Slo-Tech - Na internet je iz koncerna Mercedes-Benz ušlo več zaupnih podatkov vključno z izvorno kodo, je odkril tehnični direktor podjetja RedHunt Labs Shubham Mittal. Eden izmed zaposlenih v koncernu je na javno dostopen repozitorij Github naložil identifikacijski žeton (authentication token). Ta je omogočal dostop do Mercedesovega GitHub Enterprise Server, kjer je bila objavljena tudi izvorna koda v računalniških sistemih njihovih avtomobilov, ključi za dostop do Azura in AWS-ja ter podatkovne baze Postgres. V repozitoriju so bili ključi, načrti, dizajni, gesla, ključi API in druge občutljive informacije.

Varnostni spodrsljaj so odkrili minuli ponedeljek in jo prijavili Mercedesu, ki je dva dni pozneje onemogočil omenjeni žeton. Tiskovna predstavnica koncerna je potrdila, da je podjetje kodo na Githubu javno objavilo zaradi človeške napake. Incident bodo analizirali in sprejeli ustrezne varovalne ukrepe, o katerih niso podrobneje spregovorili. Žeton je bil na voljo od septembra lani, ni...

Slo-Tech - Microsoftu je na splet pobegnilo 38 TB podatkov, ker so napačno nastavili profil na GitHubu. Podjetje Wiz, ki se ukvarja z računalniško varnostjo, je ugotovilo, je odkrilo shrambo v Azuru, na katero je vodila povezava v repozitoriju na GitHubu, ki so ga uporabljali raziskovalci v Microsoft AI. Pravice za dostop so bile nastavljene tako, da je lahko podatke prebiral, kdorkoli je imel povezavo do shrambe z žetonom SAS. Podatki so bili javno dostopni od leta 2020, Microsoft pa je dostop onemogočil dva dni po Wizovem opozorilu.

Šlo je za 38 TB podatkov, med njimi tudi polni varnostni kopiji dveh zaposlenih, vključno z gesli, ključi in več kot 30.000 internimi sporočili v Microsoft Teams. Ob pa niso bili izpostavljeni nobeni podatki strank, so zatrdili v Microsoftu. Teoretično pa bi lahko zlonamerni akterji zaradi ranljivosti spreminjali in vrivali datoteke na Microsoftove strežnike in v interne sisteme, saj so bile dovoljene tudi pisalne pravice. Tehnični direktor Ami Luttwak je ob...

ZDNet - Neznani heker naj bi vdrl v Microsoftov račun na Githubu in ukradel več gigabajtov kode. Po nekaterih podatkih gre za 63 GB kode, po drugih pa kar za 500 GB, a je v slednjo številko najverjetneje všteta tudi druga koda, pretežno od odprtokodnih projektov, ki je bila sicer tudi odtujena, a nima povezave z Microsoftom. Viri v Microsoftu so za ZDNet potrdili, da so objavljeni deli kode pristni in resnično pripadajo Microsoftovim projektom. Pravijo pa, da ne gre za kodo Windows, Office ali katerega izmed drugih paradnih konjev podjetja. Taki projekti so namreč na internih strežnikih, ne na Githubu, so še dejali.

Po doslej znanih podatkih se je vdor zgodil marca, najverjetneje 28. marca. Zanimivo je, da je Microsoft sprva javno zatrjeval, da gre za raco in da se vdor ni zgodil, a so kasneje svoje izjave popravili in priznali, da je vsaj nekaj kode pobegnilo. Pri tem še vedno poudarjajo, da koda ni občutljive narave. Po politiki podjetja je na Microsoftovem Githubu koda, ki se uporablja...

TechCrunch - Trgovinske sankcije ZDA se počasi odslikavajo tudi v kiber svetu, v začetku leta je tako Slack onemogočil delovanje svoje storitve prebivalcem Irana, Kube, Severne Koreje, Sirije in Krima, te dni mu je sledila še razvijalska platforma GitHub. Kot je pojasnil njihov CEO Nat Friedman, so bili v to prisiljeni. Pri tem je poudaril, da so tudi po sprejemu ukrepa še vedno za vse ostali dostopni javni in odprtokodni repozitoriji. A le za osebno komunikacijo in nekomercialno rabo.

GitHubova stran za podporo še pojasnjuje, da so uporabniški računi prebivalcev teh držav pod restrikcijami, kar pomeni, da ne morejo dostopati do storitev zasebnih repozitorijev, enako do plačljivih storitev. Kot je za medije povedal eden od prizadetih uporabnikov, so mu na GitHubu pojasnili, da jim zakonodaja prepoveduje, da bi mu izvozili vsebino...

Slo-Tech - Po navadi izsiljevalska programska oprema grozi, da bo nepovratno uničila podatke na okuženih računalnikih, če žrtev ne bo plačala določene vsote bitcoinov izsiljevalcem. Napadalci, ki so včeraj začeli lomastiti po repozitorijih na GitHubu, GitLabu in Bitbucketu, pa so se izsiljevanja lotili drugače. Vsebino repozitorijev so počistili in nadomestili z eno samo datoteko, ki vsebuje navodilo, kam je treba nakazati 0,1 bitcoina (500 evrov) in poslati elektronsko sporočilo, da bodo podatke vrnili. To ni niti tako nenavadno niti tragično. Zanimiv pa je drugi del opozorila, kaj se bo zgodilo ob ignoriranju. V tem primeru bodo napadalci kodo objavili javno ali jo kako drugače izkoristili, grozijo. Na računu, kjer zahtevajo bitcoine, se odkupnin še ni nabralo nič (kaže, da je v vseh sporočilih naveden isti...

Slo-Tech - V Linuxu so odkrili in v večjih distribucijah danes že tudi zakrpali ranljivost, ki je bila kodi jedra prisotna tri leta in je omogočala napadalcem prevzem popolnega nadzora (root) nad računalnikom, če so imeli na voljo omejen račun. Ranljivost je odkrilo izraelsko podjetje Perception Point. Dobila je oznako CVE-2016-0728. Za zdaj ni nobenih indicev, da bi jo kdo v praksi že zlorabljal, je pa z javnim razkritjem to postalo precej verjetneje, zato je toliko pomembneje posodobiti sisteme.

Ranljivost je prisotna v vseh verzijah jedra od vključno 3.8 dalje (torej od začetka leta 2013), prizadet pa je tudi Android od verzije 4.4 (KitKat) dalje. Ranljivost je posledica hrošča v keyringu, ki v Linuxu hrani šifrirne ključe, žetone in druge občutljive podatke, do katerih aplikacije ne smejo imeti neomejenega dostopa....