Íránští hackeři (Phosphorus) útočí na účty lidí spojených s prezidentskými volbami v USA pro rok 2020

Íránští hackeři (Phosphorus) útočí na účty lidí spojených s prezidentskými volbami v USA pro rok 2020. Z 241 e-mailových účtů se jim podařilo kompromitovat čtyři. Vše prostřednictvím resetu heslo nebo cest jak obnovit přístup k účtu s pomocí druhého účtu, který si uživatel nastavil pro případ ztráty přístupu. Detaily v Recent cyberattacks require us all…

Bývalý zaměstnanec Yahoo hacknul 6000 účtů. Hledal na nich intimní obrázky a videa

Bývalý zaměstnanec Yahoo hacknul 6000 účtů. Hledal na nich intimní obrázky a dělal to s využitím všeho, co měl jako zaměstnanec Yahoo k dispozici. Původní mířil pouze na přátelé a známé, ale nakonec to vedlo ke kompromitaci zhruba šesti tisíc účtů na Yahoo. S pomocí tam získaných informací pak pokračoval i na účty u Gmailu,…

Šéf Twitteru, Jack Dorsey, opět přišel o účet. Hackeři se na něm vyřádili záplavou nenávistných tweetů.

Šéf Twitteru, Jack Dorsey, opět přišel o účet. Hackeři se na něm vyřádili záplavou nenávistných tweetů. Velmi pravděpodobně (jak uvádí na Twitteru například Brian Krebs) k tomu došlo přes “SIM swapping“, útočníkům se podařilo získat SIM s telefonním číslem, které Dorsey používal pro dvoufaktorové ověření.  Novou SIM se stejným číslem museli útočník/útočníci získat u některého…

Klíč Titan Security není bezpečný, Google je musí vyměnit.

Klíč Titan Security není bezpečný, Google je musí vyměnit. Ještě nedávno se přitom tento hardwarový klíč pro dvoufaktorové ověření vydával za příkladné řešení. Ve skutečnosti je napadnutelný, útočník se může přes Bluetooth připojit a komunikovat jak s klíčem, tak se spárovaným zařízením. Týká se to pochopitelně jenom Bluetooth verze a útočník musí být v blízkosti…

PayPal konečně umí klasický dvoufaktor. Třeba s pomocí užitečné aplikace Authy.

PayPal konečně umí klasický dvoufaktor. Třeba s pomocí užitečné aplikace Authy. Viz PayPal adds authenticator app as 2-step verification option a protože v PayPal jde o peníze, tak je asi dost jasné, že byste si ten dvoufaktor měli co nejrychleji aktivovat. TIP: Ale ještě předtím než si to zapnete v PayPal, mrkněte do První věc, co…

Hackeři se naučili obcházet dvoufaktorové ověření u Gmailu ve velkém měřítku.

Hackeři se naučili obcházet dvoufaktorové ověření u Gmailu ve velkém měřítku. Nejlépe jim to funguje u kódů posílaných SMS, ale obejít umějí i aplikační 2FA. Zajímavé na How Hackers Bypass Gmail 2FA at Scale je i zmínka o využití online služeb pro migrací účtů z Gmailu do Yahoo – po získání přístupu prostě všechny maily…

Hacknuté účty na Instagramu vyvolávají pochybnosti o dvoufaktorovém ověření

Hacknuté účty na Instagramu vyvolávají pochybnosti o dvoufaktorovém ověření, píší v Instagram hacks raise questions about its 2FA security. Tady je nutné dodat, že Instagram má 2FA v klasické základní SMS podobě, té co je méně vhodná, ale také lepší než nic. Na druhou stranu, tyhle pochyby vyvolává to, že zhruba 10 z 275 hacknutých…

Reddit hacknut, přes špatně fungující dvoufaktorové ověření

Reddit hacknut, přes špatně fungující dvoufaktorové ověření u vlastních zaměstnanců společnosti. Reddit důvěřoval v dvoufaktor přes SMS a útočníkům se podařilo právy ověřovací SMS odchytit. Viz We had a security incident. Here’s what you need to know. Útočnící se dostali k datům ze záloh až do roku 2007, logům s e-maily poslanými od 3. června…

Podvodníci ovládají účty lidí u Apple s pomocí rodinného sdílení.

To totiž umožňuje k účtu přidat další účet členů rodiny a umožnit jim nakupovat, ale v rukou útočníku se mění v nástroj co zablokuje původního vlastníka a jim umožní nakupovat. Obrana? Rozhodně dvoufaktorové ověření, lidé jsou totiž příliš laxní v ochotě napsat heslo kam nemají a odkliknout co nemají. Viz People are discovering that scammers…