Slo-Tech - Na internetu se je nezaščitena znašla baza dveh milijonov oseb, ki po oceni raziskovalca, ki jo je opazil, predstavlja seznam ljudi, ki jim je prepovedano letenje (no-fly list) ali so kako drugače zanimivi za varnostne službe po svetu. Bazo je julija letos odkril Bob Diachenko na strežnikih Elasticsearch, kjer ni bila zaščitena. Z interneta je izginila tri tedne po prijavi na Službo za domovinsko varnost (DHS) v ZDA.

V bazi je bilo 1,9 milijona vnosov, ki so vsebovali polje, kot so TSC_id (TSC je Terrorist Screening Center), watchlist_id, no_fly_indicator, country_of_issuance, nomination_type ipd. Vse to kaže, da gre verjetno za seznam oseb, ki so ga izdelale varnostne agencije. Terrorist Screening Database, ki obstaja od 11. septembra 2001 (napadi na WTC), je leta 2016 vsebovala okrog 1,8 milijona oseb, torej je velikostni razred ustrezen.

Baza je bila odkrita 19. julija letos na strežniku, ki je imel bahrajnski IP-naslov. Po prijavi na DHS, ki jo je Diachenko izvedel še isti...

Slo-Tech - Spletna stran Have I Been Pwned, ki se ukvarja z beleženjem ukradenih in pobeglih prijavnih podatkov uporabnikov različnih spletnih storitev, je sporočila, da so pridobili bazo s 773 milijoni elektronskih naslovov in 21 milijonov enoličnih gesel. To je največja baza doslej. Kot pojasnjuje ustanovitelj strani Troy Hunt, gre za kombinacijo novih in starih vnosov, ki so se valjali po internetu. Sedaj zbrani v eni datoteki z imenom "Collection #1" in krožijo po forumih in tudi na spletni strani Mega. Takšne zbirke so še posebej pripravne za hekerje, saj ljudje pogosto reciklirajo gesla, zato lahko podatke z ene kompromitirane spletne strani uporabijo še na številnih drugih.

Najnovejša datoteka je največji tovrstni ulov. Vsebuje 1,16 milijarde unikatnih kombinacij elektronski...

Slo-Tech - Yahooju se je zgodila huda neprijetnost, saj so potrdili, da so hekerji v napadu pridobili podatke vsaj 500 milijonov uporabnikov, kar je eden največjih vdorov v zgodovini. Napad se je zgodil leta 2014.

V izjavi za javnost so zapisali, da so obstoj napada potrdili v nedavni preiskavi, ni pa jasno, zakaj je trajalo dve leti, da so napad raziskali in o njem obvestili javnost. Varni so ostali "nezaščitena" gesla in bančni podatki, ki so bili shranjeni na ločenem, neprizadetem sistemu, so pa hekerji odnesli imena, elektronske naslove, telefonske številke, datume rojstva, zaščitena gesla (večidel zgoščena z bcryptom),...

Slo-Tech - Tumblr je šele 12. maja letos sporočil, da so neznani napadalci leta 2013 vdrli v njihov sistem in pridobili dostop do nekaterih uporabniških podatkov. Danes pa je postalo znano, da je bil napad precej obsežnejši, kot je sprva kazalo. Napadalci so odnesli elektronske naslove in šifrirana gesla vsaj 65 milijonov uporabnikov, kaže analiza Have I Been Pwned. Toda za zdaj kaže, da je imel Tumblr gesla ustrezno shranjena, zato si napadalci z njimi ne morejo nič pomagati.

Paket elektronskih naslovov in gesel, ki so v obliki zgoščene vrednosti SHA1 in imajo dodan naključni sestavni del (salted hash), že kroži po internetnem podzemlju, a ga prav zaradi ustreznega zavarovanja gesel nepridipravi ne morejo prodati za več kot...

Slo-Tech - Pred štirimi leti je bil LinkedIn tarča hekerskega napada, v katerem so napadalci izmaknili vsaj 6,5 milijona uporabniških imen in gesel, ki so bila sicer šifrirana, a brez naključnega parametra (unsalted). Sedaj se je izkazalo, da je bil vdor bistveno obsežnejši, kot smo sprva mislili. LinkedIn je sporočil, da je bilo odtujenih vsaj 100 milijonov gesel in uporabniških imen, zaščitenih na enako slab način.

Na internetu se je pojavila nova šarža uporabniških imen in gesel, ki jo prodaja heker z vzdevkom Peace in ki vsebuje podatke 117 milijonov uporabnikov LinkedIna iz leta 2012. Za paket na ilegalni tržnici The Real Deal zahteva 2200 dolarje v bitcoinih. Isti podatki naj bi bili tudi pri LeakedSource. Skupno je računov 167 milijonov, a jih 50 milijonov nima...

Slo-Tech - Kot je bilo pričakovati, so posledice vdora v spletno stran Ashley Madison in objava podatkov vseh njenih strank precej bolj eksplozivne od ostalih hekerskih napadov na različne internetne strani. Medtem ko pri običajnih vdorih največjo težavo povzročajo razkrita gesla, kadar niso bila ustrezno šifrirana, in številke kreditnih kartic, je pri Ashley Madison nevšečen katerikoli podatek, ki omogoča enolično identifikacijo uporabnika.

Pravzaprav je nekoliko ironično, da so pri Ashley Madison naredili domačo nalogo, kar se tiče varovanja gesel. Ta so bila zaščitena z zgoščevalno funkcijo bcrypt in z ustreznim semenom (salted hash), zato jih velike večine ne bodo uspeli razbiti. Dean Pierce se je iz akademskih razlogov lotil iskanja najpogostejših gesel in jih je uspel zlomiti le 0,07 odstotka, pri katerih gre za izrazito nespametna gesla...

Slo-Tech - Neznani napadalci, ki so vdrli v spletno stran za varanje partnerjev Ashley Madison, so pokazali, da je bil že prvi objavljeni arhiv pristen. Včeraj je na internet pricurljal še drugi arhiv podatkov, ki meri 19 GB. V njem je 13 GB velika datoteka, ki naj bi vsebovala elektronske naslove in druge podatkov, a je poškodovana, zato je ni mogoče odpreti in preveriti. Objavili so tudi precej izvorne kode, ki ne pušča nobenega dvoma o pristnosti.

V prvotnem arhivu so podatki 36 milijonov uporabniških računov, torej praktično vseh. Vsebujejo imena, elektronske naslove, šifrirano geslo, številke kreditnih kartic in naslove imetnikov ter še številne druge podatke, ki so jih posredovali uporabniki sami (višina, teža, želje) ali aplikacija...

Slo-Tech - Naslednja velika žrtev hekerskih napadov so forumi Ubuntuja (Ubuntuforums.org), ki so zaradi nepooblaščenega dostopa nedostopni. Obiskovalce danes pričaka obvestilo, da so strani nedostopne zaradi vdora, ki so ga zaznali včeraj zvečer.

Kot lahko preberemo, je neznani napadalec z nadimkom Sput1nk_ uspel pridobiti nadzor nad stranjo. Poleg klasične spremembe strani (defacement) je uspel pridobiti vsa uporabniška imena, gesla in elektronske naslove uporabnikov. Gesla so bila sicer shranjena v zgoščeni obliki in ne kot golo besedilo (plain text), a vseeno vsem uporabnikom svetujejo pazljivost. Kdor uporablja isto geslo za forume Ubuntu in še katero drugo stran, naj brž zamenja geslo na ostalih...

Ars Technica - V sredo zvečer je spletna stran Drupal objavila, da so bili žrtev hekerskega napada, ki je prizadel milijon uporabnikov, saj so napadalci pridobili nekatere njihove osebne podatke. Sedaj je znanega več. Zaradi ranljivosti v tretjem programu, ki je bil nameščen na strežniku Drupal.org, so napadalci lahko pridobili naslednje podatke: uporabniška imena, elektronske naslove, državo bivanja in zgoščena vrednost (hash) gesla. Vsa gesla so bila shranjena zgoščeni (hashed) obliki z dodanimi naključnimi biti (salted), tako da neposredne nevarnosti za razbitje gesel ni. Samo nekaj starejših gesel na podstraneh je bilo le zgoščenih, a brez naključnih bitov.

Napadalci so dostop pridobili prek podstrani association.drupal.org, ki jo...

SecurityWeek - S spletne strani LivingSocial, ki ponuja kupone za ugodne nakupe in deluje podobno kot Groupon, so sporočili, da so bili včeraj žrtve obsežnega hekerskega napada. Neznani napadalci so pridobili dostop do osebnih informacij več kot 50 milijonov uporabnikov, med drugim imena, elektronske naslove, rojstne podatke in podatke o geslih. Slednja so bila shranjena v zgoščeni (hash) obliki z različnimi vrednostmi salt. To bo razbijanje gesel precej otežilo, a ga ne more v celoti zavreti. Zaradi tega so na strani uporabnike že pozvali k zamenjavi prijavnih podatkov ter zamenjavo gesel na ostalih straneh, če slučajno uporabljajo isto geslo kot za LivingSocial. Bančni podatki oziroma številke...

Guardian - Nadaljujejo se poročila o hekerskih napadih. To pot je vdore priznala avstralska centralna banka (RBA, Reserve Bank of Australia), ki pri preiskavi Australian Financial Review (AFR) niti ni imela druge izbire. Napadi so se dogajali že leta 2011, ko so neznani napadalci vdrli v nekatere računalnike v RBA in poizkusili pridobiti dostop do celotnega sistema, kar pa jim ni najbolje uspelo. Napadalci so uporabljali kitajsko programsko opremo, a to ni zagotovilo, da so bili na delu res Kitajci.

Napadi 16. in 17. novembra 2011 so potekali po uveljavljenem mehanizmu. Zaposleni v banki so prejeli elektronska sporočila z vabljivim in ne preveč sumljivim naslovom (Načrti za fiskalno leto 2012). Vsaj šest zaposlenih je priponko odprlo in na njihove...

Twitter - Twitter je včeraj zvečer objavil, da so bili v preteklem tednu žrtev hekerskih napadov, ki so jim odnesli "omejene osebne informacije" 250.000 uporabnikov. V tem tednu so odkrili nenavaden vzorec dostopa do njihovih storitev, za katerega se je po pregledu izkazalo, da gre za nepooblaščen dostop ozira vdor. Napad so takoj po odkritju uspeli preprečiti, a so hekerji v vmesnem času vseeno pridobili nekatere podatke.

Twitter ima 140 milijonov uporabnikov, od katerih jih je prizadetih 250.000. Napadalci so uspeli pridobiti uporabniška imena, elektronske naslove, žetone za sejo in šifrirana gesla. Zaradi tega je Twitter ponastavil gesla za vse prizadete uporabnike in jim preklical vse piškotke. Ti bodo na svoj elektronski naslov prejeli povezavo, kjer si bodo izbrali novo geslo in se ponovno prijavili. Stara gesla ne delujejo več. Kdor je...

Wired News - Z gesli je križ. Množijo se huje kakor zajci: geslo za spletno banko, elektronsko pošto, deset različnih forumov, PIN-kode za bančno kartico, prijavo v Windows, pametni telefon in še in še. Čim več pametnih naprav nas obkroža, tem več gesel moramo poznati. Ker so preenostavna gesla idealna priložnost za krajo identitete, nas marsikod silijo v izbiro težkih gesel z različnimi pravili glede dolžine, velikosti črk, vsebovanih številk in drugih znakov. Rezultat? Sila klavrn. Recikliranje gesel je zelo pogosto, saj ima mnogo ljudi isto geslo za več različnih strani (s čimer v principu ni nič narobe, če gre zgolj za nepomembne forume), marsikdo pa si geslo nekam napiše - po možnosti na lepljivi listek ob...

Ars Technica - Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.

Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro...

Slo-Tech - Mineva že deseti dan od začetka koordiniranih napadov DDoS na Wikileaks, ki so se začeli po objavi podatkov o sistemu TrapWire, s katerim ZDA nadzorujejo večja mesta v državi. Gre za podatke iz tako imenovanega vdora Stratfor, ki se je zgodil lani na božični večer, sedaj pa jih Wikileaks priobčuje pod imenom GIF (global intelligence files). Med njimi najdemo tudi obilico navedb sistema TrapWire.

Zasnova zanj sega v leto 2004, ko je podjetje Abraxas Corporation prijavilo blagovno znamko TrapWire. Sprva je bila zaradi podobno zvenečih imen zavrnjena, leto pozneje pa so jo vendarle dobili. V...

Forbes - Pet mesecev po februarskem napadu na nemško stran Gamigo so na splet priromali uplenjeni podatki. Neznan napadalec z vzdevkom 8in4ry_Munch3r je konec februarja uspešno kompromitiral strežnike tega nemškega založnika masivno-večigralsko spletnih iger domišljijskih vlog (MMORPG), zaradi česar so v začetku marca svojim strankam poslali obvestilo, naj zamenjajo svoja gesla na njihovi strani in drugod, če so slučajno uporabljali ista. Zgodba je počasi potihnila, saj se nekaj mesecev ni zgodilo nič niti ni kazalo, da bi bili zbrani podatki zlorabljeni.

V začetku julija pa so hekerji pokazali sadove svojega dela, piše Forbes. Na forumu InsidePro so objavili pol gigabajta težko zbirko več kot...

ZDNet - V zadnjih dneh so bili hekerjev očitno nadpovprečno aktivni, saj se poročila o vdorih na spletne stran in odtujitvah uporabniških podatkov kar vrstijo. Po uspešnem napadu na Yahoo! Voices sta novi žrtvi Android Forums in Nvidia.

Phandroid je potrdil, da so neznanci napadalci kompromitirali njihove strani Android Forums, pri čemer so pridobili uporabniška imena, elektronske naslove, IP-naslove in zgoščene vrednosti (hashed) gesel. Forum je imel dober milijon članov, ogroženi pa so vsi. Administratorji so že zagotovili, da je bila ranljivost, ki so jo napadalci izkoristili (varnostna luknja v forumu vBulletin), zakrpana in da so uvedli še nekaj dodatnih varnostnih ukrepov za vsak primer. Verjamejo, da so napadalci v prvi vrsti želeli pridobiti čim več elektronskih naslovov, ki jih preprodajo...

activepolitic.com - O tegonah uporabe gesel smo že precej pisali. Uporabniki so pač leni in izbirajo zelo slaba gesla, ki jih potem še reciklirajo na celi vrsti spletnih storitev, tako da je z padcem ene pornografske strani oz. poslovnega socialnega omrežja velikokrat ogrožena kar celotna uporabnikova spletna identiteta. Napadalcem ob tem pomaga tudi malomarnost ponudnikov storitev, ki gesla pogosto hranijo kar v cleartext obliki ali pa uporabijo neprimerno zgoščevalno funkcijo (glej linkedin).

Še en problem je, da se uporabnikom resnično ne ljubi spreminjati gesel. Nizozemski ponudnik dostopa do interneta KPN je tako pred kratkim ugotovil, da je kar 140.000 njihovih naročnikov po prijavi na DSL internet ohranilo privzeto geslo, in sicer "welkom01". To geslo je varovalo servisne strani, preko katerih so bili potem dostopni tudi kontaktni in plačilni podatki naročnika, vključno s številko bančnega računa in kreditnih kartic. Uporabniška imena so bila še bolj predvidljiva - kombinacije poštne številke...

ZDNet - Na internetu se je pojavila nova hekerska skupina, ki se je poimenovala The Consortium in je po lastnih navedbah povezana z Anonymousom in LulzSecom. Za svojo prvo tarčo so izbrali strani založnika pornografskih vsebin Digital Playground, ki je s tem postal že tretja v zadnjem času napadena Manwinova franšiza; pred kratkim so namreč hekerji napadli še YouPorn in forum strani Brazzers. Hekerji so to pot ukradli več tisoč osebnih podatkov naročnikov (imena, elektronski naslovi, gesla) in njihovih finančnih podatkov (številke kreditnih kartic, varnostne kode, datum veljavnosti), poleg tega pa so dobili tudi administratorske privilegije.

Kot poroča ZDnet, so napadalci uspeli pridobiti 40.000 številk kreditnih kartic, varnostnih kod CVV, datumov veljavnosti in imen imetnikov. Vse podatke je Digital Playground shranjeval v obliki navadnega besedila (plain text) na svojih strežnikih,...

Sophos - Za zdaj še neznani napadalci so vdrli v strežnik strani YouPorn in pridobili vsaj 6400 uporabniških imen in pripadajočih gesel, ki so jih nato javno objavili na spletu. Odgovornost za vdor to pot večidel leži na YouPornovih plečih, saj so napadalci zlorabili veliko varnostno pomanjkljivost. YouPorn je 93. najbolj priljubljena spletna stran na internetu (v absolutni kategoriji) in najbolj priljubljena pornografska stran. Dostopna je brezplačno, na njej je več videoposnetkov po vzorcu YouTuba, uporabniki pa se lahko za uporabo dodatne funkcionalnosti in nalaganje lastnih vsebin brezplačno registrirajo.

Sodeč po trenutno dostopnih podatkih je pisec strani oziroma njenega dela že...

Neowin - Potem ko so v zadnjih dneh vdrli v baze uporabniških podatkov pri McDonald'su in Gawkerju, je bil skoraj istočasno napaden tudi DeviantART. Svoje uporabnike so obvestili, da so podjetju Silverpop Systems, ki skrbi za pošiljanje elektronske pošte uporabnikom DeviantART-a, odtujili podatke iz baze podatkov. Pridobili so dostop do elektronskih naslovov, uporabniških imen in rojstnih podatkov.

DeviantART poudarja, da njihovi lastni strežniki niso bili kompromitirani in da so že prekinili sodelovanje s podjetjem Silverpop Systems. Vsega skupaj gre za 13 milijonov vnosov, pri čemer napadalci gesel niso dobili, tako da gre za manj nevaren napad kot pri Gawkerju. V najslabšem primeru tako lahko uporabniki pričakujejo zgolj več nezaželene elektronske pošte, so dejali pri DeviantART-u.