รายงานชี้ "VPN ฟรี" บน iOS และ Android มีความเสี่ยงรั่วข้อมูลผู้ใช้งาน

การศึกษาล่าสุดโดย Zimperium zLabs ได้เผยผลลัพธ์ที่น่าตกใจสำหรับผู้ใช้งานหลายล้านคนที่พึ่งพาแอปพลิเคชัน Virtual Private Network (VPN) ฟรี บนระบบปฏิบัติการ iOS และ Android เพื่อรักษาความเป็นส่วนตัวทางออนไลน์ การวิเคราะห์แอปฯ ฟรี เกือบ 800 รายการ พบว่าจำนวนมากไม่เพียงแต่ล้มเหลวในการปกป้องผู้ใช้เท่านั้น แต่ยังเปิดเผยข้อมูลสำคัญให้ตกอยู่ภายใต้ภัยคุกคามด้านความปลอดภัยและความเป็นส่วนตัวที่ร้ายแรง จากการตรวจสอบพบช่องโหว่ทางเทคนิคที่สำคัญ อาทิ การใช้ซอฟต์แวร์ที่เก่าและเสี่ยงอันตราย รวมถึงการยังคงมีช่องโหว่ร้ายแรงอย่าง Heartbleed bug (CVE-2014–0160) ในแอปฯ บางตัว ซึ่งอนุญาตให้ผู้โจมตีระยะไกลสามารถอ่านข้อมูลสำคัญ เช่น secret keys, ชื่อผู้ใช้ และรหัสผ่านได้ นอกจากนี้ ยังมีแอปฯ ประมาณ 1% ที่เสี่ยงต่อการถูกโจมตีแบบ Man-in-the-Middle (MitM) ซึ่งทำให้ผู้โจมตีสามารถดักจับและอ่านข้อมูลการรับส่งทั้งหมดของผู้ใช้ได้

อีกหนึ่งประเด็นสำคัญที่ถูกค้นพบคือการที่แอปฯ เหล่านี้มีการ ร้องขอสิทธิ์การเข้าถึงระบบที่มากเกินความจำเป็น หรือที่เรียกว่า Permission Abuse ตัวอย่างเช่น แอปฯ VPN บน iOS บางตัวร้องขอการเข้าถึงตำแหน่งที่ตั้งแบบ "ตลอดเวลา" (LOCATION_ALWAYS) ซึ่งไม่มีความเกี่ยวข้องกับภารกิจหลักของ VPN ในการรักษาความปลอดภัยของการรับส่งข้อมูล หรือแอปฯ Android บางตัวร้องขอสิทธิ์ในการอ่านบันทึกระบบทั้งหมด ซึ่งอาจถูกนำไปใช้เพื่อสร้างโปรไฟล์พฤติกรรมของผู้ใช้ได้อย่างสมบูรณ์ เสมือนเป็น "เครื่องบันทึกการกดแป้นพิมพ์ (keylogger) ขั้นสูง" การกระทำเหล่านี้บ่งชี้ว่าแอปฯ มีศักยภาพในการเป็นเครื่องมือสอดแนมที่เกินกว่าหน้าที่ที่ควรจะเป็น ซึ่งเป็นเรื่องที่น่ากังวลอย่างยิ่งสำหรับความเป็นส่วนตัวของผู้ใช้ และเป็นการตอกย้ำถึงการขาดความโปร่งใสในการจัดการข้อมูล โดยเฉพาะอย่างยิ่ง 25% ของแอปฯ iOS VPN ขาดการแสดง Privacy Manifest ที่ถูกต้องตามที่กำหนด

สำหรับองค์กรที่มีนโยบายอนุญาตให้พนักงานนำอุปกรณ์ส่วนตัวมาใช้ในการทำงาน (Bring-Your-Own-Device หรือ BYOD) แอปฯ VPN ที่ไม่ปลอดภัยเหล่านี้อาจกลายเป็น จุดเชื่อมโยงที่อ่อนแอที่สุด ทำให้ข้อมูลทางธุรกิจที่ละเอียดอ่อนตกอยู่ในความเสี่ยงอย่างไม่จำเป็น ดังนั้น ผู้เชี่ยวชาญจึงย้ำเตือนว่าองค์กรและผู้ใช้งานควรตระหนักถึงความเสี่ยงที่แท้จริงของแอปฯ VPN มือถือฟรี เพราะสิ่งที่คิดว่ากำลังปกป้องความเป็นส่วนตัว อาจกลายเป็นความเสี่ยงที่ใหญ่ที่สุดต่อข้อมูลของคุณ ผู้เชี่ยวชาญแนะนำให้องค์กรใช้แนวทางการตอบสนองแบบหลายชั้น รวมถึงการจัดการและการมองเห็นอุปกรณ์ปลายทาง (Endpoint Visibility and Management) และการพิจารณาการเปลี่ยนแนวคิดด้านความปลอดภัยจากแนวคิดที่เน้นขอบเขตเครือข่าย (perimeter-based security) ไปสู่การป้องกันข้อมูลในระดับเนื้อหา (content-level data security) เพื่อให้การเชื่อมต่อกับเว็บไซต์และบริการต่าง ๆ สามารถเชื่อถือได้ แม้ว่าการมองเห็นแบบดั้งเดิมจะถูกกระทบก็ตาม

แหล่งข่าว : https://hackread.com/studyfree-ios-android-vpn-apps-leak-data/

Discord เปิดเผยเหตุ Data Breach หลังแฮกเกอร์ขโมยข้อมูลจากระบบ Customer Support

None

Discord แพลตฟอร์มสื่อสารชื่อดัง ได้ออกมาเปิดเผยถึงเหตุการณ์ Data Breach เมื่อวันที่ 20 กันยายน 2025 หลังแฮกเกอร์สามารถเจาะเข้าถึงระบบของผู้ให้บริการ Customer Support ภายนอกที่ทำงานร่วมกับ Discord และขโมยข้อมูลส่วนบุคคลของผู้ใช้งานบางส่วน

ข้อมูลที่ถูกขโมยประกอบด้วย ชื่อ, Username, อีเมล, ข้อมูลการติดต่อ, IP Address, ข้อความและไฟล์แนบที่ส่งถึงทีมซัพพอร์ต รวมถึงภาพถ่ายเอกสารยืนยันตัวตน เช่น บัตรประชาชน, ใบขับขี่ และ Passport ของผู้ใช้งานบางส่วน นอกจากนี้ยังมีข้อมูลการชำระเงินบางส่วนรั่วไหล เช่น ประเภทบัตร, เลข 4 หลักท้าย และประวัติการซื้อสินค้า โดย Discord ยืนยันว่าได้แยกผู้ให้บริการซัพพอร์ตออกจากระบบแล้วทันที และเริ่มกระบวนการสืบสวนอย่างละเอียด

รายงานระบุว่าเหตุโจมตีมีแรงจูงใจทางการเงิน โดยแฮกเกอร์ได้เรียกค่าไถ่เพื่อแลกกับการไม่เปิดเผยข้อมูลที่ขโมยมา โดยกลุ่มผู้โจมตีที่ใช้ชื่อ Scattered Lapsus$ Hunters (SLH) ที่อ้างความรับผิดชอบและยืนยันว่าได้เจาะเข้าผ่าน Zendesk Instance ของ Discord พร้อมเผยแพร่ภาพการเข้าถึงสิทธิ์ผู้ดูแลระบบ ขณะที่ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยเตือนว่า ข้อมูลที่รั่วไหลครั้งนี้มีความละเอียดอ่อนอย่างยิ่ง ถึงขั้นถูกมองว่าเป็น "Entire Identity" ของผู้ใช้ ซึ่งอาจถูกนำไปใช้ในการโจมตีทางไซเบอร์หรือการหลอกลวงทางการเงินได้

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/discord-discloses-data-breach-after-hackers-steal-support-tickets/

นักวิจัยเตือนช่องโหว่ "CometJacking" บนเบราว์เซอร์ AI ของ Perplexity เพียงคลิกเดียวอาจถูกขโมยข้อมูล

None

นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยการโจมตีรูปแบบใหม่ชื่อ CometJacking มุ่งเป้าไปยังเบราว์เซอร์ Comet ของ Perplexity โดยอาศัยเทคนิค prompt injection ซ่อนคำสั่งอันตรายภายในลิงก์ที่ดูปลอดภัย เมื่อเหยื่อคลิกลิงก์ดังกล่าว AI ภายในเบราว์เซอร์จะถูกรันคำสั่งให้ดึงข้อมูลจากบริการที่เชื่อมต่ออยู่ เช่น Gmail หรือปฏิทิน โดยไม่ต้องขโมยรหัสผ่าน เนื่องจาก Comet มีสิทธิ์เข้าถึงข้อมูลเหล่านั้นอยู่แล้ว

หัวหน้าฝ่ายวิจัยความปลอดภัยของ LayerX อธิบายว่า CometJacking แสดงให้เห็นว่าเพียงลิงก์เดียวสามารถเปลี่ยนเบราว์เซอร์ AI จากผู้ช่วยที่ไว้ใจให้กลายเป็นภัยภายในองค์กรได้ทันที ผู้โจมตีสามารถซ่อนคำสั่งใน URL ผ่านพารามิเตอร์ "collection" เพื่อสั่งให้ AI ดึงข้อมูลจากหน่วยความจำแทนการค้นหาปกติ พร้อมใช้เทคนิค Base64 encoding เพื่อหลบเลี่ยงระบบตรวจจับข้อมูลและส่งข้อมูลออกไปยังเซิร์ฟเวอร์ของผู้โจมตี

แม้ Perplexity ระบุว่าช่องโหว่นี้ไม่มีผลกระทบด้านความปลอดภัย แต่นักวิจัยเตือนการโจมตีลักษณะนี้สะท้อนถึงความเสี่ยงของเครื่องมือ AI-native ที่สามารถหลีกเลี่ยงระบบป้องกันแบบเดิม และถูกควบคุมให้ทำงานแทนผู้โจมตีได้โดยตรง ทั้งนี้ LayerX เตือนว่าเบราว์เซอร์ AI จะกลายเป็นสมรภูมิใหม่ขององค์กร พร้อมเรียกร้องให้องค์กรเร่งประเมินและพัฒนามาตรการควบคุมเพื่อป้องกันคำสั่งอันตรายที่ส่งถึง AI ก่อนที่เทคนิคดังกล่าวจะถูกนำไปใช้จริงในวงกว้าง

แหล่งข่าว : https://thehackernews.com/2025/10/cometjacking-one-click-can-turn.html