Canva hacknuto, data 139 milionů uživatelů v rukou hackera

Canva hacknuto, data 139 milionů uživatelů v rukou hackera. Hesla měla být ukládána jako hash+salt (bcrypt), takže teoreticky v bezpečí. Na druhou stranu, stejně jako u Flipboardu platí poznámka, že nikdo neví jak to bylo a preventivně považujte vaše heslo v Canva za kompromitované. Viz Australian tech unicorn Canva suffers security breach a uniklá data obsahují uživatelská a skutečná jména, e-maily, město a zemi. Hash hesel unikl pro 61 milionů uživatelů, u ostatních token pro Google, který byl použit pro přihlášení. Hack se netýká služeb Pexels a Pixabay, které Canva nedávno koupila.

2019-05-30 18_51_44-Spolupracujte a vytvářejte úžasné grafické návrhy zcela zdarma.png

Reklamy

Flipboard hacknut a nevěděli o tom více než devět měsíců. Hackerům se podařilo získat přístup k databázím.

Flipboard hacknut a nevěděli o tom více než devět měsíců. Hackerům se podařilo získat přístup k databázím. Flipboard má přitom přes 145 milionů měsíčních aktivních uživatelů – ohrožena by prý ale měla být jenom část nebo jenom část jejich dat (ale víte jak to s hacknutím chodí). Uniklá data určitě zahrnují jména, e-mail, šifrovaná hesla (hash+salt). Ty ostatně jsou preventivně resetnutá (a považujte je za kompromitovaná, zejména ty starší než březen 2012 kdy byl používán pouze SHA-1). Hrozbou je u únik tokenů, kterými se uživatelé připojili na sociální sítě. Viz NOTICE OF SECURITY INCIDENT

2019-05-30 16_57_40-Notice of Security Incident.png

First American Financial nechali na webu volně přístupné stovky milionů citlivých dokumentů

First American Financial nechali na webu volně přístupné stovky milionů citlivých dokumentů. Upozorňuje na to Brian Krebs v First American Financial Corp. Leaked Hundreds of Millions of Title Insurance Records a je to klasický příběh. Dokumenty byly volně dostupné a stačilo jenom znát jejich URL a ze znalosti jedné URL se dalo dostat k dalším dokumentům. Volně dostupných bylo zhruba 885 milionů soubor za posledních zhruba 16 let.

2019-05-25 10_08_21-First American Financial Corp. Leaked Hundreds of Millions of Title Insurance Re.png

Aplikaci WiFi Finder unikly přes dva miliony hesel k Wi-Fi sítím.

Aplikaci WiFi Finder unikly přes dva miliony hesel k Wi-Fi sítím. Ty do aplikace nahrávali sami uživatelé, ale asi netušili, že provozovatel nechá databází volně přístupnou na Internetu. Co navíc, jde o čínskou aplikaci, jejíž autor nereaguje. Databází nakonec odstranil poskytovatel hostingu po dvou týdnech marných pokusů kontaktovat autory aplikace. V databází jsou jména sítí, přesná geolokace, BSSID a heslo v čistě textové podobě.

2019-04-22 18_50_02-Window.png

Microsoft potvrdil kompromitování e-mailů zákazníků.

Microsoft potvrdil kompromitování e-mailů zákazníků. Útočníci se měli dostat k jménům složek, předmětům e-mailů a jménům lidí se kterými napadení komunikovali. K obsahu či přílohám prý ne, k heslům také ne. Problém se týká období od 1. ledna do 28. března. Zajímavé na útoku je, že došlo ke kompromitaci osoby či osob z podpory zákazníků. Zda šlo o interní zaměstnance či externího dodavatele upřesněno nebylo. Viz Microsoft: Hackers compromised support agent’s credentials to access customer email accounts

Microsoft postiženým uživatelům posílá následující e-mail a je vhodné si změnit heslo. Tradičně nezapomeňte na pravidelnou kontrolu vašich hesel v haveibeenpwned.com (viz Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?)

2019-04-14 08_17_46-Microsoft_ Hackers compromised support agent’s credentials to access customer em2019-04-14 08_17_55-Microsoft_ Hackers compromised support agent’s credentials to access customer em

22 000 čitelných hesel k účtům nalezeno v Amazon databází, a pocházejí z Facebookové aplikace jménem At the Pool

22 000 čitelných hesel k účtům nalezeno v Amazon databází, a pocházejí z Facebookové aplikace jménem At the Pool, která přestala existovat v roce 2014. Mimo to databáze obsahuje i další informace propojující účty z aplikace (hesla jsou k účtu v mobilní aplikaci) a účty na Facebooku. Což v praxi může klasicky znamenat, že tito lidé používali (a možná stále používají) stejné heslo i pro Facebook. Viz Losing Face: Two More Cases of Third-Party Facebook App Data Exposure

2019-04-04 07_35_29-At The Pool - New People. New Experiences. New Inspirations..png

540 milionů účtů z Facebooku nalezeno online. Pocházejí od Cultura Colectiva a jde o klasický příklad „scrappingu“

540 milionů účtů z Facebooku nalezeno online. 146 GB dat obsahuje komentáře, líbí, reakce, jména účtů, ID účtů a další informace. Podle Losing Face: Two More Cases of Third-Party Facebook App Data Exposure pocházejí od Cultura Colectiva a jde o klasický příklad „scrappingu“, tedy shromažďování dat o uživatelích cestami, které to umožňují, včetně stahování přístupných dat přes webové rozhraní. Jde o rok starý skandál popsaný v Zuckerberg: Většina dat 2.2 miliardy uživatelů byla nejspíš kompromitována a podobných sbírek existuje minimálně stovky

2019-04-04 07_29_45-Losing Face_ Two More Cases of Third-Party Facebook App Data Exposure.png