Slo-Tech - Facebook se je zapletel v nov varnostni incident, ki zajema zasebnost njegovih uporabnikov. Brian Krebs piše, da je od leta 2012 do nedavna Facebook gesla nekaterih uporabnikov hranil kar v besedilni obliki. To pomeni, da so bila gesla zapisana v podatkovni bazi in vidna vsakomur, ki je imel dostop. Facebook je navedbe potrdil, a dodal, da niso zabeležili nepooblaščenih dostopov ali zlorab.

Viri poročajo, da gre za med 200 milijoni in 600 milijoni gesel uporabnikov Facebooka, ki so bila shranjena v besedilni obliki in indeksirana, tako da je imelo do njih dostop več kot 20.000 Facebookovih zaposlenih. Facebook naj bi še vedno poizkušal ugotoviti, koliko gesel je dejansko izpostavljenih in od kdaj se napaka vleče...

ZDNet - Seznam velikih vdorov in kraj osebnih podatkov se nadaljuje z incidentom na FriendFinder Networks, v katerega so vstopili neznani hekerji in odnesli osebne podatke več kot 412 milijonov ljudi. Gre za omrežje, ki združuje več strani, med katerimi so z adulfriendfinder.com odtujili podatke 340 milijonov uporabnikov. Poleg tega so prizadete še strani cams.com s 63 milijoni žrtev, penthouse.com s sedmimi milijoni, stripshow.com s poldrugim milijonom in icams.com z okroglim milijonom.

Kot kaže, se je napad zgodil oktobra, torej smo zanj izvedeli bistveno hitreje kot na primer za Yahoojevega. Ta je prizadel še nekoliko več ljudi, a ga je podjetje dve leti prikrivalo. V FriendFinder Networks so napadalci prišli z zlorabo...

reddit - Čudne reči se dogajajo s strežniki priljubljene programske opreme za oddaljen nadzor računalnikov TeamViewer, saj so se spletni forumi nenadoma napolnili s poročili jeznih uporabnikov, ki so jim napadalci vdrli v računalnike prek TeamViewerja in olajšali bančne račune. TeamViewer je sporočil zgolj, da so imeli nekaj tehničnih težav z nedosegljivostjo zaradi napada DDoS, ki pa da so jih doslej odpravili. O vdoru pa niti besedice, saj zatrjujejo, da so si za morebitne nepooblaščene dostope krivi uporabniki sami, če so uporabljali lahka ali kod drugod že izkoriščena gesla.

Toda tudi uporabniki, ki so imeli nastavljeno dvostopenjsko preverjanje pristnosti in unikatna generirana gesla, so bili med žrtvami napada. Zgodbe uporabnikov so si zelo podobne, in sicer so...

Slo-Tech - Minuli teden je skupina danskih raziskovalcev na internet (Open Science Framework) postavila urejeno bazo podatkov o 70.000 uporabnikih spletne strani OkCupid za spletne zmenkarije. Čeprav v njej ni imen in elektronskih naslovov, je podatkov toliko, da je mogoče ljudi zelo dobro profilirati in koga tudi prepoznati. Avtorja raziskave pravita, da so podatki tako ali tako javno dostopni, zato jih nista dodatno anonimizirala. To je res, a to še ne pomeni, da jih lahko po mili volji obdelujemo in analiziramo, če nimamo privoljenja njihovih lastnikov. Sploh pa javnost v tem primeru pomeni, da...

Forbes - Na internetu je javno dostopna podatkovna baza z osebnimi podatki 191 milijonov ameriških volilnih upravičencev, je odkril neodvisni strokovnjak za računalniško varnost Chris Vickery. Vsebuje podatke o imenih, naslovih, rojstnih podatkih, morebitnem članstvu v stranki, telefonskih številkah, elektronskih naslovih in zgodovino udeležbe na volitvah od leta 2000. V ZDA ima volilno pravico...

Krebs On Security - Na internetu se je znašla datoteka z zbranimi uporabniškimi imeni, elektronskimi naslovi, rojstni datumi in gesla, ki pripada spletni strani za internetne zmenke Cupid Media. Napad se je zgodil že januarja letos, a o njem niso obvestili medijev. Dodatno težavo povzroča dejstvo, da so bila gesla shranjena v nezaščiteni obliki (plain-text).

Datoteko z 42 milijoni vnosov so našli na istih strežnikih, kamor se hekerji priobčili tudi pridobljene podatke v napadu na Adobe. Strokovnjak za varnost Brian Krebs, ki je v začetku novembra stopil v stik s prizadeto avstralsko stranjo, da bi izvedel...

SecurityWeek - S spletne strani LivingSocial, ki ponuja kupone za ugodne nakupe in deluje podobno kot Groupon, so sporočili, da so bili včeraj žrtve obsežnega hekerskega napada. Neznani napadalci so pridobili dostop do osebnih informacij več kot 50 milijonov uporabnikov, med drugim imena, elektronske naslove, rojstne podatke in podatke o geslih. Slednja so bila shranjena v zgoščeni (hash) obliki z različnimi vrednostmi salt. To bo razbijanje gesel precej otežilo, a ga ne more v celoti zavreti. Zaradi tega so na strani uporabnike že pozvali k zamenjavi prijavnih podatkov ter zamenjavo gesel na ostalih straneh, če slučajno uporabljajo isto geslo kot za LivingSocial. Bančni podatki oziroma številke...

Twitter - Twitter je včeraj zvečer objavil, da so bili v preteklem tednu žrtev hekerskih napadov, ki so jim odnesli "omejene osebne informacije" 250.000 uporabnikov. V tem tednu so odkrili nenavaden vzorec dostopa do njihovih storitev, za katerega se je po pregledu izkazalo, da gre za nepooblaščen dostop ozira vdor. Napad so takoj po odkritju uspeli preprečiti, a so hekerji v vmesnem času vseeno pridobili nekatere podatke.

Twitter ima 140 milijonov uporabnikov, od katerih jih je prizadetih 250.000. Napadalci so uspeli pridobiti uporabniška imena, elektronske naslove, žetone za sejo in šifrirana gesla. Zaradi tega je Twitter ponastavil gesla za vse prizadete uporabnike in jim preklical vse piškotke. Ti bodo na svoj elektronski naslov prejeli povezavo, kjer si bodo izbrali novo geslo in se ponovno prijavili. Stara gesla ne delujejo več. Kdor je...

ZDNet - V zadnjih dneh so bili hekerjev očitno nadpovprečno aktivni, saj se poročila o vdorih na spletne stran in odtujitvah uporabniških podatkov kar vrstijo. Po uspešnem napadu na Yahoo! Voices sta novi žrtvi Android Forums in Nvidia.

Phandroid je potrdil, da so neznanci napadalci kompromitirali njihove strani Android Forums, pri čemer so pridobili uporabniška imena, elektronske naslove, IP-naslove in zgoščene vrednosti (hashed) gesel. Forum je imel dober milijon članov, ogroženi pa so vsi. Administratorji so že zagotovili, da je bila ranljivost, ki so jo napadalci izkoristili (varnostna luknja v forumu vBulletin), zakrpana in da so uvedli še nekaj dodatnih varnostnih ukrepov za vsak primer. Verjamejo, da so napadalci v prvi vrsti želeli pridobiti čim več elektronskih naslovov, ki jih preprodajo...

Slashdot - Odlično nadaljevanje današnje novice o za več razredov večji ranljivosti gesel pri napadu z močnimi grafičnimi procesorji je analiza ukradenih gesel pri napadu na Sony. Ker so več kot milijon gesel hranili v tekstovni obliki, so gesla odprta na vpogled vsakomur, ki ukrade bazo podatkov. Analiza pokaže, da so nič hudega sluteči uporabniki izbirali šibka gesla.

Analizirali so dolžino gesel, uporabljene vrste znakov (male in velike črke, številke, ločila, posebne znake), slovarskost in unikatnost. Ugotovili so, da smo ljudje še vedno leni, kar se tiče pomnjenja gesel. Velika večina (93 odstotkov) je imela od šest do deset znakov, polovica gesel pa je bilo krajših od osem znakov. Prav tako ima polovica gesel le male črke, nekaj več pa jih ima še...

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali,...