Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

[ArTTu83]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Itselleni tuli mailia Yahoolta tuosta. Ei siinä mitään, hyvä kun ilmoittavat. Mutta ihmettelin vaan sitä, kun ei mulla mitään Yahoo-tunnuksia ole koskaan ollut, että miten tämä mua koskettaa...

Sama juttu. Mitähän palveluita Yahoolla on mihin olisi voinut kirjautua, jossa olisi saanut nuo Yahoo-tunnukset?

 

[Beetzu]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Mitähän palveluita Yahoolla on mihin olisi voinut kirjautua, jossa olisi saanut nuo Yahoo-tunnukset?

Flickr, Rivals.com ja Tumblr ne tunnetuimmat Yahoon omistuksessa olevat saitit joiden nimessä ei suoraan tuo Yahoo näy. Ehkä joskus olet rekisteröinyt jollekkin noista?

 

[BaDari]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Flickr, Rivals.com ja Tumblr ne tunnetuimmat Yahoon omistuksessa olevat saitit joiden nimessä ei suoraan tuo Yahoo näy. Ehkä joskus olet rekisteröinyt jollekkin noista?

Itse en ole koskaan rekisteröitynyt mihinkään Yahoon alaiselle sivustolle. Yritin läpällä jopa kirjautua Yahoon sivuille sähköposteillani, mutta mitään niistä ei tunnistettu.

 

[Nisupulla]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Mielenkiintoinen ennakkotapaus Yhdysvalloista. Huonetilaa kuuntelevan kaiuttimen datat poliisin haltuun rikostutkinnan yhteydessä.

Älykaiutin on kodissa keskeiselle paikalle sijoitettava laite, joka kaiuttimena toimimisen ohella vastailee tekoälynsä avulla käyttäjänsä esittämiin kysymyksiin ja mahdollistaa kodin laitteiden komentamisen puheohjauksella. Kaiuttimiin kytketään usein myös jonkin musiikkipalvelun kuukausitilaus.

Tekoälykaiutin sisältää tietoturvariskin, jota kaikki käyttäjät eivät tule ajatelleeksi: Se kuuntelee huoneessa käytäviä keskusteluja ja aktivoituu kuullessaan avainsanan, Amazonin tapauksessa ”Alexa” ja Googlella ”OK, Google”. Tämän jälkeen se voi tallentaa kuulemansa äänet pilveen valmistajansa palvelimille.

Engadget kertoo The Informationin tietojen perusteella, että poliisi on Yhdysvalloissa on käyttänyt murhatutkinnassa tietoja ainakin yhdestä Echo-kaiuttimesta. Amazon kieltäytyi luovuttamasta tietoja, jolloin poliisi turvautui pakkokeinoihin.



Lähde: http://www.iltasanomat.fi/digitoday/art-2000005023414.html

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Saksassa on paljastunut, että rikolliset ovat onnistuneet kaappaamaan pankkien kaksivaiheisessa tunnistautumisessa käytettäviä vaihtuvia koodeja, jotka on lähetetty tavallisina tekstiviesteinä. Mobiiliverkon SS7-protokollan heikkouksista on varoiteltu jo vuosia, mutta nyt on ilmeisesti ensimmäistä kertaa saatu todiste siitä, että uhka ei ole enää pelkästään teoreettinen.

Experts have been warning for years about security blunders in the Signaling System 7 protocol – the magic glue used by cellphone networks to communicate with each other.

These shortcomings can be potentially abused to, for example, redirect people's calls and text messages to miscreants' devices. Now we've seen the first case of crooks exploiting the design flaws to line their pockets with victims' cash.

O2-Telefonica in Germany has confirmed to Süddeutsche Zeitung that some of its customers have had their bank accounts drained using a two-stage attack that exploits SS7.

In other words, thieves exploited SS7 to intercept two-factor authentication codes sent to online banking customers, allowing them to empty their accounts. The thefts occurred over the past few months, according to multiple sources.

In 2014, researchers demonstrated that SS7, which was created in the 1980s by telcos to allow cellular and some landline networks to interconnect and exchange data, is fundamentally flawed. Someone with internal access to a telco – such as a hacker or a corrupt employee – can get access to any other carrier's backend in the world, via SS7, to track a phone's location, read or redirect messages, and even listen to calls.

Miksi tämän pitäisi kiinnostaa konsolifoorumilla? Koska PSN:n kaksivaiheinen tunnistauminen perustuu tässä vaiheessa juurikin noihin tekstiviestitse tuleviin kertakäyttökoodeihin. Vaikka riski toki on edelleen erittäin pieni, pistää tämä silti toivomaan, että Sony tarjoaisi mahdollisimman pian myös vaihtoehtoisia tapoja (esim. Google Authenticator -sovellusta) koodien tuottamiseen.

Lähde: The Register

 

[noose01]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Microsoftin tunnistautuminen taitaa toimia vastaavalla tavalla? Ainakin muistelen tekstarista jotain koodia kaivelleeni kun One vaihtui Ässään.

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Microsoftin tunnistautuminen taitaa toimia vastaavalla tavalla? Ainakin muistelen tekstarista jotain koodia kaivelleeni kun One vaihtui Ässään.

Xbox Live tukee tekstiviestien lisäksi myös tuota Google Authenticator -sovellusta, eli kannattaa siirtyä siihen. Lisätietoa voi lukea Microsoftin Identity verification apps: FAQ -sivulta.

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Valkohattuhakkereiksi itseään kutsuva OurMine-ryhmä aiheutti monille ylimääräisiä sydämentykytyksiä viime yönä kaapattuaan Sonyn muutamia sosiaalisen median tilejä, ml. virallisen Twitter-tunnuksen ja Facebook-sivun. Sama poppoo keplotteli itselleen viime viikolla monia HBO:n Twitter-tunnuksia, ja onpa uhreiksi joutunut aiemmin mm. Mark Zuckerberg, Twitterin perustaja Jack Dorsey ja Googlen toimitusjohtaja Sundar Pichai.

Vaikka yhdessä twiitissä puhuttiin "PSN:n tietokantojen vuotamisesta", niin tällä haavaa ei onneksi ole viitteitä mistään muusta kuin sometilien luvattomasta haltuunotosta - ja nekin saatiin hyvin nopeasti takaisin.

There was a brief scare on Sunday evening, as the PlayStation Twitter and Facebook account was temporarily hacked. A group called OurMine took credit for the hacks, and posted several messages on their social media accounts. The tweets have since been deleted.

Here are the now deleted tweets, posted as they were on social media:

PlayStation Network Databases leaked #OurMine
Subscribe to #DramaAlert
No, we aren’t going to share it, we are a security group, if you works at Playstation then please go to our website ourmine . org – > Contact

Lähde: PlayStation Lifestyle

 

[TT-2k]

Koska 500 miljoonan tunnuksen murto ei riittänyt, Yahoo kertoo nyt, että siltä vietiin elokuussa 2013 jopa miljardin (!) käyttäjän tiedot. Siinäpä on sitten sievästi uusi maailmanennätys.

Nyt muutamaa vuotta myöhemmin Yahoo tunnustaa kaunistelleensa lukua. Todellisuudessa kaikkien n. 3 miljardin (!!!) käyttäjän tiedot karkasivat. Kyseessä on semmoinen ennätys, että tuskin ihan heti lyödään, ellei joku jonain päivänä korkkaa Googlea tai Facebookia.

It was the biggest known breach of a company’s computer network. And now, it is even bigger.

Verizon Communications, which acquired Yahoo this year, said on Tuesday that a previously disclosed attack that had occurred in 2013 affected all three billion of Yahoo’s user accounts.

Lähde: NY Times

 

[TT-2k]

Uberin uusi toimitusjohtaja paljasti, että viime vuoden lopulla heillä kävi kevyt tietoturvahupsis. Noin 57 miljoonan Uber-käyttäjän ja noin 700 000 Uber-kuljettajan tiedot olivat jossain Amazonin pilvipalvelimella, josta pari tyyppiä kalasteli ne parempaan talteen saatuaan ensin tunnukset Uberin kehittäjien käyttämästä privaatista GitHub-repositoriosta.

I recently learned that in late 2016 we became aware that two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use. The incident did not breach our corporate systems or infrastructure.

Our outside forensics experts have not seen any indication that trip location history, credit card numbers, bank account numbers, Social Security numbers or dates of birth were downloaded. However, the individuals were able to download files containing a significant amount of other information, including:

• The names and driver’s license numbers of around 600,000 drivers in the United States. Drivers can learn more here.
• Some personal information of 57 million Uber users around the world, including the drivers described above. This information included names, email addresses and mobile phone numbers

&

Here’s how the hack went down: Two attackers accessed a private GitHub coding site used by Uber software engineers and then used login credentials they obtained there to access data stored on an Amazon Web Services account that handled computing tasks for the company. From there, the hackers discovered an archive of rider and driver information. Later, they emailed Uber asking for money, according to the company.

Ikävän julkisuuden pelossa Uber ei kertonut asiasta tuoreeltaan, vaan maksoi 100 000 dollarin "lunnaat" ja datarosvot lupasivat deletoida saaliinsa ja pitää turpansa kiinni.

Lähteet: Uber, Bloomberg

 

[TT-2k]

Waypointissa on kiinnostava artikkeli tapauksesta, jossa PSN-tunnus vietiin sosiaalisen hakkeroinnin avulla. Uniikista salasanasta ja edes kaksivaiheisesta varmistuksesta ei ollut apua, koska ilkimys onnistui ylipuhumaan PS-tuesta jonkun, joka sitten vaillinaisillakin tiedoilla suostui vaihtamaan PSN-tunnuksen sähköpostiosoitteen ja 2SV:hen liitetyn puhelinnumeron. Surkuhupaisinta tässä on se, että tämä onnistui useamman kerran, ja lopulta tunnus oli muka niin jumissa, ettei tuki enää suostunut palauttamaan tunnaria alkuperäiselle omistajalleen.

Kun Waypointin toimittaja Patrick Klepek lähti sitten tästä sopasta juttua tekemään, paljastui, kuinka netin syvissä, pimeissä vesissä tehdään suhteellisen avointa kauppaa myös PSN-tunnuksilla. Löytämällään foorumilla jaettiin neuvoja, miten kaappaukset onnistuvat ja miten napattu tili saadaan sellaiseen tilaan, että se myös jää rosmon haltuun. Erinäisten tiedonmurusten kautta herra Klepek onnistui myös saamaan yhteyden tähän pirulliseen kiusantekijään. Tunnuksen olisi saanut ostettua itselleen 1 200 dollarilla, joskin hinta laski tinkaamisen jälkeen seitsemään hunttiin. (Kauppoja ei toki syntynyt.)

Erittäin kiehtovaa luettavaa kaikkinensa, ja tunnustan, että yöllä ei uni hetkeen tullut, kun mietti moisia kauhuskenarioita omalle kohdalleen. Onneksi tarinalla toki oli siinä mielessä onnellinen loppu, että ehkä juuri pienen journalistisen penkomisen jälkeen Sonylla kelkka kääntyikin, ja PSN-tunnus löysi tiensä kotiin.

PS. Kauhistuttavaa tässä on se, että tiedän myös yhden suomalaisen kaverin, jonka PSN-tunnus vietiin aika lailla vastaavalla tavalla. Tarpeeksi monta kertaa englanninkieliseen tukeen yhteyttä otettuaan hämäräveikko sai lirkuteltua sen verran vakuuttavasti, että onnistui vedätyksessään. Tunnuksen palautus suomenkielisen PS-tuen kautta sen sijaan kesti toista kuukautta. Ja siitäkin huolimatta peijooni sai napattua tilin vielä toistamiseen. Tuolla kertaa oli lähettänyt tuelle photaroidun ajokortin, jossa oli tämän kaverini tietoja. Vaikka kyseessä oli ilmeisesti aika karu väärennös, meni se silti läpi kuin se kuuluisa väärä raha.

Lähde: Waypoint

 

[Poistettu jäsen 3274]

@TT-2k Tuo on kyllä pelottavaa ja voiko tuommoista vastaan edes suojautua mitenkään

 

[TT-2k]

@TT-2k Tuo on kyllä pelottavaa ja voiko tuommoista vastaan edes suojautua mitenkään

Aika vaikeaa se vähintäänkin on. Ilmeisesti jotenkin on mahdollista saada PSN-tunnus tuollaiseen protected-tilaan, mutta miten, sitä ei tiedetä.

Tietenkin pieniä ennaltaehkäiseviä toimenpiteitä voi tehdä, eli ei laita itsestään mitään yksityiskohtaisia tietoja julkiseen nettiin lainkaan. Ja toisaalta jos oma nimimerkki ei ole varsinaisesti mitenkään kiinnostava/yleinen, on todennäköisesti varsin turvassa. Tällaisissa keisseissähän ei ole niinkään kyse siitä, mitä sillä tunnuksella on ostettu tai paljonko sillä on vaikka Trophyja, vaan ihan se nimi itsessään voi houkutella. Samaa ilmiötä näkee varsinkin Twitterissä ja Instagramissa, jossa tollaiset 1-4 merkin nimet on todella haluttuja.

 

[Huttu]

Voihan perkele, PSN tili kaapattiin just äske. Ensin tuli meiliin viesti että kaksivaiheinen tunnistus otettu pois käytöstä. sitten ennen kuin ehdin siihen reagoida tuli viesti että salasana vaihdettu ja siihen hetken päästä että käyttäjätunnus vaihdettu.

Eipä siinä sitten mitään voinu enää tehdä. Soitin pankille että varmuudeks laittavat varmuudeks sen kortin kiinni joka on pleikalle syötetty storeen. Hienosti tietty Sonyn supportti on viikonlopun kiinni joten eivät varmaan vastaa mun viestiin ihan lähiaikoina.

Mitä muuta tässä kannattaa tehdä? Mitä vahinkoa nuo nyt voi saada aikaseks, rahaa eivät ainakaan enää irti saa, eikä storen lompakossa ollut kuin ehkä kymmenen senttiä? Meilin passun vaihdoin myös äsken.

Onko täällä kohtalon tovereita jotka ehkä tietäis mitä tehdä?

 

[TT-2k]

Onko täällä kohtalon tovereita jotka ehkä tietäis mitä tehdä?

Se että kaksivaiheinen varmistuskin ohitettiin, viittaa erittäin vahvasti social engineeringiin. Eli siellä on otettu eri maiden PS-tukeen yhteyttä, kunnes on löytynyt tarpeeksi löperö asiakaspalvelija.

Näissä tapauksissa yleensä ei niinkään olla kiinnostuneita siitä, mitä sillä PSN-tunnuksella on, vaan ihan vaan sen nickin takia on haluttu ottaa.

Kannattaa kokeilla ottaa yhteyttä esim. Twitterin kautta. @AskPS_UK voinee auttaa suomalaisen tilin kanssa. Laita mukaan mahdollisimman paljon tietoa, joilla pystyt todistamaan olevasi tilin todellinen haltija.

PS. Jos laitat mulle privana PSN-tunnuksesi, voin käydä katsomassa yhdeltä saitilta, näkyisikö joku kaupittelevan jo sitä.

 

[TT-2k]

Laitoin tästä Hutulle jo privanakin tietoa, mutta pistetään tännekin vinkiksi kaikille: linkittäkää PSN-tunnuksenne sekä EA:n että Ubisoftin palveluihin (ja ottakaa niissäkin kaksivaiheinen varmistus käyttöön). Nämä PSN-tunnuksia kaappaavat tyypit saavat tarvitsemiaan tietoja (syntymäaika, PSN-tunnuksen sähköpostiosoite) olemalla yhteydessä EA:n/Ubin tukeen ja pyytämällä linkittämään kaapattava PSN-tunnus Herra/Rouva Hakkerin omaan EA/Ubi-tunnukseen. Melkoisen kieroa, ja taas kerran hyvä osoitus siitä, että tietoturvan heikoin lenkki on yleensä ihan ihminen.

 

[Barca11910]

Laitoin tästä Hutulle jo privanakin tietoa, mutta pistetään tännekin vinkiksi kaikille: linkittäkää PSN-tunnuksenne sekä EA:n että Ubisoftin palveluihin (ja ottakaa niissäkin kaksivaiheinen varmistus käyttöön). Nämä PSN-tunnuksia kaappaavat tyypit saavat tarvitsemiaan tietoja (syntymäaika, PSN-tunnuksen sähköpostiosoite) olemalla yhteydessä EA:n/Ubin tukeen ja pyytämällä linkittämään kaapattava PSN-tunnus Herra/Rouva Hakkerin omaan EA/Ubi-tunnukseen. Melkoisen kieroa, ja taas kerran hyvä osoitus siitä, että tietoturvan heikoin lenkki on yleensä ihan ihminen.

Ja tämähän on sille hakkerille turhaa työtä Mutta niin kuuluu ollakin. Omaa lääkettä kurkusta alas

 

[Poistettu jäsen 3274]

Voihan perkele, PSN tili kaapattiin just äske.

Näytit olevan onlinessä pleikalla, niin saitkos tilisi takaisin vai pelailiko kaappaaja sun tilillä?

Pelottavaa kyllä, että näitä pleikan tilejä kaappaillaan näin paljon ja toivottavasti tuohon saataisiin jotakin lisäsuojaa joskus.

 

[pelle]

Näytit olevan onlinessä pleikalla, niin saitkos tilisi takaisin vai pelailiko kaappaaja sun tilillä?

Pelottavaa kyllä, että näitä pleikan tilejä kaappaillaan näin paljon ja toivottavasti tuohon saataisiin jotakin lisäsuojaa joskus.

Oikeasti 2 vaiheisen pitäisi riittää tuohon.
Ei pitäisi olla niin vaikeaa, että jos joku pyytää vaikka salasanan nollausta eikä tiedä mitään kyseiseen tiliin liittyviä tietoja ja 2 vaiheinen suojaus on päällä niin silloin sanotaan EI ja siinä se.
Ei pitäisi olla tilin omistajan tehtävä linkittää tiliä ties mihin ja ottaa kaikkeen 2 vaiheinen tunnistus päälle kun pelkästään sonyn pitäisi pitää huoli, että noin ei käy.

Jos käy niin maagisesti, että itse haluaisin vaihtaa jotain, mutta sähköposti on lakkautettu, luurin liittymä on tippunut jokeen enkä muista edes omaa syntymäaikaa niin se on voi voi ja tehdään uusi tili. Kellään muulla ei pitäisi olla mitään mahdollisuuksia tehdä muutosta satuilemalla jollekin ea:n, ubin tai sonyn aspalle.

 

[TT-2k]

Kellään muulla ei pitäisi olla mitään mahdollisuuksia tehdä muutosta satuilemalla jollekin ea:n, ubin tai sonyn aspalle.

Näinhän se on, mutta minkäs teet, jos joku siellä tuessa ei noudata protokollaa? Jälkikäteen voi toki antaa moiselle aspatyypille kenkää persuuksiin.

Pelottavaa kyllä, että näitä pleikan tilejä kaappaillaan näin paljon ja toivottavasti tuohon saataisiin jotakin lisäsuojaa joskus.

Ei tämä ongelma koske vain PSN:ää. Ihan samanlainen tilanne on Xbox Livessä, Steamissä, Twitterissä, Facebookissa, Instagramissa jne. Kaikenlaisia tunnuksia kaappaillaan jatkuvasti.

PS. Tuolta eräältä pimeältä foorumilta, jossa noita kaiken maailman tunnuksia kaupitellaan, luin EA:n nyt muuttaneen käytäntöjään. Eli ainakaan EA:n tuessa ei näihin vedätyksiin pitäisi niin herkästi langeta.