Glavna stranica sigurnosti Marriott International pati od kršenja podataka od 500m

Marriott International pati od kršenja podataka od 500m

  • Michael Fisher
  • 0
  • 1943
  • 124
Oglas

Toliko se svakog mjeseca događa u svijetu cyber-sigurnosti, internetske privatnosti i zaštite podataka. Teško je držati korak!

Naš mjesečni sigurnosni pregled pomoći će vam da pratite najvažnije vijesti o sigurnosti i privatnosti svakog mjeseca. Evo što se dogodilo u studenom.

1. Marriott International trpi prekršaj podataka na 500m

Kao i uvijek, jedan od najvećih izdanja sigurnosnih vijesti na kraju mjeseca.

Studeni je završio hotelskom skupinom Marriott International, koja je otkrila ogromno kršenje podataka. Pretpostavlja se da je do 500 milijuna korisničkih zapisa pogođeno jer je napadač imao pristup mreži Marriott International Starwood od 2014..

Marriott International kupio je Starwood 2016. godine radi stvaranja najvećeg hotelskog lanca na svijetu, s preko 5.800 nekretnina.

Propuštanje znači različite stvari za različite korisnike. Međutim, informacije za svakog korisnika sadrže kombinaciju:

  • Ime
  • Adresa
  • Broj telefona
  • Email adresa
  • Broj putovnice
  • Informacije o računu
  • Datum rođenja
  • rod
  • Podaci o dolasku i odlasku

Možda je najvažnije Marriott-ovo otkrivenje da neki U evidencije su bile i šifrirane informacije s kartica, ali također nije se moglo isključiti da su i privatni ključevi ukradeni.

Dugo i kratko je ovo: ako ste odsjedali u bilo kojem hotelu Marriott Starwood, uključujući nekretnine za dijeljenje vremena, prije 10. rujna 2018., vaši podaci možda bi bili ugroženi..

Marriott poduzima mjere zaštite potencijalno pogođenog korisnika nudeći godinu dana besplatnu pretplatu na WebWatcher. Građani SAD-a također će dobiti besplatno savjetovanje o prijevarama i naknadu troškova. Trenutno postoje tri mjesta za upis:

  • Ujedinjene države
  • Kanada
  • Ujedinjeno Kraljevstvo

U suprotnom, potražite ova tri jednostavna načina zaštite podataka Kako se boriti protiv kršenja podataka: 3 jednostavna načina zaštite podataka Kako se suprotstaviti povratu podataka: 3 jednostavna načina zaštite vaših podataka Povrede podataka ne pogađaju samo cijene dionica i vladine službe proračuni. Što učiniti kad dođu vijesti o kršenju? nakon većeg prekršaja.

2. Event-stream JavaScript knjižnica ubrizgana je kripto-krađom zlonamjernog softvera

JavaScript knjižnici koja prima preko 2 milijuna preuzimanja tjedno ubačeno je zlonamjerni kod dizajniran za krađu kriptovaluta.

Otkriveno je da spremište Event-Stream, JavaScript paket koji pojednostavljuje rad s Node.js streaming modulima, sadrži zapušteni kôd. Kada su istraživači deobfuzirali kod, postalo je jasno da je njegov cilj bila krađa bitcoina.

Analiza sugerira da kôd cilja knjižnice povezane s Copay bitcoin novčanikom za mobilne i radne površine. Ako je novčanik Copay prisutan na sustavu, zlonamjerni kod pokušava ukrasti sadržaj novčanika. Potom se pokušava povezati s malezijskom IP adresom.

Zlonamjeran je kôd stavljen u skladište događaja-stream nakon što je izvorni programer Dominic Tarr predao kontrolu nad bibliotekom drugom programeru, right9ctrl.

Right9ctrl učitao novu verziju biblioteke gotovo čim je predana kontrola, a nova verzija sadrži zlonamjerni kôd koji cilja novčanike Copay.

Međutim, od tada je right9ctrl učitao novu verziju knjižnice - bez ikakvog zlonamjernog koda. Novi prijenos također se podudara s Copay ažuriranjem njihovih paketa za mobilne i radne listove kako bi se uklonila upotreba JavaScript biblioteka koje cilja zlonamjerni kod.

3. Amazon trpi kršenje podataka danima prije crnog petka

Samo nekoliko dana prije najvećeg dana kupovine u godini (naravno, Dan kineskog samca, naravno), Amazon je pretrpio povredu podataka.

“Kontaktiramo vas kako bismo vas obavijestili da je naša web stranica nehotice otkrila vaše ime i adresu e-pošte zbog tehničke pogreške. Problem je riješen. To nije rezultat bilo čega što ste učinili i nema potrebe da mijenjate zaporku ili poduzimate bilo kakve druge radnje.”

Teško je procijeniti točne detalje kršenja, jer Amazon ne govori. Međutim, Amazonovi korisnici u Sjedinjenim Američkim Državama, Sjedinjenim Državama, Južnoj Koreji i Nizozemskoj izvijestili su da su Amazonu primili e-poštu u vezi s kršenjem, pa je to bio prilično globalni problem.

Korisnici mogu utješiti činjenicu da je to Amazonov tehnički problem koji vodi do kršenja podataka, a ne napad na Amazon. Objavljivanje podataka ne sadrži ni bankovne podatke.

Međutim, poruka Amazona da nema potrebe da pogođeni korisnici mijenjaju zaporku sasvim je pogrešna. Ako je na vas utjecalo kršenje podataka u Amazonu, promijenite lozinku računa.

4. Samo-šifrirajuće ranjivosti Samsung i krucijalne SSD diskove

Istraživači sigurnosti otkrili su višestruke kritične ranjivosti na Samsungovim i ključnim samo-šifrirajućim SSD-ovima. Istraživački tim testirao je tri ključna SSD-a i četiri Samsung-ova SSD-a, pronalazeći kritična pitanja za svaki testirani model.

Carlo Meijer i Bernard van Gastel, sigurnosni istraživači na Sveučilištu Radboud u Nizozemskoj, identificirali su ranjivosti [PDF] u pogonima za implementaciju ATA sigurnosti i TCG Opal, a to su dvije specifikacije za implementaciju šifriranja na SSD-ovima koji koriste šifriranje zasnovano na hardveru..

Postoji mnoštvo problema:

  • Nedostatak kriptografskog vezanja između ključa za šifriranje lozinke i podataka znači da napadač može otključati pogone mijenjanjem postupka provjere lozinke.
  • Crucial MX300 ima glavnu lozinku koju je postavio proizvođač - ova lozinka je prazan niz, npr., Ne postoji nijedan.
  • Oporavak Samsungovih ključeva za šifriranje podataka iskorištavanjem izravnavanja SSD diskova.

Istraživači su tvrdili da se te ranjivosti mogu vrlo dobro primijeniti na druge modele, kao i na različite proizvođače SSD-a.

Pitate se kako zaštititi svoje pogone? Evo kako zaštitite svoje podatke pomoću alata za šifriranje otvorenog koda, VeraCrypt Kako šifrirati i zaštititi svoje podatke i datoteke pomoću VeraCrypt Kako šifrirati i zaštititi svoje podatke i datoteke koristeći VeraCrypt VeraCrypt je besplatni alat za šifriranje otvorenog koda koji možete koristiti za šifriranje i zaštitu vaših vrijednih osobnih podataka u sustavu Windows. .

5. Apple Pay Malvertising kampanja cilja korisnike iPhonea

Korisnici iPhonea meta su kontinuirane kampanje za oglašavanje malverzacija koja uključuje Apple Pay.

Kampanja pokušava preusmjeriti i prevariti korisnike njihovih vjerodajnica za Apple Pay pomoću dva phishing pop-up prozora, a napad je nastao iz niza vrhunskih novina i časopisa kada im se pristupa putem iOS-a.

Zlonamjerni softver, poznat kao PayLeak, isporučuje nesavjesnim korisnicima iPhonea koji kliknu zlonamjerni oglas na domenu registriranu od strane Kineza.

Kada korisnik dođe na domenu, zlonamjerni softver provjerava niz vjerodajnica, uključujući kretanje uređaja, vrstu uređaja (Android ili iPhone) i je li preglednik uređaja Linux x86_64, Win32 ili MacIntel.

Nadalje, zlonamjerni softver provjerava uređaj na sve antivirusne ili antimalware programe.

Ako se ispune točni uvjeti, korisnici Androida preusmjeravaju se na web mjesto za krađu identiteta koja tvrdi da je korisnik osvojio poklon karticu Amazon.

No korisnici iPhonea dobivaju dva skočna prozora. Prvo je upozorenje da iPhone treba ažuriranje, dok drugi obavještava korisnika da je njihova Apple Pay aplikacija također potrebna ažuriranja. Drugo upozorenje dijeli podatke kreditne kartice Apple Pay s udaljenim poslužiteljskim i upravljačkim poslužiteljem.

6. Ranjivi su satovi s pratnjom djece djece

Najmanje milijun satova za praćenje djece s GPS-om prodano je roditeljima prepunim ranjivosti.

Istraživanje Pen Test partnera detaljno je opisalo litaniju sigurnosnih problema s izuzetno popularnim dječjim sigurnosnim satom MiSafe. Satovi s omogućenim GPS-om dizajnirani su tako da roditelju omogućuju praćenje lokacije svog djeteta u svakom trenutku.

Međutim, sigurnosni istraživači otkrili su da bi se ID-ovima uređaja - a time i korisničkom računu - mogao pristupiti.

Pristup računu omogućio je timu zaštite locirati dijete, pogledati fotografiju djeteta, slušati razgovore djeteta i njegovog roditelja ili daljinski poziv ili poruku djetetu.

“Naše istraživanje provedeno je na satovima pod nazivom Misafes kids watchcher, a čini se da ima 30.000 satova. Međutim, otkrili smo najmanje 53 druge marke satova za praćenje djece na koje utječu identični ili gotovo identični sigurnosni problemi.”

Ranjivosti na pametnim uređajima namijenjenim djeci nisu novo izdanje Novi slučajevi hakera koji ciljaju povezane igračke dokazuju da ostaju nesigurni novi slučajevi hakera koji ciljaju povezane igračke dokazuju da ostaju nesigurni. Ipak, i dalje je zabrinjavajuće.

“Pa kako kupiti sigurne pametne igračke za svoju djecu? Ne znate,” kaže Aaron Zander, IT inženjer u tvrtki Hacker One. “Ali ako morate, ne tražite najjeftinije mogućnosti i pokušajte smanjiti mogućnosti poput video, Wi-Fi i Bluetooth. Također, ako imate uređaj i on ima sigurnosni propust, obratite se predstavnicima svoje vlade, napišite svoja regulatorna tijela, napravite smrad zbog toga, to je jedini način da postane bolje.”

Pregled vijesti o sigurnosnim vijestima

To je šest najboljih sigurnosnih priča iz studenog 2018. No dogodilo se puno više; jednostavno nemamo prostora da sve to nabrojimo u detalje. Evo još pet zanimljivih sigurnosnih priča koje su se pojavile prošlog mjeseca:

  • Japanski zamjenik šefa strategije za kibernetičku sigurnost otkrio je da nikada nije koristio računalo.
  • Nacionalni zlonamjerni softver Stuxnet napada objekte i organizacije u Iranu (ponovo).
  • Hakeri pronalaze eksploatacije bez dana u iPhone X, Samsung Galaxy S9 i Xiaomi Mi6 uređajima.
  • Microsoft zakrpa Windowsovi nulti dan iskorištavanja koji se koristi u višestrukim napadima raznih hakerskih skupina.
  • Napredni špijunski softver Pegasus koristi se za ciljanje istražnih novinara u Meksiku.

Još jedan vrtlog vijesti o cyber sigurnosti. Svijet kibernetičke sigurnosti neprestano se mijenja, a praćenje najnovijih kršenja problema, zlonamjernog softvera i pitanja privatnosti predstavlja borbu..

Zato svakog mjeseca zaokružujemo najvažnije i najzanimljivije vijesti za vas.

Provjerite početkom sljedećeg mjeseca - početak nove godine, ništa manje - za vaš sigurnosni pregled u prosincu 2018. godine. Sljedećeg mjeseca MakeUseOf 2018. godine također će biti prikazan u sigurnosnom pregledu. U međuvremenu, pogledajte ovih pet savjeta i trikova za osiguranje pametnih uređaja 5 Savjeti za osiguranje pametnih uređaja i IoT uređaja 5 savjeta za osiguranje pametnih uređaja i IoT uređaja Hardver pametne kuće dio je Interneta stvari, ali koliko je sigurno je li vaša mreža s tim uređajima povezana? .




Još ne komentari

Kako pregledati podcaste na iTunesu (i zašto biste trebali)
Zabava
8 najvažnijih video savjeta za Amazon kako nadopuniti streaming
Zabava
Netflix i Chill 10 najboljih filmova za sjajan sastanak
Zabava
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.