Inženýr z Yahoo dostal pět let dohledu a domácího vězení za hack 6 000 účtů.

Hledal v nich porno. Mimo to zaplatí 5 000 USD pokutu a 118 456 dolarů odškodnění Yahoo. Nepravosti páchal skoro deset let. K účtům se dostal získáním hashů hesel, která poté rozlouskával. Cílem byly mladé ženy, včetně přátel kolegů. Hacknuté účty navíc použil pro přístup k dalším službám kde uživatel použil e-mail od Yahoo. Ve sbírce měl mít až 4 000 fotek a videí. Viz Yahoo engineer gets no jail time after hacking 6,000 accounts to look for porn

TIP: Poučení? Mimo to, že porno zcela určitě nepatří do vašeho e-mailového účtu tak to nejzásadnější je, že první věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

2020-07-06 20_45_54-Yahoo.png

Google Authenticator 5.0 nově umožní přesouvat účty mezi zařízeními.

Google Authenticator 5.0 nově umožní přesouvat účty mezi zařízeními. Tedy něco co bylo dost dobrý důvodem proč používat (například) Authy a Google Authenticator vynechat. Via Google Authenticator gets its first update in years, finally lets you transfer accounts between devices

TIP: Dvoufaktorové ověření použijte všude tam, kde chcete lépe zabezpečit účet

2020-05-07 09_09_01-Window.png

Trh s kradenými účty pro Zoom roste.

Většina z prodávaných přihlašovacích údajů jsou uživatelé, kteří pro Zoom použili nějaké heslo, které používají již někde jinde a nachází se v záplavě úniků z minulosti (viz Recycling Credentials in Four Easy Steps). Via Market for stolen Zoom credentials is booming a tradičně platí, že používat stejné heslo všude je špatně. A také nezapomeňte, Zoom je další z účtů, které je vhodné si chránit dvoufaktorovým ověřením.

TIP: Jak bezpečně používat Zoom. Jak v Zoomu lépe nastavit soukromí.

Přes 99 % kompromitovaných účtů u Microsoftu nepoužívalo dvoufaktorové ověření.

Pokud tomu tedy stále nerozumíte, tak prosté přihlašování pomocí e-mailu a hesla není něco, co byste měli používat. Váš e-mail je zpravidla cesta k řadě dalších účtů – útočník si prostě na hacknutý e-mail pošle reset hesel v jakékoliv ze služeb. Viz More than 99% of compromised Microsoft accounts did not use Multi-Factor Authentication

TIP: První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

Malware na Androidu může krást kódy pro dvoufaktor od Google.

Jde o novou verzi trojanu Cerberus a dokáže tak obejít dvoufaktorové ověření pro přihlášení k účtům. Cerberus je přitom známý a dlouho využívaný bankovní trojan. Viz Android malware can steal Google Authenticator 2FA codes

1600-pexels-phone-pexels-photo-47261

Twitter konečně umožňuje aktivovat dvoufaktorové ověření bez nutnosti použít telefonní číslo.

Twitter konečně umožňuje aktivovat dvoufaktorové ověření bez nutnosti použít telefonní číslo. Nově můžete prostě klasicky použít některou z aplikací pro dvoufaktorové kódy (třeba Authy) a není již potřeba dostat prvotní kód přes SMS.

TIP: Hodit se určitě bude 15 kroků, jak nastavit soukromí na Twitteru, Dvoufaktorové ověření použijte všude tam, kde chcete lépe zabezpečit účet a První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

Íránští hackeři (Phosphorus) útočí na účty lidí spojených s prezidentskými volbami v USA pro rok 2020

Íránští hackeři (Phosphorus) útočí na účty lidí spojených s prezidentskými volbami v USA pro rok 2020. Z 241 e-mailových účtů se jim podařilo kompromitovat čtyři. Vše prostřednictvím resetu heslo nebo cest jak obnovit přístup k účtu s pomocí druhého účtu, který si uživatel nastavil pro případ ztráty přístupu. Detaily v Recent cyberattacks require us all to be vigilant kde Microsoft velmi správně zdůrazňuje zásadní nutnost používat dvoufaktorové ověření pro všechny e-mailové účty, které je možné k něčemu zneužít.

Bývalý zaměstnanec Yahoo hacknul 6000 účtů. Hledal na nich intimní obrázky a videa

Bývalý zaměstnanec Yahoo hacknul 6000 účtů. Hledal na nich intimní obrázky a dělal to s využitím všeho, co měl jako zaměstnanec Yahoo k dispozici. Původní mířil pouze na přátelé a známé, ale nakonec to vedlo ke kompromitaci zhruba šesti tisíc účtů na Yahoo. S pomocí tam získaných informací pak pokračoval i na účty u Gmailu, iCloudu či Dropboxu. To, že se u Yahoo dostal k heslům účtů nemůže ani překvapit, Yaho v říjnu 2017 přiznali hack a únik hesel 3 miliard účtů z roku 2013. Viz Ex-Yahoo employee hacked 6,000 accounts for sexual images

TIP: První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

Yahoo_Logo_Purple

Šéf Twitteru, Jack Dorsey, opět přišel o účet. Hackeři se na něm vyřádili záplavou nenávistných tweetů.

Šéf Twitteru, Jack Dorsey, opět přišel o účet. Hackeři se na něm vyřádili záplavou nenávistných tweetů. Velmi pravděpodobně (jak uvádí na Twitteru například Brian Krebs) k tomu došlo přes „SIM swapping„, útočníkům se podařilo získat SIM s telefonním číslem, které Dorsey používal pro dvoufaktorové ověření. Novou SIM se stejným číslem museli útočník/útočníci získat u některého z operátorů. S novou SIM pak bylo možné získat kód pro dvoufaktorové ověření nového přihlášení.

Celý příspěvek →

Klíč Titan Security není bezpečný, Google je musí vyměnit.

Klíč Titan Security není bezpečný, Google je musí vyměnit. Ještě nedávno se přitom tento hardwarový klíč pro dvoufaktorové ověření vydával za příkladné řešení. Ve skutečnosti je napadnutelný, útočník se může přes Bluetooth připojit a komunikovat jak s klíčem, tak se spárovaným zařízením. Týká se to pochopitelně jenom Bluetooth verze a útočník musí být v blízkosti (do 30 metrů.). Viz Advisory: Security Issue with Bluetooth Low Energy (BLE) Titan Security Keys

2019-05-18 08_06_54-Google Online Security Blog_ Advisory_ Security Issue with Bluetooth Low Energy .png

rychlofky

Stručnější už to prostě být nemůže. V krátkosti je síla!

Dvoufaktorové ověření