Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Ketään ei varmaan yllätä, että Sonya on kohdannut taas parikin uutta tietomurtoa. Tällä kertaa kohteina oli Sony Ericssonin kanadalainen verkkokauppa sekä Sony Musicin jokin japsisivusto. Karkuun lähti noin parintuhannen käyttäjän tietoja. Kummatkin palvelut antautuivat melko yksinkertaiseen SQL injection -kikkaan.

Again, DAMN ... Whats Going on with Sony ?.. Idahc , A Lebanese hacker hack The database of ca.eshop.sonyericsson.com with a simple sql injection. Two attacks on Sony in one day. Today's Morning LulzSec Leak Sony's Japanese websites Database and Now Sony Ericsson's Eshop Database Hacked.

Tässä yhä vain selvemmin näkyy se, että halutaan vain vähän "leikkiä" Sonyn kustannuksella ja antaa oikein isän kädestä opetusta weppipalveluiden tietoturvaamisesta.

Lähde: The Hacker News

 

[Bentsku]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

SQL-injektio on tietty yksinkertainen haavoittuvuus, mikä on helposti torjuttavissa, mutta tietoturvasta enemmänkin ymmärtävienkin sivuilta on moisia aukkoja löytynyt, kuten esimerkiksi F-Securen.

Onneksi kaikki eivät halua antaa isän kädestä näille onnettomille yrityksille ja käytä löydettyjä haavoittuvuuksia murtautumiseen, Suomessakin toimii aktivistien sivuja minne on listattu saitteja mistä löytyy haavoittuuksia jotta nämä voisivat korjata bugit.

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Tämä on periaatteessa jo vuoden vanha juttu, mutta nostetaanpa esiin esimerkki siitä, kuinka hyvätkään tekniset suojaukset eivät välttämättä auta, jos homma hoidetaan sisäpiirikeikkana. Eli tässä lyhyt tarina siitä, kuinka Bank of American työntekijä kavalsi pankkitilitietoja ja möi niitä eteenpäin rikollisille.

Bank of America -jättipankki kertoo, että pankin sisäpiiriläinen on myynyt asiakkaiden tietoja rikollisille. Tietojen avulla he varastivat asiakkailta kymmenen miljoonaa dollaria (yli seitsemän miljoonaa euroa). Yhdysvaltojen salainen palvelu on Los Angeles Times -lehden mukaan pidättänyt jo 95 henkilöä.

LA Timesin jutussa Andrew Goldstein puolestaan kertoo oman henkilökohtaisen kokemuksensa siitä, miten tapaus vaikutti elämäänsä. Rahojen lisäksi meni myös luottamuus pankkiin. (Toki pankki korvasi kaiken aikanaan.)

In Goldstein's case, the security breach resulted in his checking accounts being rapidly drained of more than $20,000.

Lähteet: Los Angeles Times & Tietokone

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Lentokoneita ja asetekniikkaa valmistavan Lockheed Martinin järjestelmiin on murtauduttu. Vielä ei tiedetä, mitä kaikkea väärin käsiin on päässyt.

Unknown hackers have broken into the security networks of Lockheed Martin Corp and several other U.S. military contractors, a source with direct knowledge of the attacks told Reuters.

They breached security systems designed to keep out intruders by creating duplicates to "SecurID" electronic keys from EMC Corp's RSA security division, said the person who was not authorized to publicly discuss the matter.

Tuolla alalla luulisi suojauksien olevan kunnossa, mutta niinpä vaan oli sisään päästy. Operaatiossa oli käytetty apuna jollain tapaa kloonattuja (?) SecurID-tokeneita. Noita RSA:n valmistamia kertakäyttö"salasanoihin" perustuvia pieniä kikkuloita on pidetty pitkään hyvin turvallisina, mutta maaliskuussa tapahtuneen tietomurron jälkeen tilanne onkin oleellisesti muuttunut.

Update! Autovalmistaja Honda ilmoittaa, että n. 283 000 asiakkaan tietoja on viety.

Japanese carmaker Honda is confronting its own online challenge — the theft of personal information from 283,000 Honda and Acura customers in Canada.

Jerry Chenkin, executive vice-president and chief compliance officer at Honda Canada Inc., confirmed Thursday that names, addresses and vehicle identification numbers were taken from the company's e-commerce websites myHonda and myAcura, with suspicious activity on the site first detected in late February.

Hieman ehkä positiivisempi uutinen on, että Microsoftilla on taidettu lukea pelikirjaa Sonya kohdanneen ryöpytyksen seurauksena. Xbox Liven Modern Warfare 2 -servereille tunkeutunut 14-vuotias kloppi kun ei joutunutkaan oikeuden eteen, vaan MS otti nuorukaisen siipiensä alle. Geohot-tapauksen perusteella voisi sanoa, että varsin fiksu veto.

Mr Rellis said Microsoft is working with the teenager to develop his talent and help him use his skills for legitimate purposes.

Lähde: MSNBC

 

[hartzu]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Iskuja satelee Suomessakin, sillä Levi.fi näyttää haxätyltä tällä hetkellä. Perinteinen 0wned isku etusivulle.

 

[-WaLuigi-]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Hieman ehkä positiivisempi uutinen on, että Microsoftilla on taidettu lukea pelikirjaa Sonya kohdanneen ryöpytyksen seurauksena. Xbox Liven Modern Warfare 2 -servereille tunkeutunut 14-vuotias kloppi kun ei joutunutkaan oikeuden eteen, vaan MS otti nuorukaisen siipiensä alle. Geohot-tapauksen perusteella voisi sanoa, että varsin fiksu veto.

Ei sillä, hyvä ettei MS:ää kohdannut PS Networkin kohtalo, mutta silti pitäisin tuota yleisesti vähän arveluttavana. Tai siis että henkilö palkitaan työpaikalla siitä hyvästä, että kykenee rikkomaan lakia. Antaa hyvän kuvan internetsuojausten maailmasta tuleville hakkereille...

 

[Bentsku]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Ei sillä, hyvä ettei MS:ää kohdannut PS Networkin kohtalo, mutta silti pitäisin tuota yleisesti vähän arveluttavana. Tai siis että henkilö palkitaan työpaikalla siitä hyvästä, että kykenee rikkomaan lakia. Antaa hyvän kuvan internetsuojausten maailmasta tuleville hakkereille...

Hieman sama kuin jos tiirikoi Abloyn lukon auki, pääsee Abloylle töihin kehittämään taitojaan. Suomalainen softa- tai ainakin tietoturvateollisuus on tässä kohtaa jyrkkä, jos on vähäisiäkin tietoturvarikoksia tilillä, ei ole asiaa alan töihin. F-Securella ei pääse tuotekehityslabrojen lähellekään jos on jossain vaiheessa kehittänyt uraansa haxailuilla ja jäänyt kiinni. Mun mielestä rikokset ei voi olla näyttöjä oikeisiin duuneihin. Paatunut krakkeri käyttöjärjestelmän turvallisuuskäytäntöjä kehittämässä tuottaisi helposti enemmän hienoja takaportteja kuin parantaisi tietoturvakäytäntöjä.

 

[Cobretti]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Xbox Liven Modern Warfare 2 -servereille tunkeutunut 14-vuotias kloppi kun ei joutunutkaan oikeuden eteen, vaan MS otti nuorukaisen siipiensä alle.

Tämäkin oli jo jossain suomalaisessa mediassa uutisoitu niin, että MS "antoi pojalle töitä"..

"Mr Rellis said Microsoft is working with the teenager to develop his talent and help him use his skills for legitimate purposes."

Ei taida ihan tarkoittaa että MS kuitenkaan vielä lapsityövoimaa värväisi.. Mutta jotenkin "ohjaa" oikeaan suuntaan. Geohot oli menetetty tapaus jo aikaa sitten, ehkä jonkun olisi pitänyt "ohjata" häntä 14 vuotiaana..

 

[Bentsku]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Tämäkin oli jo jossain suomalaisessa mediassa uutisoitu niin, että MS "antoi pojalle töitä"..

"Mr Rellis said Microsoft is working with the teenager to develop his talent and help him use his skills for legitimate purposes."

Ei taida ihan tarkoittaa että MS kuitenkaan vielä lapsityövoimaa värväisi.. Mutta jotenkin "ohjaa" oikeaan suuntaan. Geohot oli menetetty tapaus jo aikaa sitten, ehkä jonkun olisi pitänyt "ohjata" häntä 14 vuotiaana..

No toi on hieman eri juttu. Itseasiassa nuorien rikollisten kanssa pitäisi menetelläkin juuri siten, että yritetään antaa uutta suuntaa siihen elämään kuin vain joku penalti.

 

[Timppa]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Iskuja satelee Suomessakin, sillä Levi.fi näyttää haxätyltä tällä hetkellä. Perinteinen 0wned isku etusivulle.

Ja joo, Hakkeri iski sairaanhoitopiirin nettiin - pornoa ja natsisymboli | Kotimaan uutiset | Iltalehti.fi että onko sairaanhoitopiiri nyt yhtä syyllinen kuin SONYkin.

 

[Bentsku]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Ja joo, Hakkeri iski sairaanhoitopiirin nettiin - pornoa ja natsisymboli | Kotimaan uutiset | Iltalehti.fi että onko sairaanhoitopiiri nyt yhtä syyllinen kuin SONYkin.

Sairaanhoitopiirihän voi olla vaikka mihinkä syyllinen, kuten liian pitkiin potilasjonoihin, kännisten teinien epäkunnioittavaan kohteluun tms ja ansaitsi saada isänkädestä oikein kunnolla.

Sivuston hallintapneelin osoite ja käyttäjätunnus julkaistiin lauantai-iltana anon.fi ja ylilauta.fi -foorumeilla.

 

[Oliver]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Lentokoneita ja asetekniikkaa valmistavan Lockheed Martinin järjestelmiin on murtauduttu. Vielä ei tiedetä, mitä kaikkea väärin käsiin on päässyt.

Hakkerit murtautuivat Pentagonin asetoimittajan tietojärjestelmään | Ulkomaat | YLE Uutiset | yle.fi

Ja Lockheed Martinillakin kesti koko viikko ilmoittaa murrosta. En enää ikinä osta SR-71 Blackbirdejä.

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

LulzSec uhkailee Twitterissä operaatiolla, joka tulee olemaan "Sonyn lopun alkua".

We're working on another Sony operation. We've condensed all our excited tweets into this one: this is the beginning of the end for Sony.

&

Our #Sonage (Sony + ownage) is going at maximum speed, there's a lot to do.

Kyseinen poppoo oli vastuussa mm. Sony Music Japanin sivuston tietomurtoon.

Lähde: Twitter (LulzSec)

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

LulzSec joutessaan kävi korkkaamassa televisiopalveluyhtiö PBS:n sivut ja laittoi jakeluun satojen toimittajien tunnuksia, sähköpostiosoitteita ja salasanoja. Lisäksi Twitterissä jatkuvat Sony-uhkailut:

#Sownage (Sony + Ownage) Phase 1 will begin within the next day. We may have a pre-game show for you folks though. Stay tuned.

Ja tämä "pre-game show" oli siis juurikin tämä PBS-tapaus.

Lähteet: Huffington Post ja Twitter (LulzSec)

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

LulzSec on nyt ilmeisesti aloittanut Sony-iskunsa.

By the way, #Sownage is happening right now - just slowly.

&

Hey @Sony, you know we're making off with a bunch of your internal stuff right now and you haven't even noticed? Slow and steady, guys.

Saapa nähdä, mihin suuntaan tuo kohdistuu ja millä tavalla. Kunhan PSN:n jättäisivät rauhaan...

Lähde: Twitter (LulzSec)

 

[hartzu]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Lähde: Twitter (LulzSec)

Ihmeellistä, että Twitter sallii näiden peelojen toitottaa rikollisesta toiminnastaan kauttaan. Sen sijaan muista mitä kummallisemmista syistä he kyllä sulkevat tilejä, kuten taannoin F-Securen Mikko Hyppösen tilin.

 

[Joso]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Ihmeellistä, että Twitter sallii näiden peelojen toitottaa rikollisesta toiminnastaan kauttaan. Sen sijaan muista mitä kummallisemmista syistä he kyllä sulkevat tilejä, kuten taannoin F-Securen Mikko Hyppösen tilin.

Ilmaista mainosta ja osumia sivuille = markkina-arvo kasvuun... Facebook vs. Google lokakampanja osoitti erinomaisesti mikä on sosiaalisen median jättiläisten moraalin taso.

 

[Cobretti]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

No toi on hieman eri juttu. Itseasiassa nuorien rikollisten kanssa pitäisi menetelläkin juuri siten, että yritetään antaa uutta suuntaa siihen elämään kuin vain joku penalti.

Tuo on varmasti hieno idea, mutta tämäkin "uutinen" on jo korjattu MS:n toimesta..

"Microsoft can also confirm that the company has not offered to mentor a 14-year-old from Tallaght who purportedly was related to a phishing scheme."

( Microsoft is (Not) Helping an Xbox Live Hacker "Develop His Talent" [Update] )

Mutta eipä näissä hakkeriuutisissa ennenkään aina totuuden edellä olla menty..

**

Mitä tulee tähän LulzSec-osastoon, niin aika sanattomaksi nämä uhkailut vetävät. Mitään järkevää selitystä näille ei enää ole. Kertoo, että eivät nämä netin terroristit mitään syitä tarvitse.. Netin maailmassa voi näköjään semi-avoimesti uhata erinäisiä tahoja ja Twitterit ja muut antavat vain homman jatkua.. Oksettavaa touhua ja asia josta meidän kaikkien pitäisi olla huolissaan.

EDIT: Täällä ( http://blogs.forbes.com/andygreenberg/2011/05/30/pbs-hacked-after-critical-wikileaks-show/ ) jotain ihme yhteyttä Wikileaks-jupakkaan myös. Sitä en tiedä miten Sony tähän kuvioon mahtuu.. Mutta kuten sanoin, syytä ei tarvita.

EDIT 2: Täällä lisää:
http://blogs.forbes.com/parmyolson/...h-pbs-hackers-we-did-it-for-lulz-and-justice/
Syy oli hakkereiden mukaan: "lulz and justice". Voi jessus..

Ja Sonysta..
“We’re going to blast more holes in Sony and leak their booty,” Whirlpool said, adding that the attack would not be as big as the theft in March of personal and financial details of more than 100,000 PlayStation Network user accounts, “but certainly a lot bigger than what we did to Sony Japan.”

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

LulzSec paljastaa sen verran, että tämä uusin operaatio ei kohdistu PlayStation Networkiin.

You Sony morons realize we've never attacked any of your precious gaming, right? Do you know Sony does this thing called "music" too?

Oletettavaa siis on, että tähtäimessä on jokin Sony Music BMG:n palvelu.

Lähde: Twitter (LulzSec)

 

[TT-2k]

Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Netin maailmassa voi näköjään semi-avoimesti uhata erinäisiä tahoja ja Twitterit ja muut antavat vain homman jatkua..

Yksi kaikkien aikojen kuuluisimmista hakkereista, Kevin Mitnick, kommentoi asiaa näin:

I think the only reason Twitter hasn't suspended @Lulzsec yet is because the Feds want to keep logging.

In other news: Lockheed Martin ei näemmä edes ole ainoa "puolustustarvikkeita" toimittava yritys, johon on murtauduttu tai vähintään yritetty murtautua kloonattujen SecurID-donglejen avulla. Wired-lehti kertoo verkkosivuillaan, että myös L-3 Communications on joutunut kohteeksi.

An executive at defense giant L-3 Communications warned employees last month that hackers were targeting the company using inside information on the SecurID keyfob system freshly stolen from an acknowledged breach at RSA Security.

Lähteet: Twitter (kevinmitnick) & Wired