Slack měl zásadní bezpečnostní chybu umožňující se dostat dovnitř jejich AWS.

Popsané je to v How we abused Slack’s TURN servers to gain access to internal services a může to posloužit jako dobrá ukázka, že AWS sice být bezpečné může, ale vaše vlastní řešení na něm postavené může být katastrofa.

Šef Zoomu se omluvil za bezpečnostní chyby a slíbil opravy.

V posledních dvou týdnech se bezpečnostních chyba a ignorování soukromí uživatelů u Zoomu objevilo poměrně hodně. Užívání jejich software přitom z 10 milionů DAU v prosinci poskočilo na 200 milionů v březnu. Problém s omluvou a ujišťováním je, že Zoom řadu věcí dělá záměrně, včetně zneužívání jiných chyb, porušování pravidel a obcházení kde se obejít dá. Až tak daleko, že na MAC například uživatelům hrozí nejenom přístup cizích lidí ke kamerám, ale i hacknutí počítače.  Viz Zoom boss apologises for security issues and promises fixes

2020-04-02 15_01_18-Window.png

 

OpenWRT má nebezpečnou chybu, pozor pokud ho používáte pro router.

Existuje pouze částečná oprava, ale než bude OpenWRT bezpečnější, tak to bude chvíli trvat. Nepříjemné je i to, že chyba existuje už dobré tři roky a jde o možnost spouštět na dálku kód v procesu aktualizace – ten probíhal přes nešifrovaná spojení a chybí dostatečné digitální podpisy pro aktualizační balíčky. Zneužití ale není zcela triviální – vyžaduje možnost MITM útoku nebo změny DNS serverů pro podvrh jiných zdrojů aktualizací. Viz OpenWRT code-execution bug puts millions of devices at risk

TIP: Co je to OpenWrt a jak to může oživit váš starý router?

openwrt-800x547.png

Spamová detekce na Facebooku i Instagramu mazala nevinné koronavirové příspěvky.

Facebook za to již omluvil a chybu napravil. Podle všeho reagovala hlavně na příspěvky s odkazy a neměla  žádný reálný základ. Mazání se dotklo o známých a důvěryhodných médií. Problém se objevil čerstvé poté, co Facebook oznámil, že do moderace obsahu musí zapojit více AI a omezit práci lidských moderátorů.

2015-09-24 18_35_58-Facebook _ Error

Chyba u některých doménových registrátorů umožňovala registrovat podvodné domény.

Několik z největších registrátorů umožňovalo do doménového jména dávat znaky z Unicode -což vedlo k vytváření domén jako amɑzon.com – ty byly následně používány pro phishing a další aktivity. Detaily v Emoji to Zero-Day: Latin Homoglyphs in Domains and Subdomains kde najdete dost rozsáhlý seznam podvodných domén.

2020-03-07 10_05_30-Emoji to Zero-Day_ Latin Homoglyphs in Domains and Subdomains.png