระทบ ควรตรวจสอบบัญชีและธุรกรรมทางการเงินเพื่อหากิจกรรมที่น่าสงสัย ✅ เหตุการณ์นี้ไม่ได้เกิดจากการโจมตีทางไซเบอร์ - เป็นข้อผิดพลาดทางเทคนิค ไม่ใช่การกระทำที่เป็นอาชญากรรม ✅ AHRC ยืนยันว่ากำลังดำเนินการแก้ไขและปรับปรุงมาตรการรักษาความปลอดภัย - เพื่อ ป้องกันไม่ให้เกิดเหตุการณ์ลักษณะนี้อีกในอนาคต https://www.techradar.com/pro/security/australian-human-right-commission-leaks-docs-and-personal-information-in-browser-indexing-mishap

Valve ยืนยันข้อมูล 2FA ของ Steam รั่วไหล กระทบผู้ใช้ 89 ล้านบัญชี Valve ได้ออกแถลงการณ์ยืนยันว่า ข้อมูลการยืนยันตัวตนสองขั้นตอน (2FA) ของ Steam รั่วไหล โดยมีผู้ใช้ได้รับผลกระทบกว่า 89 ล้านบัญชี อย่างไรก็ตาม ไม่มีรหัสผ่านหรือข้อมูลการชำระเงินรั่วไหล ✅ ข้อมูลที่รั่วไหลประกอบด้วยหมายเลขโทรศัพท์และรหัส 2FA ที่หมดอายุ - Valve ยืนยันว่า หมายเลขโทรศัพท์ที่รั่วไหลไม่สามารถใช้ระบุตัวตนของบัญชี Steam ได้ ✅ Steam ไม่ถูกแฮกโดยตรง แต่ข้อมูลรั่วไหลจากบริการบุคคลที่สามที่ส่งรหัส 2FA ผ่าน SMS - Valve ระบุว่า ระบบภายในของ Steam ไม่ถูกเจาะ ✅ ข้อมูลที่รั่วไหลถูกขายบนเว็บมืดในราคา $5,000 - มีการเสนอขายข้อมูลบน ฟอรั่ม Mipped ซึ่งเป็นที่รู้จักในวงการเว็บมืด ✅ Valve แนะนำให้ผู้ใช้เปลี่ยนไปใช้แอป Steam Authenticator แทน SMS 2FA - แอปนี้ ให้ความปลอดภัยสูงกว่าและลดความเสี่ยงจากการโจมตีแบบ phishing ✅ ไม่มีรหัสผ่านหรือข้อมูลการชำระเงินรั่วไหลจากเหตุการณ์นี้ - Valve ไม่ได้แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่าน แต่ควรตรวจสอบการตั้งค่าความปลอดภัย https://www.techspot.com/news/107923-valve-confirms-steam-2fa-leak-affecting-89-million.html

Oniux: เครื่องมือใหม่จาก Tor Project ที่ช่วยปกป้องแอปพลิเคชัน Linux จากการสอดแนม Tor Project ซึ่งเป็นที่รู้จักจากการพัฒนา Tor Browser ได้เปิดตัว Oniux ซึ่งเป็นเครื่องมือใหม่ที่ช่วยให้ผู้ใช้สามารถ รันแอปพลิเคชัน Linux ผ่าน Tor ได้ในระดับเคอร์เนล ทำให้มีความเป็นส่วนตัวสูงขึ้นและลดความเสี่ยงจากการรั่วไหลของข้อมูล ✅ Oniux ช่วยให้แอปพลิเคชัน Linux สามารถรันผ่าน Tor ได้โดยตรง - ใช้ Linux namespace เพื่อแยกทรัพยากรระบบและป้องกันการรั่วไหลของข้อมูล ✅ ช่วยลดปัญหาการตั้งค่าพร็อกซีผิดพลาด - ทำให้ ผู้ใช้ไม่ต้องกังวลเกี่ยวกับการตั้งค่าที่อาจทำให้ข้อมูลรั่วไหล ✅ Oniux มีความสามารถเหนือกว่า Torsocks ซึ่งเป็นเครื่องมือเก่าของ Tor Project - สามารถ ทำงานกับทุกแอปพลิเคชัน ไม่จำกัดเฉพาะแอปที่ใช้ libc ✅ ป้องกันการรั่วไหลของข้อมูลผ่าน system calls โดยใช้ raw assembly - ทำให้ แอปพลิเคชันที่เป็นอันตรายไม่สามารถส่งข้อมูลออกไปได้ ✅ สามารถติดตั้ง Oniux ได้ง่ายผ่าน Rust - ใช้คำสั่ง cargo install --git https://gitlab.torproject.org/tpo/core/oniux oniux@0.4.0 ‼️ Oniux ยังอยู่ในช่วงทดลองและอาจมีข้อบกพร่อง - แม้จะมีข้อดีเหนือกว่า Torsocks แต่ยังต้องได้รับการทดสอบเพิ่มเติม ‼️ การใช้ Oniux อาจต้องมีความรู้เกี่ยวกับ Linux และ Tor - ผู้ใช้ทั่วไป อาจต้องศึกษาเพิ่มเติมก่อนใช้งาน https://www.neowin.net/news/the-tor-projects-new-oniux-tool-protects-all-your-linux-apps-from-snoopers/

Valve ยืนยันว่า Steam ไม่ถูกแฮ็ก แม้มีข่าวข้อมูลรั่วไหล Valve ได้ออกแถลงการณ์เกี่ยวกับ ข่าวการรั่วไหลของข้อมูล Steam ที่มีรายงานว่ากระทบกว่า 89 ล้านบัญชี โดยบริษัทยืนยันว่า ระบบของ Steam ไม่ได้ถูกเจาะ และข้อมูลผู้ใช้ยังปลอดภัย ✅ Valve ตรวจสอบข้อมูลที่รั่วไหลและยืนยันว่าไม่ใช่การเจาะระบบ Steam - ข้อมูลที่รั่วไหล เป็นข้อความ SMS เก่าที่เคยส่งไปยังลูกค้า Steam ✅ ข้อมูลที่รั่วไหลไม่รวมรหัสผ่าน, หมายเลขโทรศัพท์, ข้อมูลการชำระเงิน หรือข้อมูลส่วนตัว - Valve ยืนยันว่า ผู้ใช้ไม่จำเป็นต้องเปลี่ยนรหัสผ่านหรือข้อมูลบัญชี ✅ ข้อความที่รั่วไหลเป็นรหัส OTP ที่หมดอายุแล้ว - รหัส OTP เหล่านี้ มีอายุเพียง 15 นาที และไม่สามารถใช้เจาะบัญชี Steam ได้ ✅ Valve กำลังตรวจสอบแหล่งที่มาของการรั่วไหล - เนื่องจาก ข้อความ SMS ไม่ได้เข้ารหัสระหว่างการส่ง และอาจถูกดักจับระหว่างทาง ✅ Valve แนะนำให้ผู้ใช้เปิดใช้งาน Steam Mobile Authenticator เพื่อเพิ่มความปลอดภัย - ช่วยให้ บัญชีมีการป้องกันที่แข็งแกร่งขึ้น https://www.neowin.net/news/following-data-leak-valve-assures-steam-users-that-its-systems-were-not-breached/

องค์กรธุรกิจเผชิญกับภัยคุกคามทางไซเบอร์ แม้จะเพิ่มงบประมาณด้านความปลอดภัย รายงานล่าสุดจาก Pentera พบว่า 67% ขององค์กรทั่วโลกประสบปัญหาการละเมิดข้อมูลในช่วง 24 เดือนที่ผ่านมา แม้ว่าจะมีการลงทุนด้านความปลอดภัยทางไซเบอร์เพิ่มขึ้นก็ตาม นอกจากนี้ 30% ขององค์กรที่ถูกโจมตีพบว่ามีข้อมูลรั่วไหล และ 28% ประสบกับความสูญเสียทางการเงิน ✅ 67% ขององค์กรทั่วโลกประสบปัญหาการละเมิดข้อมูลในช่วง 24 เดือนที่ผ่านมา - 24% ถูกโจมตีในช่วง 12 เดือนล่าสุด และ 43% ถูกโจมตีในช่วง 12 เดือนก่อนหน้า ✅ 30% ขององค์กรที่ถูกโจมตีพบว่ามีข้อมูลรั่วไหล - ส่งผลกระทบต่อ ความลับ, ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล ✅ องค์กรในสหรัฐฯ ใช้งบประมาณเฉลี่ย $187,000 ต่อปีในการทดสอบเจาะระบบ (Pentesting) - คิดเป็น 10% ของงบประมาณด้านความปลอดภัยทางไซเบอร์ ✅ 96% ขององค์กรทำการเปลี่ยนแปลงโครงสร้าง IT อย่างน้อยทุกไตรมาส - แต่มีเพียง 30% เท่านั้นที่ทำการทดสอบเจาะระบบในความถี่เดียวกัน ✅ CISOs กว่า 50% วางแผนเพิ่มงบประมาณด้านความปลอดภัยในปี 2025 - เพื่อรับมือกับ ภัยคุกคามที่เพิ่มขึ้นและการเปลี่ยนแปลงโครงสร้างพื้นฐาน https://www.techradar.com/pro/security/a-third-of-enterprises-have-been-breached-despite-increased-cybersecurity-investment

Microsoft แบนการใช้ DeepSeek ในหมู่พนักงาน เนื่องจากความกังวลด้านความปลอดภัยข้อมูลและโฆษณาชวนเชื่อ Brad Smith รองประธานและรองประธานกรรมการของ Microsoft เปิดเผยว่า พนักงานของบริษัทไม่ได้รับอนุญาตให้ใช้แอป DeepSeek ซึ่งเป็นแชตบอท AI จากจีน โดยให้เหตุผลว่า มีความเสี่ยงที่ข้อมูลผู้ใช้จะถูกจัดเก็บในจีน และคำตอบของ AI อาจได้รับอิทธิพลจากโฆษณาชวนเชื่อของรัฐบาลจีน นอกจากนี้ หน่วยงานรัฐบาลหลายแห่งของสหรัฐฯ เช่น กระทรวงพาณิชย์และกองทัพเรือสหรัฐฯ ก็ได้แบน DeepSeek เช่นกัน และอาจมีการขยายข้อห้ามเพิ่มเติมผ่าน กฎหมาย "No DeepSeek on Government Devices Act" ✅ Microsoft แบนการใช้ DeepSeek ในหมู่พนักงาน - เนื่องจาก ความกังวลด้านความปลอดภัยข้อมูลและโฆษณาชวนเชื่อ ✅ DeepSeek ถูกแบนจากหลายหน่วยงานรัฐบาลของสหรัฐฯ - รวมถึง กระทรวงพาณิชย์และกองทัพเรือสหรัฐฯ ✅ กฎหมาย "No DeepSeek on Government Devices Act" อาจขยายข้อห้ามเพิ่มเติม - เพื่อ ป้องกันการใช้ AI ที่อาจมีความเสี่ยงด้านความปลอดภัย ✅ DeepSeek มีนโยบายความเป็นส่วนตัวที่ระบุว่าข้อมูลผู้ใช้ถูกจัดเก็บบนเซิร์ฟเวอร์ในจีน - และ อยู่ภายใต้กฎหมายจีนที่กำหนดให้ต้องให้ความร่วมมือกับหน่วยข่าวกรองของรัฐบาล ✅ DeepSeek เคยเกิดเหตุข้อมูลรั่วไหลครั้งใหญ่ ซึ่งเปิดเผยข้อมูลผู้ใช้กว่า 1 ล้านรายการ - ทำให้ เกิดข้อกังวลเกี่ยวกับการจัดการข้อมูลและความปลอดภัยของผู้ใช้ https://www.techradar.com/pro/security/microsoft-employees-join-the-list-of-those-banned-from-using-deepseek