LastPass - Ponudnik priljubljene brskalniške razširitve za upravljanje z gesli LastPass je včeraj priznal, da so bili tarča vdora. Kot pravijo, so še neznani storilci uspeli pridobiti delni dostop do njihove podatkovne baze in odtujiti nekatere ("osnovne") podatke o njihovih uporabnikih.

Konkretno; odtujili naj bi podatke o vseh uporabniških računih - e-poštni naslov, opomnik za primer pozabljenega gesla ter močno zgoščeno obliko glavnega (master) gesla za zavarovanje gesel na drugih straneh. Naj pa ne bi bilo nobenih dokazov, da so se napadalci uspeli priti tudi do tistega dela podatkovne baze, kjer se hrani gesla za druge strani ("vault").

Ekipa pojasnjuje, da zgolj z navedenimi podatki praviloma ne bi smelo biti mogoče priti do izvrine (cleartext) oblike glavnega gesla in torej tudi ne do gesel za ostale strani. Za zgoščevanja gesla namreč uporabljajo...

Slo-Tech - Kickstarter je svojim uporabnikom prek elektronske pošte in na blogu sporočil, da so neznani napadalci vdrli v njihove strežnike in odnesli osebne podatke za zdaj neznanega števila uporabnikov. Do podatkov o številkah kreditnih kartic niso uspeli priti, poleg tega pa Kickstarter hrani le zadnje štiri cifre in datum veljavnosti.

Napadalci so odnesli uporabniška imena, elektronske naslove, poštne naslove, telefonske številke in gesla. Starejša gesla so hranili v obliki zgoščene vrednosti SHA-1 (salted, hashed), za novejše pa so uporabili algoritem bcrypt. To pomeni, da so gesla uporabnikov razmeroma varna. Kljub temu Kickstarter svetuje menjavo vseh gesel. Ob vsakem takem napadu se zastavi vprašanje, kako varna...

Slashdot - Igralci najbolj priljubljene masivno-večigralske spletne igre domišljijskih vlog (MMORPG) World of Warcraft so ugotovili, da uradni odjemalec za igro ob zajemanju posnetkov iz igre le-te hkrati skrivoma opremi z vodnim žigom (watermark). Podrobna analiza je pokazala, da ta skriva veliko podatkov o igralcu, ki je posnetek napravil, in njegovih dosežkih v igri. Praksa je sporna, ker je Blizzard ni nikoli razkril.

Blizzard to počne že vsaj od leta 2008, ko jih je prevzel Activision, a je javnost to odkrila šele sedaj. Pojav se s sprostim očesom vidi le, če uspemo zajeti zaslonsko sliko, ki je skoraj v celoti bela. Vzorec, ki se pojavi na sliki, meri 88 bajtov in se ponovi večkrat, odvisno od ločljivosti. V njem so zakodirani podatki o imenu uporabniškega računa,...

Slashdot - Blizzardov šefe Michael Mormaine je sinoči potrdil, da so tekom tega tedna zaznali vdor v njihovo interno omrežje, ter da so napadalci odnesli e-poštne naslove vseh Battle.net uporabnikov izvzemši Kitajske (ki ima po tamkajšnjem zakonu povsem ločene strežnike) in njihova zgoščena gesla; za severno- oz. južnoameriške, avstralske in novozelandske uporabnike pa še varnostno vprašanje in mobilno številko, če so ju imeli vpisani. Pravijo, da še ne vejo za točni čas vdora, kdo ga je izvedel, niti ali je napadalec dobil še kaj tretjega, vendar naj bi bili vsi plačilni podatki po vsej verjetnosti na varnem.

Za gesla posebej poudarjajo, da so bila varno zgoščena, tako da bi se morali napadalci lotiti vsakega posebej, pa še to da bi bilo težko (po vsej verjetnosti so...

The Verge - Dva dni nazaj so Dropboxovi evropski uporabniki utrpeli krajši 20-minutni izpad storitve, kmalu po tem pa so na uporabniškem forumu začele deževati pritožbe o nenadnem navalu spama, predvsem od evropskih ponudnikov internetnih igralnic in športnih stavnic. Med pritožniki je veliko uporabnikov, ki pravijo, da za Dropbox uporabljajo poseben, unikaten e-poštni naslov (npr. yahoo! mail alias), ki edini prijema spam in ki ni nikjer drugje v uporabi, namigujoč, da se je nekaj resnega moralo zgoditi prav pri Dropboxu. Resnega v smislu kraje baze uporabniških podatkov.

Upravitelji strani so se, po lanskem valu nenehnih težav (glej spodaj) odzvali še kar hitro. Za začetek pravijo, da je torkov izpad storitve...

ZDNet - V zadnjih dneh so bili hekerjev očitno nadpovprečno aktivni, saj se poročila o vdorih na spletne stran in odtujitvah uporabniških podatkov kar vrstijo. Po uspešnem napadu na Yahoo! Voices sta novi žrtvi Android Forums in Nvidia.

Phandroid je potrdil, da so neznanci napadalci kompromitirali njihove strani Android Forums, pri čemer so pridobili uporabniška imena, elektronske naslove, IP-naslove in zgoščene vrednosti (hashed) gesel. Forum je imel dober milijon članov, ogroženi pa so vsi. Administratorji so že zagotovili, da je bila ranljivost, ki so jo napadalci izkoristili (varnostna luknja v forumu vBulletin), zakrpana in da so uvedli še nekaj dodatnih varnostnih ukrepov za vsak primer. Verjamejo, da so napadalci v prvi vrsti želeli pridobiti čim več elektronskih naslovov, ki jih preprodajo...

SecurityWeek - Dobro znana ameriška spletna trgovina z obutvijo Zappos.com je sinoči potrdila obsežen vdor v njihove informacijske sisteme. Še neznani napadalci naj bi - in niso še povedali, kdaj - pridobili podatke o cca. 24 milijonih strankah, med temi polno ime, e-poštni naslov, domači naslov, telefonske številke, ne pa tudi gesel in plačilnih podatkov (številke kreditnih kartic, podatke o preteklih naročilih). Gesla naj bi bila dobro heširana, plačilni podatki pa naj bi bili na varnem v ločeni podatkovni bazi, do katere naj napadalcem ne bi uspelo priti. Napad velja za eno večjih kraj osebnih podatkov do zdaj, takoj za lanskoletnim vdorom v Sony-jev Playstation Network, ki je imel čez 77 milijonov uporabnikov širom oble.

Tudi...

Slashdot - Pred kratkim je Blizzard uvedel Real ID, ki bo igralcem nekaterih trenutnih iger in prihajajočih iger na Battle.net omogočil navesti svoje pravo ime, s katerim se bodo lahko povezali z drugimi prijatelji. Uporaba te dodatne ravni identifikacije bo prostovoljna.

Bo po uporaba Real ID in s tem razkritje pravega imena potrebna za sodelovanje na forumih za StarCraft II in World of Warcraft: Cataclysm. Uporaba bo postala obvezna do 27. julija, ko bo izšel StarCraft II. Z ukinitvijo anonimnosti želi Blizzard dvigniti kakovost forumskih prispevkov in iztrebiti razne goreče vojne in podpihovanja (flame wars, trolls). Nekateri klasični forumi, med drugimi tudi tisti za Battle.net, bodo ostali nespremenjeni.

HotHardware - Mnogi ljubitelji strategij, sploh Blizzardovega StarCrafta, bodo nedvomno navdušeni nad podatkom, da je Starcraft II vstopil v beta fazo razvoja. Pri Blizzardu so tako zagnali prvi del programa zaprtega beta testiranja, kar pomeni, da so prvi (bodoči) uporabniki že dobili svoja povabila. Namen zaprtega beta testiranja Starcraft II: Wings of Liberty, kot je uradno ime naslednika kar 12 let starega StarCrafta, je najti potencialne težave v zmogljivostih posameznih ras, ki bi povzročile neuravnovešene boje, ter iskanje hroščev v Battle.net, spletnem servisu za StarCraft, StarCraft II, World of Warcraft in vse bodoče Blizzardove igre. Battle.net bo očitno nekoliko predelan in v takšni obliki javnosti predstavljen skupaj z izidiom StarCraft...