TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
TechCrunch รายงานว่าแฮกเกอร์ได้โจมตี Chrome Extension ยอดนิยมหลายตัวที่มีผู้ใช้งานนับแสนราย โดยหนึ่งใน Extension ที่ได้รับผลกระทบพัฒนาโดยบริษัท Cyberhaven ซึ่งเป็นผู้ให้บริการด้านความมั่นคงปลอดภัยทางไซเบอร์ที่ได้รับการสนับสนุนจากนักลงทุนและได้ออกมาแถลงการณ์ยืนยันเหตุการณ์ดังกล่าว
Cyberhaven ซึ่งตั้งอยู่ที่ซานโฮเซ รัฐแคลิฟอร์เนีย ช่วยให้องค์กรป้องกันไม่ให้พนักงานใช้งานข้อมูลทางธุรกิจในทางที่ไม่ได้รับอนุญาต Chrome Extension ของบริษัทสามารถตรวจจับกรณีที่ผู้ใช้งานพยายามคัดลอกไฟล์จากฐานข้อมูลสำคัญไปยังเครื่องมือที่ไม่ปลอดภัย และสามารถบล็อกการกระทำดังกล่าวโดยอัตโนมัติหรือขอให้พนักงานให้เหตุผลก่อนดำเนินการ ซึ่งหลังจากระดมทุนรอบ 88 ล้านดอลลาร์ในเดือนมิถุนายน Cyberhaven เปิดเผยว่ายอดการจองบริการของบริษัทเพิ่มขึ้นสามเท่าเมื่อเทียบกับปีก่อนหน้า ตามรายงานของ TechCrunch รายการใน Chrome Web Store ระบุว่า Extension ของบริษัทมีผู้ใช้งานมากกว่า 400,000 คน แต่บริษัทไม่ได้เปิดเผยว่ามีลูกค้ากี่รายที่ได้รับผลกระทบจากการโจมตีครั้งนี้
โพสต์ในบล็อกของบริษัทระบุว่าการโจมตีเริ่มต้นเมื่อวันที่ 24 ธันวาคม ด้วยอีเมลฟิชชิ่งที่ส่งถึงพนักงานคนหนึ่งของบริษัท แฮกเกอร์สามารถเข้าถึงบัญชีผู้ดูแลระบบที่จัดการรายการ Extension ใน Chrome Web Store และใช้บัญชีนั้นเพื่อแจกจ่ายการอัปเดตที่มีโค้ดอันตรายที่ถูกออกแบบมาเพื่อขโมยข้อมูลที่สำคัญ เช่น รหัสผ่านและโทเค็นเซสชัน ซึ่งเป็นข้อมูลที่เว็บแอปพลิเคชันติดตั้งบนอุปกรณ์ของผู้ใช้งานในช่วงที่เข้าสู่ระบบ โทเค็นเซสชันสามารถใช้แทนรหัสผ่านและอาจถูกแฮกเกอร์นำไปใช้เพื่อเข้าควบคุมบัญชีได้ โดย Cyberhaven ระบุว่าโค้ดอันตรายนี้ทำงานเป็นเวลาประมาณ 25 ชั่วโมง ตั้งแต่ 20:32 นาฬิกาเวลาตะวันออก ของวันที่ 24 ธันวาคม และบริษัทตรวจพบโค้ดอันตรายในช่วงบ่ายของวันถัดมาและลบออกจาก Chrome Web Store พร้อมทั้งปล่อยเวอร์ชันใหม่ 24.10.5 ซึ่งปลอดภัยให้ผู้ใช้งานได้ดาวน์โหลด ทั้งนี้เหตุการณ์ดังกล่าวส่งผลกระทบเฉพาะการติดตั้ง Chrome ที่ตั้งค่าให้ Extension ของ Cyberhaven อัปเดตโดยอัตโนมัติ และแฮกเกอร์ไม่ได้เข้าถึงระบบภายในของบริษัท เช่น เครื่องมือ CI/CD และเครื่องมือเซ็นโค้ดที่ใช้ในการปรับปรุงซอฟต์แวร์สำหรับลูกค้า
TechCrunch ยังรายงานว่า Cyberhaven ได้ว่าจ้างทีม Mandiant ของ Google เพื่อตรวจสอบเหตุการณ์ พร้อมกับทบทวนการปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์และวางแผนเพิ่มมาตรการป้องกันใหม่ พร้อมทั้งแนะนำให้ลูกค้าที่อาจดาวน์โหลดการอัปเดตที่มีโค้ดอันตรายทำการเปลี่ยนรหัสผ่านและข้อมูลรับรองอื่น ๆ ที่เป็นข้อความ และให้บริษัทที่ได้รับผลกระทบตรวจสอบบันทึกความมั่นคงปลอดภัยไซเบอร์ของตนเพื่อหาสัญญาณการโจมตีอีกด้วย
นอกจากนี้ Jaime Blasco หัวหน้าเจ้าหน้าที่เทคโนโลยีของ Nudge Security ซึ่งเป็นบริษัทสตาร์ทอัพด้านความมั่นคงปลอดภัยไซเบอร์ได้กล่าวกับ Reuters ว่าแฮกเกอร์กลุ่มเดียวกันยังได้โจมตี Chrome Extension อื่น ๆ ที่เกี่ยวข้องกับ VPN ประสิทธิภาพการทำงาน และปัญญาประดิษฐ์ ซึ่งบางตัวมีผู้ใช้งานนับหมื่นราย
ที่มา: https://siliconangle.com/2024/12/27/hackers-compromise-chrome-extensions-400000-users/
