»

(Komentar) Dva kilograma informacijske varnosti, prosim

Ti. kavč oz. pisarniška inšpekcija (simbolična fotografija)

vir: RTV Slovenija
Slo-Tech - Število odmevnih varnostnih incidentov v digitalnem svetu je vsak dan večje in Slovenija ni nobena izjema. Spomnimo le na incidente Nova24TV, Lekarne Ljubljana, Bolnišnica Izola, Revoz, AJPES. Ob dogajanju se vedno znova zastavljata dve ključni vprašanji: kdo je kriv in zakaj podatki niso bili ustrezno zavarovani?


Kdo je odgovoren?

Pri iskanju krivca pomaga kombinacija ljudske folklore (»nihče ni kriv«) in inšpekcijske prakse (»kriva je odgovorna oseba«). Ko varnostni incidenti niso medijsko izpostavljeni, krivca ni treba iskati, dovolj je, da se dogovorimo med sabo, okaramo nesposobne zaposlene, se posipamo s pepelom in zadevo pometemo pod preprogo. Ko se začne incident javno pogrevati, nastanejo težave, ki jih bolj ali manj učinkovito rešujejo represivne službe: Policija, Informacijski pooblaščenec, AKOS, Uprava za informacijsko varnost). Takrat naj bi se v okviru formalnih postopkov določilo odgovorno osebo, praviloma tako, da se začne z iskanjem krivca čim nižje v...

39 komentarjev

Facebooku odnesli plačilne liste zaposlenih

Slo-Tech - Facebook je doživel nov vdor, ki pa ni bil hekerski, temveč klasični vlom. Neznani storilec je vdrl v avtomobil zaposlenega v Facebookovem računovodstvu, ki je imel v njem več diskov s podatki o zaposlenih. Šlo je za podatke o 29.000 nekdanjih in sedanjih zaposlenih, ne pa za podatke o uporabnikih. Na diskih so bile tudi plačilne liste, številke zdravstvenega zavarovanja (social security number) in podatki o delniških opcijah ter drugih nagradah. Podatki niso bili šifrirani, zaposleni pa ni imel pristojnosti, da jih odnese iz podjetja v svoj avto.

Vlom se je zgodil že 17. novembra, a je Facebook prizadete uslužbence obvestil šele sedaj. Da so diski pogrešani, so izvedeli 20. novembra, teden dni pozneje pa so ugotovili, kaj je bilo dejansko na njih. Facebook je incident tudi prijavil policiji, a diskov seveda še niso našli. Vsem prizadetim so ponudili dvoletno naročnino na storitev za spremljanje kraje identitete.

Tatvina prenosnih računalnikov ali diskov iz vozil ni tako redek...

15 komentarjev

Slabo geslo - in zanikrn ponudnik - lahko drago staneta

bleepingcomputer.com - Dvojica čeških hekerjev je pred časom vdrla v mobilne račune nekaj Vodafonovih uporabnikov, ter si v njihovem imenu naročila nove SIM kartice, ki sta jih uporabila za igre na srečo, za kar sta zapravila krepkih 23.000 evrov. Pomenljivo pri vsej zadevi je, da sta vdrla v račune, ki so imeli nastavljeno precej znano geslo "1234".

Češko sodišče je oba češka hekerja (pun intended) že obsodilo na tri leta zapora, a ključni proces se je začel odvijati na povsem drugi točki. Vodafone namreč trdi, da je podjetje popolnoma nedolžno, za krajo pa so odgovorni sami uporabniki s šibkimi gesli, zaradi česar so tudi dolžni podjetju povrniti zlorabljena sredstva. Nekateri od dolžnikov tudi že poročajo, da je Vodafone v ta namen najel poklicne izterjevalce.

Zato so se žrtve...

55 komentarjev

Vdor v Yahoo prizadel tri milijarde uporabnikov

Ars Technica - Ni več skrivnosti o hekerskem vdoru v Yahoo, ki se je zgodil leta 2013 in ki so ga v podjetju priznali šele lani. Sprva so dejali, da so hekerji pridobili osebne podatke milijarde uporabnikov, sedaj pa so v poročilu to oceno popravili - navzgor. Podrobna forenzična analiza je pokazala, da so bili prizadeti vsi uporabniški računi, je potrdil Yahoo. Yahoo je imel tedaj približno tri milijarde uporabnikov.

Še vedno ostaja dejstvo, da so hekerji pridobili uporabniška imena, elektronske naslove, telefonske številke, rojstne podatke in gesla, zgoščena z ne prav varnim algoritmom MD5, v nekaterih primerih pa tudi varnostna vprašanja in odgovore. Čeprav nepridipravi niso odnesli bančnih podatkov uporabnikov in gesel v tekstovni...

24 komentarjev

Hekerji Disneyju ukradli Pirate s Karibov: Plačajte ali pa bomo objavili film

theguardian.com - Hekerji so vdrli v informacijski sistem Disneyja in ukradli zaenkrat neznan film. Novica je v medije ušla iz podjetja po razkritju dogajanja zaposlenim s strani direktorja Disneyja Boba Igerja. Ta je razkril, da hekerji zahtevavajo za sedaj javnosti neznano vsoto, ki jo mora podjetje plačati v bitcoinih, drugače bodo film objavili na spletu. To naj bi naredili v večih korakih. Že v naslednjih dneh naj bi se tako na internetih znašlo prvih pet minut filma. Če pa bo Disney še naprej odlašal s plačilom odkupnine, se bodo vsakih par dni na spletu pojavili posamezni odseki filma, ki bodo dolgi 20 minut. Iger je zaposlenim sicer dejal, da podjetje zagotovo ne bo plačalo odkupnine hekerjem.

Večje število medijev pa že poroča, da so hekerji ukradli...

45 komentarjev

Macron trdi: hekerji so ukradli mojo elektronsko pošto. So bili Rusi?

politico.com -
Najverjetnejši zmagovalec nedeljskih francoskih predsedniških volitev Emmanuel Macron je Evropo in svet včeraj šokiral z izjavo, da so neznani hekerji vdrli v sistem njegovega štaba in stranke ter med drugim ukradli tudi vso njegovo elektronsko pošto. Prvi signal, da je bil predsedniški kandidat tarča kibernetskega napada se je pojavil včeraj popoldne, ko se je na spletu znašel 9 GB velik paket elektronskih sporočil članov štaba in stranke Macrona. Na novico se je danes že odzval pristojni francoski nadzorni organ in napovedal preiskavo.

Ponovitev ameriškega scenarija?

Medtem pa so člani štaba Macrona že pričeli iskati krivca. »Glede na to, da se stvari dogajajo v zadnjih urah volilne kampanje, gre očitno za poizkus destabilizacije demokratične...

71 komentarjev

Vdorom v Yahoo ni konca, Verizon zbil ceno

Slo-Tech - Po neuradnih podatkih bo Verizon za Yahoo odštel 4,48 milijarde dolarjev, kar je 350 milijonov dolarjev manj od prvotnih načrtov. Cena se je znižala zaradi vdorov v Yahoo, za katere so izvedeli šele po oddaji prevzemne ponudbe. Sprva se je celo špekuliralo, da utegne Verizon od nakupa odstopiti, a si Yahoo očitno res močno želijo, zato so zgolj spustili ceno za sedem odstotkov. Pa čeprav vdorom ni konca.

Spomnimo, da je Yahoo lanskega septembra javno razkril, da je bil leta 2014 tarča hekerskega napada, v katerem so mu odnesli osebne podatke vsaj 500 milijonov uporabnikov. Dva meseca pozneje smo izvedeli, da je vsaj del Yahooja za vdor vedel že istega leta, pa tega niso ustrezno skomunicirali. Decembra smo izvedeli za...

9 komentarjev

Razkosanje Yahooja v Verizon, Altabo in Excalibur

Slo-Tech - Ni še povsem jasno, ali bo Verizon resnično kupil velik dela Yahooja, a če se bo to zgodilo, se bo preostanek Yahooja preimenoval. Lupina, ki bo ostala samostojna, vsebuje v resnici samo 15-odstotni delež v Alibabi, zato ni presenetljivo, da se bo preimenovala v Altabo. Ostanek s tem imenom bo funkcioniral manj kot podjetje in bolj kot holding, kar vključuje tudi razpustitev starega upravnega odbora.

Verizon je poleti napovedal
, da bodo nadaljevali svoj nakupovalni pohod in za 4,8 milijarde kupili Yahoo. Pred tem je namreč Verizon leta 2015 za 4,4 milijarde dolarjev kupil AOL, kar se je izkazalo kot solidna naložba. Situacija pa se je kmalu popolnoma spremenila, saj je Yahoo jeseni priznal, da so leta 2014 vanj vdrli hekerji in odnesli osebne podatke vsaj...

8 komentarjev

Za osebne podatke milijarde le 300.000 dolarjev

Slo-Tech - Na plano curljajo dodatne informacije o največjem zabeleženem vdoru v zgodovini, ki se je Yahooju primeril pred tremi leti in v katerem so izgubili osebne podatke milijarde uporabnikov. Po poročanju The New York Timesa so se podatki, ki so odtekli avgusta 2013, letošnjega avgusta spet pojavili na črnem trgu. Neznani hekerji iz vzhodne Evrope naj bi jih prodali trem kupcem, za kar so iztržili pičlih 300.000 dolarjev od vsakega kupca.

Tako trdi Andrew Komarov iz podjetja InfoArmor, ki preiskuje vdore in je pod lupo vzel tudi zadnjega. Kupci so bili trije, in sicer dva znana spamerja in organizacija, ki jo zanimajo podatki zaradi možnosti vohunjenja. Hekerji, ki jih Komarov imenuje Skupina E, so bili finančno motivirani in...

6 komentarjev

Nov hekerski vdor prizadel milijardo uporabnikov

Slo-Tech - Yahoo je razkril, da so neznani hekerji leta 2013 vdrli v njegov sistem in odtujili podatke o več kot milijardi uporabnikov. Če se zdi novica znana, se motite. Vdor iz leta 2014, ko so ukradli podatke pol milijarde ljudi, ni povezan z danes razkritim. Gre za dva popolnoma ločena varnostna incidenta, druži ju le dejstvo, da sta se primerila istemu podjetju in da sta bila ob razkritju največja dotlej javno poznana, Yahoo pa trdi - čeprav tega še ni mogoče preveriti - da ju je izvedla ista hekerska skupina s podporo neke države.

V napadu iz leta 2013 so hekerji pridobili podatke o uporabniških imenih, telefonskih številkah, rojstnih datumov, šifrirana gesla (z zastarelim algoritmom MD5!) in varnostna vprašanja za...

19 komentarjev

Yahoo za vdor vedel že pred dvema letoma

Slo-Tech - Hekerski vdor v Yahoo izpred dveh let, ki so ga v podjetju odkrili letos in zaradi katerega grozi, da bo Verizonov prevzem padel v vodo, vendarle ni presenetil čisto vseh zaposlenih. Za napad, v katerem so hekerji odnesli osebne podatke vsaj 500 milijonov uporabnikov, so nekateri zaposleni vedeli že kmalu po vdoru leta 2014, je Yahoo razkril v poročilu za SEC (ameriško agencijo za trg vrednostnih papirjev). To je v nasprotju s septembrskimi trditvami, da so vdor odkrili šele pri nedavnem pregledu.

V poročilu so namreč zapisali, da so ustanovili posebno neodvisno skupino, ki bo preiskala vdor in obseg védenja o vdoru v podjetju leta 2014. Znanih je tudi nekaj več podrobnosti o vdoru, za katerega zdaj spet obtožujejo državne hekerje iz neimenovane države. Napad naj bi bili...

2 komentarja

Verizon želi zaradi prikrivanja vdora milijardo popusta pri nakupu Yahooja

New York Post - Pred tremi meseci smo pisali, da je Verizon za 4,8 milijarde dolarjev kupil Yahoo, sedaj pa se utegne zgodba zaplesti. Yahoo se je namreč od tedaj zapletel v dve veliki aferi, in sicer smo najprej ugotovili, da so leta 2014 hekerji odnesli vsaj 500 milijonov uporabniških podatkov, morda pa še več, ta teden pa je odjeknila vest, da je Yahoo lani začel vohuniti za vsemi uporabniki. Verizon se je ustrašil, kakšni okostnjaki ga še čakajo v Yahoojevih omarah, zato si želi znižanje nakupne cene. Ali pa ga malo izsiljuje, rezultat je enak.

New York Post piše, da si Verizon želi nakupno ceno znižati za 1 milijardo dolarjev ali pa razdreti dogovor. Verizon s tem pritiska na Yahoo, ki se je znašel v res nezavidljivi situaciji. Yahoo se razumljivo upira takemu...

8 komentarjev

Vdor v Yahoo morda še večji, bržkone ni delo državnih hekerjev

Business Insider - Vdor v Yahoo, v katerem so neznani napadalci odnesli osebne podatke in gesla 500 milijonov uporabnikov, je že sedaj največji v zgodovini, a se utegne izkazati za še večjega. Viri blizu podjetja namreč trdijo, da je zaradi ustroja Yahoojevega sistema nemogoče, da bi bilo prizadetih 500 milijonov uporabnikov. Prava številka naj bi bila med 1 in 3 milijardami, trdijo pri Business Insiderju.

Yahoo je sicer ob razkritju pametno zapisal, da je prizadetih najmanj 500 milijonov uporabniških računov. Nekdanji zaposleni pravi, da vsi Yahoojevi izdelki (Yahoo Mail, Finance, Sports itd.) uporabljajo eno glavno podatkovno bazo. Ta je leta 2014, ko se je napad zgodil, vsebovala od 700-1000 milijonov aktivnih uporabnikov, poleg njih...

0 komentarjev

Hekerski vdor v Yahoo prizadel 500 milijonov uporabnikov

Slo-Tech - Yahooju se je zgodila huda neprijetnost, saj so potrdili, da so hekerji v napadu pridobili podatke vsaj 500 milijonov uporabnikov, kar je eden največjih vdorov v zgodovini. Napad se je zgodil leta 2014.

V izjavi za javnost so zapisali, da so obstoj napada potrdili v nedavni preiskavi, ni pa jasno, zakaj je trajalo dve leti, da so napad raziskali in o njem obvestili javnost. Varni so ostali "nezaščitena" gesla in bančni podatki, ki so bili shranjeni na ločenem, neprizadetem sistemu, so pa hekerji odnesli imena, elektronske naslove, telefonske številke, datume rojstva, zaščitena gesla (večidel zgoščena z bcryptom),...

22 komentarjev

S koncem Yahoo Directory konec neke ere

Konec neke ere

Yahoo News - Po dvajsetih letih se poslavlja storitev Yahoo Directory, ki je pred dvema desetletjema predstavljala glavni imenik spletnih strani na internetu.

Danes je brskanjem po spletu z iskalniki samoumevno, a pred dvajsetimi leti je bil splet drugačen. Google je na primer z nami šele od leta 1998, a je svojo vsemogočnost pridobil šele v zadnjih letih. Pred dvajsetimi leti pa smo informacije iskali drugače. Iskalniki so tedaj sicer obstajali, a so bili njihovi rezultati pregovorno zanič. Splet je bil tedaj neprimerno manjši kot danes, zato so bili ročno zbrani in po temah urejeni seznami strani tedaj možni in...

22 komentarjev