TechCrunch - Turški varnostni raziskovalec Ibrahim Balic je s pomočjo hrošča v Twitterjevi aplikaciji za Android uspešno povezal 17 milijonov telefonskih številk s pripadajočimi uporabniki. To mu je omogočila napaka v funkcionalnosti za nalaganje stikov, ki po vpisu telefonske številke vrne podatke o uporabniku. Ker aplikacija ne omogoča zaporednega nalaganja številk, je za svoj podvig uporabil več sto lažnih uporabniških računov.

Balic je tako naložil več kot dve milijardi naključno generiranih telefonskih številk in v dveh mesecih (20. decembra je Twitter prekinil njegovo početje) uspel pridobiti podatke o milijonih posameznikih iz več držav. Vzorec podatkov je posredoval tudi novinarjem, ki so jih preverili s pomočjo funkcije za ponastavitev Twitterjevega gesla in spotoma na ta način uspeli identificirati tudi nekega visokega izraelskega politika.

Balic je z odkritjem ravnal precej neeetično, o svoji najdbi je obvestil nekaj neposredno prizadetih uporabnikov, ne pa tudi Twitterja samega....

Slo-Tech - Iz Twitterja so sporočili, da so telefonske številke in elektronske naslove uporabnikov, ki so jih ti zaupali za postopke preverjanja pristnosti, nekaj časa po pomoti uporabljali tudi v oglaševalske namene. Napako naj bi prejšnji mesec že odpravili.

Podrobneje: šlo je za primerjanje seznamov številk in naslovov uporabnikov s seznami, ki jih imajo oglaševalci v Twitterjevih sistemih Tailored Audiences in Partner Audiences. Kako je do tega lahko prišlo in kdo točneje je za to odgovoren, v firmi niso želeli pojasniti; prav tako ne, koliko uporabnikov je bilo oškodovanih in kako dolgo se je ta nepravilnost vlekla. Pravijo pa, da so luknjo 17. septembra zakrpali.

To je sicer le še eden v vrsti takšnih pripetljajev, saj so lani pri podobni praksi ujeli tudi Facebook (plačljiv vir). Toda najnovejša nerodnost še posebej izpostavlja nerazumno Twitterjevo prakso obveznega zahtevka po uporabnikovi telefonski številki v primeru rabe dvostopenjske avtentikacije: navesti jo je treba tudi, če...

Slo-Tech - Facebook se je tudi uradno poravnal z ameriško Zvezno komisijo za trgovino (FTC), da bo plačal pet milijard dolarjev globe zaradi kršenja pravice uporabnikov do zasebnosti. Poravnavo so najavili že pred dvema tednoma, saj pa je tudi uradno potrjena. Poleg višine so znane tudi ostale podrobnosti. Med drugim to, da je FTC glasoval po strankarski liniji, torej 3-2, ali naj poravnavo sprejme. Demokratska člana sta želela Facebook tožiti, medtem ko so republikanci potrdili poravnavo.

Glavni problem je, da je Facebook kršil zaveze iz leta 2012 glede zasebnosti. Sodu je dno izbila afera Cambridge Analytica, ko so aplikacije na Facebooku dostopale tudi do podatkov o prijateljih uporabnikov (ki se tako sploh niso imeli možnosti zavarovati), podatke pa so potem prodajali tretjim podjetjem. FTC...

Slo-Tech - Podjetje Abine, ki ponuja priljubljeni upravljalnik gesel Blur in storitev za zaščito zasebnosti na spletu DeleteMe, je potrdilo, da je bilo žrtev hekerskega vdora. Zanj so izvedeli 13. decembra, ta teden pa se je zaključila interna preiskava incidenta, so sporočili. Hekerji so pridobili dostop do datoteke, ki je vsebovala nekatere podatke o uporabnikih Blura izpred 6. januarja 2018. Prizadetih je 2,4 milijona uporabnikov.

Konkretno, odtujeni so bili naslednji podatki uporabnikov, ki so se registrirali pred navedenim datumom: vsi elektronski naslovi, nekaj lastnih imen, nekaj namigov za geslo (le za uporabnike starejše storitve MaskMe), IP-ja zadnjega in predzadnjega dostopa v vsak uporabniški račun, vsa šifrirana gesla za uporabo Blura. Najbolj problematično je prav slednje, a v podjetju...

reddit - Čudne reči se dogajajo s strežniki priljubljene programske opreme za oddaljen nadzor računalnikov TeamViewer, saj so se spletni forumi nenadoma napolnili s poročili jeznih uporabnikov, ki so jim napadalci vdrli v računalnike prek TeamViewerja in olajšali bančne račune. TeamViewer je sporočil zgolj, da so imeli nekaj tehničnih težav z nedosegljivostjo zaradi napada DDoS, ki pa da so jih doslej odpravili. O vdoru pa niti besedice, saj zatrjujejo, da so si za morebitne nepooblaščene dostope krivi uporabniki sami, če so uporabljali lahka ali kod drugod že izkoriščena gesla.

Toda tudi uporabniki, ki so imeli nastavljeno dvostopenjsko preverjanje pristnosti in unikatna generirana gesla, so bili med žrtvami napada. Zgodbe uporabnikov so si zelo podobne, in sicer so...

Yahoo News - Yahoo je na konferenci SXSW v Austinu v Teksasu napovedal, da bodo do konca leta uvedli šifriranje elektronske pošte od pošiljatelja do prejemnika (end-to-end), s čimer očitno želijo NSA in podobnim službam vsaj otežiti delo, kar so najavljali že lani. Do izteka leta bodo storitev razširili na vse uporabnike, že sedaj pa jo lahko preizkusimo z namestitvijo vtičnika za brskalnik. Yahoo je seveda kodo prosto odprl; dostopna je na Githubu, obsežno pa so sodelovali tudi z Googlom.

Vtičnik omogoča šifriranje, dešifriranje, podpisovanje in preverjanje pristnosti sporočil prek tehnologije OpenPGP, ki je že uveljavljen standard. Obenem sodi OpenPGP med tehnologije, ki tudi véliki NSA povzročajo obilico težav pri...

Europa.eu - Evropski bančni organ (EBA) je minuli konec tedna pripravil nove smernice na področju varnosti internetnih plačil, ki bodo poskrbele za višjo zaščito tako kupcev kakor prodajalcev. Razlog za novosti je porast števila prevar pri poslih, ki se sklenejo prek interneta. Pričakujejo, da jih bo EU implementirala do 1. avgusta prihodnjega leta. Glavna novost je obvezna stopenjsko potrjevanje pristnosti (two-factor authentication), brez katerega so sistemi bistveno ranljivejši.

EBA je neodvisen organ EU, ki poleg ESMA (Evropski sistem za vrednostne papirje in trge), EIOPA (Evropski organ za zavarovanja in poklicne pokojnine) in ESRB (Evropsko odbor za sistemska tveganja) sodi v okvir Evropskega sistema...