LinkedIn - Varnostni raziskovalec Volodimir Diačenko je razkril, da je Razer, znani ponudnik računalniške periferije, 8. avgusta nehote javno objavil podatke svojih strank, shranjene na njihovi spletne strani. Šlo je za podatkovno gručo v Elasticsearchu, ki je bila ne le dostopna javnosti, pač pa so jo ves čas indeksirali tudi javni iskalni pogoni.

Krivec? Napačna konfiguracija strežnika. Objavljeni so bili podatki, povezani z njihovo spletno trgovino, denimo email in fizični naslov uporabnika, vsebina naročila in telefonska številka. Med njimi pa ni bilo gesel ali pa podatkov o plačilnih karticah. Kljub temu gre za nedopustno malomarnost, saj gre za podatke, s katerimi je mogoče precej učinkoviteje zastaviti kako bodočo kampanjo phishinga in si na ta način pridobiti še kake druge, bolj usodne osebne podatke, denimo o plačilni kartici.

Še slabše so se pri Razerju odrezali, ko gre za hiter in dejaven odziv na opozorilo o napaki. Diačenko jih je o svojem odkritju poskušal obvestiti...

Slo-Tech - Da slovenski državni organi bistveno premalo, oziroma praktično nič, ne vlagajo v informacijsko varnost, vemo že dolgo časa. To priznavajo tudi strokovnjaki iz državne uprave sami.

Včasih se na dobronamerna opozorila organi (napol) odzovejo šele čez leta, včasih pa tistega, ki jih opozori na lastne napake kar ovadijo. Tako je bilo zgolj vprašanje časa, kdaj bo sledila kakšna večja katastrofa epskih razsežnosti.

In ta se je tokrat pripetila AJPESu. AJPES, ali Agencija RS za javnopravne evidence in storitve, ima namreč na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami. Gre za ranljivost, kjer je s pomočjo SQL vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Kot kaže,...

Slashdot - Uporabniki PayPala v Indiji so te dni upravičeno jezni, saj je PayPal 28. januarja začel blokirati vsa plačila v Indijo in iz države, prav tako pa jim je onemogočil prenos sredstev s PayPalovih računov na transakcijske račune v bankah ali na kreditne kartice. Anuj Nayar, PayPalov tiskovni predstavnik, je bil v edinem pojasnilu na blogu sila skop. Potrdil je le, da so bila osebna plačila v Indijo in iz države začasno ustavljena in da intenzivno iščejo rešitev, pri čemer ni niti namignil, zakaj so se odločili za tako drastično potezo.

Indijski uporabniki PayPala so na forumih ponoreli, saj jih PayPal ni vnaprej obvestil o svojih namerah. Ker so nakazila stornirali brez pojasnil, je kopica uporabniških računov v rdečih številkah. Neuradni viri trdijo, da gre za posledico novih zahtev Reserve Bank of India, ki jim PayPal še ni utegnil zadostiti.

Za zdaj edina možnost pošiljanja denarja v Indijo ostaja izbira postavke Goods pri nakazilu in vnos poštnega naslova za prejem paketa. Vse...

CNet - Google je objavil, da je v spletni odjemalec za dostop do poštnega predala na Gmailu vgradil funkcijo, ki jo bodo najbolj pozdravili temperamentnejši narodi. Da bi nam prihranili zadrego pri prenaglem pošiljanju sporočil, katerih vsebino ali pa neprave prejemnike obžalujemo milisekunde po stisku gumba pošlji, so v okviru eksperimentalnih funkcij Google Labs dodali možnost Undo Send. Tako lahko uporabniki v petih sekundah po pošiljanju e-sporočila svoje dejanje razveljavijo brez posledic za zdravje, odnose ali transakcijski račun.

Gmail je sicer že doslej vseboval nekaj funkcij, ki so uporabnika varovale pred samim seboj. Tako je, recimo, Google opozoril, če je bila v tekstu sporočila beseda attached, sporočilo pa ni imelo priloge. Google Aps (Gmail za podjetja) je denimo z oranžno barvo posvetlil prejemnike sporočila, ki niso znotraj podjetja, da ne bi slučajno poslali zaupnih informacij v svet. Lani pa je...

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

Banka Slovenije - Pred nekaj urami je kolega Matthai poročal o javno dostopnih številkah transakcijskih računov in nekaterih drugih osebnih podatkih, ki so bili takrat še javno dostopni na spletni strani Banke Slovenije. Trenutno je na podlagi odločbe inšpektorja za varovanje osebnih podatkov dostop do teh informacij blokiran do dokončanja postopka. Inšpektor v svoji odločbi zahteva sledljivost iskalca podatkov, sama objava na internetu pa se mu ne zdi sporna. O nadaljnjih dogodkih vas bomo seveda obveščali. Uradna stran Banke Slovenije.

Slo-Tech - Konec marca 2004 je začel veljati Zakon o spremembah in dopolnitvah zakona o plačilnem prometu (ZPlaP-B). Branje tega zakona je vse prej kot dolgočasno opravilo, kajti 20 člen določa, da so "podatki o transakcijskih računih javni in dostopni na spletni strani Banke Slovenije".

V skladu s 40. členom tega istega zakona se je to zgodilo tik pred volitvami, prvega oktobra 2004, kar pomeni, da si po novem s pomočjo iskalnika na spletnih straneh Banke Slovenije lahko ogledate številke transakcijskih računov svojih sosedov, ali pa tudi znanih politikov.

Poleg imena in priimka ter številke računa, je na spletni strani Banke Slovenije prikazan tudi kraj bivanja ter kje je račun odprt, zanimiva pa zna biti tudi "Evidenca o neporavnanih obveznostih".

Seveda pa je na voljo tudi evidenca transakcijskih računov pravnih oseb, kjer si lahko ogledate nekaj podrobnosti o transakcijskih računih političnih strank in podjetij, za razliko od podatkov za fizične osebe, pa si je te podatke mogoče...

Slo-Tech - V soboto, 28. februarja, se bomo dobili v Mariboru pri železniški postaji. Ob 20h bomo počakali tudi vse tiste, ki se boste pripeljali z vlakom. Nato bomo ob pijači podebatirali o težavah, ki jih imate s Slo-Techom in vas povprašali po vaših željah o izboljšanju portala. Najbolj pa si želimo, da se bomo spoznali, tako da bodo teme na forumu mnogo prijetnejše in sproščujoče.