Slo-Tech - Na hekerskem forumu Breached je za prgišče dolarjev na voljo 60 GB velika datoteka s približno 220 milijoni elektronskih naslovov in pridruženih uporabniških računov s Twitterja. Vse kaže, da gre zgolj za pregledano različico starejše baze takšnih podatkov, ki so s platforme pobegnili že predlani.

Twitter je imel odmevnejše šibkosti v svoji kibernetski obrambi že mnogo pred aktualnimi kolobocijami okoli Elona Muska. Ena od vidnejših ranljivosti je tista iz leta 2021, ko je bilo mogoče skozi Twitterjev API s preprostim preizkušanjem dognati, ali sta določen elektronski naslov in telefonska številka povezana s katerim od uporabniških računov. Inženirji so ranljivost zakrpali lanskega januarja, toda nepridipravi so z navskrižnim primerjanjem tako pridobljenih podatkov in pa javno dostopnih, ki jih je bilo mogoče postrgati z družbenega omrežja, do takrat že sestavili več baz podatkov. Te so nato za različne vsote prodajali na temnem spletu, dokler se niso po pravilu sčasoma na forumih...

LastPass - Priljubljeni urejevalnik gesel LastPass je ob avgustovskem vdoru trdil, da so hekerji odnesli le nekaj izvorne kode in tehničnih podatkov o delovanju storitve, uporabniški podatki pa naj bi bili ostali nedotaknjeni. Izkazalo se je, da to ne drži popolnoma, saj so s tedaj ukradenimi podatki sedaj pridobili tudi nekaj podatkov o uporabnikih. Zabeležili so nekaj nenavadnih aktivnosti v zunanji storitvi za shranjevanje podatkov v oblaku, s katero sodelujejo. Za preiskavo so najeli podjetje Mandiant.

Še vedno zagotavljajo, da gesla niso bila prizadeta in da so varno šifrirana. Zapisali pa so, da incident preiskujejo in da bodo v nadaljevanju ugotovili, kateri uporabniški podatki so bili izpostavljeni. To je torej že drugi vdor v LastPass v letu dni. Prvi se je zgodil avgusta, hekerji pa so imeli tedaj dostop do strežnikov štiri dni, preden so posledice odpravili. Že v minulih letih je bilo podjetje tarča več vdorov. To so vsekakor neprijetne novice za podjetje, ki ima več kot 33...

Slo-Tech - Upravljavci najpopularnejše aplikacije za urejanje gesel (password manager) so sporočili, da so bili tarča uspešnega hekerskega napada. Sicer napadalci niso odnesli gesel uporabnikov, so pa uspeli odtujiti del izvorne kode in nekaj tehničnih informacij o delovanju storitve.

Napad se je zgodil prek nepooblaščenega dostopa do uporabniškega računa enega izmed inženirjev. Omejen je bil na razvojno okolje, zato osebni podatki uporabnikov, vključno z glavnim geslom in shranjenimi gesli, niso bili prizadeti. Zaradi tega uporabnikom ni treba menjati gesel ali kako drugače ukrepati, so dodali.

LastPass ima trenutno 33 milijonov uporabnikov, od tega 100.000 poslovnih. Napad se je zgodil že pred dvema tednoma, informacije o njem pa so v javnost pricurljale minuli konec tedna. Zakaj so napad priznali šele sedaj, niso pojasnili. Prav tako še ni jasno, kako natančno so napadalci pridobili dostop.

To ni prvi vdor v LastPass. Zadnji napad se je zgodil lani.

FOX News - NYPD si je za 10 milijonov ameriških dolarjev na spodnjem Manhattnu opremil laboratorij, v katerem za potrebe pregona poskušajo odklepati zaklenjene Applove pametne telefone. Da ne bi do zaplenjenih naprav kdo poskušal dostopati na daljavo in pri tem mimogrede še pobrisal podatke, je prostor izoliran pred elektromagnetnimi valovanji. Prav tako naj bi tam imeli superračunalnik, sposoben generirati 26 milijonov naključnih gesel na sekundo, robota za ekstrakcijo pomnilniških čipov in vse potrebno za popravilo poškodovanih naprav.

Odklepanje poteka po principu brute force, torej z avtomatiziranim vnosom naključnih gesel, ker pa Applovi varnostni mehanizmi to omejujejo na šest neuspešnih poskusov, nato pa se funkcija začasno zaklene, so omejeni na 360 poskusov na uro oz. 8.640 na dan. Odklep jim običajno uspe po 115 dnevih takega početja, njihova uspešnost pa je približno polovična.

Znano je, da Apple preiskovalcem omogoča dostop do podatkov na oblačnem iCloudu, čeprav so vmes menda...

Slo-Tech - Ko nam kakšno geslo uide v internet, bodisi po lastni neumnosti bodisi zaradi vdora v ponudnika kakšne storitve, se običajno hitro znajde na seznamu znanih gesel, ki jih hekerji uporabljajo za slovarske napade v prihodnosti. Na teh seznamih so pogosta in predvidljiva gesla, denimo 123456 ali password, pa tudi precej manj logični vnosi, kamor sodi ji32k7au4a83.

Have I Been Pwned je spletna stran, ki jo je že pred leti postavil varnostni strokovnjak Troy Hunt, in omogoča preveriti, ali je naše geslo varno. Hunt je sicer priznani varnostni strokovnjak, a kdor se počuti nelagodno ob vpisovanju svojega gesla na kakšno tretjo stran (in ima ob tem prav), lahko svoje geslo sam pretvori v SHA-1 in vnese to vrednosti ali pa si na disk prenese...

Slo-Tech - Spletna stran Have I Been Pwned, ki se ukvarja z beleženjem ukradenih in pobeglih prijavnih podatkov uporabnikov različnih spletnih storitev, je sporočila, da so pridobili bazo s 773 milijoni elektronskih naslovov in 21 milijonov enoličnih gesel. To je največja baza doslej. Kot pojasnjuje ustanovitelj strani Troy Hunt, gre za kombinacijo novih in starih vnosov, ki so se valjali po internetu. Sedaj zbrani v eni datoteki z imenom "Collection #1" in krožijo po forumih in tudi na spletni strani Mega. Takšne zbirke so še posebej pripravne za hekerje, saj ljudje pogosto reciklirajo gesla, zato lahko podatke z ene kompromitirane spletne strani uporabijo še na številnih drugih.

Najnovejša datoteka je največji tovrstni ulov. Vsebuje 1,16 milijarde unikatnih kombinacij elektronski...

Slo-Tech - Raziskovalec Troy Hunt, ki vzdržuje servis Have I been pwned?, je včeraj na svojem blogu objavil, da je odkril datoteko s kompilacijo uporabniških imen in gesel, pridobljenih z vdori v tisoče spletišč širom svetovnega spleta, pa tudi z ugibanjem - kombiniranjem starejših, že prej objavljenih podatkov. Ni znano, koliko je legitimnih in koliko izmišljenih ter koliko so podatki stari, seznam novoodkritih podatkov pa je Hunt z izločanjem že znanih in preverjanjem skrčil na skoraj 3000 spletišč in 80 milijonov uporabniških imen z gesli. Velik del je takih, ki se doslej še niso pojavila, vse v neenkriptirani, plain-text obliki. V seznamu omenjenih spletišč je tudi nekaj slovenskih:

• kgz-kranj.si
• m.agp-pro.si
• racunalnistvo-potocnik.si
• www.joker.si
• www.zavodipf.si

Kot rečeno, dejanska ranljivost prijavnih podatkov ni znana, vseeno pa najbrž ni odveč preveriti, ali je na seznamu kakšno znano spletišče in tam za vsak slučaj zamenjati geslo.

TheNextWeb - Ogromno bazo podatkov z več kot 560 milijoni uporabniških imen in gesel so raziskovalci raziskovalnega centra za kibernetsko varnost Kromtech Security Research Center (KSRC) našli na spletu. V bazi so tudi podatki uporabnikov LinkedIna, Dropboxa in Tumblrja. Pri KSRC so uspeli pridobiti že večino podatkov v bazi, ki so jih povezali s spletno storitvijo Have I Been Pwned. Ta uporabnikom omogoča, da z vnosom naslova elektronske pošte ali uporabniškega imena različnih spletnih platform in rešitev preverijo, ali so v bazi tudi njihovi podatki.

Kdo je ustvaril bazo še ni jasno. Raziskovalci KSRC menijo, da so vir podatkov mnogi hekerski napadi, ki so se zgodili v zadnjih letih. Vendar avtor baze ni bil neposredno povezan z...

Slo-Tech - Tumblr je šele 12. maja letos sporočil, da so neznani napadalci leta 2013 vdrli v njihov sistem in pridobili dostop do nekaterih uporabniških podatkov. Danes pa je postalo znano, da je bil napad precej obsežnejši, kot je sprva kazalo. Napadalci so odnesli elektronske naslove in šifrirana gesla vsaj 65 milijonov uporabnikov, kaže analiza Have I Been Pwned. Toda za zdaj kaže, da je imel Tumblr gesla ustrezno shranjena, zato si napadalci z njimi ne morejo nič pomagati.

Paket elektronskih naslovov in gesel, ki so v obliki zgoščene vrednosti SHA1 in imajo dodan naključni sestavni del (salted hash), že kroži po internetnem podzemlju, a ga prav zaradi ustreznega zavarovanja gesel nepridipravi ne morejo prodati za več kot...

Forbes - Pet mesecev po februarskem napadu na nemško stran Gamigo so na splet priromali uplenjeni podatki. Neznan napadalec z vzdevkom 8in4ry_Munch3r je konec februarja uspešno kompromitiral strežnike tega nemškega založnika masivno-večigralsko spletnih iger domišljijskih vlog (MMORPG), zaradi česar so v začetku marca svojim strankam poslali obvestilo, naj zamenjajo svoja gesla na njihovi strani in drugod, če so slučajno uporabljali ista. Zgodba je počasi potihnila, saj se nekaj mesecev ni zgodilo nič niti ni kazalo, da bi bili zbrani podatki zlorabljeni.

V začetku julija pa so hekerji pokazali sadove svojega dela, piše Forbes. Na forumu InsidePro so objavili pol gigabajta težko zbirko več kot...