Canva hacknuto, data 139 milionů uživatelů v rukou hackera

Canva hacknuto, data 139 milionů uživatelů v rukou hackera. Hesla měla být ukládána jako hash+salt (bcrypt), takže teoreticky v bezpečí. Na druhou stranu, stejně jako u Flipboardu platí poznámka, že nikdo neví jak to bylo a preventivně považujte vaše heslo v Canva za kompromitované. Viz Australian tech unicorn Canva suffers security breach a uniklá data obsahují uživatelská a skutečná jména, e-maily, město a zemi. Hash hesel unikl pro 61 milionů uživatelů, u ostatních token pro Google, který byl použit pro přihlášení. Hack se netýká služeb Pexels a Pixabay, které Canva nedávno koupila.

2019-05-30 18_51_44-Spolupracujte a vytvářejte úžasné grafické návrhy zcela zdarma.png

Reklamy

First American Financial nechali na webu volně přístupné stovky milionů citlivých dokumentů

First American Financial nechali na webu volně přístupné stovky milionů citlivých dokumentů. Upozorňuje na to Brian Krebs v First American Financial Corp. Leaked Hundreds of Millions of Title Insurance Records a je to klasický příběh. Dokumenty byly volně dostupné a stačilo jenom znát jejich URL a ze znalosti jedné URL se dalo dostat k dalším dokumentům. Volně dostupných bylo zhruba 885 milionů soubor za posledních zhruba 16 let.

2019-05-25 10_08_21-First American Financial Corp. Leaked Hundreds of Millions of Title Insurance Re.png

Aplikaci WiFi Finder unikly přes dva miliony hesel k Wi-Fi sítím.

Aplikaci WiFi Finder unikly přes dva miliony hesel k Wi-Fi sítím. Ty do aplikace nahrávali sami uživatelé, ale asi netušili, že provozovatel nechá databází volně přístupnou na Internetu. Co navíc, jde o čínskou aplikaci, jejíž autor nereaguje. Databází nakonec odstranil poskytovatel hostingu po dvou týdnech marných pokusů kontaktovat autory aplikace. V databází jsou jména sítí, přesná geolokace, BSSID a heslo v čistě textové podobě.

2019-04-22 18_50_02-Window.png

Microsoft potvrdil kompromitování e-mailů zákazníků.

Microsoft potvrdil kompromitování e-mailů zákazníků. Útočníci se měli dostat k jménům složek, předmětům e-mailů a jménům lidí se kterými napadení komunikovali. K obsahu či přílohám prý ne, k heslům také ne. Problém se týká období od 1. ledna do 28. března. Zajímavé na útoku je, že došlo ke kompromitaci osoby či osob z podpory zákazníků. Zda šlo o interní zaměstnance či externího dodavatele upřesněno nebylo. Viz Microsoft: Hackers compromised support agent’s credentials to access customer email accounts

Microsoft postiženým uživatelům posílá následující e-mail a je vhodné si změnit heslo. Tradičně nezapomeňte na pravidelnou kontrolu vašich hesel v haveibeenpwned.com (viz Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?)

2019-04-14 08_17_46-Microsoft_ Hackers compromised support agent’s credentials to access customer em2019-04-14 08_17_55-Microsoft_ Hackers compromised support agent’s credentials to access customer em

22 000 čitelných hesel k účtům nalezeno v Amazon databází, a pocházejí z Facebookové aplikace jménem At the Pool

22 000 čitelných hesel k účtům nalezeno v Amazon databází, a pocházejí z Facebookové aplikace jménem At the Pool, která přestala existovat v roce 2014. Mimo to databáze obsahuje i další informace propojující účty z aplikace (hesla jsou k účtu v mobilní aplikaci) a účty na Facebooku. Což v praxi může klasicky znamenat, že tito lidé používali (a možná stále používají) stejné heslo i pro Facebook. Viz Losing Face: Two More Cases of Third-Party Facebook App Data Exposure

2019-04-04 07_35_29-At The Pool - New People. New Experiences. New Inspirations..png

540 milionů účtů z Facebooku nalezeno online. Pocházejí od Cultura Colectiva a jde o klasický příklad „scrappingu“

540 milionů účtů z Facebooku nalezeno online. 146 GB dat obsahuje komentáře, líbí, reakce, jména účtů, ID účtů a další informace. Podle Losing Face: Two More Cases of Third-Party Facebook App Data Exposure pocházejí od Cultura Colectiva a jde o klasický příklad „scrappingu“, tedy shromažďování dat o uživatelích cestami, které to umožňují, včetně stahování přístupných dat přes webové rozhraní. Jde o rok starý skandál popsaný v Zuckerberg: Většina dat 2.2 miliardy uživatelů byla nejspíš kompromitována a podobných sbírek existuje minimálně stovky

2019-04-04 07_29_45-Losing Face_ Two More Cases of Third-Party Facebook App Data Exposure.png

Rodinná aplikace pro sledování poloha umožňovala komukoliv zjistit kde jste. Family Locator okamžitě odinstalovat

Rodinná aplikace pro sledování poloha umožňovala komukoliv zjistit kde jste. Otázkou je, proč by někdo něco jako Family Locator (přes 238 tisíc uživatelů) používal, když stejnou funkčnost umí například samotný Google i Apple. Jinak je to klasický příběh o nezabezpečené databázi (MongoDB) ve které byly k dispozici polohové informace přímo v reálném čase.

Jako bonus navíc nešifrovaná hesla, žádné reálné podmínky ochrany soukromí a nekontaktovatelný autor (React Apps), který skrývá identitu jak v registru firem, tak v registru firem v Austrálii. Takže pokud jste Family Locator použili, máte kompromitované heslo a je čas tu aplikaci odinstalovat.  Viz A family tracking app was leaking real-time location data

2019-03-24 07_31_30-React Apps Celý příspěvek