Databrudd på Amazon og Marriott Hotels, sårbare SSD-er, Apple Pay og mer: det er novemberens sikkerhetsnyheter.

Marriott International lider 500 m Record Data Breach

Annonse Det skjer så mye hver måned i verden av cybersikkerhet, online personvern og databeskyttelse. Det er vanskelig å følge med! Vår månedlige sikkerhetsoppdatering vil hjelpe deg med å holde oversikt over de viktigste sikkerhets- og personvernnyhetene hver måned. Her er hva som skjedde i november. 1. Mar

Annonse

Det skjer så mye hver måned i verden av cybersikkerhet, online personvern og databeskyttelse. Det er vanskelig å følge med!

Vår månedlige sikkerhetsoppdatering vil hjelpe deg med å holde oversikt over de viktigste sikkerhets- og personvernnyhetene hver måned. Her er hva som skjedde i november.

1. Marriott International lider 500 m Record Data Breach

Som alltid treff en av de største bitene med sikkerhetsnytt på slutten av måneden.

November ble avsluttet med hotellgruppen Marriott International som avslørte et enormt datainnbrudd. Det antas at opptil 500 millioner kundeposter er berørt da angriperen hadde tilgang til Marriott International Starwood divisjonsnettverk siden 2014.

Marriott International kjøpte Starwood i 2016 for å skape den største hotellkjeden i verden, med over 5 800 eiendommer.

Lekkasjen betyr forskjellige ting for forskjellige brukere. Informasjonen for hver bruker inneholder imidlertid en kombinasjon av:

  • Navn
  • Adresse
  • Telefonnummer
  • Epostadresse
  • Passnummer
  • Kontoinformasjon
  • Fødselsdato
  • Kjønn
  • Informasjon om ankomst og avreise

Det viktigste er kanskje Marriotts åpenbaring om at noen poster inneholder kryptert kortinformasjon - men heller ikke kunne utelukke at de private nøklene også var stjålet.

Det lange og korte av det er dette: Hvis du bodde på et hotell i Marriott Starwood, inkludert timeshare-eiendommer, før 10. september 2018, kan informasjonen din ha blitt kompromittert.

marriott internasjonal hotellgruppe påmelding

Marriott iverksetter tiltak for å beskytte potensielt berørte brukere ved å tilby et års gratis abonnement på WebWatcher. Amerikanske borgere vil også motta en gratis bedragerikonsultasjon og refusjonsdekning gratis. For øyeblikket er det tre påmeldingssider:

  • forente stater
  • Canada
  • Storbritannia

Ellers kan du sjekke ut disse tre enkle måtene å beskytte dataene på. Slik motvirker du brudd på data: 3 enkle måter å beskytte dine data Hvordan motvirke datainnbrudd: 3 enkle måter å beskytte dine data budsjetter. Hva bør du gjøre når nyheter om et brudd slår til? Les mer etter et stort brudd.

2. JavaScript-bibliotek for hendelsesstrømmer injisert med malware-kryptering

Et JavaScript-bibliotek som mottar over 2 millioner nedlastinger per uke, ble injisert med ondsinnet kode designet for å stjele cryptocururrency.

Event-Stream-depotet, en JavaScript-pakke som forenkler arbeidet med streamingmoduler for Node.js, ble funnet å inneholde skjult kode. Da forskere avfusket koden, ble det klart at målet med bitcoin tyveri.

Analyse antyder at koden er rettet mot biblioteker tilknyttet Copay bitcoin lommebok for mobil og stasjonær. Hvis Copay-lommeboken er til stede i et system, prøver den ondsinnede koden å stjele lommebokens innhold. Den prøver deretter å koble seg til en malaysisk IP-adresse.

Den ondsinnede koden ble lastet opp til Event-Stream-depotet etter at den opprinnelige utvikleren, Dominic Tarr, overrakte kontrollen over biblioteket til en annen utvikler, right9ctrl.

Right9ctrl lastet opp en ny versjon av biblioteket nesten så snart kontrollen ble overlevert, den nye versjonen som inneholder den ondsinnede koden som målrettet mot Copay lommebøker.

Imidlertid har right9ctrl siden den tid lastet opp en ny ny versjon av biblioteket - uten ondsinnet kode. Den nye opplastingen sammenfaller også med at Copay oppdaterte mobil- og desktop-lommebokpakkene for å fjerne bruken av JavaScript-bibliotekene som er målrettet mot den ondsinnede koden.

3. Amazon lider dataovertredelse dager før Black Friday

Bare noen dager før den største handeldagen i året (selvfølgelig Kinas singeldag), opplevde Amazon dataovertredelse.

"Vi kontakter deg for å gi deg beskjed om at nettstedet vårt utilsiktet avslørte navnet og e-postadressen din på grunn av en teknisk feil. Problemet er løst. Dette er ikke et resultat av noe du har gjort, og det er ingen grunn til at du endrer passord eller tar noen andre tiltak. "

Det er vanskelig å måle de nøyaktige detaljene i bruddet, for Amazon forteller ikke noe om det. Imidlertid rapporterte Amazon-brukere i Storbritannia, USA, Sør-Korea og Nederland om at de mottok en Amazon-e-post angående bruddet, så det var et ganske globalt spørsmål.

Brukere kan ta litt trøst ved at det var et Amazon-teknisk problem som førte til datainnbruddet, snarere enn et angrep på Amazon. Utgivelsen av informasjon inneholder heller ingen bankinformasjon.

Amazons melding om at det ikke er behov for berørte brukere å endre passord, er imidlertid ganske feil. Hvis du har blitt påvirket av Amazon data-bruddet, endrer du passordet ditt.

4. Selvkrypterende sikkerhetsproblemer i Samsung og Crucial SSD

Sikkerhetsforskere avdekket flere kritiske sårbarheter i Samsung og Crucial selvkrypterende SSD-er. Forskerteamet testet tre Crucial SSD-er og fire Samsung SSD-er, og fant kritiske problemer med hver testede modell.

Carlo Meijer og Bernard van Gastel, sikkerhetsforskere ved Radboud University i Nederland, identifiserte sårbarheter [PDF] i stasjonenes implementering av ATA-sikkerhet og TCG Opal, som er to spesifikasjoner for å implementere kryptering på SSD-er som bruker maskinvarebasert kryptering.

selvkrypterende ssd-sårbarheter

Det er en rekke problemer:

  • Mangel på kryptografisk binding mellom passord og datakrypteringsnøkkel betyr at en angriper kan låse opp stasjoner ved å endre passordvalideringsprosessen.
  • Crucial MX300 har et hovedpassord angitt av produsenten - dette passordet er en tom streng, for eksempel er det ikke en.
  • Gjenoppretting av Samsung datakrypteringsnøkler gjennom utnyttelse av SSD-slitasjeutjevning.

Ubevisst uttalte forskerne at disse sårbarhetene veldig godt kan gjelde for andre modeller så vel som for forskjellige SSD-produsenter.

Lurer du på hvordan du kan beskytte stasjonene dine? Slik beskytter du dataene dine ved hjelp av open source-krypteringsverktøyet, VeraCrypt Slik krypterer og beskytter du dataene og filene dine ved hjelp av VeraCrypt Slik krypterer og beskytter du dine data og filer ved å bruke VeraCrypt VeraCrypt er et gratis, åpen kildekrypteringsverktøy som du kan bruke for å kryptere og beskytte verdifulle personopplysninger i Windows. Les mer .

5. Apple Pay malvertising-kampanje målretter mot iPhone-brukere

iPhone-brukere er målet for en pågående malvertiseringskampanje som involverer Apple Pay.

Kampanjen prøver å omdirigere og svindle brukere av Apple Pay-legitimasjonen ved å bruke to phishing-popup-vinduer, og angrepet kommer fra en serie premium-aviser og magasiner når de nås via iOS.

Den skadelige programvaren, kjent som PayLeak, leverer intetanende iPhone-brukere som klikker på den ondsinnede annonsen til et kinesisk-registrert domene.

Når brukeren ankommer domenet, sjekker skadelig programvare en serie med legitimasjon, inkludert bevegelse av enheten, enhetstypen (Android eller iPhone), og om enhetens nettleser er Linux x86_64, Win32 eller MacIntel.

Videre sjekker skadelig programvare enheten for antivirus- eller antimalware-apper.

apple pay falske oppdateringer pop up malware

Hvis de riktige betingelsene er oppfylt, blir Android-brukere omdirigert til et phishing-nettsted som hevder brukeren har vunnet et gavekort fra Amazon.

Imidlertid får iPhone-brukere to popup-vinduer. Den første er et varsel om at iPhone trenger oppdatering, mens den andre informerer brukeren om at Apple Pay-appen deres også trenger oppdatering. Det andre varselet deler Apple Pay-kredittkortinformasjonen med en ekstern kommando- og kontrollserver.

6. One Million Children's Tracker Watchs Sårbar

Minst en million GPS-aktiverte tracker-klokker for barn selges til foreldre stappfulle av sårbarheter.

Pen Test Partners 'forskning detaljert en litany av sikkerhetsproblemer med den ekstremt populære MiSafe-barnas sikkerhetsklokke. De GPS-aktiverte klokkene er utviklet for at foreldre til enhver tid kan spore plasseringen til barnet sitt.

Sikkerhetsforskerne fant imidlertid ut at enhets-ID-numre - og derfor brukerkontoen - kunne nås.

Å få tilgang til kontoen gjorde det mulig for sikkerhetsgruppen å finne barnet, se et bilde av barnet, lytte til samtaler mellom barnet og foreldrene, eller ekstern samtale eller melding til barnet selv.

"Forskningen vår ble utført på klokker merket 'Misaféer barnevakt' og ser ut til å påvirke opptil 30 000 klokker. Imidlertid oppdaget vi minst 53 andre tracker-klokkemerker for barn som er berørt av identiske eller nesten identiske sikkerhetsproblemer. "

Sikkerhetsproblemer i smarte enheter rettet mot barn er ikke en ny utgave Nye tilfeller av hackere som målretter tilkoblede leker bevises at de forblir usikre Nye tilfeller av hackere som målretter tilkoblede leker bevis at de forblir usikre Les mer. Det forblir imidlertid en bekymringsfull.

“Så hvordan kjøper du trygge smarte leker til barna dine? Det gjør du ikke, sier Aaron Zander, IT-ingeniør i Hacker One. “Men hvis du må, ikke gå etter de billigste alternativene og prøv å minimere muligheter som video, Wi-Fi og Bluetooth. Hvis du har en enhet, og den har en sikkerhetsfeil, må du nå ut til representantene fra regjeringen, skrive reguleringsorganene, stink om det, det er den eneste måten det blir bedre. ”

November sikkerhetsnyheter Roundup

Dette er seks av de beste sikkerhetshistoriene fra november 2018. Men mye mer skjedde; vi har bare ikke plass til å liste det hele i detalj. Her er fem mer interessante sikkerhetshistorier som dukket opp forrige måned:

  • Den japanske nestlederen for cybersecurity-strategien avslørte at han aldri har brukt en datamaskin.
  • Nasjonalt statlig malware Stuxnet angriper fasiliteter og organisasjoner i Iran (igjen).
  • Hackere finner utnyttelse på null dager i iPhone X-, Samsung Galaxy S9- og Xiaomi Mi6-enheter.
  • Microsoft lapper en Windows-dagers utnyttelse brukt i flere angrep fra forskjellige hackinggrupper.
  • Det avanserte Pegasus-spionprogrammet brukes til å målrette undersøkende journalister i Mexico.

Nok en virvelvind av cybersecurity-nyheter. Cybersikkerhetens verden endres kontinuerlig, og å holde seg oppdatert om de nyeste bruddene, malware og personvernproblemer er en kamp.

Derfor avrunder vi hver måned de viktigste og mest interessante nyhetene.

Kom tilbake i begynnelsen av neste måned - starten på et nytt år, ikke mindre - for sikkerhetsoppdateringen i desember 2018. Neste måned ser også MakeUseOf 2018-året i sikkerhetsoppdatering. I mellomtiden kan du sjekke ut disse fem tipsene og triksene for å sikre smarte enheter. 5 tips for å sikre smarte enheter og IoT-enheter 5 tips for å sikre smarte enheter og IoT-enheter Smart hjemme-maskinvare er en del av tingenes internett, men hvor trygt er nettverket ditt med disse enhetene tilkoblet? Les mer .

Bildekreditt: Karlis Dambrans / Flickr

Utforsk mer om: Amazon, Apple Pay, Black Friday, Computersikkerhet, Cryptocurrency, Malvertising, Security Breach, Solid State Drive, Toys.