Slo-Tech - Na Irskem so Meti izrekli 91 milijonov evrov kazni, ker je podjetje v preteklosti gesla uporabnikov shranjevalo na način, ki ne ustreza dobrim varnostnim praksam. Da so gesla več kot 600 milijonov uporabnikov shranjevali v besedilni obliki (plaintext), so razkrili leta 2019. Dostop do podatkovne baze je imelo več kot 2000 zaposlenih v podjetju, ki so ustvarili več kot devet milijonov vpogledov v bazo.

V Meti so tedaj zagotovili, da niso odkrili nobenih nepooblaščenih dostopov do baze in da so za njen obstoj ugotovili pri rednem varnostnem pregledu. Četudi to podjetju verjamemo, je težko razumeti, kako so lahko storili tako veliko napako v implementaciji. Da se gesla ne smejo shranjevati v besedilni obliki, temveč v zgoščeni obliki (hashed) z dodano entropijo v obliki dodatnih znakov pred zgoščevanjem (salt), je v industriji znano že vsaj tri desetletja. Prav tako so znane tudi dovolj varne zgoščevalne funkcije - predvsem morajo biti dovolj počasne, denimo Bcrypt, PBKDF2,...

Slo-Tech - Na internetu se je pojavila datoteka rockyou2024.txt, ki vsebuje skoraj deset milijard edinstvenih gesel, ki jih ljudje dejansko uporabljajo. Datoteko je 4. julija na nekem hekerskem forumu objavil uporabnik z vzdevkom ObamaCare, v njej pa je v besedilni obliki (plain-text) zapisanih natančno 9.948.575.739 gesel.

Avtentičnost datoteke so preverili na Cybernews in ugotovili, da gre za zbirko gesel iz različnih varnostnih incidentov. Nekaj je novih, nekaj je starih, vsa pa so bila vsaj nekoč aktivna. To je v spremljajočem besedilu k objavi priznal tudi uporabnik, ki je gesla priobčil.

Spomnimo, da je pred tremi leti na internet pricurljala datoteka rockyou2021.txt, ki je vsebovala 8,4 milijarde gesel v enaki obliki. V naslednjih treh letih so torej hekerji dodali še poldrugo milijardo gesel. Skupno gre za gesla, ki so na internet pritavala v zadnjih dveh letih v več kot 4000 varnostnih incidentih.

Ključna funkcija tovrstnih seznamov je pomoč pri razbijanju gesel s surovo silo...

Slo-Tech - Na Jamajki so onemogočili dostop do spletne strani in pripadajoče aplikacije JamCOVID, ki je namenjena omejevanju epidemije covida. V varnostnem incidentu, ki je že tretji zapovrstjo, so ušli podatki več kot pol milijona obiskovalcev tega otoka, ki jim je bila odrejena karantena. Stran se je kasneje vrnila.

Aplikacija JamCOVID se uporablja za lažjo obravnavo potnikov, ki pridejo na Jamajko in jim ministrstvo za zdravje odredi karanteno. V bazi so imena vseh potnikov in naslov, na katerem morajo preživeti 14-dnevno karanteno. Varnostni raziskovalci pa so ugotovili, da so bili ti podatki dostopni kar iz brskalnika, saj baza ni bila zaščitena z geslom, temveč je bila odprta na internet. Jamajška vlada odgovarja, da se je nepooblaščen dostop sicer zgodil, a ni šlo za množično odtekanje podatkov.

To ni prvi varnostni incident s to aplikacijo. Minuli teden je bilo tudi na Jamajki na internetu dostopnih več podatkov o 70.000 negativnih rezultatih testov na covid in več kot 425.000...

Slo-Tech - Pred slabim mesecem dni smo poročali o incidentu, v katerem se je izkazalo, da je Facebook hranil gesla uporabnikov v tekstovni obliki, kar že samo po sebi predstavlja veliko varnostno šlamparijo. Podjetje je tedaj ob nekaj sto milijonih uporabnikov Facebooka poročalo tudi o nekaj deset tisočih uporabnikih Instagrama. Zdaj se je izkazalo, da gre tudi v tem primeru za več milijonov uporabnikov.

Drugi del najnovejšega zasebnostnega kolapsa v podjetju pa predstavlja razkritje, da je družba hranila poštne stike poldrugega milijona svojih uporabnikov, kajpak, brez da bi za kaj takega imela njihovo soglasje. Med majem 2016 in letošnjim marcem so namreč uporabnike pozivali k preverjanju poštnih naslovov in to...

Slo-Tech - Facebook se je zapletel v nov varnostni incident, ki zajema zasebnost njegovih uporabnikov. Brian Krebs piše, da je od leta 2012 do nedavna Facebook gesla nekaterih uporabnikov hranil kar v besedilni obliki. To pomeni, da so bila gesla zapisana v podatkovni bazi in vidna vsakomur, ki je imel dostop. Facebook je navedbe potrdil, a dodal, da niso zabeležili nepooblaščenih dostopov ali zlorab.

Viri poročajo, da gre za med 200 milijoni in 600 milijoni gesel uporabnikov Facebooka, ki so bila shranjena v besedilni obliki in indeksirana, tako da je imelo do njih dostop več kot 20.000 Facebookovih zaposlenih. Facebook naj bi še vedno poizkušal ugotoviti, koliko gesel je dejansko izpostavljenih in od kdaj se napaka vleče...

Slo-Tech - Na spletu se je znašel paket ukradenih osebnih podatkov, ki jih je neznani heker pridobil z vdorom v rusko družabno omrežje VKontakte. Več kot 100 milijonov uporabniških podatkov ponuja heker, ki je odgovoren tudi za vdore v MySpace, Tumblr, LinkedIn in Fling. Za ruski komplet podatkov zahteva en bitcoin, kar je okrog 500 evrov, vseh ukradenih podatkov pa naj bi bilo 170 milijonov.

Vdor v VKontakte (ki se danes uradno imenujejo VK.com) je pomemben zaradi več faktorjev. To je največje rusko družabno omrežje, ki je zelo popularno tudi v Vzhodni Evropi in Centralni Aziji, in ima v Rusiji več uporabnikov kot Facebook, saj je po Alexi to tam najbolj obiskana stran. Skupaj z ostalimi...

Ars Technica - Vdor v Ashley Madison je že tako ali tako imel precej resne posledice za vse vpletene, sedaj pa se seznamu njihovih težav pridružujejo še razkrita gesla. Ker so upravljavci strani shranjevali zgoščene vrednosti gesel (hash) po algoritmu bcrypt, smo spočetka napak predpostavili, da jih ne bo mogoče zlomiti. A pisci strani so zagrešili dve ogromni napaki, ki sta v nekaj tednih omogočili razbitje 90 odstotkov od 15 milijonov prizadetih gesel.

V pobeglem arhivu je bila namreč tudi datoteka, ki je vsebovala spremenljivko z imenom $loginkey za 15 milijonov uporabnikov. Izkazalo se je, da gre za zgoščeno vrednost iz uporabniškega imena in...

Slo-Tech - Ameriški obveščevalci so za The New York Times neuradno potrdili, da je bila Severna Koreja "bistveno udeležena" v napad na Sony Pictures, za katerega je odgovornost prevzela neznana skupina z imenom Guardians of Peace (GOP). V Beli hiši naj bi resno razpravljali o vprašanju, ali Severno Korejo javno obtožiti vdora ali ne. Od lani tovrstno žuganje Američanom ni tuje, saj so na primer Kitajsko že javno obtožili vdorov in njihove vojake postavili pred sodišče (kamor seveda ne bodo nikoli šli).

V Beli hiši se želijo izogniti neposrednem soočenju s Severno Korejo, ki bi državi lahko dalo povod za resnično sovražnost do ZDA in povračilne ukrepe. Spet pa se kot glavni problem izpostavlja prihajajoči film The Interview, v katerem se...

Krebs On Security - Na internetu se je znašla datoteka z zbranimi uporabniškimi imeni, elektronskimi naslovi, rojstni datumi in gesla, ki pripada spletni strani za internetne zmenke Cupid Media. Napad se je zgodil že januarja letos, a o njem niso obvestili medijev. Dodatno težavo povzroča dejstvo, da so bila gesla shranjena v nezaščiteni obliki (plain-text).

Datoteko z 42 milijoni vnosov so našli na istih strežnikih, kamor se hekerji priobčili tudi pridobljene podatke v napadu na Adobe. Strokovnjak za varnost Brian Krebs, ki je v začetku novembra stopil v stik s prizadeto avstralsko stranjo, da bi izvedel...

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali,...