Ars Technica - Ameriški organi pregona so v petek zjutraj po lokalnem času izdali obtožnice zoper trojico oseb, osumljeno sodelovanja pri nedavnem odmevnem vdoru v Twitterjeve račune. Dva osumljenca, oba Američana s Floride, so tudi že priprli, tretjega pa so prijeli v Veliki Britaniji. 17-letnik iz Tampe naj bi bil obenem tisti, ki je napad načrtoval in v največji meri izpeljal.

Ker je bil vdor v Twitter sredi julija ne le eden najobsežnejših napadov na družbena omrežja doslej, temveč je imel za tarčo vrsto vplivnih oseb iz politike in gospodarstva, so ameriški preiskovalni organi zelo hitro in konkretno pljunili v roke. Le pol meseca so potrebovali, da so za rešetke spravili snovalca hacka, obenem pa še dva pomočnika, ki sta mu pomagala pri trženju ukradenih računov. V Tampi na Floridi so tako aretirali 17-letnega Grahama Clarka, ki naj bi bil omenjeni mastermind. V Orlandu je policija prijela 22-letnega Nimo Fazelija, medtem ko je britanska policija prišla po 19-letnega Masona Shepparda iz...

Slo-Tech - Po dobrem tednu od največjega vdora v Twitter na dan prihajajo nove podrobnosti, ki korakoma slikajo obsežnejši napad. Čeprav je Twitter sprva zatrjeval, da napadalci niso pretočili zasebnih sporočil pomembnih računov (high-profile), ki so bili sicer tarče napadov, to ne drži. Včeraj zvečer so namreč iz podjetja sporočili, da so 36 pomembnim računom ukradli zasebno korespondenco, iz vseh 130 pa elektronske naslove, telefonske številke in druge osebne podatke. Tega sploh niso razkrili v novi objavi za javnost, temveč so zgolj popravili skoraj teden dni staro.

Na internetu se je o vdoru nabralo že precej informacij, bistveno več od tega, kar uradno razkriva Twitter. Kot kaže, je bil glavni motiv za napad pridobiti dostop do računov s kratkim ID naslovom (npr. @6). Napadalci so povezani s skupino hekerjev (SIM swappers), ki naj bi dostop pridobili prek Twitterjevih lastnih administrativnih orodij za menjavo gesel in elektronskih naslovov, čeprav Twitter zanika vpletenost kogarkoli iz...

Slo-Tech - Mineva nekaj dni od odmevnega vdora v najvidnejše račune na Twitterju in tako podjetje kot mnogi preiskovalci ter vpleteni so postregli z nekaj več detajli. Zaenkrat še vedno kaže, da je šlo za kripto-potegavščino, saj ni videti, da bi jo zlikovci podurhali z zasebnimi sporočili Obame, Muska in drugih pomembnih oseb; toda na končne sklepe bo potrebno še čakati.

V noči s srede na četrtek po našem času se je Twitterju pripetil bržkone največji vdor v zgodovini socialnih omrežij. Mnogi računi vidnih svetovnih političnih, gospodarskih in medijskih osebnosti, kot so Barack Obama, Elon Musk, Bill Gates in Jeff Bezos, so začeli bljuvati prevarantske objave, ki so imele namen od lahkovernežev izvabiti kriptokovance. Na koncu so nepridipravi dejansko pobasali za prek sto tisoč dolarjev plena, pri Twitterju pa so po dveh urah mahinacije le zaustavili - tudi s pomočjo prijemov, ki jih vidimo jako redko, kot je vsesplošno blokiranje preverjenih (verified) uporabniških računov. Ker je...

Vice - Včeraj je bil na Twitterju nenavaden dan, saj so za nekaj časa umolknile znane osebnosti, ki imajo potrjene račune (prepoznamo jih po kljukici v modrem). Twitter se je za tak ekstremen ukrep odločil, ker so neznanci vdrli v večje število računov slavnih osebnosti in jih zlorabili za zlonamerne oglase. Tako posamezniki, kot na primer Elon Musk ali Mike Bloomberg, kakor podjetja, denimo Uber, so sledilce prepričevali, naj jim pošljejo nekaj bitcoinov (denimo za tisoč dolarjev), pa jim bodo povrnili dvojno. Kljub prozornosti te prevare so zlikovci uspeli nažicati več deset tisoč dolarjev.

Vdori v profile se seveda dogajajo, za kar je najpogosteje kriv uporabnik, ki so mu tako ali drugače izmaknili (ali uganili) geslo. V tem primeru pa je bilo tarč preveč, da bi bil razlog tako banalen. Izkazalo se je, da so se napadalci obrnili na drugo najpogostejšo tarčo - na zaposlene. Motherboard Vice piše, da so viri blizu podjetja potrdili, da je hekerjem pomagal eden izmed zaposlenih. Pri tem...

Slo-Tech - Kot je bilo pričakovati, so posledice vdora v spletno stran Ashley Madison in objava podatkov vseh njenih strank precej bolj eksplozivne od ostalih hekerskih napadov na različne internetne strani. Medtem ko pri običajnih vdorih največjo težavo povzročajo razkrita gesla, kadar niso bila ustrezno šifrirana, in številke kreditnih kartic, je pri Ashley Madison nevšečen katerikoli podatek, ki omogoča enolično identifikacijo uporabnika.

Pravzaprav je nekoliko ironično, da so pri Ashley Madison naredili domačo nalogo, kar se tiče varovanja gesel. Ta so bila zaščitena z zgoščevalno funkcijo bcrypt in z ustreznim semenom (salted hash), zato jih velike večine ne bodo uspeli razbiti. Dean Pierce se je iz akademskih razlogov lotil iskanja najpogostejših gesel in jih je uspel zlomiti le 0,07 odstotka, pri katerih gre za izrazito nespametna gesla...

Slo-Tech - Naslednji spletni strani, ki sta se znašli na seznamu vdorov, sta Spotify in Avast. Spotify je sporočil, da so zaznali nepooblaščen dostop do podatkovne baze z uporabniškimi podatki. Preiskava je za zdaj pokazala, da naj bi bil prizadet en sam uporabniški račun, o katerem so napadalci uspeli pridobiti osebne podatke, ne pa gesla ali finančnih podatkov. Večje nevarnosti za uporabnike naj ne bi bilo, so pa vseeno napovedali nadgradnjo aplikacije Spotify za Android (ostale verzije ostajajo nespremenjene), ki bo poskrbela za dodatno varnost.

Precej boljši izplen pa so imeli hekerji pri napadu na forume proizvajalca varnostnih rešitev Avast, so sporočili iz podjetja. Tu naj bi bilo...

Ars Technica - V sredo zvečer je spletna stran Drupal objavila, da so bili žrtev hekerskega napada, ki je prizadel milijon uporabnikov, saj so napadalci pridobili nekatere njihove osebne podatke. Sedaj je znanega več. Zaradi ranljivosti v tretjem programu, ki je bil nameščen na strežniku Drupal.org, so napadalci lahko pridobili naslednje podatke: uporabniška imena, elektronske naslove, državo bivanja in zgoščena vrednost (hash) gesla. Vsa gesla so bila shranjena zgoščeni (hashed) obliki z dodanimi naključnimi biti (salted), tako da neposredne nevarnosti za razbitje gesel ni. Samo nekaj starejših gesel na podstraneh je bilo le zgoščenih, a brez naključnih bitov.

Napadalci so dostop pridobili prek podstrani association.drupal.org, ki jo...