Slo-Tech - Facebook se je zapletel v nov varnostni incident, ki zajema zasebnost njegovih uporabnikov. Brian Krebs piše, da je od leta 2012 do nedavna Facebook gesla nekaterih uporabnikov hranil kar v besedilni obliki. To pomeni, da so bila gesla zapisana v podatkovni bazi in vidna vsakomur, ki je imel dostop. Facebook je navedbe potrdil, a dodal, da niso zabeležili nepooblaščenih dostopov ali zlorab.

Viri poročajo, da gre za med 200 milijoni in 600 milijoni gesel uporabnikov Facebooka, ki so bila shranjena v besedilni obliki in indeksirana, tako da je imelo do njih dostop več kot 20.000 Facebookovih zaposlenih. Facebook naj bi še vedno poizkušal ugotoviti, koliko gesel je dejansko izpostavljenih in od kdaj se napaka vleče...

Forbes - Na internetu je javno dostopna podatkovna baza z osebnimi podatki 191 milijonov ameriških volilnih upravičencev, je odkril neodvisni strokovnjak za računalniško varnost Chris Vickery. Vsebuje podatke o imenih, naslovih, rojstnih podatkih, morebitnem članstvu v stranki, telefonskih številkah, elektronskih naslovih in zgodovino udeležbe na volitvah od leta 2000. V ZDA ima volilno pravico...

Krebs On Security - Na internetu se je znašla datoteka z zbranimi uporabniškimi imeni, elektronskimi naslovi, rojstni datumi in gesla, ki pripada spletni strani za internetne zmenke Cupid Media. Napad se je zgodil že januarja letos, a o njem niso obvestili medijev. Dodatno težavo povzroča dejstvo, da so bila gesla shranjena v nezaščiteni obliki (plain-text).

Datoteko z 42 milijoni vnosov so našli na istih strežnikih, kamor se hekerji priobčili tudi pridobljene podatke v napadu na Adobe. Strokovnjak za varnost Brian Krebs, ki je v začetku novembra stopil v stik s prizadeto avstralsko stranjo, da bi izvedel...

Betabeat - Hekerji iz skupine z imenom GhostShell so včeraj objavili rezultate Projekta WestWind, kakor so poimenovali vdor v več kot sto univerz po svetu in javno priobčitev zbranih osebnih podatkov. Skupina ni neznana.

Že avgusta so pritegnili pozornost internetnega občestva, saj so v sklopu Projekta HellFire objavili več kot milijon podatkov o uporabniških računih z najrazličnejših spletnih strani. Sedaj so se lotili tudi univerz in prizadete so tudi tako elitne, kot so Harvard, Stanford, Princeton in Cambridge. Tarča so bile univerze s celega sveta, tako da med žrtvami najdemo tudi züriško, berlinsko, osaško in še številne druge. Slovenskih univerz na seznamu ni - bržkone niso dovolj zanimive, ne pa tako neprebojno zaščitene. Javno so objavili 120.000 osebnih podatkov, med njimi uporabniška imena, gesla in podatke o študentih.

V izjavi za javnost so hekerji svoje...

Slashdot - RockYou, podjetje, ki izdeluje spletne družabne igre (ena bolj znanih, ki je integrirana v Facebook, je Vampires), je konec leta 2009 doživelo resen šok, ko je neznan heker z uporabo SQL vrivanja odtujil rekordno količino 32 milijonov uporabniških imen, gesel in e-poštnih naslovov. RockYou se ni držal niti osnovnih dobrih praks, saj je hranil gesla kar v čitljivi obliki, pri ustvarjanju gesla pa stran ni dovoljevala "posebnih" znakov kot so na primer #, ! ali %, kar precej zmanjša moč gesel. Porazna pa je bila tudi reakcija RockYou, saj so uporabnike o vdoru in kraji podatkov obvestili šele 12 dni kasneje, ko so lahko hekerji ukradena gesla že uporabili drugje.

RockYou je kasneje zaradi malomarnega ravnanja z uporabniškimi podatki tožil uporabnik Alan Claridge, Slashdot pa poroča, da se je včeraj RockYou pogodil s FTC, ki ga je oglobil za 250 tisoč dolarjev. Pri tem velja omeniti, da je bil RockYou oglobljen predvsem zaradi kršenja zakona COPPA. Po tem zakonu morajo namreč...

Ars Technica - Po vsakem vdoru v računalniške sisteme, kadar se nato izvaja analiza odtujenih gesel, je rezultat vedno enak - ogromen delež uporabnikov nima varnih gesel. Tisoči in tisoči menijo, da so gesla 123456, password, qwertz in podobna varna. To je voda na mlin napadalcem, ki jim sploh ni treba vdreti v bazo podatkov, ampak se enostavno prijavijo kot uporabnik in preizkusijo nekaj najpogostejših gesel. Hotmail je obupal nad opozarjanjem uporabnikov, zato bodo najbolj pogosta nevarna gesla preprosto prepovedali.

Po novem tako ne bo več mogoče registrirati uporabniškega računa z...

Slo-Tech - Skupina hekerjev LulzSec, ki je vdrla v že kar nekaj sistemov, je ponovno udarila. Tokrat so vdrli na stran Infragard, nacionalni projekt ZDA, s katerim naj bi okrepili sodelovanje FBI z zasebnimi podjetji, da bi bolje zaščitili infrastrukturo pred terorističnimi napadi.

LulzSec se je dokopal do uporabniškega imena in gesla Karima Hijazija, računalniškega varnostnega strokovnjaka. Karim je uporabljal nevarno prakso uporabe istega gesla za različne storitve, kar je v krogih FBI močno prezirano. Z istim geslom je tako dostopal do zasebnega GMail računa, do GMail računa svojega podjetja Unveillance in do zasebnega dela strani Infragard.

Karima je potem skupina LulzSec pripravila do pogovora na IRC kanalu, kjer je bil sprva prepričan, da za to potezo stojijo njegovi konkurenti, ko pa so ga prepričali, da temu ni tako, pa se je zanimal kako bi jih uspel prepričal, da svoje znanje uporabijo proti njegovim konkurentom.

LulzSec je sicer objavil tudi arhiv e-pošte Karima Hijazija, iz...

Technology Review - Pri nadzoru nad podatki, ki jih puščamo naokoli po spletu, mnogokrat pozabimo na kratek enoličen identifikator, ki ga potrebujemo za prijavo na različne strani - na uporabniško ime. Toda ne smemo ga pozabiti, saj so raziskovalci s francoskega Nacionalnega inštituta za računalniške znanosti (INRIA) v članku How Unique and Traceable are Usernames? pokazali, da lahko preveč unikatna uporabniška imena, ki jih uporabimo na več straneh, omogočajo profiliranje uporabnikov.

Kot vzorec so vzeli deset milijonov uporabniških imen, ki so jih pobrali z Googlovih profilov, računov za eBay in drugih strani. Ugotovili so, da lahko polovico teh uporabniških imen povežejo z računi na več straneh in učinkovito izdelajo profil uporabnika. Bolj kot je...

ITworld.com - Spletni servisi za elektronsko pošto uporabnikom ponujajo rešitev za primer, če ti pozabijo svoje geslo. Tako imenovana varnostna vprašanja si uporabnik nastavi ob odprtju elektronskega predala in tipično vprašujejo po osebnih podatkih, ki naj jih drugi ne bi vedeli - na primer o materinem dekliškem priimku ali kaj podobnega. V kombinaciji s Facebookom, MySpaceom ali drugimi družabnimi stranmi se varnostna vprašanja lahko izkažejo za pogubno stvaritev. To je izkoristil tudi 23-letni...

Mozilla.org - V javnosti so se znašli podatki, da je Mozilla zaradi napake na strežniku za kratek čas 17. decembra javno objavila približno 44.000 gesel uporabniških računov za stran https://addons.mozilla.org. O spodrsljaju, na katerega je Mozillo opozoril neodvisni varnostni strokovnjak, so obvestili lastnike računov in tudi širšo javnost.

Šlo naj bi za trenutno neaktivna gesla, ki so bila shranjena še s staro zgoščevalno funkcijo md5, medtem ko so vsa od 9. aprila lani aktivna shranjena s SHA-512. Mozilla je hitro onemogočila omenjene račune in njihove lastnike obvestila, kako naj si nastavijo novo geslo in znova aktivirajo račune. Prav tako so zagotovili, da baze gesel v času dosegljivosti na spletu s strežnikov ni prenesel nihče, tako da nevarnosti praktično ni.

Slashdot - Pretekli vikend je še neznanim hekerjem uspelo pridobiti dostop do spletne strani Gawker.com ter do njihovega računa na Twitterju, na obe spletni strani pa so prilepili povezavo do datoteke .torrent na ThePirateBay, v kateri se skriva obilica kočljivih informacij. Javnosti je tako na ogled celotna baza podatkov omenjene skupine, poleg izvorne kode spletnih strani in sistema za upravljanje z vsebino. Med pobeglimi podatki so jasno tudi informacije o uporabniških računih.

Prizadetih uporabnikov naj bi bilo kar 1,3 milijona, saj skupina Gawker Media ne predstavlja le bloga Gawker.com, temveč še druge znane spletne strani, npr. Gizmodo.com, Jalopnik.com, Kotaku.com in Lifehacker.com. Bralci vseh spletnih...

HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):

• 123456 (290,731)
• 12345 (79,078)
• 123456789 (76,790)
• Password (61,958)
• iloveyou (51,622)
• princess (35,231)
• rockyou (22,588)
• 1234567 (21,726)
• 12345678 (20,553)
• abc123 (17,542)

Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000...

CNet - Prejšnji mesec smo pisali o malomarnosti skrbnikov strani RockYou, ki so uporabniška imena in gesla hranili kar v tekstovni obliki v bazi, ki je bila povrhu še občutljiva na napad SQL injection. Kdor izziva nesrečo, si je kriv sam, in tudi v tem primeru se je našel nepridiprav, ki je izkoristil na stežaj odprta vrata in odtujil 30 milijonov uporabniških podatkov. RockYou je reagiral slabo, saj so najprej poskusili vse skupaj zamolčati, nato pa so uporabnike obvestili z veliko zamudo.

Alan Claridge iz Indiane je mnenja, da je takšno varovanje podatkov nedopustno, zato podjetje RockYou toži, ker niso uspeli zagotoviti zaščite podatkov. Tožbo je vložil v ponedeljek na sodišču v San Franciscu, prizadeva pa si, da bi dobila status skupinske tožbe (class action). V tožbi piše, da je RockYou lahkomiselno in zavedno opustil najosnovnejše korake za zaščito podatkov, uporabnike pa obvestil šele 12 dni po vdoru. V devetih točkah jim očita malomarnost, kršitev pogodbe, kršitev kalifornijskih...

Yahoo News - Kitajsko sodišče je v sredo enajst članov hudodelske združbe, ki je spisala in razmnožila trojanskega konja, ki je kradel uporabniška imena in gesla za spletne igre, obsodila na zaporne kazni. Enajsterica naj bi si prisvojila več kot pet milijonov podatkov za krajo profilov online iger, za kar so bili kaznovani z globo v višini 830.000 juanov (83.000 evrov). To niti ni tako veliko, saj naj bi si s preprodajo ukradenih profilov, spletnih valut in ostalih igralskih pritiklin protipravno pridobili premoženjsko korist v vrednosti 950.000 juanov. Poleg globe bodo morali odsedeti tudi zaporne kazni do treh let zapora. Preostali člani združbe, ki si je skupno pridobila več kot 30 milijonov juanov (tri milijone evrov), bodo obsojeni kmalu.

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali,...

CNet - Včeraj smo poročali, da se je na spletu znašlo deset tisoč parov uporabniških imen in gesel uporabnikov Microsoftove storitve Live, ki pokriva tudi elektronski predal Hotmail. Microsoft se je hitro odzval na dogodek in uporabnikom na dolgo in široko razložil, kako so se nepridipravi dokopali do njihovih osebnih podatkov. Zelo enostavno, pravzaprav, sami so jim jih dali, ko so se ujeli na limanice tehnike ribarjenja.

Sedaj pa so po medmrežju zakrožili še osebni podatki uporabnikov Gmaila, Yahooja in AOL-a. Skupno naj bi šlo za več kot 30.000 javno objavljenih podatkov, medtem ko je številka dejansko pridobljenih verjetno še mnogo višja. Google se je odzval z besedami, da so pozorni na industrijo ribarjenja in da se trudijo zavarovati uporabnike, a najbolj se lahko ti zavarujejo sami. Doslej so sicer morali ponastaviti le približno 500 gesel prizadetih računov. Tudi Yahoo poziva uporabnike, naj skrbijo za higieno svojega računalnika, k čemur sodi tudi redno spreminjanje gesel in...

The Register - Na internetu se je znašlo približno deset tisoč uporabniških imen s pripadajočimi gesli za dostop do računov Microsoft Live, kamor sodi tudi elektronski predal Hotmail. Na spletni strani Pastebin.com, kamor lahko uporabniki s celega sveta nalagajo datoteke, so našteli 10.028 parov podatkov. Ker so si sledili po abecedi od ararat973@hoymail.com do blando2713@hotmail.com, je verjetno, da je to le en del večje zbirke podatkov - grob izračun pokaže, da jih je okrog 143.000. Zlobni jeziki so takoj začeli natolcevati, da je bila Microsoftova baza podatkov kompromitirana, a v tem primeru bi se ukvarjali s 450 milijoni podatkov. Prav tako Microsoft podatkov gotovo ne shranjuje v tekstovni obliki (plain text).

Verjetnejša je teorija, da so se nepridipravi do teh podatkov prikopali zaradi neosveščenosti ali naivnosti uporabnikov. Obstaja namreč cela kopica strani, ki oglašujejo, da bodo uporabniku pokazale, kdo jih je blokiral v IM-programu MSN, če ti seveda vpišejo uporabniško ime in...

ComputerWorld - Pretekli mesec se je na spletu za širšo javnost odprl The Personal Genome Project, ki je sicer prvi vdih življenja doživel lani. Cilj je bil ustvariti podatkovno bazo, v kateri bi bilo javno dostopnih 100.000 genomov različnih ljudi. Sprva so začeli z 10 prostovoljci, katerih slike, anamnezo in druge podatke so postavili na splet. Šlo je za ljudi, ki so vedeli, v kaj se podajajo in da ne morejo pričakovati anonimnosti. Do tega trenutka se je prijavilo 13.000 ljudi, ki so pripravljeni svoj genetski material deliti s širnim svetom.

George Church, vodja iniciative, pravi, da je namen projekta znanstveni srenji ponuditi genetske informacije, ki bodo uporabne za študije dednih bolezni. Sam verjame, da bo čez nekaj let vsakdo imel možnost zapis svojega genoma hraniti v elektronski obliki. Churcheva ekipa si, denimo, s podatki iz projekta pomaga pri raziskavah morfoloških značilnosti ljudi (izgled) in njihovem kodiranju v genih.

Prostovoljci, ki se bodo prijavili k projektu, bodo morali...

Slo-Tech - Pošta Slovenije že nekaj časa ponuja storitev moja.posta.si, ki omogoča prejemanje računov, položnic in drugih dokumentov po elektronski poti, mogoče pa je tudi plačevanje računov. Kljub temu da zagotavljajo visoko varnost in zaupnost podatkov, so na spletu objavili kar seznam trenutno odprtih predalov.

Seznam vsebuje elektronske naslove in imena ter priimke (oziroma imena pravnih oseb) imetnikov varnih poštnih predalov. Seveda gre za osebne podatke, katerih javna objava brez ustreznega soglasja posameznikov ni dovoljena.

Ob tem je zanimivo tudi to, da Pošta Slovenije v svojem pravnem obvestilu svojim strankam zagotavlja, da njihovih osebnih podatkov ne bodo uporabili ali komurkoli...

Times Online - Britanski ponudniki dostopa do spleta ter operaterji mobilne in stacionarne telefonije bodo morali v primeru, da bo britanski parlament sprejel nove ukrepe za boj proti terorizmu, v centralno vladno bazo podatkov posredovati prometne podatke o tem, koga so britanski državljani klicali po telefonu, katere spletne strani so obiskali ter s kom so si dopisovali po elektronski pošti.

Velikansko vladno bazo podatkov naj bi ponudniki in operaterji sproti dopolnjevali s svežimi podatki za obdobje 12 mesecev, organi pa naj bi imeli dostop do nje le z dovoljenjem sodišča. Zagotavljajo, da računalniška podjetja, ki bodo bazo vzdrževala, do podatkov ne bodo mogla dostopati. Glede na to, piše Times Online, da so si Britanci lani poslali 57 milijard SMS-ov in da na Otoku izmenjajo 3 milijarde elektronskih sporočil, bo takšno bazo podatkov težko vzdrževati, poleg tega pa je Britanija znana po katastrofalnem varovanju zasebnosti.

Nedavno so namreč izgubili podatke petindvajsetih milijonov...

Slo-Tech - Izšla je nova različica podatkovne baze PostgreSQL, ki nosi oznako 8.0. Prinaša obilico novosti: dolgo pričakovano podporo za operacijski sistem Windows, možnost uporabe "savepointov", ki omogočajo razveljavitev samo določenega dela transakcije, na področju varovanja pred izgubo podatkov je na voljo "point-in-time recovery", za razdelitev podatkovne baze na več diskov pa podpora za podatkovne prostore. Prav tako je povečana zmogljivost ob visokih obremenitvah; precejšen del aplikacij pa je tudi poslovenjen.

Več informacij je na voljo na postgresql.org in na pg-si.com.

PS. zaradi nadgradnje bo Slo-Tech v noči iz sobote na nedeljo občasno nedosegljiv.

Slashdot - Mass Hich Tech magazin poroča, da je ta mesec podjetje LocatePlus sklenilo pogodbo s protiterorističnim in ostalimi preiskovalnimi oddelki massachussetske policije, s katero so policiste na terenu opremili z brezžičnimi napravami in dostopom do njihove baze podatkov.

Baza podatkov vsebuje osebne podatke o skoraj 98 odstotkih ameriške populacije, vključno s sedanjim in preteklimi naslovi, sostanovalcih, podatkih o lastništvu vozil in nepremičnin, morebitni kriminalni preteklosti itd. Podjetje se na svoji spletni strani pohvali, da imajo bazo skoraj vseh, tudi tajnih telefonskih številk (vključno z številkami mobilnih telefonov), omogoča pa tudi iskanje po bazi registriranih vozil.

Policija je seveda navdušena, saj so jim bili ti podatki sicer dostopni že prej, vendar so za dostop do njih potrebovali dneve ali tedne, "z brezžičnimi napravami pa je to mogoče v sekundah" (izjava Johna Latorelle, direktorja podjetja LocatePlus). Navdušeno pa je tudi podjetje, saj pričakuje, da bo...

MSNBC - Očitno zasebnost iz dneva v dan postaja številnim ljudem, ki izdelujejo softver, deseta briga, saj se zadnje čase pojavlja na tone raznih vohunskih programčkov z bolj ali manj dobrimi namerami. Eden izmed zadnjih se imenuje eBlaster podjetja SpectorSoft, ki zna nameščen na poljuben računalnik bojda kar precej učinkovito nadzorovati dostope uporabnikov do svoje e-pošte. Po navedbah razvijalca lahko vohunski programček eBlaster skrivoma pošilja pošto, ki jo pravkar pregleduje uporabniki na računalniku, kjer je nameščen prej omenjeni programček, "nadzorniku". Program zna prestrezati prihajajočo in odhajajočo pošto POP3, kot tudi tisto, do katere dostopamo preko spletne strani (Yahoo!, Hotmail, ....). Podjetje sicer navaja, da naj bi bil program eBlaster namenjen raznim direktorjem, ki nato nadzirajo, kaj počnejo zaposleni in bolezensko zaskrbljenim staršem, ki ne morejo in ne morejo spustiti svojega sina ali hčerkice izpod budnega očesa. Morda na prvi pogled izgleda, da je program...