Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

The Guardian -lehti paljastaa NSA:n ja GCHQ:n vakoilleen Xbox Live -käyttäjiä. Myös World Of Warcraftin ja Second Lifen käyttäjiä on seurattu. Tiedot käyvät ilmi - kuinkas muutenkaan - Edward Snowdenin vuotamista dokumenteista.

The agencies, the documents show, have built mass-collection capabilities against the Xbox Live console network, which boasts more than 48 million players. Real-life agents have been deployed into virtual realms, from those Orc hordes in World of Warcraft to the human avatars of Second Life. There were attempts, too, to recruit potential informants from the games' tech-friendly users.

&

The NSA document, written in 2008 and titled Exploiting Terrorist Use of Games & Virtual Environments, stressed the risk of leaving games communities under-monitored, describing them as a "target-rich communications network" where intelligence targets could "hide in plain sight".

Microsoftin ja Second Lifen suunnalta kieltäydyttiin kommentoimaan väitettä. Blizzardilta sen sijaan vastattiin, että heillä ei ole tietoa moisesta WOW-vakoilusta, ja jos jotain on tehty, se on tehty heidän tietämättämään ja lupaa kysymättä.

The California-based producer of World of Warcraft said neither the NSA nor GCHQ had sought its permission to gather intelligence inside the game. "We are unaware of any surveillance taking place," said a spokesman for Blizzard Entertainment. "If it was, it would have been done without our knowledge or permission."

Microsoft declined to comment on the latest revelations, as did Philip Rosedale, the founder of Second Life and former CEO of Linden Lab, the game's operator. The company's executives did not respond to requests for comment.

Lähde: The Guardian

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Tämä ei kosketa suoranaisesti suomalaisia, mutta mainittakoon nyt kuitenkin... Eli Jenkkilässä Target-ketjulta on päässyt vääriin käsiin peräti n. 40 miljoonan luottokortin tiedot.

Target today confirmed it is aware of unauthorized access to payment card data that may have impacted certain guests making credit and debit card purchases in its U.S. stores. Target is working closely with law enforcement and financial institutions, and has identified and resolved the issue.

“Target’s first priority is preserving the trust of our guests and we have moved swiftly to address this issue, so guests can shop with confidence. We regret any inconvenience this may cause,” said Gregg Steinhafel, chairman, president and chief executive officer, Target. “We take this matter very seriously and are working with law enforcement to bring those responsible to justice.”

Approximately 40 million credit and debit card accounts may have been impacted between Nov. 27 and Dec. 15, 2013. Target alerted authorities and financial institutions immediately after it was made aware of the unauthorized access, and is putting all appropriate resources behind these efforts. Among other actions, Target is partnering with a leading third-party forensics firm to conduct a thorough investigation of the incident.

Lähde: Target

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Verkkokauppa eBay ilmoittaa, että sieltä on helmi-maaliskuussa onnistuttu viemään 112 miljoonan käyttäjän salasanat ja muita tietoja (muttei luottokorttitietoja).

Later today, eBay will begin asking all of its 112 million customers to change their passwords, in the wake of a newly discovered breach. The breach compromised a database that included unencrypted passwords, leading to the change. eBay officials say no financial data was implicated, and they haven't seen any new unauthorized activity in the wake of the breach. The compromised was first discovered two weeks ago, but took place some time between late February and early March, when attackers obtained a group of employee log-in credentials, allowing access to the larger database.

In addition to passwords, the database contained basic login information like name, email, phone number, address and date of birth, but officials stressed that no confidential or personal information was included in the breach. Paypal was also not involved in the breach, as PayPal data is kept on a separate network with higher levels of encryption.

Update! Korjaus The Vergen tietoihin: salasanat olivat sentään salattuja.

What customer information was accessed?

The attack resulted in unauthorized access to a database of eBay users that included:

Customer name
Encrypted password
Email address
Physical address
Phone number
Date of birth

Lähde: The Verge

 

[Nisupulla]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Ei tullut yllätyksenä Snowdenin paljastukset kasvojen mittasuhteisiin perustuvasta tunnistuksesta ja siitä miten NSA kerää kasvokuvia tietokantaansa vastaisen varalle. Jos kerran USA niin varmaan myös muut tahot. Tulevaisuudesta ei tiedä miten voivat kääntyä kansalaista vastaan.

Jälleen Snowden-paljastus: NSA kerää miljoonia kasvokuvia netistä

New York Timesin mukaan NSA on kerännyt kasvokuvia uutta tunnistustekniikkaa käyttäen muun muassa yksityisistä sähköposteista, tekstiviesteistä, sosiaalisen median postauksista, videopuheluista ja muista yhteysvälineistä. NSA:n riippuvuus uudesta tunnistustekniikasta on kasvanut viime vuosina, NYT huomauttaa. Uusi tekniikka saattaa suorastaan mullistaa tunnistusmenetelmät, lehti kirjoittaa.

Lähde: http://yle.fi/uutiset/jalleen_snowden-paljastus_nsa_keraa_miljoonia_kasvokuvia_netista/7272672

 

[Nisupulla]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Laitetaan vielä edellisen jatkoksi tämä uutinen Facebookin mobiilisovelluksesta, joka kuuntelee esimerkiksi kotisi ääniä kirjoittaessasi tilapäivitystä. Nappaa sieltä tunnisteita tv-sarjoista ja kertoo seinälläsi mitä olit katsomassa. Uhka vai mahdollisuus?

Facebookin uusi sovellus kuuntelee kotisi ääniä

Ominaisuus laittaa puhelimesi mikrofonin päälle samalla, kun kirjoitat status-päivitystäsi ja etsii ympäristöstäsi ääniä. Ominaisuus poimii äänen, lähettää sen Facebookin servereille, jossa ääntä verrataan Facebookin äänitietokantaan. Jos ääni sopii yhteen jonkin tietokannan äänen kanssa, tieto siirtyy takaisin puhelimeesi edelleen tilapäivitystä kirjoittaessasi. Näin ystäväsi saavat tietää, että katsot juuri nyt esimerkiksi Simpsoneita.

SumOfUs.org -sivuston sivuille on jo ilmestynyt adressi, jossa pyydetään ihmisiä allekirjoittamaan vetoomus, jotta Facebook ei voisi julkaista tätä ”kammottavaa ja vaarallista” ominaisuutta. Linkki adressiin on kiertänyt myös jo suomalaisten käyttäjien tilapäivityksissä.

Adressin johdannossa nostetaan esiin se, että vaikka Facebook sanoo ominaisuutta käytettävän harmittomiin asioihin kuten laulun tai tv-sarjan tunnistamiseen, on sillä mahdollisuus kuunnella kaikkea.

Lähde: http://www.mtv.fi/uutiset/it/artikkeli/facebookin-uusi-sovellus-kuuntelee-kotisi-aania/3415114

 

[pelle]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

En kyllä tajua miksi kukaan haluaisi tuollaista ominaisuutta mihinkään. Onhan se varmaan kivaa kun laitat vaikka kuvan kun sait kämpän seinän maalattua ja samalla ilmestyy viesti "Martti katsoo elokuvaa ruoska & remmi 15". Onneksi minulla on luurissa vielä symbian ja fmobi niin ei ole tuollaisia ongelmia. Tosin en tiedä toimiiko tuo softa edes enää kun viimeksi olen luurilla facebookkia käyttänyt maaliskuussa 2013.

Jos ihmiset haluaa jakaa katsomansa elokuvan nimen niin ne varmaan kyllä osaa sen itsekin tehdä. Ja onhan esim youtube osoittanut sen kuinka surkeasti tuollaiset automaattiset jutut toimii. Joku oli muistaakseni tehnyt jostain autopelistä videon tubeen ja siinä oli pelkät moottoriäänet ja tuben mielestä se oli joku espanjalainen biisi tai jotain vastaavaa.

 

[StoneCold313]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

En kyllä tajua miksi kukaan haluaisi tuollaista ominaisuutta mihinkään. Onhan se varmaan kivaa kun laitat vaikka kuvan kun sait kämpän seinän maalattua ja samalla ilmestyy viesti "Martti katsoo elokuvaa ruoska & remmi 15". Onneksi minulla on luurissa vielä symbian ja fmobi niin ei ole tuollaisia ongelmia. Tosin en tiedä toimiiko tuo softa edes enää kun viimeksi olen luurilla facebookkia käyttänyt maaliskuussa 2013.

Jos ihmiset haluaa jakaa katsomansa elokuvan nimen niin ne varmaan kyllä osaa sen itsekin tehdä. Ja onhan esim youtube osoittanut sen kuinka surkeasti tuollaiset automaattiset jutut toimii. Joku oli muistaakseni tehnyt jostain autopelistä videon tubeen ja siinä oli pelkät moottoriäänet ja tuben mielestä se oli joku espanjalainen biisi tai jotain vastaavaa.

Ainakin omassa puhelimessa(Lumia 920) se biisin tunnistus toimii hiton hyvin. Tuli testailtua jossain kohtaa ja se tunnisti varmaan sen 80-95% biiseistä. Eli on hieman parantunut tekniikka niiden takana. Toivottavasti ton FB jutun saa pois päältä asetuksista. Vaikka en edes paljon naamakirjaan päivittele mitään, silti koko idea kuulostaa aivan helvetin kauheelta.

 

[Nisupulla]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Hesarissa mielenkiintoinen juttu kasvokuvasta tunnistamisesta. Mikäli jotain ei voida tunnistaa, voidaan apuna käyttää hänen vieressään olevia ja heidän sosiaalisia verkostojaan / muita digitaalisia jalanjälkiä.

Kasvojentunnistuksen periaatteet (kuva):

Spoileri

Kasvojentunnistusohjelma Tundra Freezen lisäksi NSA:n käyttämiä ohjelmia ovat muun muassa sähköposteista kuvia nappaava Wellspring, rajanylittäjien biometristä dataa, kuten sormenjälkiä, välittävä Pisces ja kasvojentunnistusohjelma Pitt-Patt, jonka valmistaneen firman omistaa Google.

Dokumenteista käy ilmi, että NSA on harkinnut jopa silmien iirisskannauksien sieppaamista kännykkä- ja sähköpostivakoiluohjelmiensa avulla.

Kansalaisoikeuksien puolustajat ovat ilmaisseet huolensa, että kasvojentunnistusohjelmien kaltaiset kehittyvät teknologiat nakertavat ihmisten yksityisyydensuojaa entisestään.

Kämäräinen ymmärtää huolen mutta huomauttaa, että teknologian kehitystä on vaikea hillitä.

"Jos jokin on mahdollista, insinööri kyllä tekee sen. On sitten poliitikkojen rooli miettiä sitä, mihin teknologiaa saa käyttää."

Lähde: http://www.hs.fi/tiede/Kone+tunnistaa+ihmisen+huonostakin+valokuvasta/a1401679188830

 

[TT-2k]

Striimauspalvelu Twitch tiedottaa käyttäjätietojen mahdollisesti päätyneen vääriin käsiin. Näinpä kaikkien tilien salasanat pakotetaan vaihtamaan.

We are writing to let you know that there may have been unauthorized access to some Twitch user account information.

For your protection, we have expired passwords and stream keys and have disconnected accounts from Twitter and YouTube. As a result, you will be prompted to create a new password the next time you attempt to log into your Twitch account.

We also recommend that you change your password at any website where you use the same or a similar password. We will communicate directly with affected users with additional details.

Lähde: Twitch

 

[mpp]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Ipadin Twitch sovellus katkaisi yhteyden kesken striimin katsomisen eilen illalla kymmenen jälkeen, eikä padin sovelluksella, tai nettisivuilla sen jälkeen päässyt enää kirjautumaan sisään.
Salasanan vaihtaminen ei vielä tuolloin onnistunut, vaan vasta tänä aamuna oli mahdollista, ja tuo tiedote oli tullut yöllä puoli kahden aikaan.
Jostain syystä Xbox Onen Twitch sovelluksella pääsi katsomaan vielä kymmenen jälkeenkin ihan normaalisti sisään kirjautuneena.

 

[TT-2k]

Yahoo ilmoittaa, että sen peräti 500 miljoonan käyttäjän tiedot on viety. Tapaus tapahtui tosin jo vuonna 2014, mutta vasta nyt asia tuli julki.

In a statement released today, Yahoo said a breach of its network in late 2014 has affected account information related to at least 500 million user accounts. The company says it believes "a state-sponsored actor" is responsible for the breach.

"The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers," the company said in the statement. Yahoo, however, said the hack "did not include unprotected passwords, payment card data, or bank account information."

Lähteet: BBC ja The Verge

 

[enlargementti]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Melkosen noloa

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Skype-tunnuksia on viime päivinä kaappailtu oikein urakalla, eli oletettavasti jossain on käynyt taas isompi tietomurto, ja sieltä saaduilla tunnuksilla ja salasanoilla on päästy nappaamaan Skype-tunnuksiakin. Jos käytät Skypen lisäksi Xbox Liveä ja/tai sinulla on Microsoft-tunnus muuten vaan käytössä, kannattaa seurata näitä ohjeita ja niputtaa Skype-tunnus Microsoft-tunnuksen alle. Tuolla tavoin Skypeenkin saa kaksivaiheisen tarkistamisen päälle, ja hämäräveikkojen yritykset tyssäävät hyvin tehokkaasti.

Meikunkin Skype-tunnusta oli käyty useampana päivänä kolkuttelemassa mm. Intiasta, Kiinasta ja Gabonista, mutta yritykseksi onneksi jäi. Oman Microsoft-tilinsä tapahtumat voi käydä tarkistamassa täältä.

 

[Poistettu jäsen 3274]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Skype-tunnuksia on viime päivinä kaappailtu oikein urakalla, eli oletettavasti jossain on käynyt taas isompi tietomurto, ja sieltä saaduilla tunnuksilla ja salasanoilla on päästy nappaamaan Skype-tunnuksiakin. Jos käytät Skypen lisäksi Xbox Liveä ja/tai sinulla on Microsoft-tunnus muuten vaan käytössä, kannattaa seurata näitä ohjeita ja niputtaa Skype-tunnus Microsoft-tunnuksen alle. Tuolla tavoin Skypeenkin saa kaksivaiheisen tarkistamisen päälle, ja hämäräveikkojen yritykset tyssäävät hyvin tehokkaasti.

Meikunkin Skype-tunnusta oli käyty useampana päivänä kolkuttelemassa mm. Intiasta, Kiinasta ja Gabonista, mutta yritykseksi onneksi jäi. Oman Microsoft-tilinsä tapahtumat voi käydä tarkistamassa täältä.

Redditissä on kanssa puhetta tästä haavoittuvuudesta (ainakin oletan, että on samasta kyse) ja Major Nelson oli kommentoinut, että on välittänyt tietoa eteenpäin ja toivottavasti saavat paikattua nopeasti.

https://www.reddit.com/r/xboxone/comments/5b4o6m/psa_new_login_method_bypassing_two_step/

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Pirate fin: Juuri tuosta samasta hommasta kyse.

 

[TT-2k]

Taisi se tuossa muutama päivä sitten ennustamani isompi tietomurto paljastua. FriendFinder Networksin palveluista on viety peräti 412 miljoonan tunnuksen tiedot. Murto on oletettavasti tapahtunut lokakuussa, ja sopisi ajankohtansa puolesta noihin Skype-tunnarien kaappauksiinkin.

All of the databases contain usernames, email addresses and passwords, which were stored as plain text, or hashed using SHA1 with pepper. It isn’t clear why such variations exist.

“Neither method is considered secure by any stretch of the imagination and furthermore, the hashed passwords seem to have been changed to all lowercase before storage which made them far easier to attack but means the credentials will be slightly less useful for malicious hackers to abuse in the real world,” LeakedSource said, discussing the password storage options.

Netin hämärissä lähteissä pyörivässä datasetissä peräti 99 prosenttia salasanoista on jo saatu selvitettyä kehnosta suolauksesta ja liian heikosta hash-algoritmista johtuen.

Lähde: CSO Online

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Ei nyt suoranaisesti ketjun otsikon alle sovi, mutta kun tuo varsinainen PSN-(huolto)katkojen ketju on ei-yllisläisiltä suljettu, laitetaan tänne...

Lokakuussa muutamaksi tunniksi mm. PSN:nkin "kaatanut" palvelunestohyökkäys johtui ilmeisestikin PSN:ään hattuuntuneen pelaajan tempusta. Jollain oli niin kovat raget ja niin paljon ylimääräistä tuohta, että osti 7 500 dollarilla bottiverkon paukuttamaan historian toistaiseksi suurimman DDoS-iskun Dyn-palveluntarjoajan nimipalvelimia kohti. Sen myötä kärsivät niin PSN, Netflix, Twitter kuin moni muukin palvelu etenkin Pohjois-Amerikassa, mutta erityisesti PSN:n osalta vaikutukset olivat maailmanlaajuiset.

As it turns out, one gamers’ grudge was enough to take down a few major websites. It might seem odd, but the IoT brought vulnerabilities that allow hackers to create entire armies with the use of botnets – in this case, the Mirai botnet.

According to Forbes, the individual found hackers on a dark net criminal forum selling access to huge armies of IoT devices infected with the Mirai botnet. The angry gamer paid $7500 for temporary access to the powerful cyberweapon. Then, in an act of revenge, he aimed its “cannons” at Dyn.

Joten seuraavan kerran kun kiukuttaa pelatessa, voit lohduttaa itseäsi sillä, että jollain on ollut vielä paljon isompi banaani otsassa...

Lähde: Hacked.com

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Taas olisi noin kymmenen miljoonaa tunnusta karkuteillä koottuna eri palveluista.

Ruotsin yleisradioyhtiö SVT kokosi yhteen noin kymmenen miljoonan nettiin vuotaneen käyttäjätunnuksen ja salasanan. Joukossa on myös suomalaisten käyttäjätietoja.

SVT:n mukaan käyttäjätietojen joukossa on niin yksityishenkilöisen, journalistien, poliisien kuin poliitikkojenkin tilejä. Joukossa on muun muassa LinkedInin, Dropboxin, Yahoon ja Biljettnun käyttäjätietoja.

Hakkereiden vuotamia käyttäjätunnuksia, sähköpostisoitteita ja salasanoja on löytynyt useilta eri foorumeilta.

Yksi oma tunnuskin oli mukana, mutta se oli onneksi sama vanha vuoden 2012 Dropbox-vuoto, ja sen (uniikki) salasana on vaihdettu jo kauan sitten.

Lähde: MTV

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Koska 500 miljoonan tunnuksen murto ei riittänyt, Yahoo kertoo nyt, että siltä vietiin elokuussa 2013 jopa miljardin (!) käyttäjän tiedot. Siinäpä on sitten sievästi uusi maailmanennätys.

Lähde: Yahoo

 

[BaDari]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Koska 500 miljoonan tunnuksen murto ei riittänyt, Yahoo kertoo nyt, että siltä vietiin elokuussa 2013 jopa miljardin (!) käyttäjän tiedot. Siinäpä on sitten sievästi uusi maailmanennätys.

Lähde: Yahoo

Itselleni tuli mailia Yahoolta tuosta. Ei siinä mitään, hyvä kun ilmoittavat. Mutta ihmettelin vaan sitä, kun ei mulla mitään Yahoo-tunnuksia ole koskaan ollut, että miten tämä mua koskettaa...