»

Meti milijonska kazen, ker je gesla hranila v besedilni obliki

Slo-Tech - Na Irskem so Meti izrekli 91 milijonov evrov kazni, ker je podjetje v preteklosti gesla uporabnikov shranjevalo na način, ki ne ustreza dobrim varnostnim praksam. Da so gesla več kot 600 milijonov uporabnikov shranjevali v besedilni obliki (plaintext), so razkrili leta 2019. Dostop do podatkovne baze je imelo več kot 2000 zaposlenih v podjetju, ki so ustvarili več kot devet milijonov vpogledov v bazo.

V Meti so tedaj zagotovili, da niso odkrili nobenih nepooblaščenih dostopov do baze in da so za njen obstoj ugotovili pri rednem varnostnem pregledu. Četudi to podjetju verjamemo, je težko razumeti, kako so lahko storili tako veliko napako v implementaciji. Da se gesla ne smejo shranjevati v besedilni obliki, temveč v zgoščeni obliki (hashed) z dodano entropijo v obliki dodatnih znakov pred zgoščevanjem (salt), je v industriji znano že vsaj tri desetletja. Prav tako so znane tudi dovolj varne zgoščevalne funkcije - predvsem morajo biti dovolj počasne, denimo Bcrypt, PBKDF2,...

11 komentarjev

Na internetu se je znašlo 10 milijard gesel

Slo-Tech - Na internetu se je pojavila datoteka rockyou2024.txt, ki vsebuje skoraj deset milijard edinstvenih gesel, ki jih ljudje dejansko uporabljajo. Datoteko je 4. julija na nekem hekerskem forumu objavil uporabnik z vzdevkom ObamaCare, v njej pa je v besedilni obliki (plain-text) zapisanih natančno 9.948.575.739 gesel.

Avtentičnost datoteke so preverili na Cybernews in ugotovili, da gre za zbirko gesel iz različnih varnostnih incidentov. Nekaj je novih, nekaj je starih, vsa pa so bila vsaj nekoč aktivna. To je v spremljajočem besedilu k objavi priznal tudi uporabnik, ki je gesla priobčil.

Spomnimo, da je pred tremi leti na internet pricurljala datoteka rockyou2021.txt, ki je vsebovala 8,4 milijarde gesel v enaki obliki. V naslednjih treh letih so torej hekerji dodali še poldrugo milijardo gesel. Skupno gre za gesla, ki so na internet pritavala v zadnjih dveh letih v več kot 4000 varnostnih incidentih.

Ključna funkcija tovrstnih seznamov je pomoč pri razbijanju gesel s surovo silo...

24 komentarjev

ChatGPT dobiva vtičnike, tudi za brskanje po spletu

Slo-Tech - Odkar je ChatGPT konec minulega leta dosegel javnost, je ostal v času zamrznjen veliki jezikovni model. Natreniran je bil na podatkih do leta 2021, zato ni vedel nič o modernem svetu po tem letu. Konkurenca - Microsoft Bing in sedaj tudi Google Bard - teh omejitev ni imela, saj je lahko brskala po spletu. V OpenAI niso sedeli križem rok, temveč so razvili vtičnike za ChatGPT, ki so s povabilom oziroma vpisom na čakalni seznam dostopni uporabnikom. Za zdaj bodo to naročniki plačljive verzije ChatGPT Plus.

Kot pojasnjujejo v podjetju, so uporabniki že od prve predstavitve ChatGPT spraševali po razširitvah. Tudi številni razvijalci so želeli podobne funkcionalnosti, ker bi to bistveno razširilo domet storitve. Vtičnike je izdelala vrsta partnerjev, med katerimi omenjajo podjetja Expedia, FiscalNote, Instacart, KAYAK, Klarna, Milo, OpenTable, Shopify, Slack, Speak, Wolfram in Zapier. Še posebej pa zanimiva pa sta dva, ki ju je razvil kar OpenAI sam - brskalnik po spletu in tolmač za...

0 komentarjev

Huda ranljivost v protokolu za Exchange in Outlook

Slo-Tech - Microsoftovi odjemalci za elektronsko pošto imajo resnega hrošča, proti katerem se običajni uporabniki ne morejo zaščititi in ki napadalcem omogoča nabiranje prijavnih podatkov (uporabniških imen in gesel). Ranljivost tiči v protokolu autodiscover, ki ga uporabljata Exchange in Outlook za preprosto konfiguracijo odjemalcev. Odkrili so jo v Guardicoru, Microsoft pa popravka še ni izdal.

Autodiscover
ima koristen namen, saj od uporabnikov ni realistično pričakovati, da si bodo zapomnili vse podrobnosti za nastavitev elektronskega predala. Uporabniško ime in geslo je nujno poznati, medtem ko imena strežnikov, protokole, vrata in podobno lahko skladiščimo na javno dostopnih strežnikih. V praksi autodiscover deluje tako, da pri nastavitvi odjemalca vpišemo naslov in geslo, denimo ime@oddelek.podjetje.com. Outlook bo potem pogledal, ali obstaja strežnik autodiscover.oddelek.podjetje.com. Če ga ne bo našel, bo povprašal še na oddelek.podjetje.com in podjetje.com. In če niti od teh...

14 komentarjev

Facebook več sto milijonov gesel hranil v besedilni obliki

Slo-Tech - Facebook se je zapletel v nov varnostni incident, ki zajema zasebnost njegovih uporabnikov. Brian Krebs piše, da je od leta 2012 do nedavna Facebook gesla nekaterih uporabnikov hranil kar v besedilni obliki. To pomeni, da so bila gesla zapisana v podatkovni bazi in vidna vsakomur, ki je imel dostop. Facebook je navedbe potrdil, a dodal, da niso zabeležili nepooblaščenih dostopov ali zlorab.

Viri poročajo, da gre za med 200 milijoni in 600 milijoni gesel uporabnikov Facebooka, ki so bila shranjena v besedilni obliki in indeksirana, tako da je imelo do njih dostop več kot 20.000 Facebookovih zaposlenih. Facebook naj bi še vedno poizkušal ugotoviti, koliko gesel je dejansko izpostavljenih in od kdaj se napaka vleče...

31 komentarjev

Napad na Sony Pictures povzročil umik filma

Slo-Tech - Ameriški obveščevalci so za The New York Times neuradno potrdili, da je bila Severna Koreja "bistveno udeležena" v napad na Sony Pictures, za katerega je odgovornost prevzela neznana skupina z imenom Guardians of Peace (GOP). V Beli hiši naj bi resno razpravljali o vprašanju, ali Severno Korejo javno obtožiti vdora ali ne. Od lani tovrstno žuganje Američanom ni tuje, saj so na primer Kitajsko že javno obtožili vdorov in njihove vojake postavili pred sodišče (kamor seveda ne bodo nikoli šli).

V Beli hiši se želijo izogniti neposrednem soočenju s Severno Korejo, ki bi državi lahko dalo povod za resnično sovražnost do ZDA in povračilne ukrepe. Spet pa se kot glavni problem izpostavlja prihajajoči film The Interview, v katerem se...

38 komentarjev