»

Na internet pobegnila dva milijona oseb na domnevnem protiterorističnem seznamu

Slo-Tech - Na internetu se je nezaščitena znašla baza dveh milijonov oseb, ki po oceni raziskovalca, ki jo je opazil, predstavlja seznam ljudi, ki jim je prepovedano letenje (no-fly list) ali so kako drugače zanimivi za varnostne službe po svetu. Bazo je julija letos odkril Bob Diachenko na strežnikih Elasticsearch, kjer ni bila zaščitena. Z interneta je izginila tri tedne po prijavi na Službo za domovinsko varnost (DHS) v ZDA.

V bazi je bilo 1,9 milijona vnosov, ki so vsebovali polje, kot so TSC_id (TSC je Terrorist Screening Center), watchlist_id, no_fly_indicator, country_of_issuance, nomination_type ipd. Vse to kaže, da gre verjetno za seznam oseb, ki so ga izdelale varnostne agencije. Terrorist Screening Database, ki obstaja od 11. septembra 2001 (napadi na WTC), je leta 2016 vsebovala okrog 1,8 milijona oseb, torej je velikostni razred ustrezen.

Baza je bila odkrita 19. julija letos na strežniku, ki je imel bahrajnski IP-naslov. Po prijavi na DHS, ki jo je Diachenko izvedel še isti...

3 komentarji

Na Tajskem ušla baza s prometnimi podatki uporabnikov mobilnega interneta

Slo-Tech - Po navadi pišemo o pobeglih bazah, ki vsebujejo osebne podatke, to pot pa je na Tajskem na internet pobegnila še precej bolj zanimiva baza. Nekaj dni je bilo povsem brez zaščite možno preveriti, katere spletne strani so obiskovali uporabniki tajskega mobilnega operaterja AIS (Advanced Info Service). Baza je merila 4,7 TB in je vsebovala 8,3 milijarde zapisov.

Zapisi so bili vnosi v dnevniško datoteko, kjer so se beležile poizvedbe DNS (DNS queries). Zajemali so obdobje od 30. aprila zvečer do 7. maja zjutraj. Nihče ne ve, zakaj se je beležilo to obdobje in zakaj se je kasneje beleženje nehalo. Baza je bila na internetu dostopna še dva tedna, šele po posredovanju ThaiCERT-a pa je bila odstranjena. Raziskovalec Justin Paine, ki jo je našel med brskanjem po BinaryEdge in Shodanu, je en teden zaman skušal vzpostaviti stik z AIS, a mu ni uspelo. Šele ko je obvestil ThaiCERT, se je AIS zganil. Baza je bila tako dostopna od 1. maja do 22. maja.

Vsebovala je 3,4 milijarde poizvedb DNS...

1 komentar

Whisper na internetu pustil odprto bazo skoraj milijarde skrivnosti

Washington Post - Pred osmimi leti spočeta aplikacija Whisper je bila svoj čas izjemno priljubljena, saj je omogoča "deljenje" skrivnosti na internetu. Pod sloganom Najvarnejše mesto na internetu so uporabniki lahko na fotografijo priobčili besedilo, ki je odražalo njihovo skrivnost, potem pa to delili z drugimi uporabniki. Objave so bile anonimne, je pa lahko uporabnik prostovoljno delil svojo približno lokacijo. The Guardian je pred petimi leti poročal, da v resnici Whisper ni tako anonimen, kot se je želel prikazati, a je kasneje večino navedb preklical. A kot razkriva Washington Post, je situacija še slabša. Za skrivnosti ni vedel le Whisper, temveč so nezaščitene letale na internetu.

Na javnem delu interneta je ležala nezaščitena baza, po kateri je bilo možno prosto in brez gesla brskati. V njej je bilo tudi 1,3 milijona zapisov, ki so pripadali otrokom (mlajšim od 15 let). Skupno je v bazi več kot 900 milijonov vnosov, ki segajo od začetka delovanja aplikacije leta 2012 do danes. Matthew...

1 komentar

Open Whisper Systems razkril podatke iz tajne sodne odredbe

Podatki, ki jih ima OWS o uporabnikih

vir: Ars Technica
Ars Technica - Signal, ki ga razvija podjetje Open Whisper Systems velja za eno najbolj uporabnih aplikacij za varno komuniciranje preko mobilnih telefonov. Na voljo je tako za Android, kot tudi iOS (in trenutno še kot namizna (Google Chrome) aplikacija), omogoča pa močno šifriranje sporočil in pogovorov.

Podjetje Open Whisper Systems oziroma njegovi ustanovitelji so namreč pred časom razvili šifrirni protokol Signal, ki ga poleg aplikacije Signal uporabljajo tudi nekatere druge aplikacije za varno komunikacijo, med drugim tudi WhatsApp, Alo, Facebook Messenger in (deloma) Viber.

Čeprav navedene aplikacije uporabljajo isti kriptografski protokol, Signal velja za najbolj varno in najbolj enostavno aplikacijo, ki hrani kar najmanj podatkov o svojih uporabnikih.

Ker aplikacija uporablja šifriranje med končnimi točkami (tim. end-to-end šifriranje) in ker beleži le minimalno...

17 komentarjev

Guardian: Whisper ni sledil uporabnikom

Guardian - Oktobra lani je Guardian objavil krajšo serijo člankov, v katerih so razkrivali domnevne kršitve zasebnosti aplikacije Whisper. Gre za aplikacijo za mobilne telefone, ki omogočajo anonimno objavljanje šepetov - fotografij z dodanim tekstom. Guardian je sedaj večino navedb umaknil in objavil daljše opravičilo.

Poudarili so, da je Whisper spremembe politike zasebnosti začel pripravljati že...

1 komentar

WhatsApp sklenil partnerstvo z WhisperSystems za šifriranje sporočil

Slo-Tech - WhatsApp, ki ga poznamo po priljubljeni aplikaciji za pošiljanje sporočil po mobilnih telefonih prek podatkovne povezave, sicer pa ga je letos kupil Facebook, je napovedal partnerstvo z WhisperSystems. Sporočila bodo šifrirana od pošiljatelja do prejemnika, tako da jih ne bo mogel prestreči in prebrati nihče, niti WhatsApp sam. To pomeni, da tudi organi pregona ne bodo mogli dobiti sporočil, ker WhatsApp šifrirnega ključa ne bo imel. To pomeni, da 600 milijonom uporabnikov WhatsAppa ne bo treba storiti ničesar, pa se bodo pomenkovali šifrirano.

WhisperSystems je partner pri projektu, ki je razvil protokol TextSecure, katerega bo WhatsApp uporabljal za dostavo sporočil. Odjemalec za Android že podpira šifrirano izmenjavo besedilnih sporočil, medtem ko...

9 komentarjev