Adatbiztonsági cikkek, hírek
júl 24, 2023 | Adatbiztonsági cikkek, hírek
Roblox adatszivárgás – majdnem 4000 alkalmazott személyes adata került nyilvánosságra, a cég bocsánatot kért.
Az információk egy fórumban jelentek meg és gyorsan eltávolították őket, ám ezt az internet közössége már felkapta.
A Roblox Corporationt adatszivárgás érte, ennek eredményeként közel 4000 alkalmazott személyes adatai kerültek ki az internetre. Néhányuk esetében ezek a neveket, címeket, születési dátumokat és IP címeket is magában foglalták.
Ezt Troy Hunt, a Have I Been Pwned weboldal létrehozója vette észre és emelte ki. Ez a weboldal lehetővé teszi, hogy ellenőrizzük, szivárogtak-e ki a személyes adataink az interneten. Hunt a Twitteren számolt be arról, hogy a szivárgás a Roblox Fejlesztői Konferencia résztvevőit érintette. Az adatok egy időre felbukkantak egy mára már törölt fórumbejegyzésben, ami elegendő időt biztosított több rosszindulatú személy számára az információk megszerzésére.
A PC Gamer információi szerint, aki a saját kutatásának részeként ellenőrizte a Have I Been Pwned oldalt, az adatokat először 2020 decemberében szerezték meg, majd 2021 körül Roblox témájú specializált oldalakon terjesztették, míg végül néhány nappal ezelőtt a fent említett fórumba kerültek.
Válaszként a Roblox Corporation egyéves személyazonosság-védelmet biztosított azoknak az alkalmazottaknak, akiknek nagy mennyiségű azonosítható információja volt nyilvánosságra került, és Hunt információi szerint bocsánatot kért az érintettektől e-mailben. Ez a több lépésből álló válasz azonban még azok számára is hiányos, akik jelentős segítséget kaptak, hiszen adataik nem tűnnek el egyszerűen az internetről egy év elteltével.
A Roblox-nak van előzménye adatszivárgásokkal kapcsolatban, különösen új termékeinek bemutatásakor, ám az ilyen adatvédelmi incidensek nem szoktak gyakoriak lenni. Ha valakit ilyen adatszivárgás érint, kétlépcsős hitelesítést és a jelszavak tömeges megváltoztatását javasoljuk.
A Roblox jelenleg a piac egyik legnépszerűbb játékplatformja, különösen a fiatalabb generáció körében. Több játékot, többek között az Anime Journey-t és a Tapping Legends X-et, naponta több ezer gyerek játszik. Ennek fényében az adatbiztonság létfontosságú a felhasználói bázis védelmében, akik esetleg nem ismerik a legjobb biztonsági gyakorlatokat.
Ezúttal az incidens a fejlesztőket érintette, nem a felhasználókat. Reméljük, hogy a Roblox Corporation képes lesz megóvni az érintetteket a lehetséges zaklatásoktól és bűnözéstől.
Forrás: www.vg247.com
júl 18, 2023 | Adatbiztonsági cikkek, hírek
Kibercriminálok kihasználják a WooCommerce Payments Plugin hibáját weboldalak eltérítésére
A fenyegető szereplők aktívan kihasználják a WooCommerce Payments WordPress pluginban nemrégiben nyilvánosságra hozott kritikus biztonsági hibát, mint egy hatalmas, célzott kampány részét.
A hibát, amelyet CVE-2023-28121-ként (CVSS pontszám: 9.8) követnek, hitelesítés megkerülése jellemzi, amely lehetővé teszi a nem hitelesített támadók számára, hogy tetszőleges felhasználókat személyesítsenek meg és néhány műveletet hajtsanak végre az álcázott felhasználóként, beleértve egy adminisztrátort, ami potenciálisan az oldal átvételéhez vezethet.
„A CVE-2023-28121-re vonatkozó nagyszabású támadások 2023. július 14-én, csütörtökön kezdődtek és a hétvégén folytatódtak, szombaton, július 16-án tetőzve 1,3 millió támadással 157 000 oldal ellen,”
– mondta a Wordfence biztonsági kutatója, Ram Gall egy hétfői posztban.
A WooCommerce Payments 4.8.0-tól 5.6.1-ig terjedő verziói sebezhetőek. A plugint több mint 600 000 oldalon telepítették. A hibára vonatkozó javításokat a WooCommerce már 2023. márciusában kiadta, a WordPress pedig automatikus frissítéseket küldött a szoftver érintett verzióit használó oldalakhoz.
A támadásokban megfigyelt közös nevező az „X-Wcpay-Platform-Checkout-User: 1” HTTP kérés fejléc használata, amely a sebezhető oldalakat arra készteti, hogy bármely további terhet adminisztratív felhasználótól érkezőnek tekintsenek.
A Wordfence azt mondta, hogy a fent említett kiskaput fegyverként használják a WP Console plugin telepítésére, amelyet egy adminisztrátor felhasználhat rosszindulatú kód végrehajtására és fájlfeltöltő telepítésére a kitartás beállítása és a kompromittált oldal hátsó ajtónak kialakítása céljából.
Adobe ColdFusion hibák kihasználása a vadonban
A felfedezés akkor történt, amikor a Rapid7 bejelentette, hogy 2023. július 13-tól több ügyfél környezetében észlelte az Adobe ColdFusion hibáinak aktív kihasználását, webhéjakat telepítve a fertőzött végpontokon.
„A fenyegető szereplők úgy tűnik, hogy kihasználják a CVE-2023-29298-at egy másodlagos sérülékenységgel együtt,”
– mondta a Rapid7 biztonsági kutatója, Caitlin Condon. A további hiba úgy tűnik, hogy a CVE-2023-38203 (CVSS pontszám: 9.8), egy deszerializációs hiba, amelyet egy július 14-én kiadott különleges frissítésben javítottak.
A CVE-2023-29298 (CVSS pontszám: 7.5) egy hozzáférési vezérlés megkerülésére vonatkozó sérülékenységet érint, amely a ColdFusion 2023, ColdFusion 2021 Update 6 és az alatta lévő, valamint a ColdFusion 2018 Update 16 és az alatta lévő rendszereket érint.
„A sérülékenység lehetővé teszi egy támadó számára, hogy hozzáférjen az adminisztrációs végpontokhoz a kért URL-ben egy váratlan további perjel karakter beszúrásával,”
– közölte a Rapid7 az előző héten.
A Rapid7 azonban figyelmeztetett, hogy a CVE-2023-29298-ra vonatkozó javítás hiányos, és hogy triviálisan módosítható a Adobe által kiadott javítások megkerülésére.
A felhasználóknak javasoljuk, hogy frissítsenek az Adobe ColdFusion legújabb verziójára a potenciális fenyegetések elleni védekezés érdekében, mivel a CVE-2023-38203 megoldására hozott javítások megszakítják az exploit láncot.
Forrás: thehackernews.com
júl 11, 2023 | Adatbiztonsági cikkek, hírek
A hírhedt indonéz hacktivista, Bjorka, közel 35 millió indonéz útlevéltulajdonos személyes adatait kínálja eladásra a darkweben 10 ezer dollárért. Bjorka rendszeres kritikusa az indonéz kormánynak és ismert arról, hogy kompromittáló információkat tesz közzé közösségi média platformokon a törvényhozókról. A Bevándorlási Főigazgatóság hálózatának potenciális megsértését vizsgálja a kormány.
Teguh Aprianto, indonéz biztonsági kutató, egy Twitter-bejegyzésben fedte fel, hogy a hacker eladásra kínálja az indonéz útlevéltulajdonosok adatait, amelyek tartalmazzák a teljes neveket, születési dátumokat, nemet, útlevélszámot és az útlevél érvényességi idejét. Aprianto szerint a hacktivista bizonyítékként 1 millió adatot megosztott. A poszt szerint a 4 gigabájtnyi adattárat 10 000 dollárért lehet megvásárolni.
„Az áttekintett mintaadatok alapján az adatok hitelesnek tűnnek” – írta Aprianto a Twitteren. „Az időbélyeg 2009-2020 közötti.”
Az indonéz Kommunikációs és Informatikai Minisztérium, melyet Kominfo-nak is hívnak, csütörtökön bejelentette, hogy vizsgálja a bejelentéseket, miszerint 34,9 millió indonéz személyes adatait ellopták. Semuel A. Pangerapan, az Informatikai Alkalmazások Főigazgatója elmondta, hogy a minisztérium
„nem tudta megállapítani, hogy a tömeges személyes adatok kiszivárogtatása megtörtént-e”.
Pangerapan hozzátette, hogy a Kominfo részletes vizsgálatot fog végezni a jelentett adatszivárgás ügyében, és minél hamarabb közzéteszi az eredményeket. A minisztérium együttműködik a Nemzeti Kiber- és Kriptoügynökséggel, a Bevándorlási Főigazgatósággal és a Jogi és Emberi Jogi Minisztériummal.
„A Kommunikációs és Informatikai Minisztérium arra kéri a digitális platformokat és az adatkezelőket, hogy az alkalmazandó személyes adatvédelmi előírásoknak megfelelően erősítsék meg a felhasználók személyes adatainak védelmét, és garantálják az általuk üzemeltetett elektronikus rendszerek biztonságát” – közölte Pangerapan.
Aprianto szerint a mintaadatokat Bjorka tette közzé, aki 2022 szeptemberében szerzett hírnevet azzal, hogy 1,3 milliárd SIM-kártya adatait ellopta az indonéz Kommunikációs és Információs Technológiai Minisztérium szervereiről és a darkweben kínálta eladásra. Bjorkát gyanúsítják továbbá azzal, hogy 2022 augusztusában ellopott 17 millió indonéz PLN áramszolgáltató ügyfél személyes adatait. A Cyble, a cyberfenyegetésekkel foglalkozó hírszerző cég szerint Indonézia az egyik leginkább célkeresztbe kerülő délkelet-ázsiai ország a kibertámadások tekintetében. Csak 2022 első negyedévében több mint 11 millió támadás érte az országot.
júl 5, 2023 | Adatbiztonsági cikkek, hírek
SmugX kampány: kínai kibertámadások európai külügyi hivatalok ellen
A SmugX kampány célba vette az európai külügyminisztériumokat: kifinomult HTML-csempészési módszerekkel végrehajtott kínai kibertámadások zajlanak.
A Check Point Research (CPR) elemzése szerint egyre intenzívebb és kifinomultabb kínai kiberkémkedési kampányok célozzák az európai országok külügyi intézményeit. A SmugX névre keresztelt művelet során fejlett technikákat, köztük HTML-csempészést vetnek be a támadók. A célpontok között kelet-európai minisztériumok és nyugat-európai nagykövetségek is szerepelnek, jelezve a geopolitikai célú kiberműveletek terjedését és mélyülését.
SmugX: Új Taktikák az Európai Infrastruktúrák Ellen
A SmugX kampány először 2022 decemberében bukkant fel, és azóta is aktív maradt. A kampány összefüggésbe hozható a kínai RedDelta és Mustang Panda nevű APT (Advanced Persistent Threat) csoportokkal, amelyek korábban is követtek el hasonló támadásokat. Ezek a csoportok régóta ismert szereplők a kínai állami kiberhírszerzési apparátus körében. A RedDelta például már 2020-ban is célba vette a Vatikánt, míg a Mustang Panda ismert a délkelet-ázsiai és európai célpontok elleni kiberkémkedési műveleteiről.
A legutóbbi hullámban a támadók egy új implantátum, a PlugX továbbfejlesztett változatát használták, amelyet HTML-csempészéssel juttattak célba. Ez a megközelítés lehetővé teszi a kártevő rejtett terjesztését anélkül, hogy a hagyományos védelmi rendszerek észlelnék azt. Ez a technika kiválóan alkalmas célzott támadásokra, mivel lehetővé teszi, hogy az áldozat észrevétlenül töltse le a kártékony kódot.
Hogyan Működik a HTML-csempészés?
Az úgynevezett HTML-csempészés egy kifinomult módszer, amely során a támadók rosszindulatú fájlokat ágyaznak HTML oldalakba. Ezek az oldalak látszólag ártalmatlan dokumentumokként jelennek meg, de valójában olyan JavaScript kódot tartalmaznak, amely automatikusan letölt egy rejtett fájlt a felhasználó gépére.
A technika működése lépésről lépésre:
- A HTML fájlban lévő beágyazott kód dekódolja a bináris tartalmat, például egy ZIP fájlt, és blob formájában menti.
- A JavaScript kód létrehoz egy
<a> HTML elemet, amely tartalmazza a letölteni kívánt fájl URL-jét. - A kód ezután létrehoz egy blob URL-t a
URL.createObjectURL() segítségével. - A fájlletöltéshez szükséges paraméterek – például fájlnév – dinamikusan beállításra kerülnek.
- Végül a szkript egy automatikus kattintási eseménnyel elindítja a letöltést.
Ez a módszer rendkívül hatékony, mivel gyakran elkerüli az antivírus szoftverek és hálózati szintű tűzfalak észlelését, hiszen a fertőzést kiváltó fájl maga soha nem hagyja el a HTML dokumentumot.
A PlugX Implantátum és Funkciói
A PlugX egy távoli hozzáférést biztosító trójai (RAT), amelyet főként kínai eredetű fenyegető szereplők használnak. Képességei közé tartozik a fájlműveletek végrehajtása, képernyőképek készítése, parancsok futtatása és adatlopás. A SmugX kampányban alkalmazott változatot úgy módosították, hogy az mélyebben integrálódjon a célrendszerekbe és megkerülje a védelmi mechanizmusokat.
A PlugX további jellemzője, hogy képes önmagát frissíteni, így hosszú távon is fenn tudja tartani a hozzáférést az áldozat rendszereihez. Emellett gyakran használ titkosított kommunikációs csatornákat, hogy elkerülje a forgalomelemző eszközök általi detektálást.
Csalétek és Célpontok
A támadók diplomáciai témájú dokumentumokat használnak csaliként, gyakran valós vagy valósnak tűnő külpolitikai eseményekre vagy konferenciákra hivatkozva. A dokumentumok PDF vagy Word formátumban jelennek meg, és a gyanútlan felhasználó számára legitimnek tűnhetnek.
A célpontok között olyan országok külügyminisztériumai szerepelnek, mint Magyarország, Románia, Bulgária, Szlovákia, Franciaország és Németország. Ez a széles földrajzi lefedettség azt mutatja, hogy a kampány nem csupán lokális, hanem európai szintű befolyásgyakorlási kísérletnek is tekinthető. Az Európai Unió részéről egyre több figyelem irányul ezekre a támadásokra, és több tagállam együttműködik a közös védekezés érdekében.
Mit Jelent Mindez a Gyakorlatban?
A SmugX kampány figyelmeztetés minden állami és vállalati szereplő számára, hogy a kifinomult kiberfenyegetések már nem csak kritikus infrastruktúrákat, hanem diplomáciai és információs rendszereket is célba vesznek. Különösen fontos, hogy a kormányzati és nemzetközi intézmények:
- rendszeresen frissítsék IT rendszereiket;
- monitorozzák a gyanús tevékenységeket és e-mail forgalmat;
- képzéseken keresztül növeljék a dolgozók kiberbiztonsági tudatosságát;
- alkalmazzanak proaktív fenyegetésfelderítési technikákat (Threat Hunting);
- értékeljék újra az e-mail mellékletek és letöltések kezelésére vonatkozó szabályzatokat.
Összefoglalás
A SmugX kampány új szintre emeli a kiberkémkedést Európában. A HTML-csempészés és a PlugX használata különösen veszélyessé teszi ezt a támadást, mivel a hagyományos biztonsági rendszerek számára észrevétlen maradhat. A külügyi hivatalokat célzó műveletek hosszú távú célja az információs előny megszerzése, ami stratégiai előnyt jelenthet Kína számára.
Mindez ráirányítja a figyelmet arra, hogy a kiberbiztonság nem csupán technológiai kérdés, hanem geopolitikai és stratégiai tényező is. Az európai intézményeknek gyorsan kell alkalmazkodniuk ehhez a fenyegetettséghez, és magasabb szintű védelmi intézkedéseket kell bevezetniük. A közös fellépés és információmegosztás elengedhetetlen ahhoz, hogy Európa megvédhesse diplomáciai és stratégiai érdekeit a jövő kibercsatáiban.
jún 29, 2023 | Adatbiztonsági cikkek, hírek
A Reddit Szembenéz a 80 GB-os Adatvesztéssel
Az ALPHV nevű cyberbűnöző csoport követeli a Reddit-től a 4,5 millió dolláros váltságdíjat, egyben felszólítja a platformot, hogy mondjon le az API hozzáférési díjak megtervezett bevezetéséről. Ellenkező esetben a meglovasított adatok a nyilvánosság elé kerülhetnek.
A Reddit Bevallott Digitális Betörése és Ennek Következményei
A látszólagosan ártatlan Reddit által februárban bejelentett hackelés során egy cyberbűnöző csoport valójában 80 GB adatot sikkasztott a közösségi média oldalról. Ezt az állítást az ALPHV/Blackcat álnéven ismert ransomware csoport tálalta fel, amely most a Reddit-től követeli az adatok bizalmas kezelésének árát.
„Kétszer is megpróbáltuk felhívni a Reddit figyelmét e-mailben, először április 13-án, majd újra június 16-án,” – jegyzi meg a csoport. „Nem tették meg a szükséges lépéseket, hogy kiderítsék, milyen adatokat tulajdonítottunk el.”
Az ALPHV Ransomware Csoport Igényei és a Reddit Válaszreakciója
Az Oroszországból származó ALPHV csoport most azt követeli, hogy a Reddit szabadítson fel 4,5 millió dollárt, különben a csoport nyilvánosságra hozza az adatokat a Dark Weben. Az ALPHV nyilatkozata alapján azonban úgy tűnik, a Reddit nem szándékozik engedni a zsarolásnak.
Az ALPHV csoport reakciója a Reddit friss híreire pedig azt tükrözi, hogy a platformnak szembesülnie kell a felhasználói tiltakozásokkal, amelyek a tervezett API hozzáférési díjak miatt robbantak ki, amelyek sok harmadik fél alkalmazását fenyegetik.
A Reddit Hivatalos Nyilatkozata
A Reddit elzárkózott a zsarolási követelések kommentálásától. Azonban a közösségi oldal megjegyezte, hogy a hackerek csak „néhány belső dokumentumhoz, kódhoz és néhány belső üzleti rendszerhez” jutottak hozzá. A felhasználói fiókok és jelszavak biztonságban maradtak. A Reddit egy támadás áldozatává vált, amikor hackerek adathalász üzenettel célozták meg a cég egyik alkalmazottját.
Forrás: www.pcmag.com
jún 28, 2023 | Adatbiztonsági cikkek, hírek
ChatGPT felhasználói fiókok: Megnövekedett kiberbiztonsági kockázat
Az elmúlt évben több mint 100 000 ChatGPT felhasználói fiók vált káros szoftverek célpontjává, ami adatlopások sorozatát vonja maga után – állapította meg egy friss tanulmány.
A támadások mértéke és eloszlása
Egy szingapúri székhelyű kiberbiztonsági vállalat, a Group-IB jelentésében azt írta, hogy a kompromittált fiókok adatait az illegális dark web piactereken értékesítették. A feljegyzések szerint 101 134 fiók adatai kerültek rossz kezekbe.
A ChatGPT népszerűségének árnyoldala
A ChatGPT, mint mesterséges intelligencia alapú chatbot platform népszerűsége rohamosan nőtt az elmúlt év novemberi széleskörű bevezetése óta. Ennek oka, hogy a munkavállalók számos területen – mint például szoftverfejlesztés vagy vállalati kommunikáció – kihasználják a chatbot nyújtotta előnyöket.
„A felhasználók titkosított üzeneteket küldenek, vagy a bot segítségével finomítják saját kódjaikat. Mivel a ChatGPT alapértelmezetten minden beszélgetést archivál, ez a rendszer akaratlanul is rengeteg bizalmas információt adhat a rosszindulatú szereplők kezébe, ha azok megszerzik a fiók belépési adatait” – mondta Dmitry Shestakov, a Group-IB fenyegetési információért felelős vezetője.
A felhasználói naplófájlok értékesítése
Az „info stealer” néven ismert kártékony szoftverekkel belépési adatokat, bankkártya információkat, kriptopénz tárcainformációkat, sütiket, böngészési előzményeket és egyéb adatokat tudnak ellopni a fertőzött számítógépekről, majd továbbítják azokat a támadóknak.
A Group-IB szerint a felhasználói információkat tartalmazó naplófájlokat, beleértve az IP-címeket is, aktívan értékesítik a dark web illegális piacterén. A cég arra a következtetésre jutott, hogy a ChatGPT fiókokat érintő naplófájlok legnagyobb részét az elhíresült Raccoon info stealer kártékony szoftver törte fel.
Forrás: www.independent.co.uk
A hírhedt indonéz hacktivista, Bjorka, közel 35 millió indonéz útlevéltulajdonos személyes adatait kínálja eladásra a darkweben 10 ezer dollárért. Bjorka rendszeres kritikusa az indonéz kormánynak és ismert arról, hogy kompromittáló információkat tesz közzé közösségi média platformokon a törvényhozókról. A Bevándorlási Főigazgatóság hálózatának potenciális megsértését vizsgálja a kormány.
