Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Chrome ZDNet Adobe Reader elemző szotver NSDC FireEye NIS iCloud alkalmazás biztonság KLM T-Mobile DARPA NOYB NGO Galois ExNCS2019 BEUC Iridium SIEM ajánlások Check Point LastPass alkalmazás IRC MacBook Pro együttműködés Patch Tuesday JetStar Fallout Exploit Kit ACSC SMAShiNG
 február 11. 13:50

Oliver Hough, biztonsági kutató a Shodan segítségével felfedezett egy nyíltan hozzáférhető adatbázist, amely instagramos felhasználók adatait (nevek, azonosítók, képekre mutató linkek) tartalmazta ─ adja hírül a Cyberscoop. 

Bővebben

Oliver Hough, biztonsági kutató a Shodan segítségével felfedezett egy nyíltan hozzáférhető adatbázist, amely instagramos felhasználók adatait (nevek, azonosítók, képekre mutató linkek) tartalmazta ─ adja hírül a Cyberscoop. Hough szerint az adathalmazt célzott marketing tevékenységre, vagy ─ gyakran használt jelszavakkal párosítva ─ akár a fiókok elleni támadásokhoz is felhasználhatják. A Cyberscoop publikációjának megjelenéséig az Instagram nem reagált az esetre. 

(cyberscoop.com)
Kevesebb
Hasonló hírek
 január 30. 10:48

A FireEye kedden nyilvánosságra hozott jelentésében egy új, kiberkémkedést végző APT csoportról számol be, amely főként a telekommunikációs és utazási ipar terén működő, közel-keleti vállalatok között szedi áldozatait.

Bővebben

A FireEye kedden nyilvánosságra hozott jelentésében egy új, kiberkémkedést végző APT csoportról számol be, amely főként a telekommunikációs és utazási ipar terén működő, közel-keleti vállalatok között szedi áldozatait. Az összefoglaló  szerint az „APT39” néven hivatkozott kollektíva intenzív adatgyűjtési tevékenysége Irán geopolitikai céljainak megfelelően történik, emellett a támadásokhoz felhasznált eszközök tekintetében is tapasztalható átfedés egyéb iráni kötődésű csoportokéval, mint például az APT33, az APT34, a Newscaster és a Chafer. A csoport az elmúlt fél év óta mutat számottevő aktivitást, azonban már 2014-ben megkezdte működését. A támadások általában egy fertőzött fájlokat és linkeket tartalmazó célzott adathalász kampánnyal veszik kezdetüket, amelyek sikeressége esetén megkezdődik az információgyűjtés, amely során nyíltan hozzáférhető és egyedi fejlesztésű hacking eszközöket egyaránt alkalmaznak.

(www.cyberscoop.com)
Kevesebb
 2018. november 15. 12:03

Egy, a holland hatóságok által lefolytatott vizsgálat nyolc adatvédelmi problémát tárt fel az Office 2016 és Office 365 programok telemetrikus adatgyűjtése kapcsán; az elemzők szerint a Microsoft „nagyszabású és rejtett személyes adatgyűjtést” végez.

Bővebben

Egy, a holland hatóságok által lefolytatott vizsgálat nyolc adatvédelmi problémát tárt fel az Office 2016 és Office 365 programok telemetrikus adatgyűjtése kapcsán; az elemzők szerint a Microsoft „nagyszabású és rejtett személyes adatgyűjtést” végez. Az egyik lényeges kritika azért érte a vállalatot, amiért az véleményük szerint nem tájékoztatja megfelelően ügyfeleit a tevékenységről, ugyanis hivatalos dokumentáció nem érhető el arra vonatkozóan, hogy a cég pontosan milyen adatokat gyűjt, sem arról, hogy a telemetriát hogyan lehet kikapcsolni. Az elemzés során ráadásul megállapítást nyert, hogy a szoftverfejlesztők által gyakorta gyűjtött diagnosztikai adatok mellett az Office alkalmazások konkrét felhasználói tartalmakat is rögzítettek, mint például az e-mail tárgy mezőben szereplő szövegek, és olyan dokumentumokból származó mondatok, amelyeken a cég fordító és helyesírás-ellenőrző programjait használták. A holland kormány aggodalmának oka, hogy attól tartanak, az adatgyűjtés során szenzitív kormányzati adatok kerülhettek amerikai szerverekre, mivel legalább 300 000 kormányzati gépen futtatnak Office alkalmazásokat. Minderről tájékoztatták a Microsoftot, akik a jelentés szerint már részben módosítottak is a beállításokon, lehetővé téve az adatgyűjtés teljes korlátozását, ugyanakkor nem egyértelmű, hogy ez minden ügyfél számára elérhető-e. A tech óriás emellett ígéretet tett arra vonatkozóan, hogy a jövőben nagyobb átláthatóságot biztosítanak a telemetrikus adatgyűjtés kapcsán.

(zdnet.com)
Kevesebb
 2018. november 06. 15:28

A Kamerka nevű tool segítségével cím alapján kereshetőek a közeli, internet felől hozzáférhető kamerák.

Bővebben

A Kamerka nevű tool segítségével cím alapján kereshetőek a közeli, internet felől hozzáférhető kamerák. Készítője szerint az alkalmazás több különálló programból tevődik össze: az egyik a Shodan, ami az internetre kötött eszközök felderítéséért felel, a Geopy modul a helymeghatározást, a Folium pedig az eredményeket tartalmazó, HTML alapú térkép előállítását végzi. A Motherboard validálta a program működését, aminek a segítségével London, New York és Párizs területén is tártak fel nem biztosított kamerákat. Bár a teszt során olyan eszközt nem találtak, ami élő képet közvetített volna ─ valamint a legtöbbjük nem bizonyult autentikáció nélkül hozzáférhetőnek ─ több esetben is elértek olyan admin felületeket, amelyekről ismert, hogy könnyen kitalálható jelszavakkal rendelkeznek. 

(motherboard.vice.com)
Kevesebb
 2018. október 16. 14:18

Egy friss német fogyasztóvédelmi tanulmány megállapításai alapján a vonatkozó adatvédelmi szabályok ellenére a közösségi hálók felhasználói kevés kontrollt gyakorolhatnak saját adataik kezelése kapcsán.

Bővebben

Egy friss német fogyasztóvédelmi tanulmány megállapításai alapján a vonatkozó adatvédelmi szabályok ellenére a közösségi hálók felhasználói kevés kontrollt gyakorolhatnak saját adataik kezelése kapcsán. A Facebook, Instagram, WhatsApp, Twitter, Snapchat és LinkedIn vonatkozásában egyik fő kritikaként fogalmazódott meg, hogy az előírások ellenére az adatvédelmi alapbeállítások nem minden esetben a fogyasztók érdekeinek megfelelően kerültek kialakításra. Mindazonáltal pozitív példaként megemlítendő, hogy a tanulmány szerint a Pinterest és a YouTube döntően megfelelő módon hajtják végre a felhasználókat védő adatvédelmi intézkedéséket. A fogyasztóvédők szintén problematikusnak látják a felhasználók mobiltelefonszámának bekérésének gyakorlatát, mivel egy adott telefonszámhoz a rendszerek hozzá tudják rendelni a felhasználó által megadott különböző e-mail címeket, lehetővé téve a tudtukon kívüli egyértelmű beazonosításukat. 

(www.heise.de)
Kevesebb
 2018. szeptember 10. 14:51

A GuardianApp mobil tűzfal alkalmazás biztonsági kutatóinak egy csoportja kimutatta, hogy egyre több iOS alkalmazás gyűjt és értékesít jelenleg is más monetizáló cégeknek felhasználói adatokat.

Bővebben

A GuardianApp mobil tűzfal alkalmazás biztonsági kutatói kimutatták, hogy egyre több iOS alkalmazás gyűjt és értékesít felhasználói adatokat ─ például Wi-Fi hálózati azonosítókat, helyadatokat, akkumulátor töltöttségi állapotot ─ monetizáló cégeknek. Bár az alkalmazások tájékoztatják a felhasználókat az adatgyűjtés tényéről, arról azonban már nem tesznek említést, hogy a begyűjtött adatokat hirdetési- és marketingtevékenységet végző cégekkel is megosztják. A vizsgálat során felfedezték, hogy az említett alkalmazások olyan harmadik felek által beágyazott nyomkövető kódokat tartalmaznak, amelyek akár folyamatosan futhatnak az eszközökön, így mindvégig képesek az iPhone felhasználók adatainak gyűjtésére és továbbítására. Az ilyen jellegű adatgyűjtés ellen a szakértők a Bluetooth funkció használaton kívüli kikapcsolását, a hirdetések korlátozását, az engedélykérések tiltását és az adatvédelmi politikák megismerését javasolják.

(www.securityaffairs.co)
Kevesebb
 2018. augusztus 29. 10:45

A legfontosabb újítás, hogy a képmegosztó platform immár támogatja a harmadik féltől származó autentikátor applikációk használatát a kétfaktoros azonosításhoz, mivel eddig csupán SMS-en keresztül volt erre lehetőség.

Bővebben

A legfontosabb újítás, hogy a képmegosztó platform immár támogatja a harmadik féltől származó autentikátor applikációk használatát a kétfaktoros azonosításhoz, mivel eddig csupán SMS-en keresztül volt erre lehetőség. Emellett azonban két további fontos funkció is bevezetésre került a célból, hogy a felhasználók nagyobb rálátást kapjanak a követett Instagram fiókokra. Az egyik a fiókok verifikálása, ami azok valódiságát, és az irányelvekkel összhangban történő használatát hivatott igazolni, valamint az „Account Info”, amely felfedi, hogy egy adott profil mikor készült, melyik országból használják, az utóbbi egy évben történt esetleges felhasználónév váltásokat, a megosztott reklámokat, illetve a legtöbb közös követővel rendelkező hasonló fiókokat. A bejelentés két héttel azt követően történt, hogy Instagram fiókok tömeges feltöréséről érkeztek hírek.

(instagram-press.com)
Kevesebb
 2018. augusztus 08. 11:04

Egy angliai biztonsági kutató rámutatott arra, hogy az angliai Halifax Bank oldalán olyan kliens oldali programok futnak, amik ellenőrzik, hogy a kliensen milyen portok vannak nyitva.

Bővebben

Egy angliai biztonsági kutató rámutatott arra, hogy az angliai Halifax Bank oldalán olyan kliens oldali programok futnak, amik ellenőrzik, hogy a kliensen milyen portok vannak nyitva. A bank szerint ez biztonsági intézkedés, ezzel védik az ügyfeleiket, és véleményük szerint tevékenységük teljesen legális, hiszen azon túl, hogy ellenőrzik a nyitott portokat, más tevékenységet nem folytatnak. A biztonsági kutató ezzel szemben azzal érvel, hogy egyrészt, ha Ő, mint fehérsapkás hacker, felkérés nélkül szkennelné a bank rendszereit, azon nyomban megsértené a számítógépes visszaélésekről szóló törvényt (Computer Misuse Act), ahogy ez több független biztonsági kutatóval is megtörtént már. A bejelentő nem vitatja a bank jó szándékát, ám úgy véli az ilyen tevékenységhez a felhasználók explicit hozzájárulása szükséges, mely feltétel jelenleg nem teljesül. Véleménye szerint, ha a kód nem a belépő oldalon futna le, hanem bejelentkezés után, akkor legalább csak a saját ügyfelein végeznék a vizsgálatot és nem bárki gépén, aki az adott oldalt meglátogatja. Ennek kapcsán igyekszik felhívni a figyelmet arra, hogy a törvényeket nem lehet kettős mércével alkalmazni, azaz, vagy legális mindenki számára, hogy hozzájárulás hiányában végezzen port szkennelést, vagy jogszerűtlen, ebben ez esetben azonban a bank szorítkozzon saját ügyfeleire. Egyes biztonsági kutatók némileg vitatják a fenti álláspontot, rámutatva arra, hogy a port szkennelés a login oldalon történik, nem pedig a bank fő oldalán, illetve olyan vélemény is született, ami méltányolhatónak tartja ezt a tevékenységet, mindaddig, míg szándékos károkozás, vagy rosszindulatú tevékenységet nem folytat a szolgáltató. Mindezeken túl más szolgáltatók is alkalmaznak hasonló megoldásokat, melyek széles körben elfogadottak (Shodan, Censys, Xbox, PlayStation és számos IRC csatorna).

(www.theregister.co.uk)
Kevesebb
 2018. július 17. 15:33

Két amerikai szenátor vizsgálatot kezdeményezett a Szövetségi Kereskedelmi Bizottságnál (FTC) a smart TV gyártók adatvédelmi politikájára és gyakorlatára vonatkozóan, mivel ezek az eszközök a felhasználók utáni kémkedésre adhatnak módot.

Bővebben

Két amerikai szenátor vizsgálatot kezdeményezett a Szövetségi Kereskedelmi Bizottságnál (FTC) a smart TV gyártók adatvédelmi politikájára és gyakorlatára vonatkozóan, mivel ezek az eszközök a felhasználók utáni kémkedésre adhatnak módot. Az okostévékkel kapcsolatban nem először merülnek fel adatvédelmi aggályok, valójában 2012. óta ─ az első Samsung Smart TV-t érintő zero-day sérülékenység napvilágra kerülése óta ─ többé-kevésbé folyamatosan fennállnak. Most egy, a The New York Times által közzétett Samba TV-ről szóló jelentés irányította a figyelmet ismét a témára. A jelentésben foglaltak alapján a Samba szerződést kötött több nagynevű TV gyártóval, melynek értelmében a képernyőn megjelenített valamennyi adatot nyomon követheti, legyen szó a megtekintett műsorokról, videojátékokról, vagy épp reklámokról, az összegyűjtött adatok alapján pedig a felhasználók személye is beazonosítható. A cég ugyan közvetlenül nem adja át az adatokat harmadik feleknek, azonban azt lehetővé teszi a hirdetők számára, hogy rajta keresztül célzott reklám tevékenységet folytassanak azokon az eszközökön, amelyek lokális hálózati kapcsolatban állnak a televízióval. A szenátorok azt javasolják, hogy a felhasználók kapjanak pontos felvilágosítást arról, hogy adataikhoz ki férhet hozzá, és azok milyen módon kerülnek felhasználásra, valamint, hogy a hozzájárulás megtagadása ne vonja maga után a szolgáltatások korlátozását. 

(www.csoonline.com)
Kevesebb