Η Marriott International υποφέρει από την παραβίαση δεδομένων των 500 μέτρων
Διαφήμιση
Τόσες πηγαίνουν κάθε μήνα στον κόσμο της ασφάλειας του κυβερνοχώρου, της ιδιωτικής ζωής στο διαδίκτυο και της προστασίας των δεδομένων. Είναι δύσκολο να συμβαδίσει!
Η μηνιαία αναζήτησή μας για την ασφάλεια θα σας βοηθήσει να παρακολουθείτε τις πιο σημαντικές ειδήσεις ασφάλειας και ιδιωτικότητας κάθε μήνα. Εδώ είναι τι συνέβη τον Νοέμβριο.
1. Η Marriott International υποφέρει από παραβίαση δεδομένων των 500 μέτρων
Όπως πάντα, ένα από τα μεγαλύτερα κομμάτια ειδήσεων ασφαλείας χτυπά στο τέλος του μήνα.
Τον Νοέμβριο ολοκληρώθηκε με το ξενοδοχειακό συγκρότημα Marriott International αποκαλύπτοντας τεράστια παραβίαση δεδομένων. Πιστεύεται ότι έως και 500 εκατομμύρια αρχεία πελατών επηρεάζονται καθώς ο εισβολέας είχε πρόσβαση στο δίκτυο διαίρεσης Marriott International Starwood από το 2014.
Η Marriott International απέκτησε το Starwood το 2016 για να δημιουργήσει τη μεγαλύτερη ξενοδοχειακή αλυσίδα στον κόσμο, με περισσότερα από 5.800 ακίνητα.
Η διαρροή σημαίνει διαφορετικά πράγματα για διαφορετικούς χρήστες. Ωστόσο, οι πληροφορίες για κάθε χρήστη περιέχουν έναν συνδυασμό:
- Ονομα
- Διεύθυνση
- Τηλεφωνικό νούμερο
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
- Αριθμός διαβατηρίου
- Πληροφορίες λογαριασμού
- Ημερομηνια γεννησης
- Γένος
- Πληροφορίες άφιξης και αναχώρησης
Ίσως πολύ σημαντικό να είναι η αποκάλυψη του Marriott ότι κάποια αρχεία περιλάμβαναν κρυπτογραφημένες πληροφορίες για την κάρτα, αλλά επίσης δεν μπορούσαν να αποκλείσουν ότι και τα ιδιωτικά κλειδιά είχαν κλαπεί.
Το μακρύ και το σύντομο από αυτό είναι: εάν παραμείνατε σε οποιοδήποτε ξενοδοχείο Marriott Starwood, συμπεριλαμβανομένων των ιδιοκτησιών χρονομεριστικής μίσθωσης, πριν από τις 10 Σεπτεμβρίου 2018, οι πληροφορίες σας ενδέχεται να έχουν παραβιαστεί.
Η Marriott λαμβάνει μέτρα για την προστασία των δυνητικά επηρεασμένων χρηστών, προσφέροντας δωρεάν συνδρομή ενός έτους στο WebWatcher. Οι Αμερικανοί πολίτες θα λάβουν δωρεάν δωρεάν διαβούλευση και επιστροφή εξόδων. Κατά την τρέχουσα περίοδο, υπάρχουν τρεις τοποθεσίες εγγραφής:
- Ηνωμένες Πολιτείες
- Καναδάς
- Ηνωμένο Βασίλειο
Διαφορετικά, ελέγξτε αυτούς τους τρεις απλούς τρόπους για να προστατεύσετε τα δεδομένα σας Πώς να Αντιμετωπίστε τις παραβιάσεις δεδομένων: 3 απλοί τρόποι για να προστατεύσετε τα δεδομένα σας Πώς να αντιμετωπίσετε τις παραβιάσεις δεδομένων: 3 απλοί τρόποι για να προστατεύσετε τα δεδομένα σας Οι παραβιάσεις δεδομένων δεν επιφέρουν μόνο τις τιμές των μετοχών και την κυβέρνηση προϋπολογισμών. Τι πρέπει να κάνετε όταν χτυπήσουν τα νέα της παραβίασης; Διαβάστε περισσότερα μετά από μια μεγάλη παραβίαση.
2. Βιβλιοθήκη JavaScript με ροή συμβάντων που εισήχθη με κακόβουλο λογισμικό κρυπτογράφησης
Μια βιβλιοθήκη JavaScript που λαμβάνει πάνω από 2 εκατομμύρια λήψεις την εβδομάδα εγχύθηκε με κακόβουλο κώδικα που σχεδιάστηκε για να κλέψει κρυπτοσυχνότητες.
Το αποθετήριο Event-Stream, ένα πακέτο JavaScript που απλοποιεί τη λειτουργία με τις ενότητες συνεχούς ροής Node.js, βρέθηκε ότι περιέχει κώδικα που δεν είναι κωδικοποιημένος. Όταν οι ερευνητές αποκάλυψαν τον κώδικα, κατέστη σαφές ότι ο στόχος του ήταν η κλοπή του καρκίνου.
Η ανάλυση προτείνει τις βιβλιοθήκες κωδικών στόχων που σχετίζονται με το πορτοφόλι Bitpein Copay για κινητά και επιτραπέζιους υπολογιστές. Εάν το πορτοφόλι Copay υπάρχει σε ένα σύστημα, ο κακόβουλος κώδικας επιχειρεί να κλέψει τα περιεχόμενα του πορτοφολιού. Προσπαθεί στη συνέχεια να συνδεθεί με μια Μαλαισιανή διεύθυνση IP.
Ο κακόβουλος κώδικας μεταφορτώθηκε στο χώρο αποθήκευσης του Event-Stream αφού ο αρχικός προγραμματιστής, ο Dominic Tarr, έδωσε τον έλεγχο της βιβλιοθήκης σε έναν άλλο προγραμματιστή, right9ctrl.
Το Right9ctrl ανέβασε μια νέα έκδοση της βιβλιοθήκης σχεδόν αμέσως μόλις δόθηκε ο έλεγχος, η νέα έκδοση που περιέχει τον κακόβουλο κώδικα που στοχεύει τα πορτοφόλια Copay.
Ωστόσο, από τότε, το right9ctrl έχει ανεβάσει μια νέα έκδοση της βιβλιοθήκης - χωρίς κακόβουλο κώδικα. Η νέα μεταφόρτωση συμπίπτει επίσης με την ενημέρωση του Copay για τα πακέτα πορτοφολιών κινητής και επιφάνειας εργασίας για την κατάργηση της χρήσης των βιβλιοθηκών JavaScript που στοχεύει ο κακόβουλος κώδικας.
3. Το Amazon υποφέρει από τις ημερομηνίες παραβίασης δεδομένων πριν από την μαύρη Παρασκευή
Λίγες μέρες πριν από τη μεγαλύτερη ημέρα των αγορών του έτους (bar Single Day της Κίνας, φυσικά), Amazon υπέστη μια παραβίαση δεδομένων.
"Σας επικοινωνούμε μαζί σας για να σας ενημερώσουμε ότι ο ιστότοπός μας αποκάλυψε ακούσια το όνομά σας και τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας λόγω τεχνικού σφάλματος. Το ζήτημα έχει διορθωθεί. Αυτό δεν είναι αποτέλεσμα οτιδήποτε έχετε κάνει και δεν χρειάζεται να αλλάξετε τον κωδικό πρόσβασής σας ή να κάνετε οποιαδήποτε άλλη ενέργεια. "
Είναι δύσκολο να μετρήσουμε τις ακριβείς λεπτομέρειες της παραβίασης επειδή, καλά, το Amazon δεν λέει. Ωστόσο, οι χρήστες του Amazon στο Ηνωμένο Βασίλειο, τις ΗΠΑ, τη Νότια Κορέα και τις Κάτω Χώρες ανέφεραν ότι έλαβαν ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την Amazon σχετικά με την παραβίαση, επομένως ήταν ένα αρκετά παγκόσμιο ζήτημα.
Οι χρήστες μπορούν να πάρουν κάποια παρηγοριά επειδή ήταν ένα τεχνικό ζήτημα του Αμαζονίου που οδήγησε στην παραβίαση των δεδομένων, παρά μια επίθεση εναντίον του Amazon. Η απελευθέρωση των πληροφοριών δεν περιέχει ούτε τραπεζικές πληροφορίες.
Ωστόσο, το μήνυμα του Amazon ότι δεν υπάρχει λόγος να αλλάξουν οι κωδικοί πρόσβασης οι χρήστες που τους έχουν επηρεαστεί είναι λάθος. Εάν έχετε επηρεαστεί από την παραβίαση δεδομένων του Αμαζονίου, αλλάξτε τον κωδικό πρόσβασης του λογαριασμού σας.
4. Αυτο-κρυπτογράφηση της Samsung και Crucial SSD ευπάθειες
Οι ερευνητές της ασφάλειας αποκάλυψαν πολλαπλές κρίσιμες ευπάθειες στη Samsung και Crucial αυτο-κρυπτογραφημένα SSD. Η ερευνητική ομάδα εξέτασε τρία βασικά SSD και τέσσερα SSD της Samsung, βρίσκοντας κρίσιμα ζητήματα με κάθε μοντέλο που δοκιμάστηκε.
Ο Carlo Meijer και ο Bernard van Gastel, ερευνητές ασφάλειας στο Πανεπιστήμιο Radboud στην Ολλανδία, αναγνώρισαν τις ευπάθειες [PDF] στην εφαρμογή των οδηγών ATA security και TCG Opal, οι οποίες είναι δύο προδιαγραφές για την εφαρμογή κρυπτογράφησης σε SSD που χρησιμοποιούν κρυπτογράφηση βασισμένη σε υλικό.
Υπάρχουν διάφορα θέματα:
- Η έλλειψη κρυπτογραφικής δέσμευσης μεταξύ του κλειδιού κρυπτογράφησης κωδικού πρόσβασης και δεδομένων σημαίνει ότι ο εισβολέας μπορεί να ξεκλειδώσει δίσκους τροποποιώντας τη διαδικασία επικύρωσης του κωδικού πρόσβασης.
- Το Crucial MX300 έχει έναν κύριο κωδικό πρόσβασης που έχει οριστεί από τον κατασκευαστή-αυτός ο κωδικός είναι μια κενή συμβολοσειρά, π.χ., δεν υπάρχει κανένας.
- Ανάκτηση των κλειδιών κρυπτογράφησης δεδομένων της Samsung μέσω της εκμετάλλευσης της ισοστάθμισης φθοράς SSD.
Συναρπαστικά, οι ερευνητές δήλωσαν ότι αυτά τα τρωτά σημεία θα μπορούσαν να ισχύουν πολύ για άλλα μοντέλα καθώς και για διαφορετικούς κατασκευαστές SSD.
Αναρωτιέστε πώς να προστατεύσετε τους δίσκους σας; Εδώ είναι πώς προστατεύετε τα δεδομένα σας χρησιμοποιώντας το εργαλείο κρυπτογράφησης ανοιχτού κώδικα VeraCrypt Πώς να κρυπτογραφήσετε και να προστατεύσετε τα δεδομένα και τα αρχεία σας χρησιμοποιώντας το VeraCrypt Πώς να κρυπτογραφήσετε και να προστατεύσετε τα δεδομένα και τα αρχεία σας χρησιμοποιώντας το VeraCrypt Το VeraCrypt είναι ένα δωρεάν εργαλείο κρυπτογράφησης ανοιχτού κώδικα που μπορείτε να χρησιμοποιήσετε να κρυπτογραφείτε και να προστατεύετε τα πολύτιμα προσωπικά σας δεδομένα στα Windows. Διαβάστε περισσότερα .
5. Η καμπάνια κακομεταφοράς της Apple Pay Target απευθύνεται στους χρήστες iPhone
Οι χρήστες του iPhone είναι ο στόχος μιας συνεχούς καμπάνιας κακοποίησης που αφορά την Apple Pay.
Η καμπάνια προσπαθεί να ανακατευθύνει και να εξαπατήσει τους χρήστες των διαπιστευτηρίων της Apple Pay χρησιμοποιώντας δύο αναδυόμενα παράθυρα ηλεκτρονικού "ψαρέματος" (phishing), με την επίθεση να προέρχεται από μια σειρά από εφημερίδες και περιοδικά υψηλής ποιότητας όταν έχουν πρόσβαση μέσω iOS.
Το κακόβουλο λογισμικό, γνωστό ως PayLeak, προσφέρει ανυποψίαστους χρήστες iPhone που κάνουν κλικ σε μια κακόβουλη διαφήμιση σε έναν τομέα εγγεγραμμένο στην Κίνα.
Όταν ο χρήστης φτάσει στον τομέα, το κακόβουλο λογισμικό ελέγχει μια σειρά διαπιστευτηρίων, συμπεριλαμβανομένης της κίνησης της συσκευής, του τύπου συσκευής (Android ή iPhone) και αν το πρόγραμμα περιήγησης συσκευών είναι το Linux x86_64, το Win32 ή το MacIntel.
Επιπλέον, το κακόβουλο λογισμικό ελέγχει τη συσκευή για εφαρμογές antivirus ή antimalware.
Εάν πληρούνται οι σωστές προϋποθέσεις, οι χρήστες Android μεταφέρονται σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος" που ισχυρίζεται ότι ο χρήστης έχει κερδίσει μια κάρτα δώρων Amazon.
Ωστόσο, οι χρήστες iPhone λαμβάνουν δύο αναδυόμενα παράθυρα. Το πρώτο είναι μια ειδοποίηση ότι το iPhone χρειάζεται ενημέρωση, ενώ το δεύτερο ενημερώνει το χρήστη ότι η εφαρμογή Apple Pay χρειάζεται και ενημέρωση. Η δεύτερη ειδοποίηση μοιράζεται τις πληροφορίες της πιστωτικής κάρτας Apple Pay με ένα διακομιστή απομακρυσμένης εντολής και ελέγχου.
6. Ένα εκατομμύριο παιδικά ρολόγια Tracker ευάλωτα
Τουλάχιστον ένα εκατομμύριο ρολόγια παρακολούθησης παιδιών με δυνατότητα GPS πωλούνται σε γονείς με τρωτά σημεία.
Η έρευνα για τους συνεργάτες του Pen Test Partners αναφέρει μια λυγαρία ζητημάτων ασφαλείας με το εξαιρετικά δημοφιλές ρολόι ασφαλείας παιδιών MiSafe. Τα ρολόγια με δυνατότητα GPS έχουν σχεδιαστεί για να επιτρέπουν σε έναν γονέα να παρακολουθεί πάντα τη θέση του παιδιού του.
Ωστόσο, οι ερευνητές της ασφάλειας διαπίστωσαν ότι οι αριθμοί αναγνωριστικών συσκευών -και κατά συνέπεια ο λογαριασμός χρήστη- θα μπορούσαν να έχουν πρόσβαση.
Η πρόσβαση στον λογαριασμό επέτρεψε στην ομάδα ασφαλείας να εντοπίσει το παιδί, να προβάλει μια φωτογραφία του παιδιού, να ακούσει τις συνομιλίες μεταξύ του παιδιού και του γονέα του ή να αποστείλει απομακρυσμένες κλήσεις ή να μιλήσει στο ίδιο το παιδί.
"Η έρευνά μας διεξήχθη σε ρολόγια με την επωνυμία« παιδικός παρατηρητής Misafes »και φαίνεται να επηρεάζει έως και 30.000 ρολόγια. Ωστόσο, ανακάλυψαμε τουλάχιστον 53 άλλα σήματα παρακολούθησης παιδιών παρακολούθησης που επηρεάζονται από πανομοιότυπα ή σχεδόν πανομοιότυπα θέματα ασφαλείας. "
Ευπάθειες σε έξυπνες συσκευές που απευθύνονται στα παιδιά δεν είναι ένα νέο θέμα Νέες περιπτώσεις χάκερ που στοχεύουν συνδεδεμένα παιχνίδια αποδεικνύουν ότι παραμένουν ανασφαλείς Νέες περιπτώσεις χάκερ που στοχεύουν συνδεδεμένα παιχνίδια αποδεικνύουν ότι παραμένουν ανασφαλείς Διαβάστε περισσότερα. Ωστόσο, παραμένει ανησυχητική.
"Πώς λοιπόν αγοράζετε ασφαλή έξυπνα παιχνίδια για τα παιδιά σας; Δεν το κάνετε ", λέει ο Aaron Zander, μηχανικός πληροφορικής στο Hacker One. "Αν όμως πρέπει, μην πάτε για τις φτηνότερες επιλογές και προσπαθήστε να ελαχιστοποιήσετε τις δυνατότητες όπως το βίντεο, το Wi-Fi και το Bluetooth. Επίσης, εάν διαθέτετε μια συσκευή και έχετε κάποιο ελάττωμα ασφαλείας, απευθυνθείτε στους εκπροσώπους της κυβέρνησής σας, γράψτε τα ρυθμιστικά σας όργανα, κάντε ένα βρωμιά για αυτό, είναι ο μόνος τρόπος για να βελτιωθεί. "
Νοέμβριος Ασφάλεια News Roundup
Αυτά είναι έξι από τις κορυφαίες ιστορίες ασφαλείας από τον Νοέμβριο του 2018. Αλλά πολλά περισσότερα συνέβησαν. δεν έχουμε χώρο για να τις αναφέρουμε λεπτομερώς. Εδώ είναι πέντε ακόμη ενδιαφέρουσες ιστορίες ασφαλείας που εμφανίστηκαν τον περασμένο μήνα:
- Ο ιαπωνικός αναπληρωτής επικεφαλής της στρατηγικής για την ασφάλεια στον κυβερνοχώρο αποκάλυψε ότι δεν έχει χρησιμοποιήσει ποτέ υπολογιστή.
- Το Stuxnet επιτείνει εγκαταστάσεις και οργανισμούς στο Ιράν (και πάλι).
- Οι χάκερ βρίσκουν εκμεταλλεύσεις μηδενικών ημερών στις συσκευές iPhone X, Samsung Galaxy S9 και Xiaomi Mi6.
- Η Microsoft επιδιορθώνει ένα παράθυρο μηδενικής ημέρας των Windows που χρησιμοποιείται σε πολλές επιθέσεις από διάφορες ομάδες hacking.
- Το προηγμένο λογισμικό κατασκόπων Pegasus χρησιμοποιείται για να στοχεύσει ερευνητές δημοσιογράφους στο Μεξικό.
Ένα άλλο σφύριγμα των ειδήσεων στον κυβερνοχώρο. Ο κόσμος της ασφάλειας στον κυβερνοχώρο αλλάζει διαρκώς, και η ενημέρωση για τις τελευταίες παραβιάσεις, το κακόβουλο λογισμικό και τα ζητήματα ιδιωτικής ζωής είναι ένας αγώνας.
Αυτός είναι ο λόγος για τον οποίο συγκεντρώνουμε τα πιο σημαντικά και πιο ενδιαφέροντα κομμάτια ειδήσεων για εσάς κάθε μήνα.
Ελέγξτε ξανά στις αρχές του επόμενου μήνα - την αρχή ενός νέου έτους, όχι λιγότερο - για το ραντεβού ασφαλείας του Δεκεμβρίου του 2018. Τον επόμενο μήνα θα δείτε επίσης το MakeUseOf 2018 έτος στην υπηρεσία roundup, επίσης. Εν τω μεταξύ, ελέγξτε αυτές τις πέντε συμβουλές και κόλπα για να εξασφαλίσετε τις έξυπνες συσκευές σας 5 Συμβουλές για τη διασφάλιση των έξυπνων συσκευών σας και των συσκευών IoT 5 Συμβουλές για τη διασφάλιση των έξυπνων συσκευών σας και των συσκευών IoT Το έξυπνο οικιακό υλικό είναι μέρος του Διαδικτύου των πραγμάτων, το δίκτυό σας είναι συνδεδεμένο με αυτές τις συσκευές; Διαβάστε περισσότερα .
Πιστωτική εικόνα: Karlis Dambrans / Flickr
Εξερευνήστε περισσότερα σχετικά με: Amazon, Apple Pay, Μαύρη Παρασκευή, Ασφάλεια Υπολογιστών, Crypocurrency, Malvertising, Παράβαση ασφαλείας, Solid State Drive, Παιχνίδια.