Feltörték a Gmail-t

HUP cikkturkáló

Óriási hackertámadás történt, összesen 2,5 milliárd Gmail-fiókot érintett

Persze aztán megy a szokásos porhintés meg bullshitelés, ugyanis azt írják:

A szakértők szerint ezért elengedhetetlen a kétfaktoros hitelesítés és az óvatosság.

"Igen, nem, de az ellen nem véd", mivel az is írják,

jelszavak nem kerültek illetéktelen kezekbe

Magyarán a kétfaktoros auth pont, hogy semmit se érne ez ellen a támadás ellen, hiszen nem jelszavak megszerzésével törték fel a rendszert. Azaz a kétfaktoros ebben az esetben arra jó, hogy a hackerek a telefonszámokat / másodlagos elérhetőséget is megszerezték...
Ettől a kis bullshittől függetlenül az tényleg elég durva, hogy 2,5 milliárd felhasználó adata illetéktelenek kezébe került, az nem piskóta mennyiség.

  • 2998 megtekintés

( Sanya v | 2025. 08. 19., k – 14:56 )

Gondolom nem emiatt fontos a 2 faktoros, de fontos. Nekem is bekapcsolta a google

Valójában csak az adatgyűjtés miatt fontos a guglinak, nem máté'. Az SMS-ben küldött kód csak arra jó, hogy a telefonszámodat is begyűjtsék.

(FYI: egy valamirevaló kétfaktoros auth kizárólag anonim második csatornát használ, például token. Ráadásul van is a guglinak ilyenje, simán integrálhatnák, ha akarnák, de nyilván nem akarják, mert a telószámokra utaznak.)

Tipp: Bármilyen TOTP app-pot használhatsz Google esetében második faktornak, akár egy Linux PC-re telepített keepass* vagy totp-cli (stb.) is lehet, még telefon sem kell. Ez esetben nem kell a telószámot megadni nekik.

Értem én a Google haterkedést, nem is teljesen alaptalan. De azt nem értem, hogy ebbe miért tesznek ennyi energiát egyesek (pl. Te; a haterkedésbe), milyen hozománya van, amiért megéri?

akár egy Linux PC-re telepített keepass

Jó ötlet. Ja, nem is. De legalább újabb támadási felület.

Értem én a Google haterkedést, nem is teljesen alaptalan. De azt nem értem, hogy ebbe miért tesznek ennyi energiát egyesek (pl. Te; a haterkedésbe), milyen hozománya van, amiért megéri?

Nem is érted. Szó sincs haterkedésről, arról van szó, hogy hazudnak-e a képedbe vagy sem. Az meg nem is kérdés, hogy erre ráébreszteni az embereket mennyire fontos (aka. "Férfi-e az, aki nem akarja jobbá tenni a világot?").
(FYI: az gáz, ami a gmail-el történt, de hogy ráadásul még azt hazudja az index, hogy a kétfaktoros auth megakadályozhatta volna ezt, na ezt rendkívül és különösen veszélyes hazugságnak tartom.)

Az egyikhez memóriát kell tudni dumpolni, a másikhoz meg nemhivatalos forrásból letölteni egy mókolt binárist.

Az előbbi elég meredek támadómodellt feltételez (ha a támadó ilyen szinten benn van a gépeden, hogy teljes memóriadumpot tud csinálni, akkor egyéb bajaid is lesznek, bőségesen), ráadásul 2 éve javítva is van. Az utóbbi meg kb bármi mással is előfordulhat.

Régóta vágyok én, az androidok mezonkincsére már!

Hát, akinek ellopták a Google-tól az adatait, és ezzel egyidőben a gépét is felnyomták úgy, hogy a KeePass memóriáját el tudják lopni, annak egyszerűen peche van. Én nem gondolom, hogy ez tömegeket érintene. De a KeePass egyébként is csak egy ingyenes, Google-től független TOTP példa volt, ezer más használható helyette.

az gáz, ami a gmail-el történt, de hogy ráadásul még azt hazudja az index, hogy a kétfaktoros auth megakadályozhatta volna ezt

Nem az Index védelmében, de nem ezt írták. Azt írták, hogy azért fontos a kétfaktoros hitelesítés bekapcsolása mindenkinek, mert az ellopott vagy kicsalt jelszó esetén is ad egy plusz védelmet, hogy ne lehessen a fiókhoz könnyen hozzáférni. Én ezt értem az írásukból, nem azt (ami hülyeség is, és szerintem nem is lehet így érteni), hogy az ügyfélnél bekapcsolt kétfaktoros hitelesítés megakadályozta volna a Google adatbázis ellopását...

( azbest | 2025. 08. 19., k – 15:52 )

Szerkesztve: 2025. 08. 19., k – 15:53

szóval nem törték fel. Persze az, hogy valahogy össze tudtnak kapcsolni neveket és email címeket az kockázatot növel, de a legtöbb email cím eleve név :D

( hory v | 2025. 08. 19., k – 16:08 )

Irja a cikk:

"the database in question was a Salesforce instance “used to store contact information and related notes for small and medium businesses.”"

 

Vagyis nem, nem a gmail-t tortek fel, hanem a gmail CS/account management exportjat.

( Ar0n v | 2025. 08. 19., k – 16:11 )

"If you’re a Gmail user, you need to be particularly careful right now as criminals are currently targeting Gmail accounts. Hackers from a group called ShinyHunters were recently able to gain access to Google’s Salesforce database systems, reports Forbes."

Kösz, hogy ezt betetted és utánanéztél, de én ebből semmit nem értek, pedig elég jó az angolom. Milyen Voice Pishing, Data Extortion, Python script, evolving TTP? Mondanám, hogy AI írta, de ekkora összefüggéstelen bullshithalmot még az sem tud generálni. Nyilván nem a te hibád, nem is neked írom, csak úgy megjegyzem. Az ilyen szarkenegetésért kijárna egy súlyos bünti a Google-nek. Nem is az, hogy feltörték őket, de még terelnek is, hogy senki ne értse. Legalább annyi becsület lenne bennük, hogy ha elqrták, akkor őszintén állnak ki a nyilvánosság elé.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Milyen Voice Pishing, Data Extortion, Python script, evolving TTP? Mondanám, hogy AI írta, de ekkora összefüggéstelen bullshithalmot még az sem tud generálni.

Voice Phishing: célzottan telefonhívással megszerzett adatok (valaki másnak adja ki magát a hívó, akiben a hívott megbízik); itt már van AI deepfake is, ha tudnak hangmintát szerezni attól, akinek a hangjával akarnak átverni.

Data Extortion: ~ransomware, ellopnak érzékeny adatokat és pénzt kérnek érte, akár titkosítják, akár nem.

TTP: Tactics, Techniques, and Procedures rövidítése, a cyber-attack stratégia leírása, kb. a mit-mivel-hogyan akarnak megszerezni.

A Python script úgy jön képbe, hogy itt épp a Salesforce dataloader-t cserélték ki a támadók (akik a cég IT-s szakértőjének adták ki magukat), ami Python script és ez a dataloader szivárogtatta ki az adatokat (VPN és TOR gateway-en át).

Az ilyen szarkenegetésért kijárna egy súlyos bünti a Google-nek. Nem is az, hogy feltörték őket, de még terelnek is, hogy senki ne értse.

Nincs ebben semmi szarkeverés, csak nem vagy járatos ezen a téren és nem érted a szakkifejezéseket.

https://iotguru.cloud

Nem is az, hogy feltörték őket, de még terelnek is, hogy senki ne értse.

Én úgy látom, hogy nem a google magyarázata a bullshit, hanem a fent linkelt indexes cikk. 
Egyfelől nem a G-Mailt törték fel, hanem egy gmailes címeket tartalmazó adatbázist. Ebben az adatbázisban az e-mail cím mellett az illető neve volt, illetve bizonyos esetekben a munkahelye neve is.

Másfelől minden érintettnek küldött a Google egy e-mailt augusztus 8.-án, amiben leírták, hogy pontosan milyen adat került ki róla, és hogyan. Szóval akiket érint, már tudnak róla régóta.

Ehhez képest az érintettek tájékoztatása után az Index lehozott egy cikket 11 nappal később, amiben meglehetősen hatásvadász módon tálalta. (erre jóbizonyíték, hogy a téma indítója is elhitte elsőre, hogy a GMailt törték fel) Miközben a GMailen bent tárolt levelekhez, jelszóhoz, telefonszámhoz egyáltalán nem fértek hozzá. Sőt, a támadásban a GMail rendszerei nem is voltak érintettek. Egy külső adatbázisba exportált címlistát loptak el, amiben nevek meg e-mail címek vannak.

Nagy Péter

Így így. Hajrá Salesforce felhasználók és partnereik. :D

Reménykedjünk, hogy amikor a média "besz@ratja" a hétköznapi vagy felületes olvasóját ilyenekkel - annyi pozitívum kisülhet talán a dologból, hogy miután a biztonsági szakértők elszajkózták újra, hogy mennyire veszélyes tud lenni a telefonos betyárok :D ténykedése és mennyire fontos a bizalom, a biztonságos azonosítási technikák használata - talán lesz néhány user, aki észbe is kap és változtat a saját hozzáállásán és gyakorlatán jó irányba.

Hát, az Index (meg úgy általában a teljes média) nem arról híres, hogy a tényeket feltárva tájékoztatja az olvasókat. (Amit amúgy meg is értek, mert az ilyen cikkek, természetüknél fogva hosszabbak, mint amit el tudnék olvasni egy bögre kávé közben, szóval én se foglalkozom velük igazán.)

Najó, de az egészből nekem csak az nem derült ki, hogy ki bökte el. Mert a Google kommunikációja - felületes átfutás után ez jött le - az az, hogy hű de nagyon jól csináltak mindent.

Amit egyébként hajlandó vagyok elhinni, mert nagyjából 0 információm van arról, hogy mi történt.

Az mindenképp korrekt a részükről, hogy értesítették akit kellett, stb. stb., szóval tényleg nem kötekedni akarok, csak megérteni, hogy olyan volt-e ez, mint amikor default jelszóval tettek ki adatbázisokat, mindenki számára elérhetően, vagy mi.

https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing…

Salesforce-ra szakosodott telefonos szivatós banda "kiügyeskedett" némi üzleti partner adatot a Google-tól és ha köztük vagy, akkor telefonon kereshetnek téged is vagy más módon huncutkodhatnak veled.

Rávették, hogy telepítsen egy preparált dataloader plugin-t a Salesforce-hoz, viszont a Google IT sec észrevette a gyanús forgalmat VPN és TOR endpoint-ok felé, ezért levágták a netről, megnézték, hogy mialófaszvolt, értesítették az érintett felhasználókat és case closed, majd próbálnak tanulni az esetből. A média fújta fel nagyra a lufit.

https://iotguru.cloud

Azért ez több sebből vérzik. A telefonáló simán rávehet egy alkalmazottat, hogy programot telepítsen? Nem úgy van mindenféle IT sec előírásokban, köztük a napjainkban felkapott NIS2-ben is, hogy jóváhagyási folyamat? Aztán, hogy lehetséges, hogy erről a gépről 1-1-ben el lehet érni az adatbázist és kidumpolni? Ha sales progin keresztül pakolták ki azt az elvileg 2.5 milliárd rekordot, akkor is ütős, hogy egyszem gépről ekkora adatot ki lehet tolni.Egy gép előtt ülő embernek minek ekkora teljes hozzáférést adni? 

Értem, hogy tudjon halászni a zavarosban, de akkor is semmi limit, hogy adott időn belül ne tudjon lehúzni ennyi rekordot? Azért ez gázos.

Azért ez több sebből vérzik. A telefonáló simán rávehet egy alkalmazottat, hogy programot telepítsen?

Aha, igen.

Nem úgy van mindenféle IT sec előírásokban, köztük a napjainkban felkapott NIS2-ben is, hogy jóváhagyási folyamat? Aztán, hogy lehetséges, hogy erről a gépről 1-1-ben el lehet érni az adatbázist és kidumpolni?

A NIS2 az EU direktíva, a világ többi részén nincs ilyen, USA meg tipikusa vadnyugat ezen a téren, kis túlzással nincs semmi szabályozás semmire, ami büntetéseket kapnak a multik, azt az EU-tól kapják.

Ha sales progin keresztül pakolták ki azt az elvileg 2.5 milliárd rekordot, akkor is ütős, hogy egyszem gépről ekkora adatot ki lehet tolni.Egy gép előtt ülő embernek minek ekkora teljes hozzáférést adni? 

Nem pakoltak ki 2,5 milliárd adatot. Potenciálisan ennyi adatot pakolhattak volna ki (feltételes módban), de igen korán észrevették, hogy mennek kifelé adatok nem szokványos módon. Az érintetteket értesítették.

Értem, hogy tudjon halászni a zavarosban, de akkor is semmi limit, hogy adott időn belül ne tudjon lehúzni ennyi rekordot? Azért ez gázos.

Lásd előző bekezdés.

https://iotguru.cloud

Igen, ez történt.

Tehát, a gyakorlatban egy vagy több, bizonyára jól™ képzett, biztonságtudatos™ Google alkalmazott Salesforce account-ját lopták el.

Néhányan nagyon igyekeznek kedvenc multikájukat (Google) mosdatni és szerintük mindenki más a hibás, a Salesforce-tól kezdve a kisember alkalmazottakon és a vishing-hívásokat továbbító telekommunikációs cégeken át az atyaúristenig. Úgy állítják be, mintha multiék mindent jól™ csináltak volna, mert a rögeszme nem sérülhet: az adataink továbbra is biztonságban™ vannak a cloud-ban és a legjobb™ ötlet oda őket feltölteni 2025-ben is, mintsem privacy-tudatosan megoldani a tárolásukat.

A Google-n belüli őskáoszt és az elsősorban marketingasztalon létező nagy™ biztonságot™ jól mutatja, hogy korábban éppen maga a Google hívta fel a figyelmet elsőként hackerék módszereire, az alkalmazottaik ennek ellenére mégis benyalták. 🤡 Így jár az, aki elsősorban marketingcélokból tart fenn security research csoportot és saját magán kívül mindenki mástól elvárja a biztonsági™ FUD-bullshit kamuval, valójában adatgyűjtögetési céllal torkokon lenyomott megoldások™ alkalmazását, lásd pl. a 2FA típusú zsarolások.

Bár nem teljesen így történt, de igen, a Google valamelyik marketinges alkalmazottja hibázott, és elhitte, hogy ha valaki a telefonban a Salesforce nevében hívja őt, és azt kéri, hogy rakjon fel valami programot, akkor azt neki meg kell csinálnia. A Google-nél meg szerencsére volt valami automatizmus, ami kiszúrta a gyanús hálózati adatforgalmat, meg volt valaki informatikus, aki látta, hogy tényleg gond van, és lekapcsolták a netről, mielőtt kiment volna az összes adat. Persze ettől még hibáztak, senki nem mondja, hogy ez így rendben volt.

De hogy ennek mi köze a felhőhöz, meg hogy google szolgáltatást használunk valamire, azt nem tudom. 🤡

2017-ben feltörték a Telekom szerverét. Akkor most mondjuk le az internetet, mert a szolgáltatónál valaki hibázott annakidején?
Vagy kifejezetten jó™, hogy lelőtték a 3G-t, mert hackerek amúgy is fel tudták törni azt a szervert, amin az internetelőfizetéseket kezelték?

Teljesen felesleges összemosni azokat az embereket a Google-nél, akik a felhőszolgáltatást üzemeltetik egy marketinges kapcsolattartóval. Nem kell ész nélkül használni a felhőt, meg nem kell minden adatot felhőben tartani, de nem azért, mert van egy marketinges, akit át tudtak verni.
 

Nagy Péter

Bár nem teljesen így történt

De így történt, csak most megpróbáltad kimenteni a multikát egy "szerencsére" fordulattal, azt a látszatot keltve, hogy nem a Google alkalmazottja nyalta be a malware-t.

Továbbra is arról van szó, hogy a Google alkalmazottja nyalta be a malware-t egy Google által üzemeltetett munkaállomáson, aminek a biztonságára™ a Google nagyon-nagyon magasról szart.

Mindeközben az alkalmazottaik hálózati forgalmának lehallgatásában és kielemezgetésében élen jártak. Ami egész jól mutat amellett, hogy több milliárd felhasználó privát szféráján való élősködés az egyik fő profittermelő területük.

De így történt, csak most megpróbáltad kimenteni a multikát egy "szerencsére" fordulattal, azt a látszatot keltve, hogy nem a Google alkalmazottja nyalta be a malware-t.

Egyfelől akkor most döntsük el, hogy malware-t nyelt be, vagy telefonon adott valakinek felhasználót? Az eredeti hozzászólás, amire válaszoltál, ezt írta:

Szóval akkor kb. annyi történt, hogy felhívták a Google embert, hogy figyelj mán, én becsszó az vagyok aki, léci adjál már accot, mert holnap határidő?

Erre te írtad, hogy "Igen, ez történt.", én pedig erre azt, hogy "Bár nem teljesen így történt". 

A cikkekben semmiféle account kiadásáról nem írnak, ott azt írják, hogy egy preparált dataloader plugint telepített fel a Salesforce-hoz. 

A másik meg az alkalmazott kimentése™:

Az előző hozzászólásom első bekezdésben ezt írtam az utolsó mondatnak: "Persze ettől még hibáztak, senki nem mondja, hogy ez így rendben volt." Ez nem tudom melyik univerzumban számít kimentésnek™, de én pont hogy azt írtam, hogy ez nincs rendben, ez hiba volt. 

Nagy Péter

Az sem lepne meg, ha ez valami külsős cég lenne teljesen. 

Anno, amikor céges előfizetést gazdaságosabb hűségesre váltottuk, csak közvetítőn keresztül lehetett. Kiszervezték közvetítőnek a supportot lényegében. Ami az egy bites ügyfeleknél valsz előny - az ügyfélnek és a googlenek is. De nekünk csak plusz szopás, hogy így nem állíthatjuk be magunknak a licenszszám növelést, hanem a közvetítő céget kell megkérni mindig. Meg persze a közvetítő megpróbál upsellelni más "szakértő" szolgáltatást is hozzá. Bár lehet közben leépítették a magyarokat a lengyel cégtől, mert újabban angolul kommunikáló lengyel ügyintézőkkel találkozunk. (https://fotc.com/   fly on the cloud)

Hát nem mondanám, hogy annyira profi megoldást használnak, mert emailben kérünk és válaszolnak. A fizetési felületük is valami 3rd party tróger megoldás. Szerencsére elég ügyesek az adminisztratív kollégák és inkább segítséget kérnek a belső IT-től, a valamit állítani kell vagy fizetési dologban változás van. De potenciális támadási felület a levelezős, tróger fizetési felületes rendszer.

Azóta lehet ez változott már és talán közvetlenül is lehet. Legalábbis a privát előfizetésemnél amikor néztem, már közvetítő nélkül is tudnék hűségidősre váltani.

Mit vártál? Ők a biztonság™ éllovasai a szakmában™.

Ja nem.

Ők azok a multi, akik szanaszét szkennelgetnek-korlátozgatnak Play-en kívülről felrakott alkalmazásokat Androidon, miközben az alkalmazottjuk felrak a céges gépére egy malware-t egy csaló telefonhívásának engedelmeskedve. 🤡 Annyi nem volt bennük, hogy az ismeretlen forrásból származó binárisok futtatását letiltsák. Valamirevaló céges policy-ben alapdolog.

Ők azok a multi, akik biztonságra™ hivatkozva kinyírják a ManifestV2-t a böngészőkből, herélt ManifestV3-mal helyettesítve, miközben mind a Play Store, mind a Web Store ezrével hemzseg a kártevőktől és nem is tűnik úgy, hogy képesek vagy hajlandóak lennének ezt a problémát érdemben is kezelni, a rendszeres security™ marketing-bullshitelésen kívül. 🤡

Csakhogy a legújabb fiaskót említsem: Százezer júzer munkaállomásáról készültek folyamatosan screenshotok a Web Store-ból egy kattintással telepíthető, a Google által biztonságosnak™ ítélt kiegészítő által.