Aplikaci WiFi Finder unikly přes dva miliony hesel k Wi-Fi sítím. Ty do aplikace nahrávali sami uživatelé, ale asi netušili, že provozovatel nechá databází volně přístupnou na Internetu. Co navíc, jde o čínskou aplikaci, jejíž autor nereaguje. Databází nakonec odstranil poskytovatel hostingu po dvou týdnech marných pokusů kontaktovat autory aplikace. V databází jsou jména sítí, přesná geolokace, BSSID a heslo v čistě textové podobě.
Aplikace řešící duševní zdraví sdílejí data s dalšími subjekty, včetně citlivých údajů. Chcete přestat kouřit? Máte depresi a potřebujete pomoci? Můžete zkusit některou ze zdarma dostupných aplikací, které vám mají pomoci. Problém je, že data o vás tyhle aplikace posílají do Facebook, Google ale i třetím stranám. V Pravidlech užití o tom není ani slova, byť sdílí i třeba záznamy z deníku. V řadě případů údaje zneužitelné. Viz Assessment of the Data Sharing and Privacy Practices of Smartphone Apps for Depression and Smoking Cessation a That mental health app might share your data without telling you
Facebook ukládal čitelná hesla uživatelů Instagramu, to už víme, jde o březnový incidet.. Netýkalo se to ale desítek tisíc, ale milionů uživatelů. V praxi se klasicky potvrzuje, že tvrzením o rozsahu bezpečnostního problémů nemůžete u (nejenom) Facebook nikdy věřit.. Viz Facebook now says its password leak affected ‘millions’ of Instagram users a Keeping Passwords Secure
Facebook „neúmyslně“ získal 1.5 milionu e-maily lidí aniž by k tomu měl svolení. Jde o nové uživatele od května 2016 od kterých chtěl dokonce hesla k e-mailové schránce, tedy něco co v žádném případě Facebooku (ani nikomu) nesmíte dávat. Pokud uživatel přístupové údaje odevzdal, Facebook si stáhl kontakty z e-mailu a získal tak řadu dalších e-mailů, které uživatel měl v e-mailech. O čísle 1.5 milionu se každopádně dá pochybovat, počet získaných e-mailových adresu bude podstatně větší a 1.5 milionu bude možná spíše počet schránek, do kterých se Facebook poněkud podloudně dostal. Nejvíce absurdní je, že hesla k e-mailům chtěl Facebook pro ověření nově zakládaného účtu. Viz Facebook says it ‚unintentionally uploaded‘ 1.5 million people’s email contacts without their consent
TIP: Linkedin, Facebooku, nikomu nedávejte heslo ke své poštovní schránce
PayPal konečně umí klasický dvoufaktor. Třeba s pomocí užitečné aplikace Authy. Viz PayPal adds authenticator app as 2-step verification option a protože v PayPal jde o peníze, tak je asi dost jasné, že byste si ten dvoufaktor měli co nejrychleji aktivovat.
TIP: Ale ještě předtím než si to zapnete v PayPal, mrkněte do První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Microsoft potvrdil kompromitování e-mailů zákazníků. Útočníci se měli dostat k jménům složek, předmětům e-mailů a jménům lidí se kterými napadení komunikovali. K obsahu či přílohám prý ne, k heslům také ne. Problém se týká období od 1. ledna do 28. března. Zajímavé na útoku je, že došlo ke kompromitaci osoby či osob z podpory zákazníků. Zda šlo o interní zaměstnance či externího dodavatele upřesněno nebylo. Viz Microsoft: Hackers compromised support agent’s credentials to access customer email accounts
Microsoft postiženým uživatelům posílá následující e-mail a je vhodné si změnit heslo. Tradičně nezapomeňte na pravidelnou kontrolu vašich hesel v haveibeenpwned.com (viz Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?)
Útočnící vytvářejí účty u Epic Games s pomocí cizích e-mailů. Zajímavé na tom je, že Epic Games to přiznal jako útok a prý pracuje na mazání těchto účtů. Zvláštní s ohledem na to, že založení účtu musíte odjakživa potvrdit – na účet přijde e-mail, kliknete na odkaz, potvrdíte založení. Z Cyber-Attackers Are Making Phony Epic Games Accounts With Other People’s Emails to ale vypadá, že Epic Games tuhle nutnou věc zcela vynechali. A aby toho nebylo málo, u Epic Games je navíc možné používat brute-force pro zjištění hesla.
