»

Twitterjev hrošč omogočal pridobivanje osebnih podatkov prek telefonskih številk

vir: Pxfuel

vir: TechCrunch
TechCrunch - Turški varnostni raziskovalec Ibrahim Balic je s pomočjo hrošča v Twitterjevi aplikaciji za Android uspešno povezal 17 milijonov telefonskih številk s pripadajočimi uporabniki. To mu je omogočila napaka v funkcionalnosti za nalaganje stikov, ki po vpisu telefonske številke vrne podatke o uporabniku. Ker aplikacija ne omogoča zaporednega nalaganja številk, je za svoj podvig uporabil več sto lažnih uporabniških računov.

Balic je tako naložil več kot dve milijardi naključno generiranih telefonskih številk in v dveh mesecih (20. decembra je Twitter prekinil njegovo početje) uspel pridobiti podatke o milijonih posameznikih iz več držav. Vzorec podatkov je posredoval tudi novinarjem, ki so jih preverili s pomočjo funkcije za ponastavitev Twitterjevega gesla in spotoma na ta način uspeli identificirati tudi nekega visokega izraelskega politika.

Balic je z odkritjem ravnal precej neeetično, o svoji najdbi je obvestil nekaj neposredno prizadetih uporabnikov, ne pa tudi Twitterja samega....

5 komentarjev

Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanje

Slo-Tech - Iz Twitterja so sporočili, da so telefonske številke in elektronske naslove uporabnikov, ki so jih ti zaupali za postopke preverjanja pristnosti, nekaj časa po pomoti uporabljali tudi v oglaševalske namene. Napako naj bi prejšnji mesec že odpravili.

Podrobneje: šlo je za primerjanje seznamov številk in naslovov uporabnikov s seznami, ki jih imajo oglaševalci v Twitterjevih sistemih Tailored Audiences in Partner Audiences. Kako je do tega lahko prišlo in kdo točneje je za to odgovoren, v firmi niso želeli pojasniti; prav tako ne, koliko uporabnikov je bilo oškodovanih in kako dolgo se je ta nepravilnost vlekla. Pravijo pa, da so luknjo 17. septembra zakrpali.

To je sicer le še eden v vrsti takšnih pripetljajev, saj so lani pri podobni praksi ujeli tudi Facebook (plačljiv vir). Toda najnovejša nerodnost še posebej izpostavlja nerazumno Twitterjevo prakso obveznega zahtevka po uporabnikovi telefonski številki v primeru rabe dvostopenjske avtentikacije: navesti jo je treba tudi, če...

37 komentarjev

Facebooku pet milijard dolarjev globe in 20 let nadzora

Slo-Tech - Facebook se je tudi uradno poravnal z ameriško Zvezno komisijo za trgovino (FTC), da bo plačal pet milijard dolarjev globe zaradi kršenja pravice uporabnikov do zasebnosti. Poravnavo so najavili že pred dvema tednoma, saj pa je tudi uradno potrjena. Poleg višine so znane tudi ostale podrobnosti. Med drugim to, da je FTC glasoval po strankarski liniji, torej 3-2, ali naj poravnavo sprejme. Demokratska člana sta želela Facebook tožiti, medtem ko so republikanci potrdili poravnavo.

Glavni problem je, da je Facebook kršil zaveze iz leta 2012 glede zasebnosti. Sodu je dno izbila afera Cambridge Analytica, ko so aplikacije na Facebooku dostopale tudi do podatkov o prijateljih uporabnikov (ki se tako sploh niso imeli možnosti zavarovati), podatke pa so potem prodajali tretjim podjetjem. FTC...

34 komentarjev

Ukradli šifrirana gesla 2,4 milijona uporabnikov Blura

Slo-Tech - Podjetje Abine, ki ponuja priljubljeni upravljalnik gesel Blur in storitev za zaščito zasebnosti na spletu DeleteMe, je potrdilo, da je bilo žrtev hekerskega vdora. Zanj so izvedeli 13. decembra, ta teden pa se je zaključila interna preiskava incidenta, so sporočili. Hekerji so pridobili dostop do datoteke, ki je vsebovala nekatere podatke o uporabnikih Blura izpred 6. januarja 2018. Prizadetih je 2,4 milijona uporabnikov.

Konkretno, odtujeni so bili naslednji podatki uporabnikov, ki so se registrirali pred navedenim datumom: vsi elektronski naslovi, nekaj lastnih imen, nekaj namigov za geslo (le za uporabnike starejše storitve MaskMe), IP-ja zadnjega in predzadnjega dostopa v vsak uporabniški račun, vsa šifrirana gesla za uporabo Blura. Najbolj problematično je prav slednje, a v podjetju...

0 komentarjev

TeamViewer nedosegljiv, vdor kljub pričevanjem uporabnikov zanikajo

reddit - Čudne reči se dogajajo s strežniki priljubljene programske opreme za oddaljen nadzor računalnikov TeamViewer, saj so se spletni forumi nenadoma napolnili s poročili jeznih uporabnikov, ki so jim napadalci vdrli v računalnike prek TeamViewerja in olajšali bančne račune. TeamViewer je sporočil zgolj, da so imeli nekaj tehničnih težav z nedosegljivostjo zaradi napada DDoS, ki pa da so jih doslej odpravili. O vdoru pa niti besedice, saj zatrjujejo, da so si za morebitne nepooblaščene dostope krivi uporabniki sami, če so uporabljali lahka ali kod drugod že izkoriščena gesla.

Toda tudi uporabniki, ki so imeli nastavljeno dvostopenjsko preverjanje pristnosti in unikatna generirana gesla, so bili med žrtvami napada. Zgodbe uporabnikov so si zelo podobne, in sicer so...

53 komentarjev

Yahoo uvaja šifriranje e-pošte in ukinja gesla

Yahoo News - Yahoo je na konferenci SXSW v Austinu v Teksasu napovedal, da bodo do konca leta uvedli šifriranje elektronske pošte od pošiljatelja do prejemnika (end-to-end), s čimer očitno želijo NSA in podobnim službam vsaj otežiti delo, kar so najavljali že lani. Do izteka leta bodo storitev razširili na vse uporabnike, že sedaj pa jo lahko preizkusimo z namestitvijo vtičnika za brskalnik. Yahoo je seveda kodo prosto odprl; dostopna je na Githubu, obsežno pa so sodelovali tudi z Googlom.

Vtičnik omogoča šifriranje, dešifriranje, podpisovanje in preverjanje pristnosti sporočil prek tehnologije OpenPGP, ki je že uveljavljen standard. Obenem sodi OpenPGP med tehnologije, ki tudi véliki NSA povzročajo obilico težav pri...

28 komentarjev

EBA za višjo varnost pri internetnih plačilih v Evropi

Europa.eu - Evropski bančni organ (EBA) je minuli konec tedna pripravil nove smernice na področju varnosti internetnih plačil, ki bodo poskrbele za višjo zaščito tako kupcev kakor prodajalcev. Razlog za novosti je porast števila prevar pri poslih, ki se sklenejo prek interneta. Pričakujejo, da jih bo EU implementirala do 1. avgusta prihodnjega leta. Glavna novost je obvezna stopenjsko potrjevanje pristnosti (two-factor authentication), brez katerega so sistemi bistveno ranljivejši.

EBA je neodvisen organ EU, ki poleg ESMA (Evropski sistem za vrednostne papirje in trge), EIOPA (Evropski organ za zavarovanja in poklicne pokojnine) in ESRB (Evropsko odbor za sistemska tveganja) sodi v okvir Evropskega sistema...

5 komentarjev