Slo-Tech - Pred slabim mesecem dni smo poročali o incidentu, v katerem se je izkazalo, da je Facebook hranil gesla uporabnikov v tekstovni obliki, kar že samo po sebi predstavlja veliko varnostno šlamparijo. Podjetje je tedaj ob nekaj sto milijonih uporabnikov Facebooka poročalo tudi o nekaj deset tisočih uporabnikih Instagrama. Zdaj se je izkazalo, da gre tudi v tem primeru za več milijonov uporabnikov.

Drugi del najnovejšega zasebnostnega kolapsa v podjetju pa predstavlja razkritje, da je družba hranila poštne stike poldrugega milijona svojih uporabnikov, kajpak, brez da bi za kaj takega imela njihovo soglasje. Med majem 2016 in letošnjim marcem so namreč uporabnike pozivali k preverjanju poštnih naslovov in to...

Slo-Tech - Dva tedna po obsežnem informacijskem napadu na Facebook je podjetje objavilo nekoliko bolj natančne posledice incidenta. Konkretno je bilo ogroženih 30 milijonov uporabniških računov. Od tega so 15 milijonom odnesli podatke o njihovem imenu in kontaktni telefonski številki oz. elektronski pošti ali pa kar oboje. Enako velja za naslednjih 14 milijonov, le da so napadalci pri njih dostopali tudi do podatkov o njihovem spolu, jeziku, partnerski zvezi, religiji, napravah s katerimi dostopajo do Facebooka, izobrazbi, rojstnem datumu, zadnjih desetih obiskanih krajih, mestu njihovega trenutnega bivanja in njihovih zadnjih petnajstih iskalnih poizvedbah. Preostali milijon uporabnikov je bil samo ogrožen, njihovih podatkov ni videl nihče.

Vse skupaj se je začelo...

Facebook - Iz podjetja so sporočili, da so napadalci izkoristili ranljivost, povezano s funkcijo "View as" oz. "Poglej kot", s katero si lahko svoj profil ogledamo tak, kot je viden drugim. Funkcija je zato trenutno začasno izklopljena.

Napadalci so namreč našli napako v kodi, ki jim je omogočila, da so se dokopali do digitalnih žetonov za dostop, s čimer bi lahko prevzeli tuje uporabniške račune. Žetoni so sicer nekakšen digitalni ključ, ki mobilnim uporabnikom omogoča vstop na platformo, ne da bi morali vsakič vpisovati geslo. Napad je sicer omogočilo kompleksno prepletanje različnih napak v Facebookovi programski kodi. Te izvirajo iz sprememb, ki so jih v podjetju julija lani napravili pri nalaganju videoposnetkov in prav to je vzrok varnostne vrzeli pri...

Slo-Tech - Južnokorejska kriptomenjalnica Coinrail, ki je bila po CoinMarketCap med prvimi stotimi po velikosti, je včeraj sporočila, da so nepridipravi z njenih strežnikov v času zbiranja zagonskih sredstev pobrali večjo količino ICO žetonov. V menjalnici so reagirali takoj in svoj portal navzven zaprli, preostale kriptovalute pa so preselili v cold storage, torej offline denarnice.

Podjetje že sodeluje z oškodovanci in preiskovalci, da bi izsledili storilce in zamrznili ukradene žetone. Njihova natančna vrednost še ni znana, so se pa pojavile informacije, da naj bi bila njihova vrednost med 30 in 40 milijonov dolarjev, približno polovica tega naj bi pripadala žetonom NPXS. Sicer je velik del menjalnic...

Reuters - Hekerski napad na Microsoft, ki se je zgodil leta 2013 in ga je podjetje takrat sicer omenilo, a njegov pomen zmanjšalo, je bil po poročanju Reutersa bistveno resnejši. Neznani napadalci so tedaj pridobili dostop do baze, v kateri ima Microsoft shranjene podatke o znanih ranljivostih v programski opremi, ki jih še niso zakrpali. Microsoft je to vedel, a tega javnosti ni sporočil.

Reuters se sklicuje na pričevanja petih nekdanjih zaposlenih, ki so mu zgodbo potrdili. Microsoft je za napad izvedel že leta 2013, ko je preiskoval vdore v Facebook, Twitter in Apple. Tedaj je odkril, da je bil tarča uspešnega vdora tudi sam, o čemer je javnost obvestil zelo pomanjkljivo. Microsoft je tedaj zapisal, da je skupina, ki jo poznamo pod imeni Morpho,...

Slo-Tech - Smrt Flasha napovedujemo že toliko časa, da nihče več ne verjame. A kljub nekaterim izjemam in odpustkom, ki si jih je prislužil, spletni velikani vendarle zlagoma opuščajo Flash. YouTube se je poslovil od njega januarja. To pot se mu bo pri videoposnetkih odpovedal Facebook.

Spomnimo, da je Facebook poleti zaposlil Alexa Stamosa iz Yahooja kot novega direktorja za področje računalniške varnosti, ki je zelo kmalu napovedal slovo od Flasha. Odslej bo tako Facebook videoposnetkov prikazoval z nativnimi tehnologijami v HTML5 namesto prek vtičnika Flash, kar je dobrodošla sprememba. S tem so se povečale povečala varnost, enostavno pisanja kode, integracija s preizkušenimi platformami za preizkušanje kode ter...

Slo-Tech - Člani skupine CabinCr3w, v katero so se oblikovali nekateri nekdanji anonymousi, so 5. februarja letos napadli strani policije v Zahodni Virginiji v ZDA. Nekaj dni pozneje so se na internetu znašli podatki s policijskih strežnikov, ki so jih napadalci odtujili. S sporočili prek Twitterja so izzivali policijo, naj se ne trudijo z iskanjem, kasneje pa so izvedli še nove vdore. FBI je vdore raziskal in ugotovil, kdo stoji za njimi, sedaj pa je poročilo o preiskavi postalo javno. V njem lahko preberemo, kako si je storilec razkritje pravzaprav...

Slashdot - Marca smo pisali, da je bil oddelek RSA v podjetju EMC žrtev hekerskega napada. Kasneje smo izvedeli, da je bil za vdor odgovoren človeški faktor zaposlenih v RSA, niso pa želeli v podjetju povedati, kaj vse je bilo odtujenega. Zaradi tega je v IT-srenji završalo, saj se RSA-jev SecurID uporablja za preverjanje pristnosti z dvema faktorjema (recimo v e-bančništvu).

Za še več nemira je poskrbel uspešen napad v Lockheed Martin, ki je bil očitno prva resna posledica napada v RSA (napadli so tudi L-3 Communications in Northrop Grumman). Sedaj je RSA končno priznala, da so bili v napadu kompromitirani žetoni za SecurID. Zato ponujajo praktično vsem svojim uporabnikom brezplačno zamenjavo žetonov, finančnim inštitucijam pa še brezplačen monitoring transakcij.

Še vedno pa RSA ni želi povedati, kako točno so bili...