»

Po izsiljevalskem napadu na bolnišnico hekerji objavili gole fotografije bolníce

Slo-Tech - Februarja letos (6.2.2023) so hekerji z izsiljevalskim virusom napadli računalniško omrežje sistema bolnišnic v Pensilvaniji (Lehigh Valley Health Network) in zahtevali izplačilo odkupnine. Javnost je bila o vdoru obveščena 20. februarja letos. Upravljavci so se odločili, da temu ne ugodijo, kar je sicer v skladu s priporočili varnostnih služb in strokovnjakov. A napadalci iz skupine BlackCat (znana tudi kot ALPHV) so zato začeli objavljati ukradene podatke.

Med njimi so tudi osebni podatki 75.000 ljudi, ki so jih obsevali na onkološkem oddelku. V informacijskem sistemu so imeli shranjene tudi posnetke golih bolnikov, ne da bi ti sploh vedeli, da so jih bili fotografirali. Hekerji so posnetke pridobili in zagrozili z javno objavo, na kar se vodstvo LVHN ni odzvalo, zato so jih potem resnično javno priobčili. Zato je ena izmed bolnic (s prikritim imenom Jane Doe) vložila tožbo zoper LVHN, ker so njene slike sedaj objavljene na internetnih forumih. Prav tak so odtekle osebne...

36 komentarjev

Po vdoru v PolyNetwork heker vrnil vse ukradeno

Slo-Tech - Sredi meseca so neznani hekerji vdrli v PolyNetwork in odnesli za 600 milijonov dolarjev kriptovalut, kar je bil eden največjih vdorov v zgodovini. Čudežno so čez nekaj dni vrnili približno tretjino plena, sedaj pa je nazaj še preostanek. V nedeljo zvečer je neznani heker objavil potrebne tri četrtine zasebnih ključev (multisig), ki so PolyNetworku zadoščali za obnovitev sredstev. Z nakazilom zadnjih 141 milijonov dolarjev je v celoti povrnjena izguba. Vsem komitentom, ki so bili prizadeti v vdoru, bodo sedaj obnovili sredstva na računih. Gre predvsem za kriptožetone Ethereum, Binance in Dogecoin.

Delo pa še ni končano, saj morajo odmrzniti še za 33 milijonov dolarjev USDT in ponovno vzpostaviti polno delovanje Poly Bridgea, ki komitentom omogoča prenos sredstev med različnimi verigami blokom (menjava kriptožetonov). Heker, ki stoji za vdorom, vztraja, da ga je izvedel zato, da bi opozoril na hrošča in preprečil, da bi kriptopremoženje ukradel kdo drug. PolyNetwork je imel reden...

11 komentarjev

Google lani izplačal 6,5 milijona dolarjev prijaviteljem odkritih ranljivosti

threatpost - Tehnološki velikani so v zadnjih letih vendarle ugotovili, da so programi nagrajevanja odkritih ranljivosti (bug bounty) koristni. Google je v letu 2019 iz tega naslova izplačal rekordnih 6,5 milijona dolarjev, kar je toliko v dveh predhodnih letih skupaj. Največja podeljena nagrada je znašala 201.000 dolarjev, skupno pa so nagradili 461 raziskovalcev. Povečanje mase izplačil je povezano s čedalje širšim naborom izdelkov, ki so vključeni v program, z višjo popularnostjo programa ter tudi z rastjo višine nagrad. Tako je najnižja nagrada odslej 15.000 dolarjev (in ne več 5.000 dolarjev). Najvišja nagrada še vedno ostaja milijon dolarjev za oddaljen, trajni napad na Titan M v novih napravah Pixel, kar ni uspelo še nikomur. Komur bi to uspelo na predogledni verziji, pa bi dobil kar 1,5 milijona dolarjev.

Lani je Google zagnal tudi Developer Data Protection Reward Program, ki je namenjen odkrivanju težav s puščanjem osebnih podatkov v aplikacijah za Android, v OAuth in v razširitvah za...

3 komentarji

Apple ponuja milijon dolarjev za odkrite ranljivosti

Slo-Tech - Apple je na konferenci Black Hat naznanil korenito spremembo svojega programa za nagrajevanje odkriti ranljivosti (bug bounty), s čimer želi vzpodbuditi raziskovalce, da bi najdene luknje raje delili z Applom kot s preprodajalci. Slednji namreč ponujajo bistveno višje zneske kakor proizvajalci. Zato bo odslej Apple bolj razvezal mošnjiček, je povedal vodja varnosti in arhitekture pri Applu Ivan Krstić.

Najvišja nagrada po novem znaša okrogel milijon dolarjev, kolikor Apple ponuja za odkritje načina, kako oddaljeno in brez uporabnikove interakcije pridobiti popolni in trajni nadzor nad iOS. Dostop do osebnih podatkov brez interakcije prinese pol milijona dolarjev, številne druge ranljivosti pa od 100.000 do 250.000....

7 komentarjev

EU razpisuje lov na hrošče

vir: Flickr

Slo-Tech - V okviru projekta FOSSA (Free and Open Source Software Audit) je Evropska komisija (EK) za januar razpisala za 851.000 evrov nagrad, ki jih bodo podelili uspešnim najditeljem hroščev v petnajstih kosih programske opreme, ki so v uporabi v njihovih inštitucijah. FOSSA je sicer projekt, ki sta ga med letoma 2015 in 2016 zagnala Julia Reda, poslanka EP iz vrst Piratske stranke in Max Andersson iz Stranke zelenih.

Od 7. 1. lahko tako prispevate svoja dognanja o varnostnih vrzelih v Filezilli, Apache Kafki, Notepadu++, PuTTY in VLC Media Playerju, in sicer prek platforme HackerOne bug bounty and vulnerability coordination. od prvega marca dalje pa prav tako prek HackerOne še za platformo za upravljanje identitet midPoint.

15. januarja se...

13 komentarjev

Uber boli denarnica zaradi vdora iz leta 2016

vir: Flickr

vir: BBC
BBC - Uber bo zaradi vdora iz leta 2016 plačal še dober milijon evrov kazni. Na toliko sta ga namreč v seštevku obsodila pooblaščenca za varstvo osebnih podatkov iz Velike Britanije (432.000 €) in Nizozemske (597.500 €). V vdoru je bil napadalcem omogočen dostop do osebnih podatkov o 2,7 milijona uporabnikov iz velike Britanije in 174.000 iz Nizozemske, med njimi polno ime, e-poštni naslovi in telefonske številke.

Podjetje je sicer že septembra v ZDA plačalo precej višji znesek, kar 130 milijonov evrov, in s tem poravnalo tamkajšnje kazni in odškodninske zahtevke.

Vdor iz leta 2016 je napadalcem skupaj omogočil dostop do podatkov o 57 milijonih Uberjevih uporabnikov in voznikov. Podjetje je incident sprva skušalo pomesti pod preprogo, z napadalci so se skrivaj...

4 komentarji

Uber bo zaradi prikrivanja hekerskega vdora plačal 148 milijonov dolarjev

Slo-Tech - Uber se je s tožilstvi v vseh ameriških zveznih državah poravnal v postopku zaradi prikrivanja hekerskega vdora in izgube osebnih podatkov, kar se mu je pripetilo pred dvema letoma. Ker je Uber šele konec minulega leta razkril, da je bil leta 2016 tarča vdora, v katerem so napadalci odnesli podatke o 57 milijonih voženj in 7 milijonih voznikov (med temi jih je bilo 600.000 v ZDA), bo podjetje plačalo 148 milijonov dolarjev.

Največji spodrsljaj je bilo prav prikrivanje vdora, saj Uber več kot leto dni niti žrtev niti organov pregona ni obvestil o njem. Po ameriški zakonodaji so podjetja obvezana razkriti vse tovrstne vdore, takoj ko zanje izvedo. Uber je nedvomno vedel za vdor že mnogo prej, saj se je s hekerjem celo pogajal in mu plačal 100.000...

3 komentarji

Kako je Uber izplačal 100.000 dolarjev odkupnine

Slo-Tech - Reuters je razkril, kako je Uber izplačal 100.000 dolarjev odkupnine, v zameno za katero so hekerji pobrisali osebne podatke Uberjevih strank, ki so jih pridobili v vdoru lanskega oktobra. Trije različni viri blizu podjetja so za Reuters potrdili, da je Uber 100.000 dolarjev 20-letnemu Floridčanu izplačal v okviru programa za nagrajevanje prijavljenih ranljivosti (bug bounty). Tovrstne programe ima veliko podjetij, z njimi pa motivirajo in nagrajujejo raziskovalce, da odkrivajo in prijavljajo manjše in večje ranljivosti v kodi. Po neuradnih podatkih pa je Uber to uporabil kot pretvezo za izplačilo odkupnine, s katero so se napadalci zavezali, da bodo izbrali osebne podatke 57 milijonov Uberjevih uporabnikov. Identiteta...

7 komentarjev

Uber pozabil razkriti vdor izpred leta dni

Bloomberg - Uber se je vnovič znašel v središču medijske pozornosti zaradi afere, ki so jo zakuhali s prikrivanjem hekerskega vdora v svoje sisteme. Uber je šele sedaj priznal, da so bili oktobra 2016 tarča vdora, v katerem so napadalci pridobili osebne podatke 57 milijonov uporabnikov. Čeprav so vdor hitro odkrili, so ga skrivali in o njem v nasprotju z zakonodajo nisi obvestili niti žrtev niti pristojnih organov. Še več, Uber je hekerjem celo plačal 100.000 dolarjev, da naj bi bili uničili ukradene podatke.

Ukradeni podatki večidel obsegajo imena, elektronske naslove in telefonske številke, za približno 600.000 voznikov pa tudi podatke z njihovega vozniškega dovoljenja. V nobenem primeru niso bili ukradeni bančni podatki ali trase voženj, zatrjuje Uber. A...

14 komentarjev

Kako Uber zbira in obdeluje osebne podatke za izmikanje organom pregona

Slo-Tech - Uber je več let uporabljal program, s katerim se je izogibal policiji in ostalim organom pregona v državah, kjer je bilo njegovo delovanje prepovedano ali močno regulirano. Obstoj programa Greyball razkriva The New York Times in pojasnjuje, kako ga je Uber uporabljal vsaj v Bostonu, Parizu, Las Vegasu, Avstraliji, Južni Koreji in na Kitajskem.

Gre za del večjega programa VTOS (violation of terms of service), ki ga je Uber začel uporabljati leta 2014 in je danes izven ZDA večidel standardni del Uberjevega paketa. Z njim uradno Uber preprečuje najemanje storitev ljudem, ki storitev koristijo na nepošten način, ki ni v skladu s splošnimi pogoji poslovanja. V resnici pa je Uber s to aplikacijo preprečeval uporabo svoje aplikacije različnim inšpektorjem in...

54 komentarjev

Vdor v Uber odnesel podatke 50.000 voznikov

The Register - Uber je sporočil, da je neznani napadalec 13. maja lani pridobil dostop do dela njihovih baz, iz katerih je odnesel osebne podatke 50.000 Uberjevih voznikov, ter potencialno tudi dele izvorne kode in zasebni ključ. Heker je zbrano takoj objavil na Githubu.

Vdor so v Uberju ugotovili 17. septembra lani, ko so spremenili način za dostop do baze podatkov. Čeprav prizadeti vozniki, katerih imena in številke registrskih tablic so bile odtujene, za zdaj niso prijavili nobenih zlorab, so jim vseeno plačali enoletno varovanje pred krajo identitete.

Ker je heker podatke objavil na GitHubu in ker Uber pozna njegov IP-naslov, so se odločili pridobiti podatke kar od GitHuba. Ker jim ta ni želel posredovati podatkov o uporabnikih,...

8 komentarjev

Uberjev nepričakovani konkurent bo Google

Slo-Tech - Uberju sicer ne manjka ne konkurentov ne sovražnikov, a če se bo potrdilo ekskluzivno poročanje Bloomberga, ki ima običajno kar zanesljive vire, se Uberju obeta najresnejši konkurent do sedaj. Posla bi se namreč rad lotil sam Google.

Situacija je precej zanimiva, ker je Google eden izmed investitorjev v Uberju. Njegov sklad tveganega kapitala Google Ventures je avgusta 2013 v Uber vložil 258 milijonov dolarjev, kar je bila do tedaj najvišja investicija tega sklada. Toda to ne pomeni, da ne more Google razviti konkurenčne storitve, zlasti s svojim izkušnjami na področju samovozečih avtomobilov. Do tega, da bi nas po mestu pobirali črni avtomatični taksiji brez voznikov, je še daleč, a Google ima vizijo.

Ima pa Google še nekaj, in sicer trojanskega konja....

8 komentarjev

Nagrajevanje ranljivosti učinkovitejše in cenejše od zaposlovanja

Slo-Tech - Raziskava, ki so jo opravili na Univerzi Berkeley, kaže, da je nagrajevanje odkritih varnostnih ranljivosti zelo učinkovita in poceni metoda za iskanje lukenj v programski opremi. V študiji so analizirali programa, ki ju izvajata Mozilla in Google. V zadnjih treh letih je Google iz tega naslova izplačal 580.000 dolarjev, Mozilla pa 570.000 dolarjev. To se sliši mnogo, a v resnici gre za drobiž. Če računamo, da bi morali vrhunskega strokovnjaka plačati od 100.000 dolarjev letno naprej, da bi to počel v podjetju, ugotovimo, da bi s tem zneskom Google lahko zaposlil enega ali kvečjemu dva človeka....

3 komentarji