Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Itselleni tuli mailia Yahoolta tuosta. Ei siinä mitään, hyvä kun ilmoittavat. Mutta ihmettelin vaan sitä, kun ei mulla mitään Yahoo-tunnuksia ole koskaan ollut, että miten tämä mua koskettaa...
Sama juttu. Mitähän palveluita Yahoolla on mihin olisi voinut kirjautua, jossa olisi saanut nuo Yahoo-tunnukset?
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Mitähän palveluita Yahoolla on mihin olisi voinut kirjautua, jossa olisi saanut nuo Yahoo-tunnukset?
Flickr, Rivals.com ja Tumblr ne tunnetuimmat Yahoon omistuksessa olevat saitit joiden nimessä ei suoraan tuo Yahoo näy. Ehkä joskus olet rekisteröinyt jollekkin noista?
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Flickr, Rivals.com ja Tumblr ne tunnetuimmat Yahoon omistuksessa olevat saitit joiden nimessä ei suoraan tuo Yahoo näy. Ehkä joskus olet rekisteröinyt jollekkin noista?
Itse en ole koskaan rekisteröitynyt mihinkään Yahoon alaiselle sivustolle. Yritin läpällä jopa kirjautua Yahoon sivuille sähköposteillani, mutta mitään niistä ei tunnistettu.
 

Nisupulla

Jäsen / [FL]
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Mielenkiintoinen ennakkotapaus Yhdysvalloista. Huonetilaa kuuntelevan kaiuttimen datat poliisin haltuun rikostutkinnan yhteydessä.

Älykaiutin on kodissa keskeiselle paikalle sijoitettava laite, joka kaiuttimena toimimisen ohella vastailee tekoälynsä avulla käyttäjänsä esittämiin kysymyksiin ja mahdollistaa kodin laitteiden komentamisen puheohjauksella. Kaiuttimiin kytketään usein myös jonkin musiikkipalvelun kuukausitilaus.

Tekoälykaiutin sisältää tietoturvariskin, jota kaikki käyttäjät eivät tule ajatelleeksi: Se kuuntelee huoneessa käytäviä keskusteluja ja aktivoituu kuullessaan avainsanan, Amazonin tapauksessa ”Alexa” ja Googlella ”OK, Google”. Tämän jälkeen se voi tallentaa kuulemansa äänet pilveen valmistajansa palvelimille.

Engadget kertoo The Informationin tietojen perusteella, että poliisi on Yhdysvalloissa on käyttänyt murhatutkinnassa tietoja ainakin yhdestä Echo-kaiuttimesta. Amazon kieltäytyi luovuttamasta tietoja, jolloin poliisi turvautui pakkokeinoihin.



Lähde: http://www.iltasanomat.fi/digitoday/art-2000005023414.html
 

TT-2k

Päämoderaattori
Ylläpitäjä
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Saksassa on paljastunut, että rikolliset ovat onnistuneet kaappaamaan pankkien kaksivaiheisessa tunnistautumisessa käytettäviä vaihtuvia koodeja, jotka on lähetetty tavallisina tekstiviesteinä. Mobiiliverkon SS7-protokollan heikkouksista on varoiteltu jo vuosia, mutta nyt on ilmeisesti ensimmäistä kertaa saatu todiste siitä, että uhka ei ole enää pelkästään teoreettinen.

Experts have been warning for years about security blunders in the Signaling System 7 protocol – the magic glue used by cellphone networks to communicate with each other.

These shortcomings can be potentially abused to, for example, redirect people's calls and text messages to miscreants' devices. Now we've seen the first case of crooks exploiting the design flaws to line their pockets with victims' cash.

O2-Telefonica in Germany has confirmed to Süddeutsche Zeitung that some of its customers have had their bank accounts drained using a two-stage attack that exploits SS7.

In other words, thieves exploited SS7 to intercept two-factor authentication codes sent to online banking customers, allowing them to empty their accounts. The thefts occurred over the past few months, according to multiple sources.

In 2014, researchers demonstrated that SS7, which was created in the 1980s by telcos to allow cellular and some landline networks to interconnect and exchange data, is fundamentally flawed. Someone with internal access to a telco – such as a hacker or a corrupt employee – can get access to any other carrier's backend in the world, via SS7, to track a phone's location, read or redirect messages, and even listen to calls.
Miksi tämän pitäisi kiinnostaa konsolifoorumilla? Koska PSN:n kaksivaiheinen tunnistauminen perustuu tässä vaiheessa juurikin noihin tekstiviestitse tuleviin kertakäyttökoodeihin. Vaikka riski toki on edelleen erittäin pieni, pistää tämä silti toivomaan, että Sony tarjoaisi mahdollisimman pian myös vaihtoehtoisia tapoja (esim. Google Authenticator -sovellusta) koodien tuottamiseen.

Lähde: The Register
 

noose01

KonsoliFIN Alumni
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Microsoftin tunnistautuminen taitaa toimia vastaavalla tavalla? Ainakin muistelen tekstarista jotain koodia kaivelleeni kun One vaihtui Ässään.
 

TT-2k

Päämoderaattori
Ylläpitäjä
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Microsoftin tunnistautuminen taitaa toimia vastaavalla tavalla? Ainakin muistelen tekstarista jotain koodia kaivelleeni kun One vaihtui Ässään.
Xbox Live tukee tekstiviestien lisäksi myös tuota Google Authenticator -sovellusta, eli kannattaa siirtyä siihen. Lisätietoa voi lukea Microsoftin Identity verification apps: FAQ -sivulta.
 

TT-2k

Päämoderaattori
Ylläpitäjä
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Valkohattuhakkereiksi itseään kutsuva OurMine-ryhmä aiheutti monille ylimääräisiä sydämentykytyksiä viime yönä kaapattuaan Sonyn muutamia sosiaalisen median tilejä, ml. virallisen Twitter-tunnuksen ja Facebook-sivun. Sama poppoo keplotteli itselleen viime viikolla monia HBO:n Twitter-tunnuksia, ja onpa uhreiksi joutunut aiemmin mm. Mark Zuckerberg, Twitterin perustaja Jack Dorsey ja Googlen toimitusjohtaja Sundar Pichai.

Vaikka yhdessä twiitissä puhuttiin "PSN:n tietokantojen vuotamisesta", niin tällä haavaa ei onneksi ole viitteitä mistään muusta kuin sometilien luvattomasta haltuunotosta - ja nekin saatiin hyvin nopeasti takaisin.

There was a brief scare on Sunday evening, as the PlayStation Twitter and Facebook account was temporarily hacked. A group called OurMine took credit for the hacks, and posted several messages on their social media accounts. The tweets have since been deleted.

Here are the now deleted tweets, posted as they were on social media:

PlayStation Network Databases leaked #OurMine
Subscribe to #DramaAlert
No, we aren’t going to share it, we are a security group, if you works at Playstation then please go to our website ourmine . org – > Contact
Lähde: PlayStation Lifestyle
 

TT-2k

Päämoderaattori
Ylläpitäjä
Koska 500 miljoonan tunnuksen murto ei riittänyt, Yahoo kertoo nyt, että siltä vietiin elokuussa 2013 jopa miljardin (!) käyttäjän tiedot. Siinäpä on sitten sievästi uusi maailmanennätys.
Nyt muutamaa vuotta myöhemmin Yahoo tunnustaa kaunistelleensa lukua. Todellisuudessa kaikkien n. 3 miljardin (!!!) käyttäjän tiedot karkasivat. Kyseessä on semmoinen ennätys, että tuskin ihan heti lyödään, ellei joku jonain päivänä korkkaa Googlea tai Facebookia.

It was the biggest known breach of a company’s computer network. And now, it is even bigger.

Verizon Communications, which acquired Yahoo this year, said on Tuesday that a previously disclosed attack that had occurred in 2013 affected all three billion of Yahoo’s user accounts.
Lähde: NY Times
 

TT-2k

Päämoderaattori
Ylläpitäjä
Uberin uusi toimitusjohtaja paljasti, että viime vuoden lopulla heillä kävi kevyt tietoturvahupsis. Noin 57 miljoonan Uber-käyttäjän ja noin 700 000 Uber-kuljettajan tiedot olivat jossain Amazonin pilvipalvelimella, josta pari tyyppiä kalasteli ne parempaan talteen saatuaan ensin tunnukset Uberin kehittäjien käyttämästä privaatista GitHub-repositoriosta.

I recently learned that in late 2016 we became aware that two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use. The incident did not breach our corporate systems or infrastructure.

Our outside forensics experts have not seen any indication that trip location history, credit card numbers, bank account numbers, Social Security numbers or dates of birth were downloaded. However, the individuals were able to download files containing a significant amount of other information, including:

  • The names and driver’s license numbers of around 600,000 drivers in the United States. Drivers can learn more here.
  • Some personal information of 57 million Uber users around the world, including the drivers described above. This information included names, email addresses and mobile phone numbers

&

Here’s how the hack went down: Two attackers accessed a private GitHub coding site used by Uber software engineers and then used login credentials they obtained there to access data stored on an Amazon Web Services account that handled computing tasks for the company. From there, the hackers discovered an archive of rider and driver information. Later, they emailed Uber asking for money, according to the company.
Ikävän julkisuuden pelossa Uber ei kertonut asiasta tuoreeltaan, vaan maksoi 100 000 dollarin "lunnaat" ja datarosvot lupasivat deletoida saaliinsa ja pitää turpansa kiinni.

Lähteet: Uber, Bloomberg
 

TT-2k

Päämoderaattori
Ylläpitäjä
Waypointissa on kiinnostava artikkeli tapauksesta, jossa PSN-tunnus vietiin sosiaalisen hakkeroinnin avulla. Uniikista salasanasta ja edes kaksivaiheisesta varmistuksesta ei ollut apua, koska ilkimys onnistui ylipuhumaan PS-tuesta jonkun, joka sitten vaillinaisillakin tiedoilla suostui vaihtamaan PSN-tunnuksen sähköpostiosoitteen ja 2SV:hen liitetyn puhelinnumeron. Surkuhupaisinta tässä on se, että tämä onnistui useamman kerran, ja lopulta tunnus oli muka niin jumissa, ettei tuki enää suostunut palauttamaan tunnaria alkuperäiselle omistajalleen.

Kun Waypointin toimittaja Patrick Klepek lähti sitten tästä sopasta juttua tekemään, paljastui, kuinka netin syvissä, pimeissä vesissä tehdään suhteellisen avointa kauppaa myös PSN-tunnuksilla. Löytämällään foorumilla jaettiin neuvoja, miten kaappaukset onnistuvat ja miten napattu tili saadaan sellaiseen tilaan, että se myös jää rosmon haltuun. Erinäisten tiedonmurusten kautta herra Klepek onnistui myös saamaan yhteyden tähän pirulliseen kiusantekijään. Tunnuksen olisi saanut ostettua itselleen 1 200 dollarilla, joskin hinta laski tinkaamisen jälkeen seitsemään hunttiin. (Kauppoja ei toki syntynyt.)

Erittäin kiehtovaa luettavaa kaikkinensa, ja tunnustan, että yöllä ei uni hetkeen tullut, kun mietti moisia kauhuskenarioita omalle kohdalleen. Onneksi tarinalla toki oli siinä mielessä onnellinen loppu, että ehkä juuri pienen journalistisen penkomisen jälkeen Sonylla kelkka kääntyikin, ja PSN-tunnus löysi tiensä kotiin.

PS. Kauhistuttavaa tässä on se, että tiedän myös yhden suomalaisen kaverin, jonka PSN-tunnus vietiin aika lailla vastaavalla tavalla. Tarpeeksi monta kertaa englanninkieliseen tukeen yhteyttä otettuaan hämäräveikko sai lirkuteltua sen verran vakuuttavasti, että onnistui vedätyksessään. Tunnuksen palautus suomenkielisen PS-tuen kautta sen sijaan kesti toista kuukautta. Ja siitäkin huolimatta peijooni sai napattua tilin vielä toistamiseen. Tuolla kertaa oli lähettänyt tuelle photaroidun ajokortin, jossa oli tämän kaverini tietoja. Vaikka kyseessä oli ilmeisesti aika karu väärennös, meni se silti läpi kuin se kuuluisa väärä raha.

Lähde: Waypoint
 
Viimeksi muokattu:

TT-2k

Päämoderaattori
Ylläpitäjä
@TT-2k Tuo on kyllä pelottavaa ja voiko tuommoista vastaan edes suojautua mitenkään :eek:
Aika vaikeaa se vähintäänkin on. Ilmeisesti jotenkin on mahdollista saada PSN-tunnus tuollaiseen protected-tilaan, mutta miten, sitä ei tiedetä.

Tietenkin pieniä ennaltaehkäiseviä toimenpiteitä voi tehdä, eli ei laita itsestään mitään yksityiskohtaisia tietoja julkiseen nettiin lainkaan. Ja toisaalta jos oma nimimerkki ei ole varsinaisesti mitenkään kiinnostava/yleinen, on todennäköisesti varsin turvassa. Tällaisissa keisseissähän ei ole niinkään kyse siitä, mitä sillä tunnuksella on ostettu tai paljonko sillä on vaikka Trophyja, vaan ihan se nimi itsessään voi houkutella. Samaa ilmiötä näkee varsinkin Twitterissä ja Instagramissa, jossa tollaiset 1-4 merkin nimet on todella haluttuja.
 
Ylös Bottom