Comments on: Cyber security news April 2025

By: Tomi Engdahl

Tomi Engdahl — Sat, 17 May 2025 08:13:41 +0000

GoSearch: Open-source OSINT tool for uncovering digital footprints
GoSearch is an open-source OSINT tool built to uncover digital footprints linked to specific usernames. Designed for speed and accuracy, it lets users quickly track someone’s online presence across multiple platforms.
https://www.helpnetsecurity.com/2025/04/28/gosearch-open-source-osint/

By: Tomi Engdahl

Tomi Engdahl — Thu, 01 May 2025 04:13:47 +0000

Tietovuodot kolmansille osapuolille suomalaisissa terveydenhuollon verkkopalveluissa
Rauti, Sampsa (2025-05-02)
https://www.utupub.fi/handle/10024/180447

Tässä väitöstutkimuksessa käsitellään suomalaisten verkkopohjaisia terveyspalvelujen yksityisyyttä keskittyen niissä esiintyviin kolmannen osapuolen palveluihin ja näille vuotaviin henkilötietoihin. Koska palveluissa käsitellään esimerkiksi asiakkaiden lääkityksiin, sairauksiin ja hoitotoimenpiteisiin liittyviä tietoja, niitä ei saisi päätyä kolmansien osapuolien haltuun.

Väitöstutkimus pohjautuu pitkälti lukuisissa terveysalan verkkopalveluissa – verkkoapteekeissa, terveydenhuollon verkkopalveluissa ja erilaisilla mielenterveysalan toimijoiden sivustoilla – tehtyyn verkkoliikenneanalyysiin, jonka avulla selvitetään näistä palveluista kolmansille osapuolille vuotavia henkilötietoja. Tämän ohella tarkastellaan myös, tuleeko käyttäjä asianmukaisesti informoiduksi henkilötietojensa käsittelystä ja suostutellaanko häntä hyväksymään tiedonkeruu harhaanjohtavin keinoin. Verkkoliikenneanalyysin lisäksi väitöstutkimuksessa haastateltiin web-kehittäjiä tietovuotojen syiden selvittämiseksi ja ehkäisevien toimien löytämiseksi.

Tutkimus osoittaa, että suomalaisilla terveysalan sivustoilla on ollut vakavia tietovuotoja. Kolmansien osapuolten keräämien tietojen joukossa on mm. reseptilääkkeiden nimiä ja terveydenhuollon ajanvarauksiin liittyviä tietoja yhdistettyinä käyttäjän yksilöiviin henkilötietoihin kuten IP-osoitteeseen. Esimerkiksi tarkastelluista 163 verkkoapteekista 57 (35,0 %) vuoti reseptilääkkeiden nimiä kolmansille osapuolille. Vaikka tilanne on julkisen sektorin terveyspalveluissa parempi kuin yksityisellä sektorilla, on molemmilla runsaasti parannettavaa henkilötietojen käsittelyssä. Palvelujen käyttäjä puolestaan ei useinkaan tiedonkeruun kieltämälläkään voi estää näitä tietovuotoja, ja käyttäjän informointi henkilötietojen siirtymisestä kolmansille osapuolille on myös tavallisesti riittämätöntä. Löydökset antavat aihetta tarkemmalle regulaation noudattamiselle, auditoinneille, lokaalien analytiikkaratkaisujen suosimiselle ja huolellisemmalle kolmansien osapuolien valinnalle erityisesti kriittisten terveysalan verkkopalvelujen osalta.

By: Tomi Engdahl

Tomi Engdahl — Thu, 01 May 2025 04:09:55 +0000

Karu löydös suomalaisten terveystiedoista: ”Voi aiheuttaa vakavan riskin”
Ongelmia on korjattu, mutta vahinko on saattanut jo tapahtua.
Karu löydös suomalaisten terveystiedoista: ”Voi aiheuttaa vakavan riskin”
https://www.is.fi/digitoday/tietoturva/art-2000011202032.html

Lue tiivistelmä
Turun yliopiston DI Sampsa Rautin väitöskirja paljastaa suomalaisten terveystietoja vuotaneen kolmansille osapuolille.

Tutkituilla sivustoilla havaittiin vakavia tietovuotoja, joissa arkaluontoisia tietoja päätyi teknologiajäteille ja jopa Venäjälle.

Valtaosa tietovuodoista on nyt korjattu, mutta vuotojen seuraukset ovat epäselvät.

Yksityiset ja julkiset terveydenhuollon verkkosivustot eivät ole käsitelleet suomalaisten terveystietoja riittävän turvallisesti, DI Sampsa Rauti Turun yliopistosta esittää.

Tällä viikolla väittelevän Rautin väitöskirjassa Tietovuodot kolmansille osapuolille suomalaisissa terveydenhuollon verkkopalveluissa tutkittiin verkkoapteekkien, terveydenhuollon verkkopalveluiden ja erilaisten mielenterveyssivustojen henkilötietovuotoja. Tutkituilla sivustoilla havaittiin vakavia tietovuotoja.

Koska palveluissa käsitellään esimerkiksi asiakkaiden lääkityksiin, sairauksiin ja hoitotoimenpiteisiin liittyviä tietoja, niitä ei saisi päätyä kolmansille osapuolille, kuten teknologiajättien tarjoamille analytiikkatyökaluille. Näin kuitenkin tapahtui.

Kolmansille osapuolille päätyi muun muassa reseptilääkkeiden nimiä ja terveydenhuollon ajanvarauksiin liittyviä tietoja yhdistettyinä yksilöiviin henkilötietoihin. Esimerkiksi suomalaisista verkkoapteekeista 35 prosenttia vuoti reseptilääkkeiden nimiä kolmansille osapuolille.

Yleisimmin henkilötietoja vuoti Googlen ja Metan kaltaisille suurille teknologiajäteille, mutta muutamissa tapauksissa lääketietoja päätyi myös esimerkiksi Venäjälle Yandexille ja Microsoftin Bingille.

– Vaikka käyttäjän yksilöivät henkilötiedot ovat esimerkiksi ip-osoitteen kaltaisia laitetunnisteita, suurilla teknologiajäteillä on keinot yhdistää nämä käyttäjän oikeaan nimeen ja henkilöllisyyteen. Tämä voi tiettyjen kolmansien osapuolien tapauksessa aiheuttaa käyttäjälle vakavan riskin, jos henkilötietoja käytetään väärin, tai niitä luovutetaan, myydään tai joutuu tietomurtojen seurauksena niin sanotuille neljänsille osapuolille, Rauti huomauttaa yliopiston tiedotteessa.

Tutkimus ei osoita, mitä tiedoille tapahtuu kolmansille osapuolille päätymisen jälkeen, mutta käyttäjän terveydentilaan mahdollisesti liittyviä tietoja ei saisi silti vuotaa, Rauti korostaa. Valtaosa tietovuodoista on nyt korjattu.

Väitöskirjan teema on nyt entistä ajankohtaisempi, koska myös yhdysvaltalaisten yhtiöiden kykyyn käsitellä suomalaisten tietoja vastuullisesti kohdistuu suuria kysymysmerkkejä.

– Meillä on Suomessa ja Euroopassa pitkään lähdetty siitä, että oleellista on datan fyysinen sijaintipaikka. Kun palvelin hurisee vaikkapa Helsingissä, niin se olisi ok. Nyt on alettu keskustella tosi paljon siitä, minkä maan lainsäädännön alaisuudessa se taho on, joka tietoja säilyttää, pilvipalveluyhtiö Magic Cloudin toimitusjohtaja Timo Haapavuori hahmotti maaliskuussa.

By: Tomi Engdahl

Tomi Engdahl — Wed, 30 Apr 2025 07:19:31 +0000

The Cloudflare Blog:
In Q1 2025, Cloudflare blocked 20.5M DDoS attacks, a 358% YoY increase, and in Q2 it blocked an attack with, by far, the most intense packet rate on record — Welcome to the 21st edition of the Cloudflare DDoS Threat Report. Published quarterly, this report offers a comprehensive analysis …

Targeted by 20.5 million DDoS attacks, up 358% year-over-year: Cloudflare’s 2025 Q1 DDoS Threat Report
https://blog.cloudflare.com/ddos-threat-report-for-2025-q1/

By: Tomi Engdahl

Tomi Engdahl — Wed, 30 Apr 2025 07:13:10 +0000

Bill Toulas / BleepingComputer:
SK Telecom announces free SIM card replacements to its 25M mobile customers following a recent USIM data breach, but only 6M cards are available through May

SK Telecom cyberattack: Free SIM replacements for 25 million customers
https://www.bleepingcomputer.com/news/security/sk-telecom-cyberattack-free-sim-replacements-for-25-million-customers/

South Korean mobile provider SK Telecom has announced free SIM card replacements to its 25 million mobile customers following a recent USIM data breach, but only 6 million cards are available through May.

SK Telecom is the country’s largest mobile network operator, serving roughly half of the domestic mobile phone market.

On April 19, the company detected a malware running on its network that allowed threat actors to steal customers’ Universal Subscriber Identity Module (USIM) data, typically including International Mobile Subscriber Identity (IMSI), Mobile Station ISDN Number (MSISDN), authentication keys, network usage data, and SMS or contacts if stored on the SIM.

No customer names, other identification details, or financial information were exposed due to this incident.

The main risk from this breach is the potential for threat actors to perform unauthorized number ports to cloned SIM cards, known as “SIM swapping.”

In an update published earlier today, SK Telecom assured customers that such requests would be automatically detected and blocked by its Fraud Detection System (FDS) and SIM Protection Service, which have been enhanced to handle the elevated risk.

As of today, SK Telecom is also offering free-of-charge SIM card replacements to 25 million mobile subscribers, including approximately 2 million using budget carriers, who are worried about the potential for SIM swapping attacks impacting them.

However, the mobile carrier warns that due to a lack of inventory, they can only replace up to 6 million SIM cards through May 2025.

“Currently, SK Telecom holds 1 million SIM cards and plans to secure 5 million more by the end of May 2025,” reads the update.

“Due to potential congestion, customers are encouraged to use the online reservation system (care.tworld.co.kr) to book their SIM replacement in advance.”

The FAQ also clarifies that roaming services have been disabled for subscribers who have activated SIM Protection, but they plan to upgrade the feature to make it usable while abroad for optimal protection.

By: Tomi Engdahl

Tomi Engdahl — Wed, 30 Apr 2025 07:10:39 +0000

John Irish / Reuters:
In a first for the country, France blames Russia’s GRU for a string of local cyber attacks, including on ministries, defense firms, and think tanks

France accuses Russian intelligence of repeated cyber attacks since 2021
https://www.reuters.com/world/europe/first-france-accuses-russian-intelligence-repeated-cyber-attacks-2025-04-29/

Summary

Cybersecurity agency says a dozen French entities hit since 2021
Prior attack in 2017 leaked Macron election campaign mails
GRU unit APT28 is based in Rostov-on-Don
APT28 active worldwide since at least 2004

By: Tomi Engdahl

Tomi Engdahl — Tue, 29 Apr 2025 21:21:38 +0000

Microsoft pitches pay-to-patch reboot reduction subscription for Windows Server 2025
Redmond reckons $1.50/core/month hotpatch service is worth it to avoid eight Patch Tuesday scrambles each year
https://www.theregister.com/2025/04/28/windows_server_2025_hotpatching_subscription/

Microsoft Confirms $1.50 Windows Security Update Hotpatch Fee Starts July 1
https://www.forbes.com/sites/daveywinder/2025/04/28/microsoft-confirms-150-windows-security-update-fee-starts-july-1/

By: Tomi Engdahl

Tomi Engdahl — Tue, 29 Apr 2025 14:21:59 +0000

Wired:NEW
Oligo researchers detail AirBorne, a set of vulnerabilities in Apple’s AirPlay SDK that may affect 10M+ third-party devices; Apple patched its own devices

Millions of Apple Airplay-Enabled Devices Can Be Hacked via Wi-Fi
Researchers reveal a collection of bugs known as AirBorne that would allow any hacker on the same Wi-Fi network as a third-party AirPlay-enabled device to surreptitiously run their own code on it.
https://www.wired.com/story/airborne-airplay-flaws/

By: Tomi Engdahl

Tomi Engdahl — Tue, 29 Apr 2025 11:43:20 +0000

Lawrence Abrams / BleepingComputer:
Sources: Scattered Spider carried out a ransomware attack on UK retailer M&S, which employs 64K+ in 1,400 stores, that caused huge disruption starting April 22

Marks & Spencer breach linked to Scattered Spider ransomware attack
https://www.bleepingcomputer.com/news/security/marks-and-spencer-breach-linked-to-scattered-spider-ransomware-attack/

By: Tomi Engdahl

Tomi Engdahl — Tue, 29 Apr 2025 08:09:31 +0000

Josh Richman / Electronic Frontier Foundation:
In an open letter, EFF and top security experts urge the Trump admin to end its probe of ex-CISA chief Chris Krebs, calling it political and harmful to security — Political Retribution for Telling the Truth Weakens the Entire Infosec Community and Threatens Our Democracy; Letter Remains Open for Further Sign-Ons

EFF Leads Prominent Security Experts in Urging Trump Administration to Leave Chris Krebs Alone
Political Retribution for Telling the Truth Weakens the Entire Infosec Community and Threatens Our Democracy; Letter Remains Open for Further Sign-Ons
https://www.eff.org/press/releases/eff-leads-prominent-security-experts-urging-trump-administration-leave-chris-krebs