On November 16, an actor posted an ad on a well-known hacking community forum, claiming they were selling a 2022 database of 487 million WhatsApp user mobile numbers.
The dataset allegedly contains WhatsApp user data from 84 countries. Threat actor claims there are over 32 million US user records included.
Upon request, the seller of WhatsApp's database shared a sample of data with Cybernews researchers. There were 1097 UK and 817 US user numbers in the shared sample.
Cybernews investigated all the numbers included in the sample and managed to confirm that all of them are, in fact, WhatsApp users.
Így vígyáztak™ rá multiék.
A teljes cikk: https://cybernews.com/news/whatsapp-data-leak/ (377 ezer magyar fiók érintett)
Mert még mindig a cloud és a centralizált adattárolás a jövő™.
Hozzászólások
FuckApp
A KRÉTA adatkiömlés (mert "szivárgás"-nak nevezni erős túlzás) kapcsán miért is nem jöttél az "így vigyáztak rá..." mantráddal? csak nem azért, mert nem multicég, hanem NERtársi bagázs?
Ettől függetlenül ugyanúgy elítélem és a szakmától idegennek tekintem a KRÉTA-adatszivárgás felelőseit is.
Nem kommenteltél, mert téged úgy tűnik, nem érdekel, hogy a nertársi cégek milyen trehány módon védik az adatokat/üzemeltetett rendszereket. Tudod van az a kifejezés, hogy kettős mérce - amilyen vehemensen támadtat máskor a multikat, most neked kellene habzó szájjal nekimenni a KRÉTA mögötti cégnek, csak valamiért nem teszed...
A NER-ezős fröcsögésed az, ami nem érdekel.
Igen, és ha odaállsz a tükör elé, akkor láthatod az egyik mesterét.
Elmondtam róla a véleményem: ugyanúgy elítélem és a szakmától idegennek tekintem a KRÉTA-adatszivárgás felelőseit is. Másfelől, a multikat most nem támadtam vehemensen, csak azt a téves közhiedelmet próbáltam eloszlatni, hogy a multiknál nagyobb biztonságban vannak az adataink, mint a magyar cégeknél. Amit te előszeretettel propagálsz, egy jó kora adag elitista kisembergyűlölet és némi kormányellenesség közepette.
A KRÉTA-s topicban nem láttam az "Így vígyáztak™ rá..." kezdetű megszólalásodat... De más hazai céghez kapcsolható hasonló esetnél sem...
Az, hogy nem csinálok valamit, nem róható fel kettős mércének. Ha bevédtem volna a KRÉTÁ-s balfaszokat, akkor lenne jogos a kritikád.
Ellenben, kicsit nézz majd körül, te mit művelsz. Ha multiról van szó, akkor mindig a céges folyamatokat, az üzleti megfontolást, a profitot védelmezed a véleményeddel. Ha magyar kis- és középvállalkozásról, akkor jóskapistázás warezpistikézés, áfacsalózás, balfaszozás megy a részedről. Ha magyar nagyvállalat, akkor NER-társazás, meg O1G-zés. Szóval, van egy lényeges különbség köztünk.
Én többet kritizálom a multikat és kevesebbet emelek szót a hazai vállalkozások visszásságai ellen, amellett, hogy felismerem ezeket a visszásságokat mindkét oldalon. Te mindkét esetben véleményt nyilvánítasz, a hazai vállalatokat pocskondiázod, a multikat isteníted. Ezt hívják a klasszikus értelemben kettős mércének és ebben te viszed a pálmát.
"Nem kommenteltel, mert ugy latszik, hogy teged nem erdekel"
Na! Ezt azert ne! Egy csomo helyen nem kommentelek en sem, pedig erdekel. Szoval legyszi ez ne legyen mar erv, hogy mit NEM csinal az ember. Kommentelni nem kotelezo. Ilyen alapon en fidesz parti vagyok, mert nem mentem ki a tanartuntesre? Ne mar...
Szerintem nem a szivárgásokkal van a baj, hanem a velük kapcsolatos hozzáállásról. Nevezeten hogy tudnak a szivárgásról, de próbálják elsunnyogni, eltitkolni, hátha nem jönnek rá az érintettek. Persze aztán mégis beigazolódik, hogy alaptalan reménykedés volt.
Ennél sem az a legnagyobb szenzáció, hogy 500 millió user adatai, hanem ezt is a hup-ról, cybernewsról, manga avataros hackerfórumos bejelentésből kell megtudni, és a WhatSuxx hozta magától nyilvánosságra, hivatalos közleményként.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
Belenézve abba a topikba, az sem beszél másról a nyitóban, mint arról az esetről. Mivel másabb ez itt?
trey @ gépház
A Kréta is hogy megvigyázta az adatokat... :D
https://iotguru.cloud
Reméltem is, hogy az első 10 kommenten belül megérkezik a 2 leghangosabb fősodratú multimosdató. Csalódtam volna, ha nem.
Senki nem mosdatta a WhatsApp-ot, ellenben felhívtuk a becses figyelmedet arra, hogy idehaza a nemmulti üzemeltetésű KRÉTA kapcsán is lenne mit feszegetned - pláne úgy, hogy a KRÉTA esetében kifejezetten szenzitív adatok is kikerültek, ráadásul az is feltételezhető, hogy a _teljes_ kezelt adatmennyiséget "elvitték". De neked ez nem fáj, neked ez "nem gond", ellenben az, hogy egy multi által üzemeltetett rendszerből az usernév+telefonszám párosok egy része kikerült, az igen.
Még nem, de már közel jársz hozzá azzal, hogy egy kevesebb személyes adatot tartalmazó, de 500 milliós adatbázist realtivizálsz kisebb problémaként a KRÉTA hack-hez képest. Szerintem több felhasználót tudnak (és fognak) adathalászattal betámadni és érzékeny adatokat ellopni ennek az 500 milliós adatbázisnak a segítségével, mint amennyi érzékeny adat a KRÉTA adatbázisban alapból benne van (már ha egyáltalán benne van).
Ezt már megtették helyettem a magadfajták.
Elvitték vagy nem vitték? A "feltételezhető" csak FUD. Ellenben a WhatsApptól kikerült adatok ellenőrzöttek és meg is jelentek a feketepiacon.
Neked sem fáj, hogy a gyerekeidről mindent tud az összes cloud-szolgáltató és észrevétlenül manipulál bele vásárlásokba, és számodra ellenőrizhetetlen algoritmusokat futtatgatnak az egész életed digitális lenyomatán.
Ellenben nekem fáj a KRÉTÁ-s sztori is és ez is. Az, hogy nem kommenteltem a topicba, nem azt jelenti, hogy nincs róla véleményem. Máskor meg az a bajod, ha elmondom.
Az egyik esetben az adatok egy részét "vitték el", a másiknál meg egy full admin jogot, és azzal feltehetőleg mindent _is_. A forráskódokat, _és_ feltehetőleg az _összes_ személyes és különleges(a) adatot is. Tudod marhára nem mindegy, hogy xcsillióból negyedcsilló telefonszám+usernév kerül ki, vagy xmillió felhasználó _összes_ személyes adata, menza kapcsán ételallergiája, orvosi felmentései, tanulmányi előmenetele, és hasonlók - nagyon nem azonos súlyú a két dolog, de neked hazai társulatba olyan módon "belerúgni", mint ahogy multicégeket szapulsz nem megy - hogy miért, azt csak sejtem (te is abból a tenyérből habzsolsz...)
A KRÉTA hack által maximum 2 millió ember érzékeny személyes adataihoz fértek hozzá. 500 millió felhasználó e-mail címéből és telefonszámának elég 0,4%-át sikeres adathalász támadásra felhasználni, mondjuk historikusan minden levelezést tartalmazó személyes postafiók feltörésére, amiből ugyanúgy kiderülnek hasonló vagy ugyanolyan személyes adatok, mint amik a kréta rendszerben rögzültek.
Akkor miért keverted ide a KRÉTA témát egyáltalán?
De megy, csak kár koptatni vele a billentyűzetet, mikor megteszik helyettem a magadfajták.
Nem talált.
A 2M emberből 2M _összes_ (szenzitív adatok is!) adata vs. a WhatsUp x millió useréből y millió telefonszáma. Ha nem érzed az "árnyalatnyi" különbséget, akkor az a te problémád...
Van is bizonyítékod rá, hogy minden adat kikerült? Mert a médiában túl sok volt a feltételes mód és csak annyit sikerült bizonyítani eddig, hogy valaki bejutott a rendszerbe.
Nem csak a médianyilvános információk léteznek. Bár ugye van, akihez csak az jut el, vagy azért, mert nem tudja, hogy ilyen is létezik, vagy a kapcsolati hálója és/vagy a reputációja olyan, hogy nem fog eljutni hozzá más információ.
Igen, lásd pl. az NMHH-nak se™ mentem™ neki™ az elbaszott 3G-lekapcsolás és az igazságtalan készülékvásárlás-támogatások miatt. A Digi mobiltenderből való, kartell általi kizárásának is nagyon™ örültem™.
Ja nem, csak megint hazudsz, mert kényszert érzel az elhiteltelenítésemre, hiszen egyik szeretett multikád becsülete sérült most. Ráadásul, még senkitől nem vettél elégtételt a KRÉTA-feltörés miatt, amiben az okostelefonfüggő gyerekeid minden szarát-húgyát hackerkézre kerítették.
Az, hogy nem nyilvánítok azonnal mindenről negatív véleményt, amiről az O1G-csorda, nem jelenti azt, hogy nem vagyok kritikus a hazai vállalatokkal kapcsolatos, illetve kormányközeli történésekkel kapcsolatban.
Szeretett multikája a WhatsApp az öregapádnak... Csak azt kéne felfogni azzal az egy bites (az is paritás) csökött agyaddal, hogy rohadtul nem egy súlycsoport a két adatvédelmi incidens.
Nem függóőek a gyerekeim - tudod tőlem az "ésszel és értelmesen használni"-t tanulták/tanulják meg (nem pedig azt, hogy mindenmultiköcsög és 640kB elég mindenre, akarom mondani 3G elég mindenre, amire a mobiltelefont érdemes használni, mert minden más bolat sz@r és a többi hajbiizmus...)
"nem nyilvánítok azonnal mindenről negatív véleményt" - a stílus, hajbi, a stílus... Ha egy "multi"-nál van probléma, habzik a szád, ha hazai "esemény" van, akkor pofa súlyba, vagy esetleg szőr mentén teszel kritikus megjegyzést.
És mint írtam, a WhatsUp incidense a kikerült adatkört tekintve lóf...sz a KRÉTA ügy során a támadók által elért/elvitt/elvihető adatkörhöz képest.
nagyon nem mindegy, hogy egy név/e-mail cím/telefonszám tartalmú névjegykártyát vesznek ki a zsebedből, vagy a tárcádat, amiben az összes okmányod, adókártya, taj-kártya, munkaköri alkalmassági vizsgálat eredménye és kapcsolódó leletek stb. ott figyelnek. Na az előbbi a WhatsUp, az utóbbi a KRÉTA - súlyosbítva azzal, hogy az előbbi nem kötelezően használandó, ki lehet lépni/meg lehet szüntetned a használatát, az utóbbit viszont törvényileg kötelező használni, és jogszabályok írják elő a kötelezően tárolandó/kezelendő adatok körét.
Illetve a Whatsappot az használja, aki akarja.
A Krétát meg annak kell használni, akinek iskolába jár a gyereke.
“Any book worth banning is a book worth reading.”
Semmi multimosdató nincs ebben, a Kréta nem felhős rendszer, mégis megtörték, szóval a cloud kiemelése ebből a szempontból teljesen irreleváns és értelmetlen. De ezt megszokhattuk tőled, hogy irreleváns és értelmetlen dolgokat írsz időnként.
https://iotguru.cloud
A cloud-ot és a centralizált adattárolást emeltem ki. Utóbbit a fősodratú szemellenződ nyilván olvasás közben kitakarta. A KRÉTÁ-ra is igaz a centralizált adattárolás. Ahogy az is, hogy a felhasználónak nincs beleszólása az adatai gyakorlati felhasználásába az üzemeltetett infrastruktúrán belül. Csak jogilag ott van néhány vagy teljesített vagy nem teljesített paragrafus, hogy nyugodtan aludjon.
Nem volt irreleváns és értelmetlen, méghozzá azért nem, mert ha nem egy helyen, egy cégnél, egy credential alatt lettek volna azok az adatok, akkor nem lehetett volna őket csak így elcsórni. Persze, megszokhattuk, hogy az aktuális fősodratú trend hiányosságait irrelevánsnak tekinted.
És egyik se az oka önmagában az adatszivárgásnak, pláne együtt se oka, szóval ezt kiemelni irreleváns és értelmetlen dolog.
Na, ebben a mondatban nincs a cloud említve, alakul ez, eljutunk oda, ahonnan indultunk... :D
https://iotguru.cloud
De igen, a WhatsApp esetében a cloud és a centralizáció is oka, máskülönben nem fordulhatott volna elő ilyen támadás. A KRÉTA esetében is a centralizáció az oka, különben nem fordulhatott volna elő ilyen támadás.
A cloud, mint divat és trend káros és vezetett el olyan állapothoz (centralizáció), ami lehetővé tesz ilyen támadásokat.
Cloud és centralizáció nélkül is előfordul ilyen támadás, a cloud és a centralizált dolog kiemelése irreleváns és értelmetlen, pláne a támadás okaként hivatkozva.
Megfelelő stratégiával a centralizált adat jobban védhető, mint a decentralizált adat, mert nem sok kis védelem kell, hanem egy. A cloud vagy on-premise skála pedig ebben a tekintetben irreleváns és értelmetlen.
A Kréta esetén nem a centralizáció az oka, hanem az, hogy olyan kontraszelektált balfaszok dolgoztak ott, mint amilyen te is vagy.
Látszik, hogy szokás szerint halvány fogalmad nincs azokról a szavakról, amiket használsz... :D
https://iotguru.cloud
Minden olyan tényező ok, ami oda vezet, hogy a támadás megvalósulhat. A cloud-ot, mint káros divatot és trendet emeltem ki. A centralizációt, mint a fősodor által kedvelt adattárolási modellt. A centralizáció elterjedésének egyik oka a cloud erőltetése. 500 millió felhasználó adatainak egyszerre történő ellopásának oka a centralizáció. Ez tette lehetővé.
És sok adat el is lopható, ha az a stratégia rossz vagy nem valósul meg. Sok = https://haveibeenpwned.com/PwnedWebsites és ami még nem került bele.
Nem irreleváns és nem értelmetlen. A cloud csak még bonyolultabbá teszi a védelmét a centralizáltan gyűjtött adatoknak, főleg ha adott adatközpontban több cég is tárol adatot. Főleg, ha a cloud-üzemeltető is spúrkodik a jó stratégiáin.
Érdekes, a mi cégünk rendszerét egyszer sem törték meg, amióta én felelek többek közt az IT biztonságért is. A kontraszelektált balfaszok ugyanúgy képviseltetik magukat a KRÉTÁ-nál, ahogy a WhatsAppnál is. Én úgy hívom őket: babzsákfejlesztők. Csiszolni kéne a közös nyelvezetünket, hátha valamiben még egyet is tudnánk érteni.
Mégis több rálátásom van, mint neked a szemellenződ mögül.
"Érdekes, a mi cégünk rendszerét egyszer sem törték meg" - Amit biztosan kijelenthetsz, az az, hogy nem tudsz róla. A "kontraszelektált balfasz" jelző meg az itteni "munkásságod" alapján... Szóval erősen illik rád.
Igen, ez történik a HUP-on, ha valaki felvállalja a véleményét a fősodorral szemben.
Akkor miért nem azzal a tényezővel számolsz, hogy hibáztak az adatok védelmével?
Kiemelheted, csak irreleváns és értelmetlen kiemelni.
Mert jobban védhető az adat.
Centralizáció a cloud előtt is volt, már a középkorban is volt ún. központi irattár, mert könnyebb volt védeni egy nagyobb irattárat, mint sok kicsit.
Nem, valakinek a hanyagsága tette lehetővé... :D
A cloud irreleváns ebből a szempontból, mert semmi köze a centralizációhoz, sőt, a cloud többnyire elosztott. Az on-premise viszont centralizált.
--
Nosza, add meg publikusan a céged elérhetőségét, meglátjuk, hogy mennyire biztonságos. A legtöbb kis céget csak azért nem törték meg, mert meg se próbálták.
Nosza, várom a publikus adatokat, hogy hova lehet kopogtatni. :D
https://iotguru.cloud
Azzal is számolok, de az triviális. Ahogy az is triviális, hogy még hibázni fognak a jövőben is és minél több adat összpontosul egy helyen, annál nagyobb kárt okoz egy ilyen hiba.
Nem irreleváns és nem értelmetlen, mert a cloud divattrend vezetett a centralizáció újabb és újabb csúcsokra járatásához.
Ahogy a példa is mutatja, igen. :DD Mesélj még...
De elég, ha meglátod a másik oldalt: könnyebben elveszíthető és az adatok mennyiségével a kockázat is nő, mivel minél több adat van egy helyen, annál inkább szimpatikus lesz egy támadónak - tehát annál többet kell költened védelemre.
A legkisebb ellenállás felé tendálás előbb-utóbb elviszi oda a világot, amikor már több probléma van a kényelmes ösvényen kitaposott út végén, mintha néha a nehezebbik utat választottuk volna.
Ha pedig nem lenne 500 millió felhasználó adata egy helyre centralizálva, akkor kiszivárgott volna pár száz-ezer-tízezer fiók. Tehát a mennyiségi faktornak a centralizáció volt az oka, akárhogy is divatbuziskodsz.
A cloud adatközpontokból áll. Az adatok adatközpontokban tárolása pedig centralizáció. Az elosztottságot meg majd akkor tömjénezd, amikor nem fordul elő olyan, hogy kiesik egy adatközpont az alulméretezett (elspúrkodott) klíma miatt, aztán nem lehet becsöngetni az okoscsengőn a fél világon.
Eszem ágában sincs megadni a cégem elérhetőségét. A biztonsági auditokon megfelelünk, tavalyelőtt pedig etikus hackerekkel is próbára tettük.
Várd csak, addig se divatbuziskodsz.
Security by obscurity? :D
Akkor mégis mi félelmed van, ha minden rendben van? :D
https://iotguru.cloud
Nem félek tőled, elvagy te szépen ott mucsán a vályogházadban.
Viszont semmi közöd nincsen hozzá, hogy hol dolgozom.
Hát pedig félsz... :D
Úgy járnál, mint George a Mozilla kapcsán: https://www.bleepingcomputer.com/news/security/developer-complains-fire…
https://iotguru.cloud
Ha te mondod...
"Akkor mégis mi félelmed van, ha minden rendben van? :D" - mert amit itt művel, azzal a cég jó híre menne a klotyóba... Ha igaz, hogy akkora nagy májer a cégnél, amint azt előadja...
Privát szféra. Tudod, ami neked nincs, mert odaadtad a multiknak a kényelmedért cserébe.
Tehát te a centralizált adatok ellen vagy, a cégednél sose nem volt ilyen dolog, meg bizt. rés sem, hogy cserélnek egymással infót az adott cégek ?
Papíron átviszi a futár a pizza mellett? Vagy hogy kell ezt elképzelni ?
Van egy egészséges határ, amit nem kéne átlépni a centralizációval. A jelenleg domináns cloud-multik ezt régesrég átlépték.
De akkor mi a "másik" ? tényleg érdekel, nem a "tm" témát akarom tolni ..
Szépen viszitek hárman a témát. Azt mondjuk nem értem miért mentetek neki hajbazernek? Mert nem említette a KRÉTA incidenst? Mostmár az is baj, ha valamit nem csinálsz? Lehozta más! Ő is szállított egy hírt. Hol a probléma?
"Nyuszika! Már megint nincs rajtad sapka!"
Nem bírják elviselni, hogy piacvezető multikájuk körül dagad az N+1. botrány.
Sokkal jobb a KRÉTÁ-n lovagolni, meg szétoffolni ezt a topicot, mert úgy lehet NER-ezni, O1G-zni, meg hajbazerezni.
A KRÉTA botránya sokkal komolyabb probléma, mint a WhatsUp xcsillió userének a telefonszáma, ezt vedd már észre. Kifejezetten szenzitív adatok is tárolásra kerülnek a KRÉTA adatbázisában, és az is kikerült, illetve kikerülhetett. persze remélhetőleg nem vagy szülő (és pedagógus sem), úgyhogy ilyen irányból nézve téged valóban nem kell, hogy érdekeljen...
Észre van véve.
Csak te nem veszed észre, hogy az 500 millió user kiszivárgása is jó táptalaj arra, hogy később a KRÉTA felhasználóival azonos mennyiségű és azonosan szenzitív adat kiszivárogjon. Elég ennek az adatbázisnak a 0,4%-át sikeresen adathalász támadásra használni, vagy a telefonszámokkal social engineer-elni.
Az, hogy mi lesz később, az a másik kérdés - még nem tudunk arról, hogy erre használták volna az adatokat.
Szerinted az _összes_ alap- és középfokú, iskolarendszerű képzésben résztvevő diák és szüleinek az oktatási és ahhoz kapcsolódó adata, elérhetősége, a gyerekek képzése során kialakult eredmények, tanár-szülő kommunikációk, kérések milyen profilalkotási lehetőségeket kínálnak tálcán és azonnal? Milyen szinten lehet per prompt felépíteni az érintettek kapcsolati hálójának egy jelentős szeletét? Úgy, hogy tudod, az adott adathalmaz annak jogi háttere miatt gyakorlatilag teljes körű, valós és hiteles adatokat tartalmaz. Nos, ezen nem gondolkodtál még el...? Pedig kéne...
Ha nem vetted volna észre, a multicégek bármilyen hibájára habzik a szája, a hazai botrányokra meg qssol erősen...
Ezek nem hibák, és nem "nem védték az adatokat". - Ezek a rendszer lényegéből fakadó következmények.
- Abból, hogy az adatokra koncentráltan szükségük van az "adattolvajoknak" és abból is, hogy erre a szolgáltatás tulajdonosai is "áhítoznak". Ennek érdekében fejleszteniük kell folyamatosan a rendszert. - De a legfőbb szempont sok ezer fejlesztőnek kiadva, kizárólag az adatok gyorsabb-jobb feldolgozhatósága és elérhetősége.
Az adatokkal kereshető pénz mindent felhasználó privát érdekét tollvonás nélkül felülírja.