แคสเปอร์สกี้ เตือนภัยช่องโหว่ Heartbleed

๒๔ ธ.ค. fintips by ttb ชวนไขข้อสงสัย เปิดบัญชีธนาคารออนไลน์ปลอดภัยแค่ไหน
ธ.ค. ๑๘๐๐ ผลสำรวจจาก FICO เผยคนไทย 1 ใน 2 จะเลิกสมัครใช้บัญชีธนาคารออนไลน์หากขั้นตอนเยอะเกินไป
ธ.ค. ๒๕๖๗ บริการธนาคารออนไลน์เพื่อธุรกิจ BizChannel@CIMB Mobile App จากธนาคาร ซีไอเอ็มบี ไทย คว้า 3 รางวัล จากเวที Digital CX Awards 2021

เมื่อคุณทำการล็อกอินเข้า Facebook, Google หรือเว็บไซต์ธนาคารออนไลน์ นั่นคือการเชื่อมต่อกับเว็บไซต์แบบเข้ารหัสโปรโตคอล SSL เซิร์ฟเวอร์ของเว็บไซต์จำนวนมากเลือกใช้บริการโปรโตคอลนี้ผ่านโอเพ่นซอร์ส OpenSSL โดยเมื่อต้นสัปดาห์ที่ผ่านมา OpenSSL ได้ออกอัพเดทที่ชื่อ Heartbeat เพื่อซ่อมแซมฟีเจอร์ TLS โดยอาจทำให้เกิดการรั่วของข้อมูล 64kB ในหน่วยความจำของเซิร์ฟเวอร์แก่แฮกเกอร์

ซึ่งช่องโหว่นี้จะทำให้ใครก็ตามที่ใช้อินเทอร์เน็ตสามารถอ่านหน่วยความจำในเครื่องได้ ซึ่งอาจจะบันทึกยูสเซอร์เนม พาสเวิร์ด หรือแม้แต่รหัสเข้าเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อแบบเข้ารหัสอยู่เอาไว้ โดยไม่สามารถตามรอยได้ว่าเซิร์ฟเวอร์ใดหรือข้อมูลอะไรถูกแฮกไปบ้าง

ข่าวดีคือ OpenSSL จัดการซ่อมแซมบั๊กนี้แล้ว แต่ข่าวร้ายคือ ไม่มีใครยืนยันได้ว่าเว็บไซต์ที่โดน Heartbleed เข้าเล่นงานจะอัพเกรดแพทช์เรียบร้อยแล้ว ข่าวร้ายยิ่งกว่า คือ บั๊กตัวนี้มีอายุยืนยาวถึง 2 ปี!! นั่นจะทำให้สิทธิการรับรองความปลอดภัย (Security Certificate) ถูกขโมยได้ รวมถึงข้อมูลสำคัญอื่นๆ ด้วย

คำแนะนำสำหรับผู้ใช้อินเทอร์เน็ต

- ตรวจสอบว่าเว็บที่ใช้งานเป็นประจำนั้นเคยโดนบั๊กนี้หรือไม่

โดยใช้ทูลตรวจสอบออนไลน์ http://filippo.io/Heartbleed นอกจากนี้ยังมีหลายเว็บไซต์ที่รายงานสถานะเว็บไซต์ยอดฮิตต่างๆ ข่าวดีคือ Facebook และ Google ปลอดบั๊ก แต่ Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px และเว็บไซต์อื่นๆ ยังไม่ปลอดภัย

- ตรวจสอบว่าเว็บที่ใช้งานโดนบั๊กหรือไม่

โดยใช้ทูลตรวจสอบออนไลน์ http://filippo.io/Heartbleed

- ตรวจสอบว่าใช้งาน Certificate ใหม่หรือยัง

แม้ว่าเจ้าของเว็บไซต์จะแก้ปัญหาบั๊กนี้แล้ว ควรต้องพิจารณาเรื่องการออก Certificate ใหม่ด้วย ผู้ใช้งานจะต้องตรวจสอบว่าได้ใช้งาน Certificate ใหม่หรือยัง เพื่อความปลอดภัย โดยไปที่การตั้งค่าเบราเซอร์และเลือก Check for server certificate revocation

- ตรวจสอบวันที่ออก Certificate ใหม่

ผู้ใช้งานจะต้องตรวจสอบว่ามี Certificate ใหม่ที่ออกหลังวันที่ 8 เมษายน 2014 หรือไม่ โดยคลิกขวาที่รูปกุญแจสีเขียวที่ช่อง Address Bar ของเบราเซอร์ >>คลิก Connection >>คลิก Certificate Information

- เปลี่ยนพาสเวิร์ดทันที

ขั้นตอนที่สำคัญที่สุดหลังจากการอัพเดทแพทช์และ Certificate แล้ว คือการเปลี่ยนพาสเวิร์ดเพื่อเข้าใช้งานเว็บไซต์ต่างๆ ทันที เลือกใช้พาสเวิร์ดที่คุณจำง่ายแต่คนอื่นเดายาก โดยทดสอบความยากของพาสเวิร์ดคุณได้ที่ http://blog.kaspersky.com/password-check/

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป กล่าวทิ้งท้ายเตือนผู้ใช้งานอินเทอร์เน็ตให้ระมัดระวังการใช้งานในโลกไซเบอร์ และติดตามข่าวสารจากเว็บไซต์ไอทีต่างๆ อย่างสม่ำเสมอ เช่น เว็บไซต์ของแคสเปอร์สกี้ แลป www.securelist.com เพื่อการป้องกันได้ทันท่วงที

๒๐ ธ.ค.	ASMT ผนึก TFT ร่วมลงนามด้านวิชาการด้านอุตสาหกรรมการบิน
๒๐ ธ.ค.	กรมวิชาการเกษตร เดินหน้า ถ่ายทอดองค์ความรู้การผลิตอะโวคาโดคุณภาพ สร้างรายได้เพิ่มให้เกษตรกรกว่า 2 แสนบาท/ไร่
๒๐ ธ.ค.	Dow มุ่งพัฒนาประสิทธิภาพผลิตภัณฑ์ Personal Care ควบคู่ความยั่งยืน ตอบโจทย์ผู้บริโภคตลาดเครื่องสำอางในภูมิภาคเอเชีย
๒๐ ธ.ค.	โอซีซี มอบความรู้ พัฒนาอาชีพให้ผู้ต้องขังหญิง
๒๐ ธ.ค.	ดร.นุชนารถ ชลคงคา นำทีมสถาบัน ESTC จัดอบรมให้ Karmakamet
๒๐ ธ.ค.	กนภ. เห็นชอบร่าง พรบ. การเปลี่ยนแปลงสภาพภูมิอากาศ กลไกสำคัญสู่เส้นทางเศรษกิจคาร์บอนต่ำ และมีภูมิคุ้มกันฯ
๒๐ ธ.ค.	WePlay x คอลแลบตัวละครสุดปัง! พบกับมินิเกมใหม่ และการ์ตูนสุดน่ารักที่คุณจะต้องหลงรัก
๒๐ ธ.ค.	เดลต้า ประเทศไทย และ WEnergy Global ร่วมลงนามบันทึกข้อตกลงเพื่อขับเคลื่อนอนาคตพลังงานสีเขียว
๒๐ ธ.ค.	ความภาคภูมิใจของ ไลอ้อน กับ 3 รางวัลแห่งเกียรติยศ เผยผลงานโดดเด่นกับหลายรางวัลที่ได้รับในปี 2567
๒๐ ธ.ค.	NOBLE คว้าเรทติ้งสูงสุด ระดับ AAA SET ESG Ratings ประจำปี 2567 ยกระดับองค์กรสู่ความยั่งยืนภายในแนวคิด Live Different ตามกรอบ

แคสเปอร์สกี้ เตือนภัยช่องโหว่ Heartbleed

ข่าวประชาสัมพันธ์ล่าสุด