Tietoturvauutiset ja blogipostaukset

[Hans Niskatuki]

Mikäli tuo pitää paikkansa, niin Samsung saattaa olla pienessä pulassa...

Hackers leak 190GB of alleged Samsung data, source code

The Lapsus$ data extortion group leaked today a huge collection of confidential data they claim to be from Samsung Electronics, the South Korean giant consumer electronics company.

www.bleepingcomputer.com

Tuohon uutiseen liittyen:

Samsung confirms hackers stole Galaxy devices source code

Samsung Electronics confirmed on Monday that its network was breached and the hackers stole confidential information, including source code present in Galaxy smartphones.

www.bleepingcomputer.com

Samsung Electronics confirmed on Monday that its network was breached and the hackers stole confidential information, including source code present in Galaxy smartphones.

The company representative did not say if the intruders made any demands before leaking the proprietary information, as it happened in the case of the Nvidia leak.

Lapsus$ said that they are delaying leaking the rest of the Nvidia information because they are negotiating with a buyer.

The cache leaked from Samsung is much larger and allegedly includes details about the company’s Trusted Applet in Samsung’s TrustZone environment responsible for sensitive tasks such as hardware cryptography, binary encryption, and access control.

The hackers also claim that the dump includes source code for Knox, Samsung’s proprietary security and management framework present on most of its devices.

Samsung Says Hackers Breached Company Data, Galaxy Source Code

Samsung Electronics Co. suffered a cybersecurity breach that exposed internal company data, including source code for the operation of its Galaxy smartphones, the company said on Monday.

www.bloomberg.com

“There was a security breach relating to certain internal company data,” Samsung said. “According to our initial analysis, the breach involves some source code relating to the operation of Galaxy devices, but does not include the personal information of our consumers or employees. Currently, we do not anticipate any impact to our business or customers. We have implemented measures to prevent further such incidents and will continue to serve our customers without disruption.”

 

[=JP=]

Tuohon uutiseen liittyen:

Samsung confirms hackers stole Galaxy devices source code

Samsung Electronics confirmed on Monday that its network was breached and the hackers stole confidential information, including source code present in Galaxy smartphones.

www.bleepingcomputer.com

Samsung Says Hackers Breached Company Data, Galaxy Source Code

Samsung Electronics Co. suffered a cybersecurity breach that exposed internal company data, including source code for the operation of its Galaxy smartphones, the company said on Monday.

www.bloomberg.com

Juu, tästä oli jo kirjoitettu tuolla uutisosastollakin, niin en jaksanut tänne kirjoitella tuosta enempää...

Lapsus$ iski myös Samsungin palvelimille ja varasti liki 190 Gt dataa

Kaotik kirjoitti uutisen/artikkelin: Lapsus$:n tietomurto NVIDIAlle on kirvoittanut viime päivinä useampiakin otsikoita. Hakkeriryhmä ei ole kuitenkaan pyöritellyt peukaloitaan vuotaessaan tietoa, sillä nyt ryhmän on varmistettu murtautuneen myös Samsungin tiedostoihin. Nettiin putkahti pian...

bbs.io-tech.fi

 

[=JP=]

APCn UPS laitteissa kivoja reikiä löydetty, etenkin jos on aktivoitu pilvihallinta. Ongelma on aikas suuri, koska noita laitteita käytetään todella laajasti maailmalla...

APC UPS zero-day bugs can remotely burn out devices, disable power

A set of three critical zero-day vulnerabilities now tracked as TLStorm could let hackers take control of uninterruptible power supply (UPS) devices from APC, a subsidiary of Schneider Electric.

www.bleepingcomputer.com

Two of the vulnerabilities, CVE-2022-22805 and CVE-2022-22806 are in the implementation of the TLS (Transport Layer Security) protocol that connects the Smart-UPS devices with the “SmartConnect” feature to the Schneider Electric management cloud.
The third one, identified as CVE-2022-0715, relates to the firmware of “almost all APC Smart-UPS devices,” which is not cryptographically signed and its authenticity cannot be verified when installed on the system.
While the firmware is encrypted (symmetric), it lacks a cryptographic signature, allowing threat actors to create a malicious version of it and deliver it as an update to target UPS devices to achieve remote code execution (RCE).

 

[Humanoid]

Venäjä yrittää saada käyttäjät asentamaan epäilyttäviä sertifikaatteja. Kannattaa pysyä näistä kaukana.

1758773 - MITM in Russia

UNCONFIRMED (nobody) in Core - Security Block-lists, Allow-lists, and other State. Last updated 2022-03-24.

bugzilla.mozilla.org

 

[escalibur]

Varoitus liittyen erillisen virustorjunnan lataamisesta eri paikoista:

Malwarea Bitdefenderin nimissä:

Bitdefenderin LinkedIn-postaus

CERT-UA

Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державного центру кіберзахисту Державної служби спеціального зв’язку та захисту інформації України.

cert-gov-ua.translate.goog

Kannattaa siis tupla-varmistaa mistä ohjelmistoa ladataan. Oma suositukseni on että vendorin omat sivut ovat se ainut paikka johon kannattaa luottaa.

Joidenkin lähteiden mukaan myös teboil[.]fi triggeröi Colbat Strike Backdoor-malwarea.

 

[Infy]

Lähtökohtaisesti kaikki internetistä ladatut tiedostot kannattaa skannata VirusTotalilla VirusTotal

VirusTotal on Googlen ylläpitämä palvelu, mikä skannaa ladatun tiedoston 70:lla eri virus skannerilla.

Tietysti mitään arkaluontoisia, esim henkilötietoja sisältäviä tietoja, tuonne ei pidä ladata. Vaan esimerkiksi kaikki ohjelmat mitä meinaa omalle koneelle asentaa.

Sen sijaan että lataa tiedoston tuonne, voi itse muodostaa tiedostosta SHA2-tiivisteen ja tarkistaa sen tuolta sivun yläosan hakukentästä.

 

[escalibur]

TP-Linkillä päätettiin että liikenteen kierrättäminen ulkopuolisen palvelun kautta on oletettavasti "OK".

r/hardware - [PSA] Newer TP-Link Routers send ALL your web traffic to 3rd party servers...

1,935 votes and 260 comments so far on Reddit

www.reddit.com

TP-Link Deco X68 Review: A good mesh router ruined by bizarre software

TP-Link makes decent home networking gear, and its Deco X68 is a good mesh router with great Wi-Fi performance, but there are some issues.

www.xda-developers.com

Avira - Wikipedia

en.wikipedia.org

 

[A Lake Elk]

Intelin ja ARM prossuissa aukko:

Intel Alder Lake, ARM CPUs Affected by New Spectre Vulnerability

Branch History Injection

www.tomshardware.com

VUSec security research group and Intel on Tuesday disclosed a yet another Spectre-class speculative execution vulnerability called branch history injection (BHI). The new exploit affects all of Intel processors released in the recent years, including the latest Alder Lake CPUs, and select Arm cores. By contrast, AMD's chips are believed to be unaffected.

BHI is a proof-of-concept attack that affects CPUs already vulnerable to Spectre V2 exploits, but with all kinds of mitigations already in place. The new exploit bypasses Intel's eIBRS and Arm's CSV2 mitigations, reports Phoronix. BHI re-enables cross-privilege Spectre-v2 exploits, allows kernel-to-kernel (so-called intra-mode BTI) exploits, and allows perpetrators to inject predictor entries into the global branch prediction history to make kernel leak data, reports VUSec. As a result, arbitrary kernel memory on select CPUs can be leaked and potentially reveal confidential information, including passwords. An example of how such a leak can happen was published here.

 

[Infy]

AMD:n Spectre V2 haavoittuvuuden korjaus on todettu riittämättömäksi. Linuxin kernelin uudessa versiossa 5.17 korjaus vaihtuu, AMD-spesifisestä LFENCE/JMP-toteutuksesta, geneeriseen Retpoline-toteutukseen, jota Intelin prosessoreilla on käytetty jo aikaisemmin. Tällä on pieni suorituskykyvaikutus jossain tilanteissa. Sama muutos tulee Windowsiin jollain aikataululla.

The Performance Impact Of AMD Changing Their Retpoline Method For Spectre V2

 

[leripe]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

 

[Desgorr]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

Voi kyllä olla, että Venäjällä ja Valkovenäjällä alkavat hieman paremmin tutkimaan mitä koodia projekteissaan käyttävät. Tässä tuo tärkein uutisesta:
"Interestingly, the malicious code, committed as early as March 7th by the dev, would read the system's external IP address and only delete data by overwriting files for users based in Russia and Belarus."

 

[escalibur]

Siellä "koputellaan" Asuksen purkkejakin: ASUS warns of Cyclops Blink malware attacks targeting routers

 

[Desgorr]

Siellä "koputellaan" Asuksen purkkejakin: ASUS warns of Cyclops Blink malware attacks targeting routers

Eli nähtävästi käyttää Asuksen etähallintaa (Remote management) hyödyksi tuossa hyökkäyksessä? Onneksi tuon pitäisi olla oletuksena pois päältä Asuksen purkeissa. Päällehän tuota ei missään nimessä kannata laittaa.

 

[user9999]

Tuosta Asus haavoittuvuudesta tuli NCSC-FI tiedote

NCSC-FI VULNERABILITIES SUMMARY 2022-03-17

Tämä on Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen
päivittäinen haavoittuvuuskooste.

CRITICAL VULNERABILITIES
ASUS Product Security Advisory for Cyclops Blink

ASUS Product Security Advisory | ASUS Global

www.asus.com

Classification: Critical, Solution: Mitigation, Exploit: Wild
ASUS is investigating and working for a remediation for Cyclops Blink
and will continue to post software update.

 

[Kautium]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

Tivin uutinen aiheesta:

Koodaaja teki koodistaan pommin – ”rauhan viesti” tuo venäläisille täydellisen tuhon

Suositun koodipaketin kehittäjä sabotoi itse oman tuotteensa.

www.tivi.fi

 

[Special Once]

Vähän kaksipiippuinen juttu tuo. Toisaalta Venäjällä ja Valko-Venäjällä on semmoisiakin jotka oikeasti ovat sotaa vastaan ja tuo koodi varmasti koskettaa heitäkin. Toisaalta se on ihan oma syy jos varmuuskopiot eivät ole kunnossa.

 

[=JP=]

Vaikka mitään varmistusta ei vielä ole, mutta huhuja (ja screenshot joka poistettiin) liikkuu, että Lapsus$ olis korkannu jossain muodossa Microsoftin, eli päässyt käsiksi jonkun kehittäjän Azuren dashboardiin ja siellä näkyy kaikenlaista mielenkiintoista. Pistän kuvan spoilereihin, yllättäen reilusti pakattu, ettei kovin selkeästi näe onko kenties feikki, mutta odotellaan, eiköhän asiasta tule isompi juttu, jos totta...

Spoileri: Kuva

 

[Desgorr]

Aiheeseen kovasti liittyy niin täytyy vaihteesta mainostaa paria erinomaista tietoturvaan liittyvää Suomalaista podcastia:

Herrasmieshakkerit

Tässä ohjelmasarjassa käsittelemme tietoturvaan ja vääjäämättömään kybertuhoon liittyviä asioita ja ilmiöitä. Oppaananne verkon alamaailmassa toimivat Suomen tietoturvakentän wiralliset wanhukset Mikko Hyppönen ja Tomi Tuominen.

www.f-secure.com

https://turvakarajat.fi/

Herrasmieshakkereiden podcast ilmestyy hieman harvemmin, mutta jaksot onkin sitten täyttä rautaa. Yleensä ovat hieman eri aiheista, joissa on mukana haastattelussa asiaa tunteva amattilainen. Uutisia käydään myös jonkun verran läpi.
Turvakäräjiltä taas tulee joka viikko maanantaisin uusi podcasti, jossa käydään mm. viikon isoimmat tietoturvauutiset analysoiden läpi.

 

[user9999]

Vaikka mitään varmistusta ei vielä ole, mutta huhuja (ja screenshot joka poistettiin) liikkuu, että Lapsus$ olis korkannu jossain muodossa Microsoftin, eli päässyt käsiksi jonkun kehittäjän Azuren dashboardiin ja siellä näkyy kaikenlaista mielenkiintoista. Pistän kuvan spoilereihin, yllättäen reilusti pakattu, ettei kovin selkeästi näe onko kenties feikki, mutta odotellaan, eiköhän asiasta tule isompi juttu, jos totta...

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Hacking group that went after NVIDIA may have also attacked Microsoft

Well-known hacking group Lapsus$ claimed that it gained access to Microsoft’s internal systems, according to a recent report. Microsoft has confirmed that it is looking into the claim.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

 

[mikajh]

7,500+ MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours?

Ei mitään uutta auringon alla Trickbot is using MikroTik routers to ply its trade. Now we know why

Jos olet asenna-ja-unohda -hakuinen käyttäjä, niin huono juttu - oli palomuurisi mikä hyvänsä, paitsi 100% ISP:n hallinnoima, jonne sinulla ei ole asiaa, jos ei kyvyt eikä mielenkiinto riitä

 

[Agent_007]

LAPSUS$ on nähtävästi iskenyt myös Oktaan (kuvankaappauksien perusteella luvaton pääsy olisi ollut mahdollista jo ainakin parin kuukauden ajan)

https://www.usnews.com/news/technology/articles/2022-03-22/authentication-services-firm-okta-says-it-is-investigating-report-of-breach

 

[Humanoid]

Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Messages, Dialer apps sent text, call info to Google

Hashed text, phone call logs collected without opt-out nor specific notice

www.theregister.com

Google's Messages and Dialer apps for Android devices have been collecting and sending data to Google without specific notice and consent, and without offering the opportunity to opt-out, potentially in violation of Europe's data protection law.

"The data sent by Google Messages includes a hash of the message text, allowing linking of sender and receiver in a message exchange," the paper says. "The data sent by Google Dialer includes the call time and duration, again allowing linking of the two handsets engaged in a phone call. Phone numbers are also sent to Google."

 

[aleveksi]

Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Messages, Dialer apps sent text, call info to Google

Hashed text, phone call logs collected without opt-out nor specific notice

www.theregister.com

Taitaa olla nuo androidin tiedonkeruu toggle switchit on vaan hämäystä, tuskin edes koodattu tekemään mitään

 

[user9999]

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Hacking group that went after NVIDIA may have also attacked Microsoft

Well-known hacking group Lapsus$ claimed that it gained access to Microsoft’s internal systems, according to a recent report. Microsoft has confirmed that it is looking into the claim.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

Mahdollisesti saaneet paljon dataa.
Monday night, the hacking group posted a torrent for a 9 GB 7zip archive containing the source code of over 250 projects that they say belong to Microsoft.
When posting the torrent, Lapsus$ said it contained 90% of the source code for Bing and approximately 45% of the code for Bing Maps and Cortana.

Lapsus$ hackers leak 37GB of Microsoft's alleged source code

The Lapsus$ hacking group claims to have leaked the source code for Bing, Cortana, and other projects stolen from Microsoft's internal Azure DevOps server.

www.bleepingcomputer.com

Hakkeriryhmä iski Microsoftiin – paljastivat 37 gigatavua palveluiden lähdekoodeja

Tunnettu hakkeriryhmä Lapsus$ väittää murtautuneensa Microsoftin palvelimille. Saaliiksi saatiin peräti 37 gigatavua koodia, Bleeping Computer -sivusto

mobiili.fi

 

[aleveksi]

LAPSUS$ on nähtävästi iskenyt myös Oktaan (kuvankaappauksien perusteella luvaton pääsy olisi ollut mahdollista jo ainakin parin kuukauden ajan)

https://www.usnews.com/news/technology/articles/2022-03-22/authentication-services-firm-okta-says-it-is-investigating-report-of-breach

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Hacking group that went after NVIDIA may have also attacked Microsoft

Well-known hacking group Lapsus$ claimed that it gained access to Microsoft’s internal systems, according to a recent report. Microsoft has confirmed that it is looking into the claim.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

Mahdollisesti saaneet paljon dataa.
Monday night, the hacking group posted a torrent for a 9 GB 7zip archive containing the source code of over 250 projects that they say belong to Microsoft.
When posting the torrent, Lapsus$ said it contained 90% of the source code for Bing and approximately 45% of the code for Bing Maps and Cortana.

Lapsus$ hackers leak 37GB of Microsoft's alleged source code

The Lapsus$ hacking group claims to have leaked the source code for Bing, Cortana, and other projects stolen from Microsoft's internal Azure DevOps server.

www.bleepingcomputer.com

Hakkeriryhmä iski Microsoftiin – paljastivat 37 gigatavua palveluiden lähdekoodeja

Tunnettu hakkeriryhmä Lapsus$ väittää murtautuneensa Microsoftin palvelimille. Saaliiksi saatiin peräti 37 gigatavua koodia, Bleeping Computer -sivusto

mobiili.fi

Twitter @LawrenceAbrams
"Lapsus$ is now claiming to have breached Okta. They state it wasn't for Okta's databases but to get access to its customers.
If true, this is a big mess. Could also explain how they have breached so many large enterprises."

Ilmeisesti oktaan on päästy ja se on mahdollistanut kaikki nämä tietomurrot

 

[user9999]

Twitter @LawrenceAbrams
"Lapsus$ is now claiming to have breached Okta. They state it wasn't for Okta's databases but to get access to its customers.
If true, this is a big mess. Could also explain how they have breached so many large enterprises."

Ilmeisesti oktaan on päästy ja se on mahdollistanut kaikki nämä tietomurrot

Microsoftin mahdollinen korkkaus on outo koska Microsoft on Oktan kilpailija. Luulisi, että Microsoft käyttää omia ratkaisuja eikä Oktaa.

Okta Named Leader in Latest Gartner® MQ for Access Management | Okta

Okta Named a Leader in the Gartner Magic Quadrant for Access Management for the Fifth Consecutive Year and Okta (Auth0) Also Named as a Leader!

www.okta.com

 

[jarhu]

Kuulostaa tosiaan epäilyttävältä, että Microsoft olisi saatu korkattua Oktan kautta. Se ei kyllä myöskään sulje pois sitä, että muihin palveluihin olisi voitu päästä Oktan kautta. Microsoftiin on voitu saada tunnukset insiderilta tai ostettu access brokerilta.

 

[aleveksi]

Microsoftin mahdollinen korkkaus on outo koska Microsoft on Oktan kilpailija. Luulisi, että Microsoft käyttää omia ratkaisuja eikä Oktaa.

Okta Named Leader in Latest Gartner® MQ for Access Management | Okta

Okta Named a Leader in the Gartner Magic Quadrant for Access Management for the Fifth Consecutive Year and Okta (Auth0) Also Named as a Leader!

www.okta.com

Kuulostaa tosiaan epäilyttävältä, että Microsoft olisi saatu korkattua Oktan kautta. Se ei kyllä myöskään sulje pois sitä, että muihin palveluihin olisi voitu päästä Oktan kautta. Microsoftiin on voitu saada tunnukset insiderilta tai ostettu access brokerilta.

Oktahan tukee myös microsoftia: Why customers choose Okta for Microsoft technologies

 

[jarhu]

Oktahan tukee myös microsoftia: Why customers choose Okta for Microsoft technologies

Totta kai, mutta se ei tarkoita, että Microsoft käyttäisi itse kolmannen osapuolen ratkaisua omansa sijaan.

Oktalta tullut ulostulo: "The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers. " Updated Okta Statement on LAPSUS$
Ilmeisesti siis jonkun kolmannen osapuolen palveluntuottajan työntekijän työkoneelle on päästy käsiksi ja sieltä ladattu tietoja, jotka koostuu lähinnä jira-tiketeistä ja niihin liittyvistä käyttäjätiedoista.

 

[aleveksi]

Oktalta tullut ulostulo: "The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers. " Updated Okta Statement on LAPSUS$
Ilmeisesti siis jonkun kolmannen osapuolen palveluntuottajan työntekijän työkoneelle on päästy käsiksi ja sieltä ladattu tietoja, jotka koostuu lähinnä jira-tiketeistä ja niihin liittyvistä käyttäjätiedoista.

"The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data - for example, Jira tickets and lists of users - that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords."

Lista käyttäjistä sekä passun ja kaksi vaiheisen tunnistautumisen resetointi. Kai tuolta listalta käyttäjiä löytynyt millä päästy kirjautumaan ja lataamaan firmojen dataa

 

[jarhu]

"The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data - for example, Jira tickets and lists of users - that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords."

Lista käyttäjistä sekä passun ja kaksi vaiheisen tunnistautumisen resetointi. Kai tuolta listalta käyttäjiä löytynyt millä päästy kirjautumaan ja lataamaan firmojen dataa

Siltä se kuulostaa, että tämän toistaiseksi vielä tuntemattoman palveluntarjoajan työntekijän tunnuksien avulla on voitu päästä resetoimaan tämän palveluntarjoajan asiakasyritysten käyttäjien tunnuksia. Nyt en tunne Oktan toimintaa riittävästi, että voisi sanoa mitään tuohon miten Oktan mfa ja password reset toimii eli onko mahdollisuutta kaapata tiliä. Mikäli nuo Support Engineerit pääsee vaikkapa vaihtamaan puhelinnumeron, niin siinähän on selkeä mahdollisuus.

 

[Humanoid]

Taitaa olla nuo androidin tiedonkeruu toggle switchit on vaan hämäystä, tuskin edes koodattu tekemään mitään

Yksi kysymys on se, että montako vuotta tuota on jo jatkunut?

 

[user9999]

Microsoft on vahvistanut tietomurron.
Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

Microsoft confirms they were hacked by Lapsus$ extortion group

Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

www.bleepingcomputer.com

 

[escalibur]

Microsoft on vahvistanut tietomurron.
Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

Microsoft confirms they were hacked by Lapsus$ extortion group

Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

www.bleepingcomputer.com

Tässä on vielä virallinen blogipostaus aiheesta: DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog

Multifactor authentication (MFA) is one of the primary lines of defense against DEV-0537.

Jälleen yksi muistutus MFA:n tärkeydestä.

 

[escalibur]

Päivän tietoturvauutinen:

HP:n sadat eri tulostimet ovat alttiaite RCE-hyökkäyksille. Ratkaisuna on firmispäivitys (jos laite on firmispäivitysten tuen piirissä):

Certain HP Print products and Digital Sending products may be vulnerable to potential remote code execution and buffer overflow with use of Link-Local Multicast Name Resolution or LLMNR.

Certain HP Print Products, Digital Sending Products - Potential remote code execution and buffer overflow | HP® Customer Support

Certain HP Print products and Digital Sending products may be vulnerable to potential remote code execution and buffer overflow with use of Link-Local Multicast Name Resolution or LLMNR.

support.hp.com

Ottaen huomioon millaista aikaa eletään parhaiten, on melko todennäköistä että koputtelijoita tulee riittämään.

 

[Infy]

Nyt Okta myöntää, että kyllä asiakkaiden tietoihin on päästy käsiksi.

Identity management as-a-service platform Okta now admits the Lapsus$ extortion gang have in fact have managed to see its customers' data.

Okta now says: Lapsus$ may have accessed customer info

Plus: Microsoft reveals gang pulled off limited source code heist after single account compromised

www.theregister.com

 

[Humanoid]

Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Messages, Dialer apps sent text, call info to Google

Hashed text, phone call logs collected without opt-out nor specific notice

www.theregister.com

Täällä yksityiskohtaisempaa raporttia tuosta Googlen lähettämästä datasta:

https://www.scss.tcd.ie/doug.leith/privacyofdialerandsmsapps.pdf

Regarding anonymity, all of the events recorded via the Google Play Services Clearcut logger are tagged with the handset’s Android ID. Via other data collected by Google Play Services this ID is linked to the handset hardware serial number, the SIM IMEI (which uniquely identifies the SIM slot) and the user’s Google account. When a SIM is inserted the Google Messages app also links the Android ID to the SIM serial number/ICCID, which uniquely identifies the SIM card. By making a request using Google for the data associated with the Google user account used in our tests we further confirmed that the data reported under the heading “Android Device Configuration Service” includes the Android ID for each handset used (as well as the handset serial number, SIM IMEI, last IP address used and mobile operator details).

When the caller and receiver in a phone conversation are both using the Google Dialer, then the time when the time the call ended and the call duration are both sent to Google via the above event logging messages. This information can potentially be used to identify pairs of handsets engaged in phone conversations.

The data sent by Google Messages includes a hash of the message text, allowing linking of sender and receiver in a message exchange, and by Google Dialer the call time and duration, again allowing linking of the two handsets engaged in a phone call. Phone numbers are also sent to Google. In addition, the timing and duration of user interactions with the apps are sent to Google. There is no opt out from this data collection. The data is sent via two channels, the Google Play Services Clearcut logger and Google/Firebase Analytics. This study is therefore one of the first to cast light on the actual telemetry data sent by Google Play Services, which to date has largely been opaque.

 

[user9999]

Lapsus$ juttuun liittyen niin nuoria henkilöitä pidätetty.

Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal

Police say they've arrested seven teenagers as part of their investigation into a hacking group.

www.bbc.com

Teen Suspected by Cyber Researchers of Being Lapsus$ Mastermind

Cybersecurity researchers investigating a string of hacks against technology companies, including Microsoft Corp. and Nvidia Corp., have traced the attacks to a 16-year-old living at his mother’s house near Oxford, England.

www.bloomberg.com

 

[JiiPee]

Lapsus$ juttuun liittyen niin nuoria henkilöitä pidätetty.

Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal

Police say they've arrested seven teenagers as part of their investigation into a hacking group.

www.bbc.com

Teen Suspected by Cyber Researchers of Being Lapsus$ Mastermind

Cybersecurity researchers investigating a string of hacks against technology companies, including Microsoft Corp. and Nvidia Corp., have traced the attacks to a 16-year-old living at his mother’s house near Oxford, England.

www.bloomberg.com

Monestihan nää on junnuja jotka vetää kaasu pohjassa godmode päällä kuvitellen ettei mitään voi tapahtua.

 

[Agent_007]

Monestihan nää on junnuja jotka vetää kaasu pohjassa godmode päällä kuvitellen ettei mitään voi tapahtua.

Alaikäisellä taitaa olla tässä tapauksessa se etu, ettei häntä voida luovuttaa Jenkkeihin oikeudenkäyntiä varten. Lisäksi jos tuo uutisjutussa mainittu "special educational school" viittaa autismin kirjoon niin sillä voi Briteissä saada lyhennystä tuomioon.

 

[Agent_007]

Nyt Okta myöntää, että kyllä asiakkaiden tietoihin on päästy käsiksi.

Identity management as-a-service platform Okta now admits the Lapsus$ extortion gang have in fact have managed to see its customers' data.

Okta now says: Lapsus$ may have accessed customer info

Plus: Microsoft reveals gang pulled off limited source code heist after single account compromised

www.theregister.com

Ja nyt Okta on julkaissut tarkempia tietoja, eli yritys oli jo tammikuussa tietoinen mahdollisesta hyökkäyksestä yhteistyökumppani Sitel:in järjestelmään. Asiaa kuitenkin tutkittiin monta viikkoa , eikä asiakkaille tiedotettu mitään tänä aikana. Vasta tuo kuvankaappaus sai Oktaan vähän liikettä

Okta: "We made a mistake" delaying the Lapsus$ hack disclosure

Okta has admitted that it made a mistake delaying the disclosure of hack from the Lapsus$ data extortion group that took place in January. Additionally, the company has provided a detailed timeline of the incident and its investigation activities.

www.bleepingcomputer.com

 

[=JP=]

Chrome käyttäjät (ja Chrome engine käyttävien selaimien), päivittäkääs selaimet, sen verta paha 0-päivä reikä löytynyt...

Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability

Google has rolled out an urgent out-of-band update to the Chrome browser for millions of Windows, macOS and Linux users to patch a zero-day flaw.

thehackernews.com

Google Chrome users are highly recommended to update to the latest version 99.0.4844.84 for Windows, Mac, and Linux to mitigate any potential threats. Users of Chromium-based browsers such as Microsoft Edge, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.

 

[aleveksi]

Ja nyt Okta on julkaissut tarkempia tietoja, eli yritys oli jo tammikuussa tietoinen mahdollisesta hyökkäyksestä yhteistyökumppani Sitel:in järjestelmään. Asiaa kuitenkin tutkittiin monta viikkoa , eikä asiakkaille tiedotettu mitään tänä aikana. Vasta tuo kuvankaappaus sai Oktaan vähän liikettä

Okta: "We made a mistake" delaying the Lapsus$ hack disclosure

Okta has admitted that it made a mistake delaying the disclosure of hack from the Lapsus$ data extortion group that took place in January. Additionally, the company has provided a detailed timeline of the incident and its investigation activities.

www.bleepingcomputer.com

Lähde

 

[aleveksi]

Kaspersky Is Declared A US National Security Threat And Is Banned By The FCC

https://hothardware.com/news/kaspersky-declared-us-national-security-threat-banned-fcc/

 

[Humanoid]

Kaspersky Is Declared A US National Security Threat And Is Banned By The FCC

https://hothardware.com/news/kaspersky-declared-us-national-security-threat-banned-fcc/

Tähän liittyen myös Yandexin sovelluksista juttua, että ne keräävät tietoa Venäjälle. Enpä olisi arvannut!

Data-harvesting code in mobile apps sends user data to “Russia’s Google”

Data from apps on Apple- and Google-powered mobile devices is sent to Russian servers.

arstechnica.com

 

[escalibur]

Ilmeisesti Google haluaa että maksavatkin asiakkaat pysyvät heidän tuotteinaan. Päättivät siis pakotetusti jatkaa käyttäjien seurantaa sabotoimalla massaeditointimahdollisuudet. Jatkossa IT-ylläpito ei voi keskitetysti vaikuttaa näihin asetuksiin.

...administrators will no longer have organization-wide control over privacy settings. It will now be up to each user in an organization to hunt down and change the settings themselves. Google will not honor your previous privacy settings when it moves the controls—organizations that previously opted out of tracking will be opted back in to some tracking, and every user will now need to opt out individually.

Google Workspace will re-enable tracking for many users today

Plus, administrators are being stripped of organization-wide privacy controls.

arstechnica.com

Ymmärrän datan keräämisen ilmaispalvelujen osalta, koska ilmaista lounasta ei ole, mutta maksavien asiakkaiden kohdalla asiasta voitaisiin olla montaa mieltä.

 

[=JP=]

Apple ja Meta (Facebook) jakaneet käyttäjätietoja hakkereille, jotka esiintyneet viranomaisina, jälleen esimerkki, miten ihmiset on heikko lenkki tietoturvassa...

Apple and Facebook reportedly provided personal user data to hackers posing as law enforcement

In mid-2021, Apple provided customer data to hackers after they masqueraded themselves as law enforcement officials, shows a new report.

9to5mac.com

In mid-2021, Apple provided customer data to hackers after they masqueraded themselves as law enforcement officials, shows a new report by Bloomberg. According to people familiar with the matter, the company provided basic subscriber details due to forged “emergency data requests.”
The publication explains that “normally, such requests are only provided with a search warrant or subpoena signed by a judge, according to the people. However, such emergency requests don’t require a court order.”

 

[Aaltoliike]

New Spring Java framework zero-day allows remote code execution

A new zero-day vulnerability in the Spring Core Java framework called 'Spring4Shell' has been publicly disclosed, allowing unauthenticated remote code execution on applications.

Spring is a very popular application framework that allows software developers to quickly and easily develop Java applications with enterprise-level features. These applications can then be deployed on servers, such as Apache Tomcat, as stand-alone packages with all the required dependencies

Laitoin myös juttuvinkin tästä toimitukselle.

 

[Humanoid]

Chromen uusi seurantamoottori on laskeutunut Canary-julkaisuun:

Chrome's 'Topics' Advertising System Is Here, Whether You Want It Or Not - Slashdot

slack_justyb writes: After the failure of the Chrome user-tracking system that was called FLoC, Google's latest try at topic tracking to replace the 3rd party cookie (that Chrome is the only browser to still support) is FLEDGE and the most recent drop of Canary has this on full display for users...

yro.slashdot.org

Sen uusi rajapinta laskee käyttäjän koneella kiinnostuksen kohteita ja päivittää tietoja Googlen kanssa. Tietenkään tätä toiminnallisuutta ei voi sammuttaa käyttäjän toimesta.

 

[escalibur]

Zyxel on taas otsikkoissa. Onneksi löydettyä haavoittuvuutta ei vielä ehditty hyödyntämään, mutta nyt kun asia on julki tilanne voi muuttua melko nopeasti. Kannattaa tarkistaa onko omalle purkille saatavilla uudempaa firmistä.

NVD - CVE-2022-0342

nvd.nist.gov

Zyxel patches critical vulnerability that can allow Firewall and VPN hijacks

Hackers can exploit authentication bypass flaw to gain administrative control.

arstechnica.com

Zyxel security advisory for authentication bypass vulnerability of firewalls | Zyxel

www.zyxel.com