Děravý server společnosti posílající SMS zprávy zpřístupnil miliony resetů hesel i dalších citlivých informací

Děravý server společnosti posílající SMS zprávy zpřístupnil miliony resetů hesel i kódů dvoufaktorového ověření. Chybně konfigurovaný server s databázemi v AWS byl navíc nalezen přes Shodan. Patřil firmě, která pro další firmy posílá SMS. Viz A leaky database of SMS text messages exposed password resets and two-factor codes kde zjistíte navíc i další řadu zásadních věcí. Třeba to, že Badoo posílá přes SMS čitelná hesla (což u Badoo nepřekvapí).

voxox-pic.png

Reklamy

Google+ byl skoro tři roky děravý a umožňoval externím vývojářům přístup k profilům uživatelů.

Google+ byl skoro tři roky děravý a umožňoval externím vývojářům přístup k profilům uživatelů. Google na to přišel při interním šetření a rozhodl se o kauze neinformovat v obavách z možné publicity. V Google Exposed Private Data of Hundreds of Thousands of Google+ Users and Then Opted Not To Disclose, Report Says je ale i jedna dost zvláštní zmínka, že na základě tohoto se Google (Alphabet) chystá zrušit veškerou spotřebitelskou funkčnost Google+. Co je tím přesně míněno jasné není, ale z Google Exposed User Data, Feared Repercussions of Disclosing to Public to zní jako kompletní zrušení Google+. Může ale také jít o zásadní omezení přístupu přes API.

Možný únik se týkal mírně přes 490 tisíc účtů a 438 aplikací, ale podle Google žádná data zneužita nebyla, byť s ohledem na již neexistující záznamy to nebylo možné ověřit plně.

2018-10-08 19_17_29-Google Exposed User Data, Feared Repercussions of Disclosing to Public - WSJ.png

google-logo-pre-2015

Facebook děravý. Minimálně 90 milionů účtů mohlo být napadeno. Tohle je opravdu VELKÉ

Zapomeňte na soukromí na Facebooku. Od loňského července byla ve „View as“ (funkce kde se díváte na vlastní profil očima jiného uživatele) zásadní bezpečnostní chyba. Bylo možné získat přístupový kód a dostat se na onen cizí účet. Facebook na chybu přišel až 16. září 2018, poté co začala být masově zneužívána, oznámil ji 25. září a „vyřešil“ 27. září. Od 29. září odhlašuje 90 milionů lidí – 50 milionů na jejichž účet se dostali cizí lidé, 40 milionů kde to jisté není.  Viz  How 50 Million Facebook Users Were Hacked

2018-09-29 08_45_39-(1) Daniel Dočekal.png

Celý příspěvek

mSpy opět unikly miliony citlivých informací. mSpy je tvůrce mobilního spyware

mSpy opět unikly miliony citlivých informací. mSpy je tvůrce mobilního spyware a uniklá data zahrnují hesla, záznamy o voláních, textové zprávy, kontakty, poznámky, lokační data, zprávy z Facebooku/WhatsApp a řadu dalších věcí – vše shromážděno potajmu z telefonů, kam někdo mSpy pořídil. mSpy přitom své služby nabízí rodičům pro „hlídání dětí“. Ale také žárlivcům co chtějí šmírovat partnera či partnerku. Viz For 2nd Time in 3 Years, Mobile Spyware Maker mSpy Leaks Millions of Sensitive Records

mspypass.png

Chyba u PGP v (některých) e-mailových klientech může zpřístupnit obsah šifrovaných e-mailů

Sebastian Schinzel na Twitteru varuje, že prozatím jediné řešení je přestat používat PGP a detaily byl měly být zveřejněný 15. května. Navíc tvrdí, že v problémech je i S/MIME, ale celé to je (v pondělí) dost nejasné. EFF varuje v Attention PGP Users: New Vulnerabilities Require You To Take Action Now.

Pokud vám to celé připadá jako divočina, tak bude připadat ještě více po přečtení Efail or OpenPGP is safer than S/MIME. Po dalším studiu zjistíte, že to vypadá na vcelku příčinnou souvislost mezi použitím HTML e-mailů a odkazů v nich a nejde tedy o chybu v PGP ale v poštovních klientech. Což ale neznamená, že to není vážné.

[14.05.18 14:09] Objevitelé nakonec informace pustili ven dřív, takže si to můžete nastudovat na efail.de – a jak se ještě před zveřejněním očekávalo, jde skutečně o zneužití odkazů v HTML e-mailech (obrázky, styly) – zajímavé je, že zásadní roli tady hraje podvržení pozměněného šifrovaného e-mailu.

1200-pexels-green-water-fountain-225769-code-computer-cyberspace-225769.jpg

Hotelové zámky od Assa Abloy jsou děravé, je možné získat univerzální klíč

Hotelové zámky od Assa Abloy jsou děravé, je možné získat univerzální klíč a odemykat cokoliv, ať už jde o pokoje, výtahy, garáže. Objev F-Secure vyprovokovala krádež notebooku z pokoje, kde v systému nebyla ani stopa po odemčení. Na téhle poměrně dost velké kauze je zábavné i to, jak Assa Abloy zesměšňuje tým v F-Secure a snaží se vyvolat dojem, že žádný problém vlastně neexistuje. Viz Hotel door locks worldwide were vulnerable to hack a F-SECURE RESEARCHERS: MASTER KEYS TO HOTELS CAN BE CREATED ‘OUT OF THIN AIR’

2018-04-25 18_51_58-Researchers Find Way to Create Master Keys to Hotels – Safe and Savvy Blog by F-.png