Bezpečnost – rychlofky

Seznam.cz byl děravý, bylo možné ukrást účet. Tím i přístup do e-mailu a k dalším službám

Taková ta klasická bezpečnostní chyba plynoucí z přílišné složitosti dnešních systémů a existence starých služeb. Tak nějak by se dala shrnout zásadní bezpečnostní chyba u Seznam.cz – prostou návštěvou stránky se mohl útočník dostat k cookies potřebným pro vstup na váš účet. A tím do e-mailu a dalších služeb u Seznamu (s výjimkou Skliku a Seznam Peněženky). Velmi dobře je to popsáno v Krádež cookies na portálu Seznam.cz a získání přístupu do cizího e-mailu objevitelem chyby, Markem Tothem.

Chyba je každopádně již opravena a zda ji někdo odhalil dříve než Marek a zneužíval známo není.

Baidu Maps a Baidu vyhozené z Google Play. Byly děravé

Baidu Maps a Baidu vyhozené z Google Play. Byly děravé, ohrozily až stovky miliony uživatelů celosvětově. Baidu samotné je opravené zpět, Mapy prozatím nikoliv. Baidu SDK odesílalo citlivá data (model telefonu, IMSI a MAC adresu) na čínské servery, to umožňoval sledování uživatelů napříč aplikacemi i po změně telefonu. Detailní zpráva viz Android Apps Leaking Sensitive Data Found on Google Play With 6 Million U.S. Downloads

Raspberry Pi posloužilo pro hack Tesly Model X.

Raspberry Pi posloužilo pro hack Tesly Model X. Samozřejmě to nestačilo, potřeba bylo ještě nějaké to další hardware. Úspěšný pokus nakonec vedl k aktualizace firmware v automobilu aby jej nebylo možné zopakovat .

123RF hacknuto, 8.3 milionů záznamů o uživatelích je na prodej.

123RF hacknuto, 8.3 milionů záznamů o uživatelích je na prodej. Pokud jste tedy tento zdroj stock fotografií používali můžete počítat s tím, že vaše heslo není bezpečné. Unikla jména, e-maily, MD5 hash hesel (v řadě případů snadno rozlousknutelné), telefonní číslo, IP adresa, PayPal e-mail, firma, adresa. Finanční informace žádné. Je možné, že jde o zhruba rok stará data. Na 123RF.com žádné varování uživatelů nenajdete.

Nový způsob hacknutí WhatsApp účtu je vlastně docela bizarní.

Nový způsob hacknutí WhatsApp účtu je vlastně docela bizarní. Zabránit mu klasicky může nastavení dvoufaktorového ověření. Začíná tím, že se útočníkovi podaří hacknout účet a ten využije ke konverzi všech kontaktů na Whatsapp Business account. Kontaktům přijde SMS s kódem od WhatsApp, kterou útočník zkusí získat zprávou s omluvou. Pokud číslo předáte, útočník ukradne váš účet.

Další

Jakub Zelenka z Deníku N má pozastavený účet na Twitteru. Taková ta klasika když děláte dobře novinářskou práci

Jakub Zelenka z Deníku N má pozastavený účet na Twitteru. Taková ta klasika když děláte dobře novinářskou práci a tak vám to ti o kterých píšete chtějí znemožnit nebo alespoň zkomplikovat. Plus další klasická věc, že se na nějakou uživatelskou podporu prostě nedostanete a nedostanete. Když už ano, tak to stejně bude někdo kdo vůbec netuší o co jde. Jak tohle asi dopadne?

Mimochodem novináři na Twitteru jsou velmi často cílem hacknutí a snah o hacknutí. Což je jeden z častých důvodů proč Twitter (z bezpečnostních důvodů) pozastaví účet. Tady klasicky platí, že pokud jste si nechránili účet na Twitteru a e-mailový účet dvoufaktorovým ověřením, tak si za to můžete sami. Viz ostatně První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

Spotify až 350 tisícům uživatelů resetovalo hesla, unikla od třetí strany

Spotify až 350 tisícům uživatelů resetovalo hesla, unikla od třetí strany, přesněji řečeno se stala součástí jiných úniků a šlo o uživatele, kteří na Spotify používají stejné heslo jako jinde. Přihlašovací údaje uživatelů se objevila v nezabezpečené ElasticSearch databází jako část více než 380 milionů záznamů.

Nemohlo to dopadnout jinak. Fleets na Twitteru nemizely po 24 hodinách.

Nemohlo to dopadnout jinak. Fleets na Twitteru nemizely po 24 hodinách. Co navíc, Fleets bylo možné získávat aniž by se autor dozvěděl, že jste je viděli. Zajímavé na A bug meant Twitter Fleets could still be seen after they disappeared je i to, že Twitter si obsah z Fleets nechává až 30 dní. Instagram ostatně také, na účtu máte přístupný archiv Příběhů i se statistikami.

Router prodávaný Walmartem a další podobné na Amazonu či eBay obsahují zadní vrátka.

Router prodávaný Walmartem a další podobné na Amazonu či eBay obsahují zadní vrátka. Ta jsou používána pro vytváření botnetů a jsou v routerech přímo od čínských výrobců. Potenciálně jde až o miliony zařízení. Detaily ve Walmart-exclusive router and others sold on Amazon & eBay contain hidden backdoors to control devices

Děravé WordPressy pod masivním útokem přes chybu v Epsilon Framework.

Děravé WordPressy pod masivním útokem přes chybu v Epsilon Framework. Wordfence upozorňuje na množství šablon, které jsou problémem zasaženy.