Cyber security news January 2024

This posting is here to collect cyber security news in January 2024.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

40 Comments

  1. Tomi Engdahl says:

    Nolo juttu: kiinalainen vakoilupallo viesti yhdysvaltalaisella verkkoyhteydellä
    https://www.tivi.fi/uutiset/nolo-juttu-kiinalainen-vakoilupallo-viesti-yhdysvaltalaisella-verkkoyhteydella/9d67e104-eef1-4c08-b305-1cbdbacadcec

    Yhdysvaltain tiedusteluarvion mukaan kiinalainen vakoilupallo käytti yhdysvaltalaisen internet-palveluntarjoajan verkkoyhteyttä kommunikointia varten.

    Amerikkalaisten tiedusteluviranomaisten mukaan kiinalainen vakoilupallo, joka lensi viime vuonna Yhdysvaltojen yli, käytti amerikkalaista internet-palveluntarjoajaa kommunikoidakseen Kiinaan.

    Tiedusteluarvion mukaan pallo kytkettiin amerikkalaisen yrityksen verkkoon, jotta se voisi lähettää ja vastaanottaa viestejä Kiinasta. Viestien sisällöt olivat pääasiassa navigointiin liittyviä. Yhteys kuitenkin mahdollisti pallon lähettävän suuria tietomääriä lyhyen ajanjakson aikana, kertoo yhdysvaltalainen uutissivusto NBC News.

    U.S. intelligence officials determined the Chinese spy balloon used a U.S. internet provider to communicate
    https://www.nbcnews.com/news/investigations/us-intelligence-officials-determined-chinese-spy-balloon-used-us-inter-rcna131150

    An American intelligence assessment found that the balloon used a commercially available U.S. network to communicate, primarily for navigation, U.S. officials say.

    Reply
  2. Tomi Engdahl says:

    https://thenewstack.io/the-terrapin-attack-a-new-threat-to-ssh-integrity/

    Reply
  3. Tomi Engdahl says:

    Curl
    Buffer Overflow Vulnerability in WebSocket Handling
    https://hackerone.com/reports/2298307?fbclid=IwAR0CYjryKBM4a3l8Iw5RJAvES5ev-k7NEXsIbO6f0E9AE508sTn9Ko8Hk2o

    Reply
  4. Tomi Engdahl says:

    Nearly 11 million SSH servers vulnerable to new Terrapin attacks
    https://www.bleepingcomputer.com/news/security/nearly-11-million-ssh-servers-vulnerable-to-new-terrapin-attacks/#google_vignette

    Almost 11 million internet-exposed SSH servers are vulnerable to the Terrapin attack that threatens the integrity of some SSH connections.

    The Terrapin attack targets the SSH protocol, affecting both clients and servers, and was developed by academic researchers from Ruhr University Bochum in Germany.

    It manipulates sequence numbers during the handshake process to compromise the integrity of the SSH channel, particularly when specific encryption modes like ChaCha20-Poly1305 or CBC with Encrypt-then-MAC are used.

    Reply
  5. Tomi Engdahl says:

    If you want to check an SSH client or server for its susceptibility to Terrapin, the Ruhr University Bochum team provides a vulnerability scanner.

    https://github.com/RUB-NDS/Terrapin-Scanner

    The Terrapin Vulnerability Scanner is a small utility program written in Go, which can be used to determine the vulnerability of an SSH client or server against the Terrapin Attack. The vulnerability scanner requires a single connection with the peer to gather all supported algorithms. However, it does not perform a fully fledged SSH key exchange, will never attempt authentication on a server, and does not perform the attack in practice. Instead, vulnerability is determined by checking the supported algorithms and support for known countermeasures (strict key exchange). This may falsely claim vulnerability in case the peer supports countermeasures unknown to this tool.

    For convenience, we are providing pre-compiled binaries for all major desktop platforms. These can be found on the Release page.

    However, we understand that you might prefer building tools, that connect to your SSH server, yourself. To do this, ensure that you have at least Go v1.18 installed.

    Reply
  6. Tomi Engdahl says:

    Hakkerit iskivät kolmeen sairaalaan Saksassa – Seuraukset vakavia
    Kiristyshaittaohjelma on aiheuttanut vakavaa haittaa kolmen sairaalan ensihoidolle. Kiireellistä hoitoa tarvitsevat potilaat jouduttiin ohjaamaan muihin sairaaloihin.
    https://www.iltalehti.fi/digiuutiset/a/fa97c1dc-b45f-4d6d-912d-5be536670127

    Reply
  7. Tomi Engdahl says:

    https://etn.fi/index.php/13-news/15703-10-vuoden-ikaeinen-troijalainen-nyt-venaelaeisen-wordin-makrossa

    Reply
  8. Tomi Engdahl says:

    https://etn.fi/index.php/13-news/15699-bt-lle-tulee-jouluna-kiire

    Entinen brittien ylpeys British Telecom eli nykyään vain ytimekkäästi BT on joutumassa vaikeuksiin viikon päästä eli vuodenvaihteessa koittavan määräajan kanssa. Tuolloin brittioperaattoreiden on nimittäin pitänyt poistaa kaikki Huawein laitteet mobiiliverkoistaan.

    Iso-Britannia hyväksyi reilu kaksi vuotta sitten lain, jonka myötä mitään Huawein laitteita ei enää saa käyttää verkoissa vuoden 2027 jälkeen. Mobiiliverkkojen core-osan osalta määräaika koittaa 31.12.2023.

    Reply
  9. Tomi Engdahl says:

    Apps That Use AI to Undress Women in Photos Soaring in Use
    Referral links to undressing apps increase on X and Reddit
    Numerous services have popped up since AI tech has advanced
    https://www.bloomberg.com/news/articles/2023-12-08/ai-nudify-apps-that-undress-women-in-photos-soaring-in-use

    Naisten riisuminen alasti puhelimella räjähti käsiin
    Markkinoilla on lukuisia sovelluksia, jotka luovat ihmisistä keinotekoisia alastonkuvia.
    Naisten riisuminen alasti puhelimella räjähti käsiin
    https://www.is.fi/digitoday/art-2000010054696.html

    Reply
  10. Tomi Engdahl says:

    https://www.graphika.com/reports/a-revealing-picture

    AI-Generated ‘Undressing’ Images Move from Niche Pornography Discussion Forums to a Scaled and Monetized Online Business
    The creation and dissemination of synthetic non-consensual intimate imagery (NCII) has moved from a custom service available on niche internet forums to an automated and scaled online business that leverages a myriad of resources to monetize and market its services. Creators of synthetic NCII, also known as “undressing” images, manipulate existing photos and video footage of real individuals to make them appear nude without their consent.

    A group of 34 synthetic NCII providers identified by Graphika received over 24 million unique visitors to their websites in September, according to data provided by web traffic analysis firm Similarweb. Additionally, the volume of referral link spam for these services has increased by more than 2,000% on platforms including Reddit and X since the beginning of 2023, and a set of 52 Telegram groups used to access NCII services contain at least 1 million users as of September this year.

    We assess the primary driver of this growth is the increasing capability and accessibility of open-source artificial intelligence (AI) image diffusion models. These models allow a larger number of providers to easily and cheaply create photorealistic NCII at scale. Without such providers, their customers would need to host, maintain, and run their own custom image diffusion models – a time-consuming and sometimes expensive process.

    Bolstered by these AI services, synthetic NCII providers now operate as a fully-fledged online industry, leveraging many of the same marketing tactics and monetization tools as established e-commerce companies. This includes advertising on mainstream social media platforms, influencer marketing, deploying customer referral schemes, and the use of online payment technologies.
    We assess the increasing prominence and accessibility of these services will very likely lead to further instances of online harm, such as the creation and dissemination of non-consensual nude images, targeted harassment campaigns, sextortion, and the generation of child sexual abuse material.

    Reply
  11. Tomi Engdahl says:

    this Cybersecurity Platform is FREE
    https://www.youtube.com/watch?v=i68atPbB8uQ

    Try Wazuh completely for free, and protect your environments with an open-source SIEM and XDR platform easily accessible on-premise! https://jh.live/wazuh

    https://wazuh.com/

    Reply
  12. Tomi Engdahl says:

    ‘If you told me to list 10 things that would go wrong, this would not be on the list’: Tiny water authority in Pennsylvania hit by Iranian cyberattack
    https://fortune.com/2024/01/02/aliquippa-water-authority-pennsylvania-iranian-cyberattack/

    Then it — along with several other water utilities — was struck by what federal authorities say are Iranian-backed hackers targeting a piece of equipment specifically because it was Israeli-made.

    “If you told me to list 10 things that would go wrong with our water authority, this would not be on the list,” said Matthew Mottes, the chairman of the authority that handles water and wastewater for about 22,000 people in the woodsy exurbs around a one-time steel town outside Pittsburgh.

    The hacking of the Municipal Water Authority of Aliquippa is prompting new warnings from U.S. security officials at a time when states and the federal government are wrestling with how to harden water utilities against cyberattacks.

    Reply
  13. Tomi Engdahl says:

    KyberSlash attacks put quantum encryption projects at risk
    https://www.bleepingcomputer.com/news/security/kyberslash-attacks-put-quantum-encryption-projects-at-risk/#google_vignette

    Multiple implementations of the Kyber key encapsulation mechanism for quantum-safe encryption, are vulnerable to a set of flaws collectively referred to as KyberSlash, which could allow the recovery of secret keys.

    CRYSTALS-Kyber is the official implementation of the Kyber key encapsulation mechanism (KEM) for quantum-safe algorithm (QSA) and part of the CRYSTALS (Cryptographic Suite for Algebraic Lattices) suite of algorithms.

    It is designed for general encryption and part of the National Institute of Standards and Technology (NIST) selection of algorithms designed to withstand attacks from quantum computers.

    The KyberSlash flaws are timing-based attacks arising from how Kyber performs certain division operations in the decapsulation process, allowing attackers to analyze the execution time and derive secrets that could compromise the encryption.

    If a service implementing Kyber allows multiple operation requests towards the same key pair, an attacker can measure timing differences and gradually compute the secret key.

    The problematic pieces of code that make the KyberSlash vulnerabilities (KyberSplash1 and KyberSplash2)

    The worst case scenario is leaking of the secret key but this doesn’t mean that all projects using Kyber are vulnerable to key leaks.

    Reply
  14. Tomi Engdahl says:

    https://www.bleepingcomputer.com/news/security/stealthy-asyncrat-malware-attacks-targets-us-infrastructure-for-11-months/

    Reply
  15. Tomi Engdahl says:

    Suositun tietokannan kehittäjä korkattiin: asiakkaiden dataa vuotanut
    Justus Vento7.1.202418:02TIETOMURROT
    MongoDB sanoo suurimman osan datasta olevan turvassa hyökkäykseltä
    https://www.tivi.fi/uutiset/suositun-tietokannan-kehittaja-korkattiin-asiakkaiden-dataa-vuotanut/9c179157-5c5c-4967-b9a6-39d029bf7e5b

    Reply
  16. Tomi Engdahl says:

    ”Nämä kaikki tiedot ovat kriittisiä” – Havahduttava ulostulo Tiktokista
    https://www.uusisuomi.fi/uutiset/nama-kaikki-tiedot-ovat-kriittisia-havahduttava-ulostulo-tiktokista/740b1e74-c44a-473f-879a-80ddc6ef9dd2

    ”Voidaan esimerkiksi kysyä, miksi Tiktok haluaa pääsyn puhelimen kalenteriin ja koko leikepöydän sisältöön”, Harto Pönkä toteaa ja mainitsee myös hätkähdyttävimmän tiedon. Keskustelu Tiktokista leimahti Aura Sallan (kok) ulostulon myötä. Suomessa presidenttiehdokkaat ”jakavat dataansa Kiinan propagandakoneistolle”, hän muun muassa ihmetteli.

    Sosiaalisen median, koulutusteknologian ja tietosuojan asiantuntija, yrittäjä Harto Pönkä sekä entinen liikenne- ja viestintäministeri, kansanedustaja Timo Harakka (sd) ottavat osaa käynnissä olevaan keskusteluun sosiaalisen median palvelu Tiktokista.

    Keskustelu käynnistyi, kun kansanedustaja Aura Salla (kok) katsoi, että kiinalaisen Tiktokin kieltämisestä tulee keskustella Euroopan unionissa ja huomautti, että Suomessa presidenttiehdokkaat ”jakavat dataansa Kiinan propagandakoneistolle”. Salla on aiemmin työskennellyt Facebookin taustayhtiö Metan palveluksessa.

    Harto Pönkä listaa blogissaan käyttäjätietoja, joita ByteDance-yhtiön omistama Tiktok kerää tai käyttää. Pelkästään Tiktokin avoimesti itse kertomassa listassa ”on todella runsas kattaus tietoja käyttäjien profiloimiseen”, Pönkä kirjoittaa.

    Hän viittaa lisäksi Internet 2.0 -tietoturvayhtiön raportteihin, jotka perustuvat Tiktok-sovellyksen lähdekoodiin ja havaintoihin sovelluksen käytöstä. Niiden mukaan Tiktokilla on esimerkiksi pääsy käyttäjän sijaintiin, kalenterisisältöihin, laitteen muistiin eli kaikkiin tiedostoihin sekä laitteen leikepöydälle, joka voi sisältää esimerkiksi salasanoja, jos käyttäjä niitä kopioi

    ”Nämä kaikki tiedot ovat käyttäjän yksityisyyden ja tietoturvan kannalta kriittisiä. Osalla tiedoista (kaikki tunnistetiedot) käyttäjä voidaan yhdistää muihin tietolähteisiin, joista hänestä voidaan hakea lisää dataa profilointia varten. Osa tiedoista puolestaan voi olla suoraan esimerkiksi tietomurtoihin käytettäviä tai muuten tietojen saajatahoille käyttökelpoisia – esimerkiksi tiedusteluun”, Pönkä kirjoittaa.

    ”Voidaan esimerkiksi kysyä, miksi Tiktok haluaa pääsyn puhelimen kalenteriin ja koko leikepöydän sisältöön.”

    Suojelupoliisi (Supo) varoittaa Ylen mukaan, että Tiktok-käyttäjien tiedot voivat päätyä Kiinan turvallisuusviranomaisille.

    TikTokin tietoturva ja tietosuoja – tämä kaikki on pielessä
    https://harto.wordpress.com/2024/01/09/tiktokin-tietoturva-ja-tietosuoja-tama-kaikki-on-pielessa/

    Reply
  17. Tomi Engdahl says:

    Supo varoittaa: Tiktok-käyttäjien tiedot voivat päätyä Kiinan turvallisuusviranomaisille
    Suojelupoliisin mukaan Tiktok kerää poikkeuksellisen paljon tietoa mobiililaitteesta ja sen käyttäjästä. Ne saattavat vuotaa vääriin käsiin.
    https://yle.fi/a/74-20068400

    Reply
  18. Tomi Engdahl says:

    https://demokraatti.fi/tiktok-herattaa-yha-enemman-epailyksia-asiantuntijat-presidenttiehdokkaille-harkitkaa-tarkkaan

    tietokirjailija, viestintäasiantuntija Katleena Kortesuo kirjoitti blogissaan sovelluksen vaaroista. Kortesuon mielestä Tiktokin vaarallisuus perustuu kolmeen asiaan: tietoturvaan, sovelluksen vakoiluominaisuuksiin sekä kykyyn vaikuttaa tunteisiin.

    -  Jos kyse olisi pelkästä tietoturvaongelmasta, voisi siihen vaikuttaa paljon, esimerkiksi ottamalla käyttöön erillisen puhelimen tai erillisen prepaid-liittymän. Mutta kyse ei ole vain tietoturva-asiasta, vaan myös siitä, että se on vakoilukone ja ikään kuin psykologisen sodankäynnin keino vaikuttaa tunteisiin, Kortesuo sanoo STT:lle.

    Tiktok – Kiinan kybersota länttä vastaan
    https://eioototta.fi/tiktok-kiinan-kybersota-lantta-vastaan/

    Käyttöehdot ovat kuraa
    Tiktok kerää käyttäjistään merkittävästi enemmän tietoa kuin muut yhteisöpalvelut. Tiktok tallentaa henkilötietojen lisäksi käyttäjän kuvat, teks­tit, yksityisviestit, klikkaukset, kuvien metatiedot, ky­sely­vastaukset, ostokset ja keskustelukumppanit. Tiktok kerää senkin materiaalin, jonka käyttäjä jättää julkaisematta, kuten poistetut luonnokset.

    Tiktok tallentaa puhelimen tekniset tiedot, siis laitetiedot, ohjelmistoversiot ja IP-osoitteen. Tämän ohella Tiktok päättelee kuvista ja videoista käyttäjän sukupuolen, iän, kiinnos­tuk­sen kohteet ja tunnetilat – käytännössä siis myös seksuaalisen suuntautumisen ja poliittisen mielipiteen. Tiktok analysoi automaattisesti puheen ja videot, joten se pystyy tunnistamaan käyttäjän sijainnin ja hänen kanssaan olevat ihmiset.

    Kaupan päälle osa käyttäjistä jakaa Tiktokille vapaaehtoisesti puheli­men­sa osoite­kirjan­. Niinpä myös sinun yhteystietosi ovat jo Tiktokin hallussa: tähän riittää se, että yksikin tuttusi on jakanut kännykkänsä kontaktilistan Tiktokille.

    Reply
  19. Tomi Engdahl says:

    SDP:n Timo Harakka: Kaikkia some-alustoja pitää säädellä ja vaaralliset verkkolaitteet kieltää
    https://www.sttinfo.fi/tiedote/70081457/sdpn-timo-harakka-kaikkia-some-alustoja-pitaa-saadella-ja-vaaralliset-verkkolaitteet-kieltaa?publisherId=66784162&lang=fi

    Keskustelu somealustojen vallasta on tärkeää. Esiin nousee kaksi turvallisuushuolta

    TikTok voi olla Kiinan valtion vakoilun väline. On toki huomattava, että jos EU onnistuisi kieltämään suosituimman kiinalaisen some-sovelluksen, silloin vahvistetaan yhdysvaltalaisten alustojen markkina-asemaa.

    On kuitenkin tärkeä huomata toinen turvallisuushuoli. Aivan kaikki some-sovellukset ovat osoittautuneet vaarallisiksi, koska ne mm. vahvistavat yhteiskunnan kahtiajakoa, kansalaisvapauksien rajoittamista, disinformaatiota, kiusaamista, lasten seksualisointia sekä nuorten mielenterveysongelmia.

    - Siksi sosialidemokraatit esittivät Euroopan parlamentin kannan mukaisesti, että sosiaalisen median tekoälyjärjestelmiä valvotaan korkeimmassa riskiluokassa, johon yhtiöiltä vaaditaan erityisiä vastuita ja velvoitteita. Kokoomus ja muut hallituspuolueet yrittivät vesittää lausuntoa Suuressa valiokunnassa, sanoo kansanedustaja ja entinen liikenne- ja viestintäministeri Timo Harakka.

    Reply
  20. Tomi Engdahl says:

    Cisco Fixes High-Risk Vulnerability Impacting Unity Connection Software
    https://thehackernews.com/2024/01/cisco-fixes-high-risk-vulnerability.html

    Reply
  21. Tomi Engdahl says:

    https://arstechnica.com/security/2024/01/actively-exploited-0-days-in-ivanti-vpn-are-letting-hackers-backdoor-networks/

    Reply
  22. Tomi Engdahl says:

    https://arstechnica.com/security/2024/01/network-connected-wrenches-used-in-factories-can-be-hacked-for-sabotage-or-ransomware/

    Reply
  23. Tomi Engdahl says:

    Turkish Hackers Exploiting Poorly Secured MS SQL Servers Across the Globe
    https://thehackernews.com/2024/01/turkish-hackers-exploiting-poorly.html

    Reply
  24. Tomi Engdahl says:

    https://hackaday.com/2024/01/05/teardown-of-two-russian-missile-sensors/

    Reply
  25. Tomi Engdahl says:

    Tältä näyttää hämmästyttävän aidon oloinen hotellihuijaus, joka voi säikäyttää ennen talvilomaa
    Juuri ennen lomaa tullut peruutusviesti saattaa säikäyttää. Älä kuitenkaan avaa linkkejä, varoittaa asiantuntija.
    https://yle.fi/a/74-20068564

    Asiakas varasi loman Itävallasta wieniläisestä hotellista Booking.comin kautta. Muutama päivä ennen loman alkua hän sai sivustolta sähköpostin.

    Viestin mukaan hotellin varaus saatetaan perua maksamisessa ilmenneiden ongelmien vuoksi. Samassa yhteydessä oli linkki, jonka kautta luottokorttitiedot pyydettiin antamaan uudestaan.

    Viesti oli hyvin uskottava ja sisälsi muun muassa hotellin ja asiakkaan nimet sekä oikean varausnumeron. Sähköposti oli lähetetty Booking.comin kautta juuri ennen lomaa.

    Liikenne- ja viestintäviraston Kyberturvallisuuskeskus varoitti jo elokuussa, että hotellivarauspalvelua on käytetty tietojenkalasteluun. Ylen saama esimerkkiviesti todistaa, että ilmiö ei ole laantumaan päin. Hämmästyttävää on, miten tarkkoja tietoja rikolliset ovat asiakkaista saaneet.

    – Tämä on ihan globaali ilmiö

    Reply
  26. Tomi Engdahl says:

    Security pros are being hospitalized by after-effects of ransomware hacks
    https://www.techradar.com/pro/security-pros-are-being-hospitalized-by-after-effects-of-ransomware-hacks?fbclid=IwAR13CCWpgJNKRTTaPb-OoeUA4CZn4N6jV25n9rQADkzJocQh-bhnLqKnFgM

    Psychological, physical, social and financial harm are all results of cyberattack

    New research from the Royal United Services Institute (RUSI) has laid bare the mental and physical toll that cybersecurity workers face as a result of their work.

    In a number of interviews with individuals who had been at the forefront of ransomware attacks and their aftermath, RUSI found that individuals were suffering from stress related illnesses, alongside financial, reputational and social harm as a result of ransomware attacks.

    Ransomware attacks involve bypassing an organizations network security, and then encrypting or exfiltrating their data before submitting a ransom that must be paid for the safe return of the data.

    A significant number of those RUSI spoke to experienced sleep deprivation, resulting in them developing extreme fatigue and falling asleep at work. Various levels of stress were experienced by security workers, with one interviewee citing the stress of a ransomware attack as a potential cause for a heart attack that required surgery.

    In another case, the interviewee required hospital checkups after the stress of a ransomware attack resulted in severe dehydration after the individual drank excessive amounts of coffee that exacerbated a pre-existing heart condition.

    Some of those RUSI spoke to felt challenged and inadequate after their employer brought in an external IT company to assist in recovery, but poor communication and integration led to inefficiencies post-attack. Moreover, many security professionals take ransomware attacks as an opportunity to retire or resign, particularly those with several years experience in a single position.

    The physical impacts also extend far beyond cybersecurity teams, with ransomware attacks on hospitals resulting in above average excess deaths due to rescheduled appointments and lost data. Furthermore, the aftermath of a ransomware attack on the Hackney Council impacted its ability to provide access and repairs to social housing, resulting in some residents living in moldy and damp properties for extended periods of time.

    Ransomware attacks hospitalizing security pros, as one admits suicidal feelings
    https://www.theregister.com/2024/01/18/ransomware_attacks_hospitalize_security_pros/

    Untold harms of holding the corporate perimeter revealed in extensive series of interviews

    Reply
  27. Tomi Engdahl says:

    https://www.bleepingcomputer.com/news/security/chinese-hackers-exploit-vmware-bug-as-zero-day-for-two-years/

    Reply
  28. Tomi Engdahl says:

    https://www.bleepingcomputer.com/news/security/court-charges-dev-with-hacking-after-cybersecurity-issue-disclosure/

    Reply
  29. Tomi Engdahl7 says:

    HP CEO evokes James Bond-style hack via ink cartridges
    “Our long-term objective is to make printing a subscription.”
    https://arstechnica.com/gadgets/2024/01/hp-ceo-blocking-third-party-ink-from-printers-fights-viruses/

    Last Thursday, HP CEO Enrique Lores addressed the company’s controversial practice of bricking printers when users load them with third-party ink. Speaking to CNBC Television, he said, “We have seen that you can embed viruses in the cartridges. Through the cartridge, [the virus can] go to the printer, [and then] from the printer, go to the network.”

    That frightening scenario could help explain why HP, which was hit this month with another lawsuit over its Dynamic Security system, insists on deploying it to printers.

    Dynamic Security stops HP printers from functioning if an ink cartridge without an HP chip or HP electronic circuitry is installed. HP has issued firmware updates that block printers with such ink cartridges from printing, leading to the above lawsuit

    Reply
  30. Tomi Engdahl says:

    Warning As 26 Billion Records Leak: Dropbox, LinkedIn, Twitter Named
    https://www.forbes.com/sites/daveywinder/2024/01/23/massive-26-billion-record-leak-dropbox-linkedin-twitterx-all-named/?fbclid=IwAR1KaTZveS-HWTxu_K7U9SCzbhMumKPnc_dbWJU44V0ci5L2vevfNXjcNRQ

    Security researchers have warned that a database containing no less than 26 billion leaked data records has been discovered. The supermassive data leak, or mother of all breaches as the researchers refer to it, is likely the biggest found to date.

    According to researchers from Security Discovery and CyberNews, the newly discovered database of leaked data runs to 12 terabytes in size and deserves the MOAB title.

    The research team thinks that the 26 billion record database, found on an open storage instance, will likely have been compiled by a malicious actor or data broker.

    As well as data from Chinese messaging giant Tencent and social media outfit Weibo, records from users of platforms and services such as Twitter, Dropbox, LinkedIn, Adobe, Canva and Telegram is also to be found in this database. Worryingly, the researchers also say that records from an assortment of U.S. and other government organizations can be found.

    If there is good news to be found in such a discovery, it is that little of this appears to be new data. Instead, the researchers say, it’s more a case of compiled records from thousands of previous breaches and data leaks. What’s more, there are undoubtedly a large number of duplicate data records within this compilation. The inclusion of usernames and password combinations does, however, still mean this is a cause for concern. I’d expect a surge, if current levels aren’t high enough, in credential stuffing attacks over the coming weeks as a result.

    Reply
  31. Tomi Engdahl says:

    Yritys menetti Facebook-ryhmänsä hallinnan – Kaappauksen mahdollisti työntekijän yksin­kertainen virhe
    Kekkilän hallinnoiman ryhmän kaapannut henkilö vaatii rahaa ryhmän palauttamisesta. Tietoturva-asiantuntijan mukaan tilin kaappaajalle ei tulisi koskaan maksaa.
    https://www.hs.fi/kotimaa/art-2000010114303.html?fbclid=IwAR3LEZq0IKIMmdp021-dLNX2KECMKmlBXR1SYLZNLGmTomQwHI7IIeqV7Aw

    Reply
  32. Tomi Engdahl says:

    Hän neuvoo toimimaan palvelun­tarjoajan virallisten ohjeiden mukaisesti, jos oma ryhmä tai tili kaapataan. Mesiän mukaan niiden takaisin saaminen ei tapahdu nopeasti, vaan siinä voi mennä viikkojakin.

    ”Maltti on valttia. Toki salasanoja pitää vaihtaa, jos huijarilla on tiedossaan samat käyttäjä­tunnukset, joita henkilö käyttää muissakin palveluissa.”

    KAAPPAAJA saattaa julkaista haltuun ottamaansa ryhmään haitallista sisältöä ja mainoksia, Mesiä huomauttaa. Organisaation tulisi myös ottaa huomioon, että asiakkaiden arkaluontoisia tietoja voi päätyä kaappaajan tietoon.

    ”Tilimurron tapauksessa yrityksen pitää miettiä, tekeekö ilmoituksen tietosuojavaltuutetulle.”

    Mesiän mukaan ikinä ei pitäisi suostua, jos kaappaaja vaatii rahaa tunnusten palauttamisesta. Sen sijaan kiristäjästä tulisi tehdä rikosilmoitus.

    https://www.hs.fi/kotimaa/art-2000010114303.html?fbclid=IwAR3LEZq0IKIMmdp021-dLNX2KECMKmlBXR1SYLZNLGmTomQwHI7IIeqV7Aw

    Reply
  33. Tomi Engdahl says:

    It-konsultti paljasti turva-aukon: sai sakot
    https://www.tivi.fi/uutiset/it-konsultti-paljasti-turva-aukon-sai-sakot/3fb4b568-2350-427f-89b3-194a909ac4d3?ref=facebook%3A104a&fbclid=IwAR1z0k9V_fF3NWktzS6FF-WZu5KvzKOei1YP2HZw3iDdvrbfXREOU9FwZMk

    Kiittämättömyys on maailman palkka.

    Liian helppoa. Salasana oli löydettävissä ilman vippaskonsteja, mutta haavoittuvuudesta ilmoittanutta konsulttia kiitettiin sakoilla.

    Yhä edelleen on olemassa yhtiöitä, joissa ei täysin ymmärretä tietoturvan merkitystä tai että miten siitä olisi hyvä huolehtia. Kuumottava esimerkki saadaan Saksasta, jossa avulias valkohattuhakkeri sai sakkoja.

    The Register kertoo ”Hendrik H:sta”, joka kesällä 2021 tutkaili erään yhtiön ohjelmisto-ongelmia. Tuo yhtiö oli it-palveluita tarjoavan Modern Solution GmbH:n asiakas. Kävi ilmi, että Modern Solutionin koodi otti yhteyden MariaDB-tietokantapalvelimeen, jonne kirjautumiseen tarvittava salasana löytyi selkokielisenä Modern Solutionin verkossa jakamasta suoritettavasta tiedostosta.

    Kuka tahansa, joka olisi avannut Modern Solutionin ohjelman tekstieditorissa, olisi saanut salasanan haltuunsa ilman vippaskonsteja. Palvelimelle kirjautumalla pääsi käsiksi kaikkien niiden Modern Solutionin asiakkaiden tietoihin, jotka tuolle palvelimelle oli tallennettu. Datan kerrotaan sisältäneen Modern Solutionin asiakkaina olleiden verkkokauppojen asiakkaiden tietoja.

    Yhtiötä varoitettiin tietoturvaongelmista ja asiaa käsiteltiin verkkokaupankäynnistä uutisoivan Mark Steierin kirjoituksessa kesäkuussa 2021.

    Kummallinen käänne tapahtui syyskuussa 2021, kun poliisi takavarikoi löydön tehneen tietoturvakonsultin tietokoneet. Modern Solution väitti, että konsultti olisi saanut salasanan haltuunsa sisäpiirin tiedon myötä ja väitti tämän olevan kilpailija.

    Konsultin väitetään rikkoneen Saksan lakia tunkeutumalla palvelimelle, vaikka Steierin mukaan selväkielisenä tallennettu salasana ei täytä kyseisen lainkohdan kuvailemaa ”erityistä tietoturvaratkaisua”.

    IT consultant fined for daring to expose shoddy security
    Spotting a plaintext password and using it in research without authorization deemed a crime
    https://www.theregister.com/2024/01/19/germany_fine_security/

    A security researcher in Germany has been fined €3,000 ($3,300, £2,600) for finding and reporting an e-commerce database vulnerability that was exposing almost 700,000 customer records.

    Back in June 2021, according to our pals at Heise, a contractor identified elsewhere as Hendrik H. was troubleshooting software for a customer of IT services firm Modern Solution GmbH. He discovered that the Modern Solution code made a MySQL connection to a MariaDB database server operated by the vendor. It turned out the password to access that remote server was stored in plain text in the program file MSConnect.exe, and opening it in a simple text editor would reveal the unencrypted hardcoded credential.

    With that easy-to-find password in hand, anyone could log into the remote server and access data

    And we’re told that Modern Solution’s program files were available for free from the web, so truly anyone could inspect the executables in a text editor for plain-text hardcoded database passwords.

    Hendrik H. was charged with unlawful data access under Section 202a of Germany’s Criminal Code, based on the rule that examining data protected by a password can be classified as a crime under the Euro nation’s cybersecurity law.

    In June, 2023, a Jülich District Court in western Germany sided with the IT consultant because the Modern Solution software was insufficiently protected. But the Aachen regional court directed the district court to hear the complaint. Now, the district court has reversed its initial decision. On January 17, a Jülich District Court fined Hendrik H. and directed him to pay court costs.

    “The penalty order is all the more shocking because it is fundamentally wrong,” wrote Steier, the blogger who helped bring the exposed database to light, in a post on Wednesday.

    “A password that has been saved almost in plain text does not constitute a ‘special security’ which is required by §202. It’s understandable that a judge can’t evaluate that, but then an expert would have had to be heard on exactly this question. Unfortunately that didn’t happen.”

    According to reports, the verdict is not yet legally binding as the two parties have a week to appeal, which the IT consultant reportedly intends to do.

    “But it’s exactly as people feared: no matter how flawed the supposed ‘protection,’ its mere existence turns security research into criminal hacking under the German law. This has a chilling effect on legitimate research, allowing companies to get away with inadequate security and in the end endangering users.”

    Reply
  34. Tomi Engdahl says:

    https://en.m.wikipedia.org/wiki/Coordinated_vulnerability_disclosure?fbclid=IwAR1nRCvpx6itOYs4kssXJcNlJBYNlsYl42_rIhIOe0dXXe3_M7tgwBZbsJM

    Reply
  35. Tomi Engdahl says:

    https://www.bleepingcomputer.com/news/microsoft/microsoft-teams-hit-by-second-outage-in-three-days/

    Reply
  36. Tomi Engdahl says:

    Taylor Swiftiä rienaavat kuvat panivat Amerikan sekaisin: ”Hälyttävää”
    https://www.is.fi/digitoday/art-2000010155463.html

    TEKOÄLYN avulla tuotetut väärät alastonkuvat laulaja Taylor Swiftistä synnyttivät ison vastareaktion laulajan fanien keskuudessa, mutta vaikutukset eivät rajoitu siihen. Uutistoimisto Reutersin mukaan Valkoinen talo otti asiaan kantaa perjantaina ja kuvaili vääriä kuvia ”hälyttäviksi”.

    X lifts ban on Taylor Swift searches after spread of fake explicit images
    https://www.reuters.com/technology/x-lifts-ban-taylor-swift-searches-after-explicit-fake-images-spread-wsj-2024-01-30/

    Jan 29 (Reuters) – Social-media company X lifted the ban on searches for Taylor Swift Monday evening, after blocking users from searching for her following the spread of fake sexually-explicit images of the pop singer on the social media site last week.
    The search has been reactivated and the social media platform “will continue to be vigilant for any attempt to spread this content and will remove it if we find it,” Joe Benarroch, head of business operations at X, said in a statement on Monday

    Reply
  37. Tomi Engdahl says:

    Dustin Volz / Wall Street Journal:
    The FBI and US DOJ disrupt Volt Typhoon, a uniquely dangerous Chinese hacking operation to hijack hundreds of Cisco and Netgear routers at end-of-life status — Chinese hackers prepare to ‘wreak havoc’ against Americans, FBI Director Chris Wray tells Congress

    Chinese Hacking Against U.S. Infrastructure Threatens American Lives, Officials Say
    https://www.wsj.com/politics/national-security/u-s-disables-chinese-hacking-operation-that-targeted-critical-infrastructure-184bb407?mod=followamazon

    U.S. officials say Beijing is preparing to set off potentially damaging cyberattacks in any future conflict, including over Taiwan

    Reply
  38. Tomi says:

    GNU C Library Vulnerability Leads to Full Root Access
    Researchers at Qualys call attention to a vulnerability in Linux’s GNU C Library (glibc) that allows full root access to a system.
    https://www.securityweek.com/gnu-c-library-vulnerability-leads-to-full-root-access/

    A vulnerability in Linux’s GNU C Library (glibc) could allow attackers to gain full root access to a system, according to a warning from researchers at Qualys.

    Tracked as CVE-2023-6246 and described as a heap-based buffer overflow, the issue was identified in glibc’s __vsyslog_internal() function, which is called by the widely-used syslog() and vsyslog() logging functions.

    An unprivileged attacker could exploit the flaw by providing an argv[0] or openlog() ident argument longer than 1024 bytes to overflow the __vsyslog_internal() buffer and overwrite the name[] field of a heap-based struct nss_module with a string of characters that contains a slash.

    This action results in a shared library located in the attacker’s working directory being loaded and executed with root privileges, Qualys explains in a technical documentation of its findings.

    However, Qualys points out that it takes thousands of attempts to brute force the exploit parameters (such as the length of argv[0] and other variables), which makes the vulnerability unlikely to be triggered remotely.

    Even so, the severity of the bug should not be underestimated, as it could provide an attacker with full root access through crafted inputs to applications that employ the syslog() and vsyslog() logging functions.

    Introduced in glibc version 2.37 in August 2022 and backported to glibc 2.36 while addressing a different issue, Qualys notes that the CVE-2023-6246 bug impacts major Linux distributions.

    The vulnerability was addressed in glibc 2.38, an update that also resolves five other security defects found by the Qualys team.

    https://www.qualys.com/2024/01/30/cve-2023-6246/syslog.txt

    Reply
  39. Tomi Engdahl says:

    https://thehackernews.com/2024/01/npm-trojan-bypasses-uac-installs.html

    Reply
  40. Tomi Engdahl says:

    https://www.bleepingcomputer.com/news/security/over-150k-wordpress-sites-at-takeover-risk-via-vulnerable-plugin/

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

*

*