Slo-Tech - V vdoru, ki se je minuli mesec primeril argentinski državni upravi, so neznani storilci ukradli osebne podatke vseh prebivalcev države. Podatkovna baza se na temnem spletu (darknet) že prodaja.

Hekerji so septembra vdrli v RENAPER (Registro Nacional de las Personas), torej v centralni register prebivalstva. RENAPER je del ministrstva za notranje zadeve in med drugim skrbi za izdajo osebnih izkaznic, hkrati pa v digitalni obliki hrani osebne podatke vseh prebivalcev, da lahko do njih dostopijo tudi druge državne agencije. Argentina ima 45 milijonov prebivalcev in sedaj so razgaljeni vsi.

Da je nekaj hudo narobe, je postalo jasno v začetku meseca, ko je na Twitterju novi uporabnik @AnibalLeaks objavil posnetke osebnih izkaznic in osebne podatke 44 znanih Argentincev, med njimi predsednika, Lionela Messija in Sergia Aguera. Dan pozneje se je na temnem spletu znašel oglas, ki je prodajal osebne podatke kateregakoli Argentinca. Tri dni pozneje so oblasti potrdile, da se je vdor res...

Slo-Tech - Po dobrem tednu od največjega vdora v Twitter na dan prihajajo nove podrobnosti, ki korakoma slikajo obsežnejši napad. Čeprav je Twitter sprva zatrjeval, da napadalci niso pretočili zasebnih sporočil pomembnih računov (high-profile), ki so bili sicer tarče napadov, to ne drži. Včeraj zvečer so namreč iz podjetja sporočili, da so 36 pomembnim računom ukradli zasebno korespondenco, iz vseh 130 pa elektronske naslove, telefonske številke in druge osebne podatke. Tega sploh niso razkrili v novi objavi za javnost, temveč so zgolj popravili skoraj teden dni staro.

Na internetu se je o vdoru nabralo že precej informacij, bistveno več od tega, kar uradno razkriva Twitter. Kot kaže, je bil glavni motiv za napad pridobiti dostop do računov s kratkim ID naslovom (npr. @6). Napadalci so povezani s skupino hekerjev (SIM swappers), ki naj bi dostop pridobili prek Twitterjevih lastnih administrativnih orodij za menjavo gesel in elektronskih naslovov, čeprav Twitter zanika vpletenost kogarkoli iz...

Slo-Tech - Internetni kriminalci so ponovno potegnili na plan dobra štiri leta stare podatke iz vdora v spletno stran Ashley Madison. V zadnjih tednih so žrtve vdora ponovno začele prejemati izsiljevalska elektronska sporočila, v katerih so zahtevali plačilo odkupnine, sicer bodo objavili osebne podatke žrtev. Ti vključujejo tudi spletna naročila in kakšne druge manj prijetne podrobnosti iz Ashley Madison.

V zameno za molk izsiljevalci zahtevajo plačilo v bitcoinih, ki po trenutnih tečajih znaša okrog 800 evrov. V sporočilu so vsi osebni podatki, ki so jih napadalci dobili: rojstni podatki, prijavni podatki itd. Večina jih je zbranih v datoteki PDF, ki je zaklenjena in priložena sporočilu skupaj z geslom. Žrtve imajo na voljo šest dni.

Da bodo izsiljevalci kmalu po objavi podatkov iz Ashley Madison začeli izsiljevati, so strokovnjaki pričakovali. Ponovna popularnost te tehnike z istimi podatki skoraj pet let pozneje pa kaže, da kar je objavljeno na internetu, nikoli resnično ne ponikne ali...

Slo-Tech - Podjetje Abine, ki ponuja priljubljeni upravljalnik gesel Blur in storitev za zaščito zasebnosti na spletu DeleteMe, je potrdilo, da je bilo žrtev hekerskega vdora. Zanj so izvedeli 13. decembra, ta teden pa se je zaključila interna preiskava incidenta, so sporočili. Hekerji so pridobili dostop do datoteke, ki je vsebovala nekatere podatke o uporabnikih Blura izpred 6. januarja 2018. Prizadetih je 2,4 milijona uporabnikov.

Konkretno, odtujeni so bili naslednji podatki uporabnikov, ki so se registrirali pred navedenim datumom: vsi elektronski naslovi, nekaj lastnih imen, nekaj namigov za geslo (le za uporabnike starejše storitve MaskMe), IP-ja zadnjega in predzadnjega dostopa v vsak uporabniški račun, vsa šifrirana gesla za uporabo Blura. Najbolj problematično je prav slednje, a v podjetju...

Washington Post - Twitter je dolgo napovedovano vojno proti hudournikom dezinformacij v svojem omrežju očitno zagnal v polnem obsegu. V zadnjih dveh mesecih so namreč na dan v povprečju suspendirali milijon sumljivih uporabniških računov, skupna številka pa se je zaustavila pri 70 milijonih, pišejo v časniku Washington Post. Podjetje se je namreč zlasti lani znašlo pod pritiskom javnosti, pa tudi oblasti, potem ko se je razkrilo, kako je mogoče z lažnimi računi, boti in troli, dokaj učinkovito vplivati na javno mnenje. Zlasti, ker se je izkazalo, da je s takim početjem Rusija precej uspešno vplivala na...

The New York Times - Skoraj leto dni po vdoru v spletno stran Ashley Madison, v katerem so napadalci ukradli in na internetu priobčili podatke o identiteti uporabnikov stran za načrtovanje skokov čez plot, se je s konkretnimi komentarji in zavezami oglasilo novo vodstvo. Stran je namreč aprila letos dobila novega predsednika in izvršnega direktorja, ki sta začela pospravljati po hiši in reševati, kar se bi sploh še rešiti dalo.

Ob tem upravljavci priznavajo tudi, kar so nekateri strokovnjaki povedali že prej. Drži, da so bili na strani pretežno moški uporabniki, ki so jih v sklenitev plačljivih naročnin ukanili avtomatizirani robotski kontakti, za katere so uporabniki mislili, da so ženske uporabnice....

Ars Technica - Vdor v Ashley Madison je že tako ali tako imel precej resne posledice za vse vpletene, sedaj pa se seznamu njihovih težav pridružujejo še razkrita gesla. Ker so upravljavci strani shranjevali zgoščene vrednosti gesel (hash) po algoritmu bcrypt, smo spočetka napak predpostavili, da jih ne bo mogoče zlomiti. A pisci strani so zagrešili dve ogromni napaki, ki sta v nekaj tednih omogočili razbitje 90 odstotkov od 15 milijonov prizadetih gesel.

V pobeglem arhivu je bila namreč tudi datoteka, ki je vsebovala spremenljivko z imenom $loginkey za 15 milijonov uporabnikov. Izkazalo se je, da gre za zgoščeno vrednost iz uporabniškega imena in...

Slo-Tech - Kot je bilo pričakovati, so posledice vdora v spletno stran Ashley Madison in objava podatkov vseh njenih strank precej bolj eksplozivne od ostalih hekerskih napadov na različne internetne strani. Medtem ko pri običajnih vdorih največjo težavo povzročajo razkrita gesla, kadar niso bila ustrezno šifrirana, in številke kreditnih kartic, je pri Ashley Madison nevšečen katerikoli podatek, ki omogoča enolično identifikacijo uporabnika.

Pravzaprav je nekoliko ironično, da so pri Ashley Madison naredili domačo nalogo, kar se tiče varovanja gesel. Ta so bila zaščitena z zgoščevalno funkcijo bcrypt in z ustreznim semenom (salted hash), zato jih velike večine ne bodo uspeli razbiti. Dean Pierce se je iz akademskih razlogov lotil iskanja najpogostejših gesel in jih je uspel zlomiti le 0,07 odstotka, pri katerih gre za izrazito nespametna gesla...

Slo-Tech - Neznani napadalci, ki so vdrli v spletno stran za varanje partnerjev Ashley Madison, so pokazali, da je bil že prvi objavljeni arhiv pristen. Včeraj je na internet pricurljal še drugi arhiv podatkov, ki meri 19 GB. V njem je 13 GB velika datoteka, ki naj bi vsebovala elektronske naslove in druge podatkov, a je poškodovana, zato je ni mogoče odpreti in preveriti. Objavili so tudi precej izvorne kode, ki ne pušča nobenega dvoma o pristnosti.

V prvotnem arhivu so podatki 36 milijonov uporabniških računov, torej praktično vseh. Vsebujejo imena, elektronske naslove, šifrirano geslo, številke kreditnih kartic in naslove imetnikov ter še številne druge podatke, ki so jih posredovali uporabniki sami (višina, teža, želje) ali aplikacija...

Krebs On Security - Pravzaprav je bilo le vprašanje, kdaj bo mamljiva baza podatkov pricurljala na internet. Točno mesec dni po vdoru v spletno stran Ashley Madison se je na internetu znašel 10 gigabajtov težak arhiv, ki domnevno vsebuje informacije o uporabnikih strani. Prve analize kažejo, da bi bil arhiv lahko pristen, podatki pa resnični.

Ashley Madison je kanadska spletna stran, ki jo ljudje uporabljajo, da laže diskretno varajo svoje partnerje. Oglašuje se s sloganom Življenje je kratko, privoščite si afero, in je kljub kritikam nekaterih skupin zelo priljubljena stran. Nezaželeno publiciteto je stran doživela 15. julija, ko so neznani napadalci ob vdoru na stran ukradli vse podatke o uporabnikih, kar je glede na namen...

Forbes - Pet mesecev po februarskem napadu na nemško stran Gamigo so na splet priromali uplenjeni podatki. Neznan napadalec z vzdevkom 8in4ry_Munch3r je konec februarja uspešno kompromitiral strežnike tega nemškega založnika masivno-večigralsko spletnih iger domišljijskih vlog (MMORPG), zaradi česar so v začetku marca svojim strankam poslali obvestilo, naj zamenjajo svoja gesla na njihovi strani in drugod, če so slučajno uporabljali ista. Zgodba je počasi potihnila, saj se nekaj mesecev ni zgodilo nič niti ni kazalo, da bi bili zbrani podatki zlorabljeni.

V začetku julija pa so hekerji pokazali sadove svojega dela, piše Forbes. Na forumu InsidePro so objavili pol gigabajta težko zbirko več kot...

BBC - V četrtek zvečer so v japonskem podjetju Sega, ki se ukvarja z razvojem videoiger in konzol zanje, odkrili vdor v sistem Sega Pass. Odtujili so bazo podatkov, v kateri so bili elektronski naslovi, rojstni podatki, imena in šifrirana gesla uporabnikov. Zaradi tega je Sega takoj izključila stran in začela preiskavo incidenta, naslednje jutro pa je uporabnikom poslala elektronska sporočila. V njih so jih obvestili o napadu in jim priporočili, da za vsak primer zamenjajo gesla na drugih stran, če so uporabili ista, medtem ko so jih v Sega Passu že ponastavili. Hujših posledic naj ne bi bilo, saj so bila gesla šifrirana, podatkov o finančnih transakcijah pa Sega ne hrani lastnih strežnikih.

Odgovornosti za napad ni prevzela še nobena...

bit-tech.net - Ob novici, da je zaposlitev pri razvijalcu aplikacij (avstralski Mogeneration) za iPhone dobil Ashley Towns, avtor prvega črva za iPhone, so se zgrozile nekatere družbe, ki se ukvarjajo z elektronsko varnostjo. Ashley Towns je črva spisal bolj kot dokaz koncepta, nato pa je prerasel v Rickrollanje jailbreakanih iPhonov z nameščenim SSH klientom, ki je imel privzeto geslo. To je nato preraslo celo v zahtevanje odkupnine za odklep naprave ter krajo bančnih podatkov.

Čeprav je v elektronsko-varnostnem svetu običajno, da pisci virusov in črvov ter hekerji dobijo legalno službo prav pri družbah, ki se proti njim borijo (pisci antivirusnih programov in požarnih zidov), so tokrat prav ti hinavci. Pravijo, da je narobe, da je nekdo nagrajen za napačno početje, še posebej glasen pa je bil Graham Cluley, eden izmed članov razvijalske ekipe pri Sophosu, ki se ukvarja z razvojem antivirusnih programov. Povedal je, da je narobe, da Ashley svojih dejanj ne obžaluje (in je zanje celo nagrajen)...