Slo-Tech - Britanska banka TSB je v petek, 20. aprila, popoldne začela dolgo načrtovano nadgradnjo svojega informacijskega sistema. Stari sistem, ki je nastajal še v času prejšnjega lastnika Lloyds Banking Group, so zamenjali s sistemom novega španskega lastnika Sabadell. Komitenti do nedelje zvečer naj ne bi mogli uporabljati spletne banke in opravljati nekaterih drugih storitev. V ponedeljek, ko bi moral sistem normalno delovati, so ljudje z nejeverno zrli v bankomate in spletno banko - številnim spletna banka ni delovala, več kot 1300 komitentom je z računa zmanjkal denar. Ni šlo za napake, temveč so račune izpraznili zlikovci. Banka je zabeležila več kot 93.700 pritožb komitentov, ki niso mogli do svojega denarja. Tudi po šestih tednih od nadgradnje imajo nekateri komitenti še vedno težave,...

Slo-Tech - Britanska banka Tesco je bila žrtev večjega hekerskega napada, zaradi katerega je vsem svojim komitentom delno zamrznila navadne tekoče račune (current acounts). Na njih so onemogočili izvajanje plačil, še vedno pa je možno kartično poslovanje in poravnavanje direktnih bremenitev.

Hekerji so udarili med vikendom, v soboto pa so se prvi komitenti in banka zavedli, da je nekaj narobe. Prizadetih je 40.000 računov, s približno polovice pa so zmanjkale različne...

Slo-Tech - Hekerji se čedalje bolj obračajo k izsiljevalskim tehnikam, s katerimi želijo iz svojih programov in sposobnosti iztisniti kakšen evro. Prijemi segajo od virusov, ki zašifrirajo uporabniške datoteke in obljubljajo njihovo povrnitev v zameno za plačilo nekaj sto evrov, do izsiljevanja velikih islamskih bank. Neznani heker, ki se predstavlja z imenom Hacker Buba, je sredi novembra vdrl v Banko Sharjah iz Združenih arabskih emiratov. Očitno mu je uspelo izmakniti obilico...

Slo-Tech - Višje sodišče je potrdilo prvostopenjsko sodbo, s katero je okrajno sodišče lani razsodilo, da mora NLB komitentu vrniti pet tisoč evrov, ki so mu jih neznani storilci ukradli z zlorabo spletne banke.

Gre za spor iz leta 2009, ki se je začel, ko je komitent na bankomatu opazil, da je stanje na njegovem računu negativno. Ugotovil je, da so neznani storilci z njegovega računa nakazali 5150 na neznan bančni račun, zaradi česar je takoj blokiral spletno banko, kaznivo dejanje prijavil policiji in od banke zahteval povrnitev škode. Tu pa se je zapletlo, ker je banka trdila, da je uporabnik za zlorabo kriv sam in do povračila škode ni upravičen.

Komitent je namreč podatke o...

The New York Times - Na dan so pricurljale informacije, da je bil decembrski hekerski napad na ameriškega trgovca Target bistveno obsežnejši, kot so sprva zatrjevali. Že prvotne navedbe so bile zaskrbljujoče, saj so napadalci dobili bančne podatke vsaj 40 milijonov kupcev, in sicer imena imetnikov kartic, številke kartic, datume veljavnosti, kode CVV in šifrirane kode PIN. Sedaj pa ugotavljajo, da je bilo prizadetih okoli 110 milijonov kupcev, o katerih so jim ušli še drugi podatki.

Target je v izjavi za javnost priznal, da so neznanci med napadom odtujili tudi nekatere druge podatke o kupcih. Poleg omenjenih 40 milijonov imetnikov kartic, so napadalci dobili imena, elektronske naslove, telefonske številke in domače naslove vsaj 70 milijonov drugih kupcev. Pravijo, da gre v večini...

Krebs On Security - Med prazniki so si v ZDA belili glavo z vprašanjem, kdo, kako in v kolikšnem obsegu je napadel trgovsko verigo Target in ukradel več kot 40 milijonov bančnih podatkov. Kot so potrdili v podjetju, so neznanci med 27. novembrom in 15. decembrom prestregli bančne podatke kupcev v ameriških trgovinah, medtem ko nakupi prek spleta in v kanadskih izpostavah niso problematični. Priznali so, da so bila odtujena imena imetnikov kartic, številke kartic, datumi veljavnosti in kode CVV. Reuters je potem ugotovil, da so napadalci ukradli tudi številke PIN kartic, ki pa so bile šifrirane.

Target je zagotovil, da kupci ne odo imeli nikakršnih stroškov, saj bodo vso škodo pokrili trgovec ali banke. Kljub temu se je...

ZDNet - Na internetu se je pojavila nova hekerska skupina, ki se je poimenovala The Consortium in je po lastnih navedbah povezana z Anonymousom in LulzSecom. Za svojo prvo tarčo so izbrali strani založnika pornografskih vsebin Digital Playground, ki je s tem postal že tretja v zadnjem času napadena Manwinova franšiza; pred kratkim so namreč hekerji napadli še YouPorn in forum strani Brazzers. Hekerji so to pot ukradli več tisoč osebnih podatkov naročnikov (imena, elektronski naslovi, gesla) in njihovih finančnih podatkov (številke kreditnih kartic, varnostne kode, datum veljavnosti), poleg tega pa so dobili tudi administratorske privilegije.

Kot poroča ZDnet, so napadalci uspeli pridobiti 40.000 številk kreditnih kartic, varnostnih kod CVV, datumov veljavnosti in imen imetnikov. Vse podatke je Digital Playground shranjeval v obliki navadnega besedila (plain text) na svojih strežnikih,...

Ars Technica - Po vsakem vdoru v računalniške sisteme, kadar se nato izvaja analiza odtujenih gesel, je rezultat vedno enak - ogromen delež uporabnikov nima varnih gesel. Tisoči in tisoči menijo, da so gesla 123456, password, qwertz in podobna varna. To je voda na mlin napadalcem, ki jim sploh ni treba vdreti v bazo podatkov, ampak se enostavno prijavijo kot uporabnik in preizkusijo nekaj najpogostejših gesel. Hotmail je obupal nad opozarjanjem uporabnikov, zato bodo najbolj pogosta nevarna gesla preprosto prepovedali.

Po novem tako ne bo več mogoče registrirati uporabniškega računa z...

Slo-Tech - V zadnjem času tako pogosto poročamo o hekerskih napadih na različna podjetja in organizacije prek interneta, da smo skoraj pozabili na klasično izgubljanje aktovk, zunanjih trdih diskov, USB-ključev in prenosnikov, za kar so bili svoj čas pravi mojstri Britanci. To pot so pomembne osebne podatke dobesedno izgubili v investicijski banki Morgan Stanley Smith Barney. Na dveh zgoščenkah je bilo shranjenih 34.000 imen, naslovov, podatkov o računih, davčnih številk, številk zdravstvenega zavarovanja (ameriški EMŠO) in podatkov o zaslužkih v letu 2010 za nekatere komitente. Ko so paket z zgoščenkama prejeli v newyorškem davčnem uradu, je bil ta na videz nedotaknjen, a prazen.

V banki si sedaj belijo glavo,...

ComputerWorld - Znana je višina škode, ki jo je povzročil majski napad na banko Citigroup, o katerem je bila javnost obveščena ta mesec. Čeprav napadalcem ni bilo potrebno pokazati praktično nobenega znanja, saj so izkoristili trivialno luknjo v upravljanju sej, so po grobih ocenah povzročili skoraj sto milijonov dolarjev škode.

Napadalci ob tem sploh niso pridobili najbolj...

The New York Times - Medtem ko po spletu še vedno odmeva napad na Citigroup, še zlasti zaradi neverjetne varnostne luknje, je banka po zahtevku generalnega tožilca iz Connecticuta razkrila nekoliko več informacij.

Vdor so zabeležili 10. maja, nakar so nemudoma zagnali preiskavo in odpravo ranljivosti. Do 24. maja so ugotovili, da so napadalci dobili imena, številke bančnih računov in...

The New York Times - Prejšnji teden smo poročali, da so hekerji napadli strani ameriške banke Citigroup in odtujili osebne in osnovne finančne podatke (CVV-kod kartic niso dobili) številk približno 200.000 uporabnikov, kar predstavlja en odstotek vse komitentov banke. Uradnih podatkov o škodi tedaj ni bilo in jih ni niti danes, so pa na splet priplavali podatki o vrsti ranljivosti, ki so jo hekerji izkoristili. Izkazalo se je, da je bila za napako kriv površno spisana spletna stran, proti kateri je bila Sonyjeva zaščita kot Fort Knox, kot se je izrazil eden izmed bralcev Slashdota.

Hekerji so se na najprej kot običajen uporabnik prijavili na spletno stran, ki je bila namenjena njihovim komitentov, kar ni težko....

Financial Times - Ameriška banka Citigroup je priznala, da so hekerji že maja pridobili dostop do osebnih in bančnih podatkov nekaterih komitentov. V ZDA ima Citigroup 21 milijonov komitentov, prizadetih pa naj bi jih bil približno odstotek.

Napaden je bil Citi Account Online, ki vsebuje osnovne informacije, med katerimi so imena, številke računov in elektronski naslovi. Podatke o...

Washington Post - Google vsega le ne zmore sam, zato bo decembrske napade iz Kitajske raziskoval v sodelovanju z ameriško NSA. Obe udeleženi strani dogovora, ki še ni dokončan, nista želeli javno komentirati, a je kljub temu znanega že mnogo.

Viri blizu Googla pravijo, da se zavezništvo oblikuje z namenom omogočiti medsebojno deljenje občutljivih informacij, ne da bi kršili Googlovo politiko varovanja zasebnosti ameriških uporabnikov. To seveda ne pomeni, da bo NSA lahko prebrala kar vso elektronsko pošto Googlovih strank.

Google je NSA kontaktiral že takoj po odkritju vdora, a zaradi občutljivosti tematike končnega dogovora še vedno niso sklenili. Cilj sodelovanja naj ne bi bil toliko...

Slashdot - Uslužbenci ameriške banke iz Wyominga, Rocky Mountain Bank, so 12. avgusta letos pomotoma poslali imena, naslove, SSN številke ter podatke o dolgovih svojih 1300 strank na nek GMail poštni naslov. Ko so v banki odkrili napako, so prejemniku poslali sporočilo, v katerem so ga prosili, naj datoteko uniči in je ne odpre. Odgovora ni bilo, zato so se obrnili na Google s prošnjo, naj jim razkrije identiteto lastnika e-poštnega računa.

Google je na to odvrnil, da za kaj takega potrebujejo sodno odredbo. Zato so pri banki sodišče zaprosili za odredbo s katero bi sodišče Googlu naložilo razkritje identitete lastnika računa ter deaktivacijo njegovega (ali njenega) računa. Pri tem so celo hoteli, da primer ostane tajen, čemur pa sodišče ni ugodilo.

Kljub temu, da je šlo za očitno napako banke in da lastnik računa, kamor so bili pomotoma poslani podatki ni storil ničesar spornega (pravzaprav sploh ničesar), pa je sodnik James Ware iz okrožnega sodišča v Kaliforniji presodil, da mora Google...

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...