»

Pet let po vdoru v Ashley Madison izsiljevalci spet na delu

Slo-Tech - Internetni kriminalci so ponovno potegnili na plan dobra štiri leta stare podatke iz vdora v spletno stran Ashley Madison. V zadnjih tednih so žrtve vdora ponovno začele prejemati izsiljevalska elektronska sporočila, v katerih so zahtevali plačilo odkupnine, sicer bodo objavili osebne podatke žrtev. Ti vključujejo tudi spletna naročila in kakšne druge manj prijetne podrobnosti iz Ashley Madison.

V zameno za molk izsiljevalci zahtevajo plačilo v bitcoinih, ki po trenutnih tečajih znaša okrog 800 evrov. V sporočilu so vsi osebni podatki, ki so jih napadalci dobili: rojstni podatki, prijavni podatki itd. Večina jih je zbranih v datoteki PDF, ki je zaklenjena in priložena sporočilu skupaj z geslom. Žrtve imajo na voljo šest dni.

Da bodo izsiljevalci kmalu po objavi podatkov iz Ashley Madison začeli izsiljevati, so strokovnjaki pričakovali. Ponovna popularnost te tehnike z istimi podatki skoraj pet let pozneje pa kaže, da kar je objavljeno na internetu, nikoli resnično ne ponikne ali...

10 komentarjev

NiceHash ponovno začel obratovati

Slo-Tech - Dobra dva tedna po vdoru, v katerem so napadalci ukradli več kot 4700 bitcoinov, je slovenska stran za rudarjenje NiceHash spet pričela obratovati. Toda težav s tem še ni konec, saj so vsi uporabniki ugotovili, da so njihovi pretekli neizplačani zaslužki izginili. Preiskava vdora in iskanje izgubljenega denarja medtem še vedno potekata.

Iz NiceHasha uporabnikom sporočajo, da bodo podrobnosti o načinu, kako bodo uporabniki dobili povrnjen izgubljen denar, objavili januarja. Škode je bilo za okrog 55 milijonov evrov, kar ni malo. NiceHash zatrjuje, da so našli investitorje, ki bodo ta primanjkljaj pokrili in starim uporabnikom prihodnje leto povrnili izgubljeno. Prav tako zagotavljajo, da...

49 komentarjev

Ashley Madison lagal in zavajal

The New York Times - Skoraj leto dni po vdoru v spletno stran Ashley Madison, v katerem so napadalci ukradli in na internetu priobčili podatke o identiteti uporabnikov stran za načrtovanje skokov čez plot, se je s konkretnimi komentarji in zavezami oglasilo novo vodstvo. Stran je namreč aprila letos dobila novega predsednika in izvršnega direktorja, ki sta začela pospravljati po hiši in reševati, kar se bi sploh še rešiti dalo.

Ob tem upravljavci priznavajo tudi, kar so nekateri strokovnjaki povedali že prej. Drži, da so bili na strani pretežno moški uporabniki, ki so jih v sklenitev plačljivih naročnin ukanili avtomatizirani robotski kontakti, za katere so uporabniki mislili, da so ženske uporabnice....

27 komentarjev

Gesla iz vdora v Ashley Madison zaradi hude malomarnosti že zlomljena

Ars Technica - Vdor v Ashley Madison je že tako ali tako imel precej resne posledice za vse vpletene, sedaj pa se seznamu njihovih težav pridružujejo še razkrita gesla. Ker so upravljavci strani shranjevali zgoščene vrednosti gesel (hash) po algoritmu bcrypt, smo spočetka napak predpostavili, da jih ne bo mogoče zlomiti. A pisci strani so zagrešili dve ogromni napaki, ki sta v nekaj tednih omogočili razbitje 90 odstotkov od 15 milijonov prizadetih gesel.

V pobeglem arhivu je bila namreč tudi datoteka, ki je vsebovala spremenljivko z imenom $loginkey za 15 milijonov uporabnikov. Izkazalo se je, da gre za zgoščeno vrednost iz uporabniškega imena in...

10 komentarjev

Odstop izvršnega direktorja in druge posledice vdora v Ashley Madison

Slo-Tech - Kot je bilo pričakovati, so posledice vdora v spletno stran Ashley Madison in objava podatkov vseh njenih strank precej bolj eksplozivne od ostalih hekerskih napadov na različne internetne strani. Medtem ko pri običajnih vdorih največjo težavo povzročajo razkrita gesla, kadar niso bila ustrezno šifrirana, in številke kreditnih kartic, je pri Ashley Madison nevšečen katerikoli podatek, ki omogoča enolično identifikacijo uporabnika.

Pravzaprav je nekoliko ironično, da so pri Ashley Madison naredili domačo nalogo, kar se tiče varovanja gesel. Ta so bila zaščitena z zgoščevalno funkcijo bcrypt in z ustreznim semenom (salted hash), zato jih velike večine ne bodo uspeli razbiti. Dean Pierce se je iz akademskih razlogov lotil iskanja najpogostejših gesel in jih je uspel zlomiti le 0,07 odstotka, pri katerih gre za izrazito nespametna gesla...

10 komentarjev

Objavljen arhiv Ashley Madison pristen

Slo-Tech - Neznani napadalci, ki so vdrli v spletno stran za varanje partnerjev Ashley Madison, so pokazali, da je bil že prvi objavljeni arhiv pristen. Včeraj je na internet pricurljal še drugi arhiv podatkov, ki meri 19 GB. V njem je 13 GB velika datoteka, ki naj bi vsebovala elektronske naslove in druge podatkov, a je poškodovana, zato je ni mogoče odpreti in preveriti. Objavili so tudi precej izvorne kode, ki ne pušča nobenega dvoma o pristnosti.

V prvotnem arhivu so podatki 36 milijonov uporabniških računov, torej praktično vseh. Vsebujejo imena, elektronske naslove, šifrirano geslo, številke kreditnih kartic in naslove imetnikov ter še številne druge podatke, ki so jih posredovali uporabniki sami (višina, teža, želje) ali aplikacija...

19 komentarjev

Na internetu arhiv z domnevnimi podatki s strani Ashley Madison

Krebs On Security - Pravzaprav je bilo le vprašanje, kdaj bo mamljiva baza podatkov pricurljala na internet. Točno mesec dni po vdoru v spletno stran Ashley Madison se je na internetu znašel 10 gigabajtov težak arhiv, ki domnevno vsebuje informacije o uporabnikih strani. Prve analize kažejo, da bi bil arhiv lahko pristen, podatki pa resnični.

Ashley Madison je kanadska spletna stran, ki jo ljudje uporabljajo, da laže diskretno varajo svoje partnerje. Oglašuje se s sloganom Življenje je kratko, privoščite si afero, in je kljub kritikam nekaterih skupin zelo priljubljena stran. Nezaželeno publiciteto je stran doživela 15. julija, ko so neznani napadalci ob vdoru na stran ukradli vse podatke o uporabnikih, kar je glede na namen...

35 komentarjev