PIN-bypass támadás

Sokakat kellemetlenül érinthet egy új támadási módszer, ami a bankkártya adatainkkal játszik. Az új támadási technika lehetővé teszi, hogy a támadók átverjék a fizetési terminálokat és Mastercard kártyákat Visa kártyaként kezelje az elfogadóhely. Így ki lehet használni az ellopott, vagy a neten értékesített kártyaadatokat, a PIN kód ismerete nélkül.

Read more

Az FBI a TDoS támadások potenciális veszélyeire figyelmeztet

A DoS és DDoS támadások után egy újabb szolgáltatás-megtagadásos támadással kapcsolatos fogalmat kell megtanulnunk, a TDoS fogalmát. A telephony denial-of-service támadások következtében akár emberi életek is veszélybe kerülhetnek – állítja az FBI – amennyiben ezen támadások célpontjai a vészhelyzeti szolgálatatások (USA-ban a 911, EU-ban a 112).

Read more

Mégsem ellátási lánc támadás

A francia CERT (Agence nationale de la sécurité des systèmes d’information – ANSSI) hétfői bejelentése alapján ismét szakértők tucatjai kapták fel a fejüket, és voltak, akik már az IT biztonság, illetve annak illúziójának végét vizionálták. Termesztésen érhető, hogy a SolarWindset ért támadást követően az emberek érzékenyek a témára, pláne, hogy még alig telt el idő a támadás bejelentése óta (bár a PaloAlto Networks [Unit 42] szerint Ők már jóval a FireEye bejelentése előtt tudtak egyet s mást a SolarWindszel kapcsolatos aggályokról), és íme, még egy olyan támadás, ahol a bűnözők (vagy támadók) egy olyan terméket fertőznek meg, melyben az emberek feltétlen módon megbíznak.

Read more

Adatszivárgás a Yandex-nél

A moszkvai székhelyű multinacionális vállalat, amely a Google helyi megfelelője – hasonló szolgáltatásokkal – egy rövid nyilatkozatában tette közzé, hogy ügyfelei ezreinek kompromittálódott a fiókja. A közlemény szerint egy alkalmazott személyes haszonszerzés céljából értékesítette a felhasználókhoz tartozó hitelesítő adatokat. Az alkalmazott a három rendszergazda egyike volt, akik rendelkeztek a megfelelő jogosultsággal. Eddig 4887 fiókot azonosítottak, de azt is hozzátették, hogy pénzügyi adatokhoz nem fértek hozzá.

Read more

Solarwinds támadás a Microsoft szemszögéből

A Microsoft elnöke, Brad Smith az amerikai „60 Minutes” hírműsorban beszélt az általuk végzett tényfeltárási folyamatról, amiben azt találták, hogy valószínűleg több száz, vagy akár ezer fejlesztő dolgozott a támadás sikeres végrehajtás érdekében, amit a szoftvertervezés szempontjából a legnagyobb és legkifinomultabb támadásnak titulált. A Microsoft 500 szakértővel állt neki azonosítani azt a hatalmas, széleskörű esetet, ami a Microsoft rendszereit is érintette. Közben a folyamatosan támogatta a többi érintettet a károk csökkentésében és publikálta az eredményeket, javítókészleteket adott ki. Az eljárás közben azonosítottak nagyságrendileg 1000 különböző „ujjlenyomatot”, amit a támadókhoz köthető. Az is kiderült, hogy a támadók “mindössze” 4000 kódsort változtattak meg az Orion frissítésében, ami jelentéktelen a valós méretéhez képest.

Read more

Matricát kaptál a Telegramon? :-(

Az olasz Shielder kutatói azonosítottak egy támadási formát, amelynek segítségével kinyerhetők a Telegram alkalmazás adatai és tartalmai egyes eszközökről. A hiba az alkalmazás csevegés funkcióinak hibájából adódik és egy jól átalakított animált “matrica” szükséges hozzá. A gyártó több frissítésben, szeptemberben és októberben is patchelte a hibát, ami iOS, Android és macOS verziókban is megjelent. A Shielder etikus módon várt – a gyártónak történő bejelentést követően- 90 napot a publikálással, de azért felhívják a figyelmet a frissítés fontosságára még az ilyen ”triviális” apróságnak tűnő hiba esetén is.

Read more

A Bloomberg ismét ellátási lánc támadásra figyelmeztet

A Bloomberg Businessweek 2018-ban egy nagy visszhangot kiváltott cikket jelentettet meg, amiben azzal vádolta meg a Supermicro tajvani-amerikai alaplapgyártó céget, hogy az adatközpontokba szánt egyes termékeken kémchipet helyezett el a kínai hírszerzés. A Bloomberg 2021-ben frissítette a megjelent anyagot, egyre több bizonyítékra, harmadik féltől, és kormányzati tisztviselőktől származó információkra hivatkozva. Az egész történetet más fénybe helyezi a SolarWinds esete.

Read more