IEEE Log - Spletne strani organizacije IEEE (Institute of Electrical and Electronics Engineers), ki skrbi za standardizacijo številnih standardov, so bile vsaj en mesec hudo ranljive, poroča Radu Dragusin na svojem blogu. Iz neznanih razlogov so uporabniške podatke (uporabniška imena in gesla) hranili v tekstovni obliki (plain text), datoteka s podatki več kot 100.000 oseb pa je bila prosto dosegljiva na njihovem FTP-strežniku, dokler ni Dragusin 18. septembra IEEE na to opozoril. Še več, dosegljive so bile tudi dnevniške datoteke z informaciji, kaj je posameznik v tem mesecu storil. IEEE je strežnike za silo zakrpal, Dragusin pa je objavil analizo zbranih podatkov.

Dnevniške datoteke vsebujejo podatke, s katerimi je mogoče identificirati uporabnike, zato ne bi smele biti nikoli...

Slashdot - RockYou, podjetje, ki izdeluje spletne družabne igre (ena bolj znanih, ki je integrirana v Facebook, je Vampires), je konec leta 2009 doživelo resen šok, ko je neznan heker z uporabo SQL vrivanja odtujil rekordno količino 32 milijonov uporabniških imen, gesel in e-poštnih naslovov. RockYou se ni držal niti osnovnih dobrih praks, saj je hranil gesla kar v čitljivi obliki, pri ustvarjanju gesla pa stran ni dovoljevala "posebnih" znakov kot so na primer #, ! ali %, kar precej zmanjša moč gesel. Porazna pa je bila tudi reakcija RockYou, saj so uporabnike o vdoru in kraji podatkov obvestili šele 12 dni kasneje, ko so lahko hekerji ukradena gesla že uporabili drugje.

RockYou je kasneje zaradi malomarnega ravnanja z uporabniškimi podatki tožil uporabnik Alan Claridge, Slashdot pa poroča, da se je včeraj RockYou pogodil s FTC, ki ga je oglobil za 250 tisoč dolarjev. Pri tem velja omeniti, da je bil RockYou oglobljen predvsem zaradi kršenja zakona COPPA. Po tem zakonu morajo namreč...

Slashdot - Podobno kot McDonald'sovemu podizvajalcu lanskega decembra je tudi podjetju Epsilon ušlo nekaj osebnih podatkov o svojih strankah. V petek so namreč javnost obvestili, da so napadalci pridobili dostop do njihovih podatkovnih baz. Epsilon upravlja baze za več podjetij, med drugim tudi za Kroger, JPMorgan Chase, Capital One, Marriott Rewards, McKinsey in New York & Company, ki so vsa med prizadetimi.

Kompromitirane baze podatkov vsebujejo zgolj imena in elektronske naslove strank, zatrjujejo v Epsilon. Škoda je tako omejena le nanje, medtem ko drugih osebnih podatkov napadalci niso dobili. Kroger in JPMorgan Chase sta svoje stranke o vdoru že obvestila po elektronski pošti in jih hkrati opozorila, naj ne odpirajo pošte od nepoznanih oseb, če bi jo dobili. Drugih posledic naj...

Ars Technica - Sony je marca z nadgradnjo 3.21 za stari PlayStation 3 hudo razburil uporabnike, saj je ukinil ob prodaji oglaševano funkcijo Namesti drugi operacijski sistem, ki je med drugim omogočala namestitev Linuxa na konzolo. Uradni razlog za odstranitev so bili varnostni pomisleki, igralce pa so v nadgradnjo prisilili z nedelovanjem PlayStation Networka na starejših revizijah. Ker je Sony odstranjeno funkcijo ob izidu konzole javno oglaševal, so se uporabniki zganili in vložili kar sedem skupinskih tožb zoper Sony, ki jih je sodišče sedaj prepakiralo v eno skupno.

Na sodišču v San Franciscu je bilo vloženih sedem skupinskih tožb, ki jih je sodišče na zahtevo odvetnikov združilo. Tri odvetniške pisarne iz San Francisca bodo sodelovale kot sovodilni...

HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):

• 123456 (290,731)
• 12345 (79,078)
• 123456789 (76,790)
• Password (61,958)
• iloveyou (51,622)
• princess (35,231)
• rockyou (22,588)
• 1234567 (21,726)
• 12345678 (20,553)
• abc123 (17,542)

Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000...

ComputerWorld - Najpriljubljenejši kitajski spletni iskalnik Baidu je bil prejšnji teden nekaj ur nedosegljiv, ker so iranski hekerji napadli DNS-strežnike v ZDA. Skupina Iranian Cyber Army, ki naj bi bila odgovorna za napad, je relativno neznana in je javnosti poznana šele od lanskega decembra, ko so za nekaj časa onemogočili Twitter.

Baidu je zato vložil tožbo na sodišču v New Yorku, v kateri podjetju Register.com očita veliko malomarnost in terja odškodnino. Baidu trdi, da je bila prizadeta le stran Baidu.com, ki 12. januarja nekaj ur ni bila dosegljiva, medtem ko je naslov Baidu.com.cn deloval nemoteno. To pomeni, vztrajajo Kitajci, da je bil zapis nezakonito in zlonamerno spremenjen kot posledica velike malomarnosti podjetja...

CNet - Prejšnji mesec smo pisali o malomarnosti skrbnikov strani RockYou, ki so uporabniška imena in gesla hranili kar v tekstovni obliki v bazi, ki je bila povrhu še občutljiva na napad SQL injection. Kdor izziva nesrečo, si je kriv sam, in tudi v tem primeru se je našel nepridiprav, ki je izkoristil na stežaj odprta vrata in odtujil 30 milijonov uporabniških podatkov. RockYou je reagiral slabo, saj so najprej poskusili vse skupaj zamolčati, nato pa so uporabnike obvestili z veliko zamudo.

Alan Claridge iz Indiane je mnenja, da je takšno varovanje podatkov nedopustno, zato podjetje RockYou toži, ker niso uspeli zagotoviti zaščite podatkov. Tožbo je vložil v ponedeljek na sodišču v San Franciscu, prizadeva pa si, da bi dobila status skupinske tožbe (class action). V tožbi piše, da je RockYou lahkomiselno in zavedno opustil najosnovnejše korake za zaščito podatkov, uporabnike pa obvestil šele 12 dni po vdoru. V devetih točkah jim očita malomarnost, kršitev pogodbe, kršitev kalifornijskih...

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali,...

Ars Technica - Sonyju se obeta skupinska tožba, v kateri mu uporabniki konzole Play Station 3 očitajo, da je zadnja revizija strojne programske kode (firmware), katere namestitev je bila obvezna, napravila iz PS3 kup neuporabnega železja. Sony za popravilo konzol, ki so utrpele poškodbe zaradi nadgradnje, zahteva 150 dolarjev. Na številne pritožbe so se odzvali z dodatno, neobvezno nadgradnjo, ki naj bi izboljšala stabilnost sistema, a je bila blažev žegen. Sedaj v skupinski tožbi oškodovani lastniki zahtevajo (PDF tožbe), da jim Sony izplača v postopku dokazane odškodnine.

TG Daily - Na washingtonskem sodišču se je pričela zanimiva skupinska tožba zoper Microsoft, kjer tožniki redmondskemu podjetju očitajo, da s programom Windows XP Genuine Advantage (WGA) kršijo pogoje, ki so veljali ob nakupu Windows XP. V tožbi trdijo, da bi moral Microsoft WGA označiti kot protipiratsko posodobitev programa in ne kot kritični popravek, brez nadaljnje razlage, kaj stori na računalniku po namestitvi. Nadalje podjetju očitajo, da so skrili in prikrili pravo naravo programa in njegove zmožnosti, saj je ta v nasprotju s kategoričnim zanikanjem Microsofta zbiral in v Redmond pošiljal privatne informacije. Microsoft namreč zatrjuje, da WGA z analizo sistema izdela unikaten ključ, ki se prebere ob nameščanju popravkov, a z njim ni moč...

The Register - V zadnjem času je zelo popularno registrirati tak ali drugačen patent ali pa zgolj blagovno znamko in potem poskušati izsiliti od podjetij, ki stvar dejansko prenesejo v prakso, kakšen milijon dolarjev. Tokrat so na tapeti Google in še 47 drugi podjetij, ki so kdaj izustila besedo Android.

Google je z imenom Android poimenoval svoj odprtokodni, na Linuxu zgrajeni operacijski sistem, ki poganja mobilne telefone in druge miniaturne prenosne naprave. Oktobra 2007 so poskušali registrirati Android kot blagovno znamko, a so njihovo vlogo februarja 2008 zavrnili. Razlog je Erich Specht, razvijalec programske opreme za Village of Palatine v Illionisu, ki je prej ustanovil podjetje Android Data in leta 2002 registriral blagovno znamko Android.

Google se je seveda avgusta 2008 pritožil, saj takrat Android Data ni obstajal že več kot štiri leta, a jih je patentni urad zavrnil. Google je novembra še enkat poskusil in zahteval začasno ukinitev stare blagovne znamke Android Data, dokler ne bi...

Slashdot - Še o eni zanimivi tožbi lahko poročamo iz ZDA, kjer majhno podjetje iz Indiane toži Microsoft, Apple in Google zaradi kršitve patenta. Cygnus Systems trdi, da podjetja z izdelki Windows Vista, Internet Explorer 8, Google Chrome, Mac OS X, iPhone in Safari kršijo patent za predogled datotek pred odprtjem, kar poznamo že od pamtiveka, Vlogo za patent je podjetje vložilo leta 2001, odobrili pa so jim ga marca letos. Lastnik in predsednik Cygnusa je še dodal, da tožena podjetja niso edini kršitelji in da druge še preiskujejo, a so bila logični korak za začetek. Google, Microsoft in Apple za zdaj ne komentirajo.

Slo-Tech - Lastniki Microsoftove najnovejše konzole najbrž poznate njihovo storitev Xbox Live, ki igričarjem za določeno vsoto denarja omogoča, da se preko interneta zabavajo s svojimi prijatelji s celega sveta. Možje iz Redmonda so razvili dobro večigralsko implementacijo, ki je večinoma požela pozitivne kritike, kljub vsemu pa se jim v kratkem obeta sodni proces, povezan z njo, zaradi domnevne kršitve patentov. Glede na njihovo preteklost verjetno sklepate, da so zlobni Microsoftovci spet ukradli idejo kakšnemu nedolžnemu podjetju, a tokrat se motite. V absurdni tožbi jim Paltalk očita, da so uporabljali določene metode za spletno komuniciranje, ki so jih oni patentirali, škodo pa ocenjujejo na več deset milijonov dolarjev. Kako se bo farsa končala, vas bomo še obvestili.

Microsoft - Vceraj smo lahko preko interneta gledali posnetek govora Bila Gatesa na RSA konferenci v San Franciscu.

Gates se je tokrat omejil predvsem na varnost ter predstavil kaj so že dosegli in kaj vse nameravajo doseči v prihodnje.

Med zanimivejšimi novosti je zagotovo nova različica Internet Explorerja, ki bo (pričakovano) prišla na tržišče pred izdajo Longhorna. V preizkusni različici bi naj izšel v začetku poletja letos, deloval pa bi naj samo na Windows XP z nameščenim servisnim popravkom 2 (SP2).

Gates je govoril tudi o spywareu in Microsoftovem izdelku AntiSpyware Beta, kako deluje SpyNet, kakšni so rezultati uporabnikov, ki so se odločili sodelovati pri izboljšavi tega produkta, itd. Najpomembnejša informacija za končnega uporabnika pa je seveda ta, da bo AntiSpyware na voljo zastonj, deloval pa bo na Windows 2000 in XP.
Gates je pri tem pa še dodal, da so se odločili, da bo to možnost imel vsak uporabnik, ki ima licenčno kopijo operacijskega sistema. Kar da vedeti, da se v tem...