Titkosítás, biztonság, privát szféra

Érinti az összes Linux kernel verziót 5.5-től 6.2-rc3-ig. Részletek itt.

LastPass Says Home Computer of DevOps Engineer Was Hacked https://t.co/YUi5GE2LUE

— Slashdot (@slashdot) February 28, 2023

[...] This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware. The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault. The threat actor then exported the native corporate vault entries and content of shared folders, which contained encrypted secure notes with access and decryption keys needed to access the AWS S3 LastPass production backups, other cloud-based storage resources, and some related critical database backups. As we progress through incident response and as part of our on-going containment, eradication, and recovery activities related to the second incident, we have performed the following actions, with additional work currently being accomplished in scoping and planning: [...]

Részletek itt.

'Ethical hacker' among ransomware suspects cuffed by Dutch cops https://t.co/MotYuJ7qc1

— The Register (@TheRegister) February 25, 2023

A holland rendőrség letartóztatott három férfit, akik állítólag részt vettek egy ransomware bűnszövetkezetben. A banda a gyanú szerint érzékeny adatokat lopott és több százezer eurót zsarolt ki több ezer cégtől.

A trió tagjai közt van egy 21 éves zandvoorti férfi, akit a rendőrség "elsődleges gyanúsítottként" azonosított, egy 21 éves rotterdami férfi és egy 18 éves állandó lakhellyel nem rendelkező férfi. A vezető állítólag több mint 2,5 millió eurót keresett karrierje során.

Az elkövetők egyike állítólag "etikus hackerként" dolgozik a holland biztonsági szervezetnél, a Dutch Institute for Vulnerability Disclosure-nél (DIVD).

Részletek itt.

Use of free authentication apps for 2FA will remain free and are much more secure than SMS https://t.co/pFMdxWPlai

— Elon Musk (@elonmusk) February 18, 2023

A Twitter bejelentette, hogy a Twitter Blue előfizetők kivételével mindenkinek megszűnik az SMS, mint második faktor a belépéshez. A többieknek marad az authentikátor app és a security key lehetőség. Azoknak a nem Twitter Blue felhasználóknak, akik eddig SMS-sel léptek be, 30 napjuk van (2023. március 20-ig) átállni a másik két faktor valamelyikére.

Részletek itt.

Ma van az adatvédelem nemzetközi napja (Data Protection Day) - https://t.co/boRtJMs3GF | https://t.co/HItH8RDAZH pic.twitter.com/38Qb01qBj4

— HUP (@huphu) January 28, 2023 #onhup

Az Európa Tanács (ET) kezdeményezésére 2007-ben, az ET adatvédelmi konvenciója elfogadásának 25. évfordulóján rendezték meg először az Európai Bizottság támogatásával.

Az a felismerés hívta életre, hogy az állampolgárok nem ismerik eléggé az adatvédelemhez kapcsolódó jogaikat, érdekeiket nem merik és nem tudják megvédeni, csendes beletörődéssel tűrnek lényegében minden jogsértő adatkezelést. Az adatvédelem napjának fő célja, hogy az emberek érdeklődjenek az adatvédelmi ismeretek iránt, keressék a lehetőséget ezek megvitatására. Magyarországon 1992-ben alkottak törvényt a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról, s az adatvédelmi biztos (ombudsman) intézménye 1995 júliusától működik.

• január 28. - Az adatvédelem nemzetközi napja
• Data Privacy Day

#0day sérülékenységet is javít a Microsoft 2023. január havi biztonsági frissítőcsomagja - https://t.co/e8QBBLFKky pic.twitter.com/2rofxylGYM

— HUP (@huphu) January 12, 2023 #onhup

A Microsoft 2023. január havi biztonsági csomagjában összesen 98 különböző biztonsági hibát javított, köztük 11 kritikus kockázati besorolású, amelyek kihasználása távoli kódfuttatást vagy jogosultság kiterjesztést tesznek lehetővé. A javított sérülékenységek között egy nulladik napi (zero-day) sebezhetőség is található. Ez a CVE-2023-21674 (Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability) azonosító alatt került nyilvántartásba.

Érdemes mielőbb frissíteni! Részletek itt.

Account Details of Over 200 Million Twitter Users Leaked on Hacker Forum

- data includes account name, handle, creation date, follower count, and email address
- data could be used for social engineering & doxxinghttps://t.co/VA4XAhkB0z#Twitter #databreach #cybersecurity

— Privacy Affairs (@Privacy_Affairs) January 4, 2023

Népszerű online hackerfórumban vált letölthetővé egy dump amiben 200 millió+ Twitter felhasználó fiókadatai - usernév, handle, regisztráció időpontja, követőszám, e-mail cím - találhatók meg. Az adatok felhasználhatók segítségként social engineering, doxxing tevékenységhez vagy a felhasználók Twitter fiókjának feltöréséhez. Részletek itt.

We are reporting out Microsoft Exchange servers still likely vulnerable to CVE-2022-41082 #ProxyNotShell. Nearly 70K IPs found without MS patches applied (based on version info). Previously recommended mitigation techniques can be bypassed by attackershttps://t.co/ApcM9HwiOK pic.twitter.com/dGA0LvEAbG

— Shadowserver (@Shadowserver) December 26, 2022

Decemberben jött ki a figyelmeztető, hogy súlyos sebezhetőség van a Microsoft Exchange szerverekben. Egy felmérés szerint egy hónappal később még - minimum - ~ 70 ezer sebezhető szerver van Európában. Nem sietik el az üzemeltető urak a frissítést ... Részletek itt.

LastPass password vaults crackable for $100, alleges 1Password https://t.co/ELqtHmEGxX #Apple

— AppleInsider (@appleinsider) December 30, 2022

Mint az ismert (HUP fórumtopik), "minden létező - titkosított és titkosítatlan - felhasználói adathoz hozzáférhettek a hackerek" a LastPass biztonsági incidense során.

"Az incidens óriási méretű felhasználói bázist érint, ebből kifolyólag óriási fogás is a hackereknek: a LastPass a világ egyik legnagyobb jelszómenedzsment-szolgáltatója, melynek jelenleg körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfele van."