Slo-Tech - Microsoftovi odjemalci za elektronsko pošto imajo resnega hrošča, proti katerem se običajni uporabniki ne morejo zaščititi in ki napadalcem omogoča nabiranje prijavnih podatkov (uporabniških imen in gesel). Ranljivost tiči v protokolu autodiscover, ki ga uporabljata Exchange in Outlook za preprosto konfiguracijo odjemalcev. Odkrili so jo v Guardicoru, Microsoft pa popravka še ni izdal.

Autodiscover ima koristen namen, saj od uporabnikov ni realistično pričakovati, da si bodo zapomnili vse podrobnosti za nastavitev elektronskega predala. Uporabniško ime in geslo je nujno poznati, medtem ko imena strežnikov, protokole, vrata in podobno lahko skladiščimo na javno dostopnih strežnikih. V praksi autodiscover deluje tako, da pri nastavitvi odjemalca vpišemo naslov in geslo, denimo ime@oddelek.podjetje.com. Outlook bo potem pogledal, ali obstaja strežnik autodiscover.oddelek.podjetje.com. Če ga ne bo našel, bo povprašal še na oddelek.podjetje.com in podjetje.com. In če niti od teh...

Rolling Stone - Porast dela od doma je med najpriljubljenejše izstrelil aplikacijo Zoom, za katero je tako obširno "beta testiranje" pokazalo kopico varnostnih lukenj, ki jih prej ni nihče opazil. Zoom uporabljajo tudi v nekaterih šolah, kjer so zaradi pomanjkljivo nastavljene zaščite sob že imeli incidente, ko so se pouku pridružili goli nepovabljeni gostje. Spet v drugih primerih je bila golota med udeleženci pogovorov sporazumna, a v vseh primerih to ni v skladu s politiko uporabe, ki jo sprejmejo uporabniki. Zoom je bil zato prisiljen poiskati robustno rešitev.

To je prineslo strojno učenje, ki skupaj z drugimi tehnologijami, ki jih Zoom ne razkriva, sproti zaznava kršitve pogojev uporabe. Prav tako vabijo uporabnike k prijavi spornih računov, s čimer bi verjetno lahko še dodatno urili umetno pamet za prepoznavanje neprimernih prizorov. Ob tem Zoom zagotavlja, da ne nadzorujejo sestankov ali njihove vsebine, kar najbrž pomeni, da tega ne dela človek. Vprašanje pa ostaja, kako uspešen bo Zoom...

Slo-Tech - Množičen prehod na delo in učenje od doma, kar terja uporabo programov za videokonference, vsak dan razkrije kakšno ranljivost v tej programski opremi. V tem množičnem testiranju prednjači Zoom, v katerem so po včerajšnjem razkritju, da šifriranje v resnici ni tako trdno, kot bi verjeli iz oglasov, sedaj našli še dve precej bolj praktični luknji.

Zaradi težave v nastavitvah Company Directory se lahko zgodi, da osebni podatki uporabnikov Zooma (elektronski naslov in fotografija) pridejo v roke nepooblaščenim osebam. Omenjena funkcija omogoča enostavno iskanje ljudi, ki se prijavo z elektronskim naslovom, ki pripada isti domeni, če je ta od nekega podjetja. Toda nekaterim uporabnikom se je to zgodilo, tudi ko so se prijavili z domačimi elektronskimi naslovi, kjer se običajno uporablja domena ponudnika dostopa do interneta ali ponudnika elektronskega predala. Nenadoma so se znašli v skupinah več tisoč uporabnikov, kjer so vsi videli osebne podatke drug drugega.

Napaka je na nek...

Slo-Tech - Microsoft je potrdil, da so hekerji uspeli pridobiti dostop do elektronskih predalov nekaterih uporabnikov spletne pošte Hotmail oziroma MSN. Za zdaj ni znano, koliko uporabnikov je bilo prizadetih. Microsoft je sprva trdil, da so napadalci lahko prebirali le zadeve elektronskih sporočil, kasneje pa je priznal, da je bil v vsaj nekaj primerih (šest odstotkov prizadetih uporabnikov) možen dostop do celotne vsebine elektronskih sporočil.

Za zdaj kaže, da so hekerji nekako pridobili prijavne podatke enega izmed inženirjev, ki je imel dostop do elektronske pošte uporabnikov. Microsoft je dejal, da so že onemogočili omenjeni račun in blokirali dostop napadalcev. Napad je po trditvah hekerjev trajal šest mesecev, Microsoft pa trdi, da je bil nepooblaščen dostop...

Slo-Tech - Gmail ima že dobrih deset let ne preveč znano, a nikakor skrito funkcijo zanemarjanja pik. V elektronskih naslovih sicer lahko imamo piko, a jo Gmail ignorira. V resnici jih je lahko več, a bodo vsa sporočila letela na isti naslov. Tako so ime.priimek@gmail.com, imepriimek@gmail.com ali ime.pri.imek@gmail.com vse isti aliasi. To možnost številni uporabniki s pridom uporabljajo pri registraciji na preizkusne brezplačne strani (denimo v časnike, ki mesečno ponujajo omejeno kvoto brezplačnih člankov), saj lahko z istim elektronskim predalom registrirajo navidezno različne elektronske naslove.

V zadnjem času pa so omenjeno nestandardno funkcijo, ki je večina ostalih ponudnikov nima, začeli izrabljati prevaranti. Eden izmed načinov zlorabe je registracija na Netflixu. Če ugotovijo, da ima ime.priimek@gmail.com registriran račun pri Netflixu, registrirajo svoj račun...

Wired News - Neznani napadalci naj bi pridobili dostop do zasebne elektronske pošte direktorja CIE, piše New York Post. John Brennan je uporabljal elektronski predal pri AOL-u, na katerega si je občasno poslal tudi kakšne službene dokumente. Trije mladeniči so pridobili dostop do tega računa z uporabo socialnih veščin. Eden izmed njih, ki po lastnih besedah še ni dopolnil niti 20 let, je za Wired razkril, kako je potekal vdor.

Potrebovali so le Brennanovo telefonsko številko, za katero so ugotovili, da gostuje pri operaterju Verizon. Od tod naprej je šlo kot po maslu. Poklicali so tehnično službo Verizona in se predstavili kot podpora uporabnikom ter navedli izmišljeno številko zaposlenega, da so...

iTNews - Na spletu še vedno odmeva vdor v podatkovne baze ponudnika elektronske pošte za podjetja (ESP) Epsilon, v katerem je bilo po zadnjih podatkih prizadetih že 57 podjetij. Čeprav zagotavljajo, da so bili odtujeni samo elektronski naslov in nobeni drugi osebni podatki, strokovnjaki že svarijo pred porastom ciljanega ribarjenja in drugih poizkusov prevar, ki jih bodo zlikovci s pridobljenimi naslovi poizkušali izvesti. Na dan pa prihajajo informacije, da bil identični napad že uporabljen pred pol leta in da so bila podjetja, kakršno je Epsilon, posvarjena.

Epsilon partner ReturnPath je že lanskega...

Guardian - Odvetniška pisarna ACS:Law v Veliki Britaniji je zaradi svojega delovanja pri pregonu spletnih piratov ena izmed najbolj kontroverznih na svetu. Za svoje stranke so namreč uporabnikom interneta poslali na tisoče elektronskih sporočil, v katerih so jo pozvali k prenehanju kršenja avtorskih pravic s prenašanjem zaščitenih vsebin z interneta. Hkrati so jim zagrozili, da jih bodo tožili, če ne plačajo 500 funtov in se na ta način poravnajo.

Sporno je bilo, da sta dve tretjini tega zneska pripadli ACS:Law, ostanek pa je šel k imetnikom avtorskih pravic. Nekateri ponudniki dostopa do interneta v Veliki Britaniji zato pisarni ACS:Law niso želeli posredovati podatkov o svojih uporabnikih, glasni pa so bili tudi očitki, da jih ACS:Law sploh ni nameraval...