»

Gmail širi potrebo po 2FA

Slo-Tech - Dostop do elektronskega predala in njegove nastavitve so ključi za dostop do velike večine vseh digitalnih storitev, ki jih uporabljamo. Google v Gmailu za zaščito skrbi z dvostopenjsko avtentikacijo, ki jo potrebujemo pri novi prijavi, nato pa lahko v napravi ostanemo prijavljeni več tednov. Google je sedaj napovedal, da bo dodatno preverjanje (2FA) pogostejše, četudi smo v napravi že prijavljeni.

Prvi nasvet je seveda vključiti 2FA, saj tega še vedno niso storili vsi uporabniki. Uporaba Gmaila brez 2FA je zelo nevarna in se odsvetuje, saj kljub Googlovim poizkusom čim bolje zaščititi uporabnike ostaja ranljiva za hekerske prevzeme. Google pa nas obvešča še, da bo po novem 2FA potreben pri spreminjanju občutljivih nastavitev Gmaila, četudi smo prijavljeni. To so na primer novi filtri, nastavitve avtomatičnega posredovanja pošte, dostop prek protokola IMAP ipd. Google bo v takih primerih preveril, ali je treba dodatno potrditi istovetnost uporabnika, četudi je ta prijavljen.

...

5 komentarjev

Ranljivost v WhatsApp zlikovcem omogoča zaklep profila žrtev

Forbes - Čeprav sodi med najpopularnejše aplikacije za hipno sporočanje, WhatsApp tehnološko ni nič kaj pred konkurenco. Dvostopenjsko preverjanje pristnosti (2FA) sploh ni obvezno in ga veliko uporabnikov ne uporablja, a pred najnovejšim napadom sploh ne ščiti. V Forbesu poročajo o načinu, kako nas lahko zlikovci zaklenejo iz lastnega profila. Pri tem ne gre za klasičen vdor, temveč za zlorabo slabo izpeljanih mehanizmov.

Vsakdo lahko namreč namesti aplikacijo WhatsApp na svoj telefon in vnese poljubno telefonsko številko, s katero ga želi povezati - četudi nima dostopa do te številke. WhatsApp potem pošlje na to številko SMS s kodo, ki je potrebna za aktivacijo na novi napravi. To kodo seveda prejme legitimni lastnik, ki z njo nima kaj početi, lahko jo le ignorira. Toda če zlikovec kodo zahteva in vpiše dovoljkrat, bo povzročil 12-urni zaklep sistema za vnos kode, ki je namenjen zaščiti pred ugibanjem. To še ni problem.

Problematičen pa je drugi del napada. Če zlikovec potem pošlje...

19 komentarjev

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Slo-Tech - Nobena skrivnost ni, da je protokol SS7, ki ga uporabljajo mobilni operaterji za komunikacijo z napravami in ki omogoča gostovanje, ranljiv. Že več let vemo, da lahko obveščevalne agencije izkoriščajo ranljivosti v tem protokolu in spremljajo tako lokacijo telefonov kakor tudi komunikacijo. V zadnjem času pa postaja jasno, da to ni tuje niti hekerjem. Dvostopenjsko preverjanje pristnosti (2FA), kjer uporabljamo sms-sporočila, ne prinaša nobene dodatne varnosti, le nekoliko zakomplicira življenje tatovom.

Motherboard je tako že identificiral prvo britansko banko, ki je bila žrtev napada na SS7. Tudi britanska obveščevalna agencija GCHQ je potrdila, da se ranljivosti v SS7 že uporabljajo za prestrezanje bančnih šifer. Metro Bank, ki je...

18 komentarjev

Reddit žrtev vdora, odnesli podatke o uporabnikih

vir: Wikipedia
Softpedia - Upravljavci Reddita, enega večjih svetovnih portalov, ki sam sebe naziva "Naslovnica Interneta", so sporočili, da so bili v sredini letošnjega junija žrtve vdora. Napadalci so se dokopali do email naslovov praktično vseh uporabnikov, poleg tega pa tudi do arhivirane baze uporabnikov iz leta 2007, ki vsebujejo tudi gesla.

Napadalci so napad izpeljali tako, da so vdrli v račune nekaj zaposlenih, in sicer tako, da so prestregli potrditvene SMS-e, s pomočjo katerih je potekala dvostopenjska (2FA) avtentikacija. Znano je, da si je v ZDA moč mobilne številke pri operaterjih pridobiti z navajanjem zgolj nekaterih podatkov, denimo naslova, zadnjih štirih številk matične številke ali pa kreditne kartice posameznika.

V času po dogodku upravljavci strani izvajajo preiskavo, da bi ugotovili, do česa vsega so nepridipravi dostopali. Poštne naslove...

9 komentarjev

Google+ omogoča pošiljanje e-pošte neznancem

Slo-Tech - Google je predstavil novost pri integraciji elektronskega predala Gmail in družabnega omrežja Google+, ki bo omogočala pošiljanje elektronske pošte tudi ljudem, katerih elektronskega naslova ne poznamo.

V bližnji prihodnosti bo Gmail v spletnem vmesniku ponujal tudi pošiljanje elektronskih sporočil vsem uporabnikom storitve Google+, četudi njihovega e-naslova nimamo niti ga niso javno objavili (Google je začetno nejasnost odpravil s pojasnilom, da to velja za vse uporabnike storitve, ne le za naše prijatelje). Sporočilo, ki jim ga pošljemo, ne bo pristalo v glavnem delu mape Prejeto, ampak pod zavihkom Social. Na ta način bo vseeno poskrbljeno za preglednost, a kdor do pošte dostopa prek odjemalcev IMAP ali POP3, teh zavihkov ne vidi in vso pošto dobiva v mapo Prejeto.

Da bi omejili zlorabe,...

3 komentarji

Google+ obnorel ljudi

Google Hangout

vir: Heise
Heise - Google je v torek začel javno testiranje storitve Google+, s katero želijo konkurirati Facebooku. Razvijajo socialno omrežje, ki bo zgrajeno iz več sestavnih delov in bo imelo večjo strukturiranost od Facebooka.

Circles so krogi oziroma opisneje prevedeno skupine, v katere uporabniki razvrstijo svoje kontakte. Delujejo podobno kot skupine na Facebooku, saj omogočajo bolj selektivno deljenje podatkov. Vsakokrat določimo, katera skupina vidi posamezne prispevke, pri čemer kontakti ne vedo, v katero skupino so razvrščeni. Na začetku se dodajo kontakti iz adresarja v Googlovem računu. Sparks je neke vrste agregator za novosti, saj omogoča deljenje zanimivosti in spremljanje dogajanja prijateljev. Delimo lahko...

95 komentarjev