WPML web hacknut, prý naštvaným zákazníkem. Zda je WPML samotné bezpečné zatím jasné není.

WPML web hacknut, prý naštvaným zákazníkem, který přišel o dva weby skrz děravé pluginy od WPML. Navíc měl použít ty samé chyby, které setrvávaly ve WPML pluginech. Nutno dodat, že komerční plugin pro tvorbu vícejazyčných webů s pomocí WordPressu je aktivní na více než 600 tisících webech.

WPML ve vyjádření pro  WPML Website Hacked, Customer Emails Compromised uvádí, že za hacknutím stojí bývalý zaměstnanec, který na serveru nechal zadní vrátka. Řešit to prý budou právní cestou. Pro ty co WPML mají nasazené to ale stále znamená, že možná mají na serveru také zadní vrátka. Na webu WPML aktuálně ([20.01.19]) ani slovo.

2019-01-20 12_39_40-WPML - The WordPress Multilingual Plugin.png

 

Reklamy

Hack Marriottu: 5 milionů nešifrovaných čísel pasů

Hack Marriottu: 5 milionů nešifrovaných čísel pasů, méně než 383 milionů unikátních hostů, 20 milionů šifrovaných čísel pasů, 8:6 milionů čísel platebních karet z nichž 354 tisíc bylo aktivních a platných (v říjnu 2018). Marriott už odstavil kompletní napadený rezervační systém Starwood hotelů a vše nyní probíhá přes systémy Mariottu.

2018-11-30 13_32_36-Marriott Announces Starwood Guest Reservation Database Security Incident _ Marri

 

 

Zásadní únik osobních dat německých politiků (ale i celebrit a novinářů)

Zásadní únik osobních dat německých politiků (ale i celebrit a novinářů) se začal objevovat už prosinci. Telefonní čísla, adresy, interní stranické dokumenty, čísla platebních karet, záznamy privátních chatových komunikací, vše postupně zveřejňované na účtu na Twitteru.

Vlastně nic překvapivého, tedy až na maličkost, že v úniku nejsou lidé z AfD. Plus klasicky, mezi reálnými věcmi je i dostatek vložených výmyslů a manipulací. Viz German politicians’ personal data leaked online a German politicians targeted in mass hack attack. Vedle @_0rbit fungoval ještě @_0rbiter a blog na 0rbiter.blogspot.com a tohle vše může mít kořeny v hacku několika desítek vládních počítačů v březnu 2018.  Je velmi pravděpodobné že tam se hackeři dostali k přihlašovacím údajům a pak je prostě zkoušeli na dalších službách – klasicky s používáním stále stejného hesla uspěli. Jiná teorie zmiňuje, že se dostali nejprve k heslům účtů na sociálních sítích.

Účty na Twitteru i web jsou zablokované, ale úniky jsou ještě dostupné – třeba přes bit.ly/2BSpeta (bit.ly/2F2mcFQ), bit.ly/2Rk1BmT

2019-01-04 14_10_45-PrivateBin.png

Insinia Security poněkud svérázně upozorňují na chybu na Twitteru – hackují účty

Insinia Security poněkud svérázně upozorňují na chybu na Twitteru – hackují účty známých lidí. Byť hackují je trochu nepřesné – chyba má umožnit při znalosti telefonního čísla spojeného s účtem vkládat na účet tweety a některé další aktivity. Viz This account has been hijacked (temporarily)! kde upozorňují, že na problém přišli už v březnu, Twitter to nechal být. Znovu zkusili Twitter upozornit v listopadu, opět se nic nestalo.

Podle popisu to vypadá, že je to poměrně dost trapná chyba – prostě pokud dorazí SMS se správným číslem, Twitter ji zpracuje aniž by cokoliv ověřoval. No a protože odesílatel zprávy (číslo) se dá falšovat… Pokud se tedy ptáte jak se něčemu takovému vyhnout? Odstraňte ze svého Twitteru telefonní číslo (dvoufaktor přes SMS je tak jako tak dost rizikový).

2018-12-28 16_22_08-Window.png

K hacknutí celé firmy stačí málo, jeden hacknutý laptop

K hacknutí celé firmy stačí málo, jeden hacknutý laptop. Jeden zaměstnance, který klikne na něco na co kliknout neměl. Ve hře v tomto případu jsou hacknuté weby na WordPressu/Joomle a phishingové maily. Ale také to, že ochrana proti malware byla plně funkční jen v okamžiku kdy zařízení (laptop) bylo uvnitř firemní sítě. Poučné čtení v How one hacked laptop led to an entire network being compromised

pexels-person-using-black-laptop-computer-159195-computer-hand-laptop-159195

Hackeři se naučili obcházet dvoufaktorové ověření u Gmailu ve velkém měřítku.

Hackeři se naučili obcházet dvoufaktorové ověření u Gmailu ve velkém měřítku. Nejlépe jim to funguje u kódů posílaných SMS, ale obejít umějí i aplikační 2FA. Zajímavé na How Hackers Bypass Gmail 2FA at Scale je i zmínka o využití online služeb pro migrací účtů z Gmailu do Yahoo – po získání přístupu prostě všechny maily přenesou.  Bezpečnější ochrana účtu než klasický 2FA je použít hardware – klíče připojované k počítači přes USB.

TIP:  První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

2015-12-26 13_08_26-Gmail

Tisíce liber týdně vydělávají děti hackující Fornite.

Tisíce liber týdně vydělávají děti hackující Fornite. Cílem jsou pochopitelně účty dalších hráčům, které jsou poté prodávány. Podle toho jak dobře je vybavený může účet stát až stovky liber. Přitom stačí málo, přidat si k účtu u Epic Games dvoufaktorové ověření. viz Fortnite teen hackers ‚earning thousands of pounds a week‘

Fortniteblogstate-of-development-v5SupplyLlama_FN_Social_MetaData-1200x628-85adf3d5a61880bc81893caf620486f0b3d8edc4