Източване на лични данни

  • Facebook уязвимост на 10 години позволява кражба на потребителски акаунти

    Уязвимост във функционалността „Логин с Facebook“ позволява кражба на лични данни на потребители на социалната мрежа. Тя е разкрита от анализатора Amol Baikar и е на над 10 години.
    Благодарение на нея, хакерите,  използвайки фалшиви сайтове, на които вие се логвате (без да подозирате, че са такива) с OAuth 2.0 токени за достъп, се сдобиват с възможност да се представят за вас. По този начин, може да се присвои идентичност на потребител на Facebook, без да се крадат потребителското му име и паролата му. Това означава, че при кражба на токен, на практика, хакерът може да се автентикира пред Facebook (или външни сайтове, използващи функционалността за логин с Facebook) от името на жертвата си.
    Уязвимостта е отстранена, а разкриването и е донесло награда от 55 хил. USD на Baikar.

    Прочетете повече по темата тук

     

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Над 250 млн. записа с логове от техническа поддръжка оставени публично достъпни от Microsoft

    Лични данни от над 250 млн. заявки за техническа поддържа на Microsoft са били оставени публично достъпни за 2 дни през декември 2019 г., съобщава welivesecurity.com. Причината е грешна конфигурацията на сървъри на компанията.

    Тъй като личните данни са били оставени достъпни без необходимост от автентикация, на практика всеки с интернет връзка е можел да ги свали.

    Сетът с над 250 млн. записа е бил съхраняван на пет отделни Elasticsearch сървъра, които са разкрити от изследователя Bob Diachenko на 29 декември 2019 г. Той е уведомил Microsoft незабавно, а компанията е започнала разследване и е заличила информацията в рамките на 2 дни.

    Според официалната позиция на Microsoft не са засечени потенциално опасни опити за достъп до данните.

    Прочетете още: Microsoft предупреди за нова уязвимост без патч в Internet Explorer

    Каква информация?

    Източената информация включва логове от комуникация между Microsoft и клиенти на компанията за период от 14 години между 2005 и 2019 г.

    Въпреки че най-чувствителните данни – за плащания – е била обфускирана, в базите данни са били съхранявани и множество записи в текстов формат. В тях е имало IP адреси, локации и вътрешни бележки към комуникацията, маркирани като „конфиденциални“, имейл адреси на клиентите, описания на тикети за поддръжка, мейли на служители на Microsoft и т.н.

    Защо?

    Официално съобщената до момента причина за оставената на показ информация е неправилна конфигурация на правилата за защита на данните на сървърите. Подобни грешки не са нещо ново или непознато.

    Ето 3 други примера:

    Преди няколко месеца грешка в конфигурацията на Elasticsearch сървър засегна почти цялото население на Еквадор, чийто лични данни бяха оставени публично достъпни.

  • ФБР спря сайт, предлагащ достъп до крадени лични данни срещу 2 USD

    Достъпът до домейна WeLeakInfo.com е бил спрян принудително от ФБР съвместно с организации за борба с организираната престъпност от Великобритания, Нидерландия и Германия.

    Собствениците му са предлагали достъп до над 12 млрд. записи с лични данни „нелегално придобити при повече от 10 хил. пробива“, съобщава WeLiveSecurity, позовавайки се на данни от институцията.

    Снимка: weleakinfo.com

    В тях се е съдържала информация като лични имена, имейли, потребителски имена, пароли, телефонни номера и др. Цената за 24-часов достъп до базите е била 2 USD, като са били налични и абонаменти за по-дълъг период.

    Задържани са и двама души, заподозрени в управлението на сайта – единият в Нидерландия а вторият – в Северна Ирландия.

    Това не е първият подобен случай. През май 2019 г. LeakedSource.com, предлагам база данни с над 3 млрд. крадени потребителски профила, е спрян, а собственикът му се признава за виновен за трафик на крадена информация.

    Важно е да знаете, че има и легитимни сайтове, в които може да проверите дали потребителското ви име и паролата ви не са жертва на кражба – например, haveibeenpwnd.com. Браузърите Chrome и Firefox предлагат подобни функционалности.

  • Четири начина да намалите рисковете от използването на лични лаптопи във фирмата

    Все повече компании позволяват на служителите си да използват собствени устройства, когато достъпват фирмени данни. Този модел, известен като Bring Your Own Device (BYOD) спестява разходи и осигурява по-голям комфорт на служителите.

    Но също така е свързан с определени рискове за информационната сигурност на компанията. Най-тривиалният пример е за служител, който забравя някъде лаптопа си, в който има чувствителна информация. Възможно е личният таблет на служителя да стане цел на малуер или хакерска атака, което отново е проблем за неговия работодател.

    Растяща популярност

    Общо 76% от компаниите в ИТ сектора позволяват на служителите си да използват собствени устройства, показва проучване на компанията за информационна сигурност Bitglass. Едва 15% от фирмите имат пълна забрана за използването на собствени устройства.

    Липсват мерки за сигурност

    В същото време компаниите са наясно, че този модел на работа крие опасности за информационната сигурност. Едва 30% от анкетираните фирми са уверени, че са предприели необходимите мерки за сигурност.

    Защитата на лични лаптопи, смартфони и таблети не се различава съществено от защитата на работните станции във вътрешната мрежа на компанията. Ето няколко решения, които могат да сведат до минимум риска от изтичане на данни.

    Антивирусен софтуер

    Антивирусният софтуер защитава устройството от повечето онлайн заплахи. Предвид факта, че повечето ви служители използват устройствата си основно за сърфиране в интернет, инсталирането на добро антивирусно решение е задължително.

    Софтуер за защита от източване на данни

    Софтуерът за защита от източване на данни (Data Loss Prevention) е препоръчителен независимо дали компания ви използва модела BYOD. Това е решение, което намалява риска от изтичане на данни от вътрешната мрежа. С него може да контролирате дейността на служителите, както и да контролирате достъпа, модифицирането и изпращането на чувствителна информация.

    Криптиране на устройствата

    Ако устройството на служителя бъде откраднато (или просто го изгуби), информацията на него може да бъде открадната. Криптирането на устройството решава този проблем. Ако данните на един лаптоп са криптирани, те не могат да бъдат разчетени от външно лице. За да се случи това е необходима парола, която се знае само от собственика на устройството.

    Избор на силни пароли

    Старото правило за избор на трудни за разбиване пароли никога няма да се изтърка. В случая трябва да обучите служителите си да го правят на своите устройства. Това е както в техен интерес, така и в интерес на компанията. Ето няколко прости правила за избор на сигурни пароли.

  • 773 млн. крадени имейл адреси са публикувани в интернет

    Гигантска база данни със 773 млн. имейл адреса е открита от специалиста по информационна сигурност Трой Хънт. Според него това е най-големият масив от крадени лични данни, който някога е публикувал в своя сайт Have I Been Pwned.

    Освен имейл адресите Хънт е открил и над 21 млн. хакнати пароли в дехеширан вид. С тях и откритите имейл адреси могат да се направят над 1.1 млрд. уникални комбинации, които да се използват от хакерите за разбиване на онлайн акаунти.

    Техниката се нарича credential stuffing: използвайки дълъг списък с крадени пароли, хакерът тества дали някоя от тях няма да отключи произволен акаунт. Процесът е автоматизиран и не коства никакви усилия на хакера.

    Защо изтичането е проблем

    За потребителите credential stuffing е заплаха, която много от тях не разбират. „Успехът на този метод се дължи на факта, че потребителите използват едни и същи пароли на много различни места. Вероятно и вашата парола е в списъка, защото преди години сте се регистрирали с нея в някой форум и после сте забравили. Но после паролата е била разбита, а вие продължавате да си я ползвате навсякъде. Това означава, че имате голям проблем„, коментира Хънт.

    Имейлите могат да бъдат използвани и от спамърите, за да разпращат масирани фишинг кампании.

    Хънт открива масивите с данни в облачната услуга MEGA под името Collection#1. Общият файл с размер от 87 гигабайта съдържа в себе си над 12 хил. файла. Всички открити данни са добавени в Have I Been Pwned и всеки може да провери дали имейлът или паролата му се намират там.

    Според Алекс Холдън от консултанткста компания Hold Security данните във файла всъщност са стари и за изтичането им се знае поне от няколко години; просто сега някой се е сетил да ги събере и да ги продава на едро. „Тези данни бяха популяризирани преди няколко години в даркнет от руски хакери“, коментира Холдън пред специализирания блог Krebs on Security.

    Съвети за потребителите

    • Не използвайте една парола за повече от един акаунт;
    • Ако ваша парола фигурира в Have I Been Pwned, спрете да я използвате веднага;
    • Използвайте трудни за отгатване пароли;
  • Какво знае Google за вас

    През първото деветмесечие на 2018 г. Alphabet, компанията-майка на Google, е генерирала 97 млрд. долара приходи. От тях 83.7 млрд. долара(или 86% от общия оборот) идват от реклама.

    За да поддържа този гигантски поток от пари, Google има нужда от възможно най-много потребителски данни. Търсачката и свързаните с нея услуги има обширно досие за дигиталната самоличност на потребителите си: какво търсят, какви места са посещавали, какви покупки са направили, какви клипове в Youtube са гледали, какво е здравословното им състояние (ако използват Google Fit), албумите им със снимки и много друга информация.

    Този масив от данни позволява на компанията да таргетира реклами в зависимост от интересите и необходимостите на потребителите, превръщайки се по този начин в ефективен маркетингов канал.

    Как да видите с какви данни за вас разполага Google

    Съгласно GDPR можете да видите на тази страница какви данни за вас пази Google, както и да поискате копие от тези данни. Имате възможност да избирате дали да свалите данни, събрани от всички продукти на Google, или само някои от тях.

    След като направите избора си, потвърдете го с Next.

    Следващата стъпка е да изберете в какъв формат да е файлът с вашите данни. Можете да избирате между два архивни формата: .zip и .tgz. Ще трябва да определите и какъв да е размерът на всеки архивен файл. Това е важно, ако съхранявате голям обем данни в продуктите на Google. Ако например размерът на вашите данни е 100 гигабайта, но изберете максимален размер на архивния файл от 2 гигабайта, данните ще бъдат разпределени в много архивни файлове с този размер.

    Последната стъпка е да изберете как искате да получите вашите данни. Можете да получите линк за сваляне на имейл, или да ги получите на облачна услуга като Google Drive, Dropbox или OneDrive. Линкът за сваляне е активен една седмица, след като го получите.

    След като сте приключили с всички настройки по създаването на архива, можете да го потвърдите с Create Archive.

  • Първата глоба за неспазване на GDPR в Германия е факт

    Чат платформата Knuddels е първата компания в Германия, глобена за неспазване на изискванията на евродирективата GDPR. Глобата е в размер на 20 хил. евро. Наложена е, защото 1.8 млн. потребителски имена и пароли на нейни потребители бяха публикувани в интернет.

    Кражбата на лични данни се е случила през юли 2018 г., твърди BleepingComputer. Knuddels не е криптирала по никакъв начин данните за достъп до потребителските профили. Tе са били откраднати  от сървърите й и качени в Pastebin, където традционно се публикуват крадени лични данни. Публикувани са и в облачната услуга Mega. Освен 1.8 млн. имена и пароли са изтекли и малко над 800 хил. имейл адреси.

    Knuddels е информирала потребителите си и местните регулатори за пробива. „Данни за достъп на наши потребители бяха публикувани в интернет. Нямаме данни за злоупотреба. Въпреки това временно деактивирахме всички профили, чиито данни са изтекли“, съобщава компанията в публикация в своя форум от началото на септември.

    GDPR влезе в сила в края на май 2018 г. и предвижда глоби до 20 млн. евро или 4% от годишния оборот на компанията (взима се по-голямото от двете) за неспазване на изискванията на директивата. При определяне размера на глобата се вземат различни фактори като брой на засегнатите потребители, превантивни мерки и взаимодействие с регулаторните органи.

  • Facebook Zero Day: Какви данни са откраднали хакерите?

    Личните данни на 29 млн. души са били откраднати заради уязвимост във Facebook, съобщи компанията-собственик на социалната мрежа. Първоначалните прогнози бяха, че атаката е засегнала поне 50 млн. потребителски профили.

    Колко профили са засегнати

    Организаторите на атаката са получили достъп до имената, телефонните номера и имейлите на 15 млн. потребители.

    За други 14 млн. потребители те са събрали много по-детайлна информация. Освен име, телефонен номер и имейл, тази информация включва още пол, религия, местоживеене, рожденна дата, видове използвани устройства за достъп до Facebook, образование, месторабота, места, на които потребителят се е тагнал, последните 15 търсения в търсачката на Facebook и други чувствителни данни.

    За 1 млн. потребители уязвимостта не е довела до кражба на лични данни. Техните профили обаче също са били достъпни и с тях общият брой на засегнатите от атаката се качва до 30 млн.

    Как е осъществена атаката

    По данни на Facebook атаката е осъществена със скрипт, който подобно на верижна реакция е получавал достъп до профил на човек, след това на неговите приятели, след това на приятелите на техните приятели и т.н. Това е било възможно заради уязвимост във функцията View as.

    Обикновено тази функция се използва, за да видите как изглежда профилът ви от името на ваш приятел. Но уязвимостта е направила възможно да се получи достъп до профила на човека, за когото се представяте с View as. Прочетете подробно описание на уязвимостта.

    За да експлоатират уязвимостта, хакерите най-напред са получили достъп до профилите на определено количество потребители. От там, следвайки принципа на верижната реакция, атаката е достигнала до общо 30 млн. души.

    Откраднати ли са чатове и лична кореспонденция

    Разследването на Facebook не е открило доказателства, че организаторите на атаката са можели да четат чатовете на хакнатите потребители. Има само едно изключение и то се отнася за потребителите, които са администратори на Facebook страница. Ако по времето на атаката Facebook страницата е получавала съобщения от потребители, хакерите са можели да прочетат кореспонденцията.

    Как да разбера дали профилът ми е засегнат

    Към момента Facebook е предприела мерки и за потребителите вече няма опасност от изтичане на лични данни. Ако искате да разберете дали сте пострадали от атаката, отворете този линк (преди това трябва да сте влезли във Facebook).

    Ако профилът ви не е засегнат, ще видите следното съобщение:

     

  • Microsoft свали руски сайтове, използвани за кибер-атаки срещу САЩ

    Експерти от Microsoft докладваха, че са открили редица фалшиви уебсайтове, които целят да копират правителствен организации, както и две политически такива. От компанията докладват, че страниците са дело на групата APT28 или Fancy Bear, за която се предполага, че има силни връзки с руското правителство.

    Откритите домейни са:

    my.iri.org
    hudson-my-sharepoint.com
    senate.group
    adfs-senate.services
    adfs-senate.email
    office365-onedrive.com

    Microsoft пояснява, че до момента не се знае за успешни опити за атака чрез тези страници. Няма и информация за организирани кампании, в които те се използват.

    Сайтовете бяха премахнати от отделът за борба с престъпленията към Microsoft, чрез съдебно решение. Правомощието за това беше отредено на технологичния гигант, тъй като сайтовете използват интелектуална собственост като „sharepoint“, „office365“ и „onedrive“. В последните две години, компанията е използвала съдебна помощ за премахването на общо 84 фалшиви страници, които също са били дело на APT28.

    Преди едва месец, вице-президентът на Microsoft – Том Бърт – разказа и за свалянето на домейн, който е бил използван за фишинг атаки към поне 3-ма кандидати за конгреса на САЩ.

  • Най-големите кибер атаки през 2018 (досега)

    До този момент 2018 г. върви сравнително (и привидно) по-спокойно от предходната, ако говорим за разкрити пробиви в информационната сигурност. „По-спокойно“ обаче не означава, че няма пробиви – дори обратното. Ето част от най-мащабните такива през 2018 г.

    NotPetya – най-скъпата кибератака до момента

    Криптовирусът разкъса компании от цял свят, причинявайки загубата на терабайти чувствителна информация. На два пъти, атаката постигна и нещо друго невиждано до сега – масовото на електрозахранване, причинено от компютърен вирус.

    Вижте повече за това как атаката се отрази на българското киберпространство.

    Според САЩ, атаката идва от руските военни части, а те трябва да бъдат подведени под отговорност. Това е донякъде иронично, тъй като основният използван инструмент е техника, изтекла от NSA (националната агенция за сигурност на САЩ).

    Ирански хакери срещу университети в САЩ

    След като осъществяват атака срещу над 300 университета в САЩ, група ирански хакери биват разпознати и осъдени. В процеса се стига до заключението, че са успели да проникнат в 144 университета в САЩ, 176 в 21 други страни и 47 частни компании. Според министерството на правосъдието на САЩ, хакерите са откраднали над 31 терабайта данни.

    Изтичащи и изтекли данни

    Няма как да не споменем всичкото източване и изтичане на данни, на което сме свидетели ежедневно. Сред случаите с най-много медийно внимание попада и този на фирмата Exactis – компания, която събира лични данни, които могат да бъдат използвани за инзудване. Доскоро, компанията ги съхраняваше на публично достъпни сървъри.

    Фитнес тракер стана източник на 150 милиона потребителски записа

    Атаката над MyFitness Pal e отличен пример за неспособността на корпоративния свят да навакса с изискванията на сигурността. Източването на данни при нея се случва само и единствено защото част от тях са били криптирани с доказано уязвим алгоритъм – SHA1.

    Другата част от данните са били надеждно подсигурени и не са пострадали при атаката.

    Както винаги, напомняме, че можете да видите дали сте жертва на една от споменатите атаки, като използвате HaveIBeenPwned – безплатна услуга, която проверява за потребителското ви име или мейл в изтеклите бази данни.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Back to top button
Close
Close