Tietoturvauutiset ja blogipostaukset

[escalibur]

Varoitus liittyen erillisen virustorjunnan lataamisesta eri paikoista:

Malwarea Bitdefenderin nimissä:

Bitdefenderin LinkedIn-postaus

CERT-UA

Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.

cert-gov-ua.translate.goog

Kannattaa siis tupla-varmistaa mistä ohjelmistoa ladataan. Oma suositukseni on että vendorin omat sivut ovat se ainut paikka johon kannattaa luottaa.

Joidenkin lähteiden mukaan myös teboil[.]fi triggeröi Colbat Strike Backdoor-malwarea.

 

[Infy]

Lähtökohtaisesti kaikki internetistä ladatut tiedostot kannattaa skannata VirusTotalilla VirusTotal

VirusTotal on Googlen ylläpitämä palvelu, mikä skannaa ladatun tiedoston 70:lla eri virus skannerilla.

Tietysti mitään arkaluontoisia, esim henkilötietoja sisältäviä tietoja, tuonne ei pidä ladata. Vaan esimerkiksi kaikki ohjelmat mitä meinaa omalle koneelle asentaa.

Sen sijaan että lataa tiedoston tuonne, voi itse muodostaa tiedostosta SHA2-tiivisteen ja tarkistaa sen tuolta sivun yläosan hakukentästä.

 

[escalibur]

TP-Linkillä päätettiin että liikenteen kierrättäminen ulkopuolisen palvelun kautta on oletettavasti "OK".

Reddit - Dive into anything

www.reddit.com

TP-Link Deco X68 Review: A good mesh router ruined by bizarre software

TP-Link makes decent home networking gear, and its Deco X68 is a good mesh router with great Wi-Fi performance, but there are some issues.

www.xda-developers.com

Avira - Wikipedia

en.wikipedia.org

 

[A Lake Elk]

Intelin ja ARM prossuissa aukko:

Intel Alder Lake, ARM CPUs Affected by New Spectre Vulnerability

Branch History Injection

www.tomshardware.com

VUSec security research group and Intel on Tuesday disclosed a yet another Spectre-class speculative execution vulnerability called branch history injection (BHI). The new exploit affects all of Intel processors released in the recent years, including the latest Alder Lake CPUs, and select Arm cores. By contrast, AMD's chips are believed to be unaffected.

BHI is a proof-of-concept attack that affects CPUs already vulnerable to Spectre V2 exploits, but with all kinds of mitigations already in place. The new exploit bypasses Intel's eIBRS and Arm's CSV2 mitigations, reports Phoronix. BHI re-enables cross-privilege Spectre-v2 exploits, allows kernel-to-kernel (so-called intra-mode BTI) exploits, and allows perpetrators to inject predictor entries into the global branch prediction history to make kernel leak data, reports VUSec. As a result, arbitrary kernel memory on select CPUs can be leaked and potentially reveal confidential information, including passwords. An example of how such a leak can happen was published here.

 

[Infy]

AMD:n Spectre V2 haavoittuvuuden korjaus on todettu riittämättömäksi. Linuxin kernelin uudessa versiossa 5.17 korjaus vaihtuu, AMD-spesifisestä LFENCE/JMP-toteutuksesta, geneeriseen Retpoline-toteutukseen, jota Intelin prosessoreilla on käytetty jo aikaisemmin. Tällä on pieni suorituskykyvaikutus jossain tilanteissa. Sama muutos tulee Windowsiin jollain aikataululla.

The Performance Impact Of AMD Changing Their Retpoline Method For Spectre V2

 

[leripe]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

 

[Desgorr]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

Voi kyllä olla, että Venäjällä ja Valkovenäjällä alkavat hieman paremmin tutkimaan mitä koodia projekteissaan käyttävät. Tässä tuo tärkein uutisesta:
"Interestingly, the malicious code, committed as early as March 7th by the dev, would read the system's external IP address and only delete data by overwriting files for users based in Russia and Belarus."

 

[escalibur]

Siellä "koputellaan" Asuksen purkkejakin: ASUS warns of Cyclops Blink malware attacks targeting routers

 

[Desgorr]

Siellä "koputellaan" Asuksen purkkejakin: ASUS warns of Cyclops Blink malware attacks targeting routers

Eli nähtävästi käyttää Asuksen etähallintaa (Remote management) hyödyksi tuossa hyökkäyksessä? Onneksi tuon pitäisi olla oletuksena pois päältä Asuksen purkeissa. Päällehän tuota ei missään nimessä kannata laittaa.

 

[user9999]

Tuosta Asus haavoittuvuudesta tuli NCSC-FI tiedote

NCSC-FI VULNERABILITIES SUMMARY 2022-03-17

Tämä on Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen
päivittäinen haavoittuvuuskooste.

CRITICAL VULNERABILITIES
ASUS Product Security Advisory for Cyclops Blink

ASUS Product Security Advisory | ASUS Global

www.asus.com

Classification: Critical, Solution: Mitigation, Exploit: Wild
ASUS is investigating and working for a remediation for Cyclops Blink
and will continue to post software update.

 

[Kautium]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

Tivin uutinen aiheesta:

Koodaaja teki koodistaan pommin – ”rauhan viesti” tuo venäläisille täydellisen tuhon

Suositun koodipaketin kehittäjä sabotoi itse oman tuotteensa.

www.tivi.fi

 

[Special Once]

Vähän kaksipiippuinen juttu tuo. Toisaalta Venäjällä ja Valko-Venäjällä on semmoisiakin jotka oikeasti ovat sotaa vastaan ja tuo koodi varmasti koskettaa heitäkin. Toisaalta se on ihan oma syy jos varmuuskopiot eivät ole kunnossa.

 

[=JP=]

Vaikka mitään varmistusta ei vielä ole, mutta huhuja (ja screenshot joka poistettiin) liikkuu, että Lapsus$ olis korkannu jossain muodossa Microsoftin, eli päässyt käsiksi jonkun kehittäjän Azuren dashboardiin ja siellä näkyy kaikenlaista mielenkiintoista. Pistän kuvan spoilereihin, yllättäen reilusti pakattu, ettei kovin selkeästi näe onko kenties feikki, mutta odotellaan, eiköhän asiasta tule isompi juttu, jos totta...

Spoileri: Kuva

 

[Desgorr]

Aiheeseen kovasti liittyy niin täytyy vaihteesta mainostaa paria erinomaista tietoturvaan liittyvää Suomalaista podcastia:

Home

WithSecure™ on kotimainen ja strateginen kumppani yrityksille, jotka haluavat liiketoimintalähtöistä ja tuloksellista tietoturvaa.

www.f-secure.com

https://turvakarajat.fi/

Herrasmieshakkereiden podcast ilmestyy hieman harvemmin, mutta jaksot onkin sitten täyttä rautaa. Yleensä ovat hieman eri aiheista, joissa on mukana haastattelussa asiaa tunteva amattilainen. Uutisia käydään myös jonkun verran läpi.
Turvakäräjiltä taas tulee joka viikko maanantaisin uusi podcasti, jossa käydään mm. viikon isoimmat tietoturvauutiset analysoiden läpi.

 

[user9999]

Vaikka mitään varmistusta ei vielä ole, mutta huhuja (ja screenshot joka poistettiin) liikkuu, että Lapsus$ olis korkannu jossain muodossa Microsoftin, eli päässyt käsiksi jonkun kehittäjän Azuren dashboardiin ja siellä näkyy kaikenlaista mielenkiintoista. Pistän kuvan spoilereihin, yllättäen reilusti pakattu, ettei kovin selkeästi näe onko kenties feikki, mutta odotellaan, eiköhän asiasta tule isompi juttu, jos totta...

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Microsoft may have been hit by the same hackers who went after NVIDIA

Microsoft is looking into claims that Lapsus$ has gained access to the company's internal systems.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

 

[mikajh]

7,500+ MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours?

Ei mitään uutta auringon alla Trickbot is using MikroTik routers to ply its trade. Now we know why

Jos olet asenna-ja-unohda -hakuinen käyttäjä, niin huono juttu - oli palomuurisi mikä hyvänsä, paitsi 100% ISP:n hallinnoima, jonne sinulla ei ole asiaa, jos ei kyvyt eikä mielenkiinto riitä

 

[Agent_007]

LAPSUS$ on nähtävästi iskenyt myös Oktaan (kuvankaappauksien perusteella luvaton pääsy olisi ollut mahdollista jo ainakin parin kuukauden ajan)

https://www.usnews.com/news/technology/articles/2022-03-22/authentication-services-firm-okta-says-it-is-investigating-report-of-breach

 

[Humanoid]

Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Messages, Dialer apps sent text, call info to Google

Hashed text, phone call logs collected without opt-out nor specific notice

www.theregister.com

Google's Messages and Dialer apps for Android devices have been collecting and sending data to Google without specific notice and consent, and without offering the opportunity to opt-out, potentially in violation of Europe's data protection law.

"The data sent by Google Messages includes a hash of the message text, allowing linking of sender and receiver in a message exchange," the paper says. "The data sent by Google Dialer includes the call time and duration, again allowing linking of the two handsets engaged in a phone call. Phone numbers are also sent to Google."

 

[aleveksi]

Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Messages, Dialer apps sent text, call info to Google

Hashed text, phone call logs collected without opt-out nor specific notice

www.theregister.com

Taitaa olla nuo androidin tiedonkeruu toggle switchit on vaan hämäystä, tuskin edes koodattu tekemään mitään

 

[user9999]

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Microsoft may have been hit by the same hackers who went after NVIDIA

Microsoft is looking into claims that Lapsus$ has gained access to the company's internal systems.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

Mahdollisesti saaneet paljon dataa.
Monday night, the hacking group posted a torrent for a 9 GB 7zip archive containing the source code of over 250 projects that they say belong to Microsoft.
When posting the torrent, Lapsus$ said it contained 90% of the source code for Bing and approximately 45% of the code for Bing Maps and Cortana.

Lapsus$ hackers leak 37GB of Microsoft's alleged source code

The Lapsus$ hacking group claims to have leaked the source code for Bing, Cortana, and other projects stolen from Microsoft's internal Azure DevOps server.

www.bleepingcomputer.com

Hakkeriryhmä iski Microsoftiin – paljastivat 37 gigatavua palveluiden lähdekoodeja

Tunnettu hakkeriryhmä Lapsus$ väittää murtautuneensa Microsoftin palvelimille. Saaliiksi saatiin peräti 37 gigatavua koodia, Bleeping Computer -sivusto

mobiili.fi

 

[aleveksi]

LAPSUS$ on nähtävästi iskenyt myös Oktaan (kuvankaappauksien perusteella luvaton pääsy olisi ollut mahdollista jo ainakin parin kuukauden ajan)

https://www.usnews.com/news/technology/articles/2022-03-22/authentication-services-firm-okta-says-it-is-investigating-report-of-breach

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Microsoft may have been hit by the same hackers who went after NVIDIA

Microsoft is looking into claims that Lapsus$ has gained access to the company's internal systems.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

Mahdollisesti saaneet paljon dataa.
Monday night, the hacking group posted a torrent for a 9 GB 7zip archive containing the source code of over 250 projects that they say belong to Microsoft.
When posting the torrent, Lapsus$ said it contained 90% of the source code for Bing and approximately 45% of the code for Bing Maps and Cortana.

Lapsus$ hackers leak 37GB of Microsoft's alleged source code

The Lapsus$ hacking group claims to have leaked the source code for Bing, Cortana, and other projects stolen from Microsoft's internal Azure DevOps server.

www.bleepingcomputer.com

Hakkeriryhmä iski Microsoftiin – paljastivat 37 gigatavua palveluiden lähdekoodeja

Tunnettu hakkeriryhmä Lapsus$ väittää murtautuneensa Microsoftin palvelimille. Saaliiksi saatiin peräti 37 gigatavua koodia, Bleeping Computer -sivusto

mobiili.fi

Twitter @LawrenceAbrams
"Lapsus$ is now claiming to have breached Okta. They state it wasn't for Okta's databases but to get access to its customers.
If true, this is a big mess. Could also explain how they have breached so many large enterprises."

Ilmeisesti oktaan on päästy ja se on mahdollistanut kaikki nämä tietomurrot

 

[user9999]

Twitter @LawrenceAbrams
"Lapsus$ is now claiming to have breached Okta. They state it wasn't for Okta's databases but to get access to its customers.
If true, this is a big mess. Could also explain how they have breached so many large enterprises."

Ilmeisesti oktaan on päästy ja se on mahdollistanut kaikki nämä tietomurrot

Microsoftin mahdollinen korkkaus on outo koska Microsoft on Oktan kilpailija. Luulisi, että Microsoft käyttää omia ratkaisuja eikä Oktaa.

2023 Gartner® Magic Quadrant™ for Access Management | Okta

Gartner recognized Okta as a leader in the Magic Quadrant for Access Management for the 7th year and placed highest in the Ability to Execute axis for the 3rd year.

www.okta.com

 

[jarhu]

Kuulostaa tosiaan epäilyttävältä, että Microsoft olisi saatu korkattua Oktan kautta. Se ei kyllä myöskään sulje pois sitä, että muihin palveluihin olisi voitu päästä Oktan kautta. Microsoftiin on voitu saada tunnukset insiderilta tai ostettu access brokerilta.

 

[aleveksi]

Microsoftin mahdollinen korkkaus on outo koska Microsoft on Oktan kilpailija. Luulisi, että Microsoft käyttää omia ratkaisuja eikä Oktaa.

2023 Gartner® Magic Quadrant™ for Access Management | Okta

Gartner recognized Okta as a leader in the Magic Quadrant for Access Management for the 7th year and placed highest in the Ability to Execute axis for the 3rd year.

www.okta.com

Kuulostaa tosiaan epäilyttävältä, että Microsoft olisi saatu korkattua Oktan kautta. Se ei kyllä myöskään sulje pois sitä, että muihin palveluihin olisi voitu päästä Oktan kautta. Microsoftiin on voitu saada tunnukset insiderilta tai ostettu access brokerilta.

Oktahan tukee myös microsoftia: Why customers choose Okta for Microsoft technologies

 

[jarhu]

Oktahan tukee myös microsoftia: Why customers choose Okta for Microsoft technologies

Totta kai, mutta se ei tarkoita, että Microsoft käyttäisi itse kolmannen osapuolen ratkaisua omansa sijaan.

Oktalta tullut ulostulo: "The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers. " Updated Okta Statement on LAPSUS$
Ilmeisesti siis jonkun kolmannen osapuolen palveluntuottajan työntekijän työkoneelle on päästy käsiksi ja sieltä ladattu tietoja, jotka koostuu lähinnä jira-tiketeistä ja niihin liittyvistä käyttäjätiedoista.

 

[aleveksi]

Oktalta tullut ulostulo: "The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers. " Updated Okta Statement on LAPSUS$
Ilmeisesti siis jonkun kolmannen osapuolen palveluntuottajan työntekijän työkoneelle on päästy käsiksi ja sieltä ladattu tietoja, jotka koostuu lähinnä jira-tiketeistä ja niihin liittyvistä käyttäjätiedoista.

"The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data - for example, Jira tickets and lists of users - that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords."

Lista käyttäjistä sekä passun ja kaksi vaiheisen tunnistautumisen resetointi. Kai tuolta listalta käyttäjiä löytynyt millä päästy kirjautumaan ja lataamaan firmojen dataa

 

[jarhu]

"The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data - for example, Jira tickets and lists of users - that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords."

Lista käyttäjistä sekä passun ja kaksi vaiheisen tunnistautumisen resetointi. Kai tuolta listalta käyttäjiä löytynyt millä päästy kirjautumaan ja lataamaan firmojen dataa

Siltä se kuulostaa, että tämän toistaiseksi vielä tuntemattoman palveluntarjoajan työntekijän tunnuksien avulla on voitu päästä resetoimaan tämän palveluntarjoajan asiakasyritysten käyttäjien tunnuksia. Nyt en tunne Oktan toimintaa riittävästi, että voisi sanoa mitään tuohon miten Oktan mfa ja password reset toimii eli onko mahdollisuutta kaapata tiliä. Mikäli nuo Support Engineerit pääsee vaikkapa vaihtamaan puhelinnumeron, niin siinähän on selkeä mahdollisuus.

 

[Humanoid]

Taitaa olla nuo androidin tiedonkeruu toggle switchit on vaan hämäystä, tuskin edes koodattu tekemään mitään

Yksi kysymys on se, että montako vuotta tuota on jo jatkunut?

 

[user9999]

Microsoft on vahvistanut tietomurron.
Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

Microsoft confirms they were hacked by Lapsus$ extortion group

Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

www.bleepingcomputer.com

 

[escalibur]

Microsoft on vahvistanut tietomurron.
Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

Microsoft confirms they were hacked by Lapsus$ extortion group

Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

www.bleepingcomputer.com

Tässä on vielä virallinen blogipostaus aiheesta: DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog

Multifactor authentication (MFA) is one of the primary lines of defense against DEV-0537.

Jälleen yksi muistutus MFA:n tärkeydestä.

 

[escalibur]

Päivän tietoturvauutinen:

HP:n sadat eri tulostimet ovat alttiaite RCE-hyökkäyksille. Ratkaisuna on firmispäivitys (jos laite on firmispäivitysten tuen piirissä):

Certain HP Print products and Digital Sending products may be vulnerable to potential remote code execution and buffer overflow with use of Link-Local Multicast Name Resolution or LLMNR.

Certain HP Print Products, Digital Sending Products - Potential remote code execution and buffer overflow | HP® Customer Support

Certain HP Print products and Digital Sending products may be vulnerable to potential remote code execution and buffer overflow with use of Link-Local Multicast Name Resolution or LLMNR.

support.hp.com

Ottaen huomioon millaista aikaa eletään parhaiten, on melko todennäköistä että koputtelijoita tulee riittämään.

 

[Infy]

Nyt Okta myöntää, että kyllä asiakkaiden tietoihin on päästy käsiksi.

Identity management as-a-service platform Okta now admits the Lapsus$ extortion gang have in fact have managed to see its customers' data.

Okta now says: Lapsus$ may have accessed customer info

Plus: Microsoft reveals gang pulled off limited source code heist after single account compromised

www.theregister.com

 

[Humanoid]

Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Messages, Dialer apps sent text, call info to Google

Hashed text, phone call logs collected without opt-out nor specific notice

www.theregister.com

Täällä yksityiskohtaisempaa raporttia tuosta Googlen lähettämästä datasta:

https://www.scss.tcd.ie/doug.leith/privacyofdialerandsmsapps.pdf

Regarding anonymity, all of the events recorded via the Google Play Services Clearcut logger are tagged with the handset’s Android ID. Via other data collected by Google Play Services this ID is linked to the handset hardware serial number, the SIM IMEI (which uniquely identifies the SIM slot) and the user’s Google account. When a SIM is inserted the Google Messages app also links the Android ID to the SIM serial number/ICCID, which uniquely identifies the SIM card. By making a request using Google for the data associated with the Google user account used in our tests we further confirmed that the data reported under the heading “Android Device Configuration Service” includes the Android ID for each handset used (as well as the handset serial number, SIM IMEI, last IP address used and mobile operator details).

When the caller and receiver in a phone conversation are both using the Google Dialer, then the time when the time the call ended and the call duration are both sent to Google via the above event logging messages. This information can potentially be used to identify pairs of handsets engaged in phone conversations.

The data sent by Google Messages includes a hash of the message text, allowing linking of sender and receiver in a message exchange, and by Google Dialer the call time and duration, again allowing linking of the two handsets engaged in a phone call. Phone numbers are also sent to Google. In addition, the timing and duration of user interactions with the apps are sent to Google. There is no opt out from this data collection. The data is sent via two channels, the Google Play Services Clearcut logger and Google/Firebase Analytics. This study is therefore one of the first to cast light on the actual telemetry data sent by Google Play Services, which to date has largely been opaque.

 

[user9999]

Lapsus$ juttuun liittyen niin nuoria henkilöitä pidätetty.

Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal

Police say they've arrested seven teenagers as part of their investigation into a hacking group.

www.bbc.com

Teen Suspected by Cyber Researchers of Being Lapsus$ Mastermind

Cybersecurity researchers investigating a string of hacks against technology companies, including Microsoft Corp. and Nvidia Corp., have traced the attacks to a 16-year-old living at his mother’s house near Oxford, England.

www.bloomberg.com

 

[JiiPee]

Lapsus$ juttuun liittyen niin nuoria henkilöitä pidätetty.

Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal

Police say they've arrested seven teenagers as part of their investigation into a hacking group.

www.bbc.com

Teen Suspected by Cyber Researchers of Being Lapsus$ Mastermind

Cybersecurity researchers investigating a string of hacks against technology companies, including Microsoft Corp. and Nvidia Corp., have traced the attacks to a 16-year-old living at his mother’s house near Oxford, England.

www.bloomberg.com

Monestihan nää on junnuja jotka vetää kaasu pohjassa godmode päällä kuvitellen ettei mitään voi tapahtua.

 

[Agent_007]

Monestihan nää on junnuja jotka vetää kaasu pohjassa godmode päällä kuvitellen ettei mitään voi tapahtua.

Alaikäisellä taitaa olla tässä tapauksessa se etu, ettei häntä voida luovuttaa Jenkkeihin oikeudenkäyntiä varten. Lisäksi jos tuo uutisjutussa mainittu "special educational school" viittaa autismin kirjoon niin sillä voi Briteissä saada lyhennystä tuomioon.

 

[Agent_007]

Nyt Okta myöntää, että kyllä asiakkaiden tietoihin on päästy käsiksi.

Identity management as-a-service platform Okta now admits the Lapsus$ extortion gang have in fact have managed to see its customers' data.

Okta now says: Lapsus$ may have accessed customer info

Plus: Microsoft reveals gang pulled off limited source code heist after single account compromised

www.theregister.com

Ja nyt Okta on julkaissut tarkempia tietoja, eli yritys oli jo tammikuussa tietoinen mahdollisesta hyökkäyksestä yhteistyökumppani Sitel:in järjestelmään. Asiaa kuitenkin tutkittiin monta viikkoa , eikä asiakkaille tiedotettu mitään tänä aikana. Vasta tuo kuvankaappaus sai Oktaan vähän liikettä

Okta: "We made a mistake" delaying the Lapsus$ hack disclosure

Okta has admitted that it made a mistake delaying the disclosure of hack from the Lapsus$ data extortion group that took place in January. Additionally, the company has provided a detailed timeline of the incident and its investigation activities.

www.bleepingcomputer.com

 

[=JP=]

Chrome käyttäjät (ja Chrome engine käyttävien selaimien), päivittäkääs selaimet, sen verta paha 0-päivä reikä löytynyt...

Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability

Google has rolled out an urgent out-of-band update to the Chrome browser for millions of Windows, macOS and Linux users to patch a zero-day flaw.

thehackernews.com

Google Chrome users are highly recommended to update to the latest version 99.0.4844.84 for Windows, Mac, and Linux to mitigate any potential threats. Users of Chromium-based browsers such as Microsoft Edge, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.

 

[aleveksi]

Ja nyt Okta on julkaissut tarkempia tietoja, eli yritys oli jo tammikuussa tietoinen mahdollisesta hyökkäyksestä yhteistyökumppani Sitel:in järjestelmään. Asiaa kuitenkin tutkittiin monta viikkoa , eikä asiakkaille tiedotettu mitään tänä aikana. Vasta tuo kuvankaappaus sai Oktaan vähän liikettä

Okta: "We made a mistake" delaying the Lapsus$ hack disclosure

Okta has admitted that it made a mistake delaying the disclosure of hack from the Lapsus$ data extortion group that took place in January. Additionally, the company has provided a detailed timeline of the incident and its investigation activities.

www.bleepingcomputer.com

Lähde

 

[aleveksi]

Kaspersky Is Declared A US National Security Threat And Is Banned By The FCC

https://hothardware.com/news/kaspersky-declared-us-national-security-threat-banned-fcc/

 

[Humanoid]

Kaspersky Is Declared A US National Security Threat And Is Banned By The FCC

https://hothardware.com/news/kaspersky-declared-us-national-security-threat-banned-fcc/

Tähän liittyen myös Yandexin sovelluksista juttua, että ne keräävät tietoa Venäjälle. Enpä olisi arvannut!

Data-harvesting code in mobile apps sends user data to “Russia’s Google”

Data from apps on Apple- and Google-powered mobile devices is sent to Russian servers.

arstechnica.com

 

[escalibur]

Ilmeisesti Google haluaa että maksavatkin asiakkaat pysyvät heidän tuotteinaan. Päättivät siis pakotetusti jatkaa käyttäjien seurantaa sabotoimalla massaeditointimahdollisuudet. Jatkossa IT-ylläpito ei voi keskitetysti vaikuttaa näihin asetuksiin.

...administrators will no longer have organization-wide control over privacy settings. It will now be up to each user in an organization to hunt down and change the settings themselves. Google will not honor your previous privacy settings when it moves the controls—organizations that previously opted out of tracking will be opted back in to some tracking, and every user will now need to opt out individually.

Google Workspace tracking changes are delayed until May [Updated]

Plus, administrators are being stripped of organization-wide privacy controls.

arstechnica.com

Ymmärrän datan keräämisen ilmaispalvelujen osalta, koska ilmaista lounasta ei ole, mutta maksavien asiakkaiden kohdalla asiasta voitaisiin olla montaa mieltä.

 

[=JP=]

Apple ja Meta (Facebook) jakaneet käyttäjätietoja hakkereille, jotka esiintyneet viranomaisina, jälleen esimerkki, miten ihmiset on heikko lenkki tietoturvassa...

Apple and Facebook reportedly provided personal user data to hackers posing as law enforcement - 9to5Mac

In mid-2021, Apple provided customer data to hackers after they masqueraded themselves as law enforcement officials, shows a new report.

9to5mac.com

In mid-2021, Apple provided customer data to hackers after they masqueraded themselves as law enforcement officials, shows a new report by Bloomberg. According to people familiar with the matter, the company provided basic subscriber details due to forged “emergency data requests.”
The publication explains that “normally, such requests are only provided with a search warrant or subpoena signed by a judge, according to the people. However, such emergency requests don’t require a court order.”

 

[Aaltoliike]

New Spring Java framework zero-day allows remote code execution

A new zero-day vulnerability in the Spring Core Java framework called 'Spring4Shell' has been publicly disclosed, allowing unauthenticated remote code execution on applications.

Spring is a very popular application framework that allows software developers to quickly and easily develop Java applications with enterprise-level features. These applications can then be deployed on servers, such as Apache Tomcat, as stand-alone packages with all the required dependencies

Laitoin myös juttuvinkin tästä toimitukselle.

 

[Humanoid]

Chromen uusi seurantamoottori on laskeutunut Canary-julkaisuun:

Chrome's 'Topics' Advertising System Is Here, Whether You Want It Or Not - Slashdot

slack_justyb writes: After the failure of the Chrome user-tracking system that was called FLoC, Google's latest try at topic tracking to replace the 3rd party cookie (that Chrome is the only browser to still support) is FLEDGE and the most recent drop of Canary has this on full display for users...

yro.slashdot.org

Sen uusi rajapinta laskee käyttäjän koneella kiinnostuksen kohteita ja päivittää tietoja Googlen kanssa. Tietenkään tätä toiminnallisuutta ei voi sammuttaa käyttäjän toimesta.

 

[escalibur]

Zyxel on taas otsikkoissa. Onneksi löydettyä haavoittuvuutta ei vielä ehditty hyödyntämään, mutta nyt kun asia on julki tilanne voi muuttua melko nopeasti. Kannattaa tarkistaa onko omalle purkille saatavilla uudempaa firmistä.

NVD - CVE-2022-0342

nvd.nist.gov

Zyxel patches critical vulnerability that can allow Firewall and VPN hijacks

Hackers can exploit authentication bypass flaw to gain administrative control.

arstechnica.com

Support Download Page Redirect

 

[Humanoid]

Android jälleen haittaohjelmien kohteena:

Varo tätä sovellusta! Arkaluonteiset tietosi voivat päätyä venäläiselle palvelimelle

Tietoturvatutkijat ovat löytäneet uuden Android-haittaohjelman, joka vakoilee uhriaan äärimmäisen kavalasti.

www.mtvuutiset.fi

 

[Humanoid]

Ja myös Whatsapp-ääniviestien kautta yritetään saada softaa asennettua:

Hakkerit käyttävät WhatsAppin ääniviestejä härskisti hyväkseen – älä avaa tällaista viestiä

Hakkerit pyrkivät asentamaan uhrien tietokoneelle käyttäjätietoja varastavan troijalaisen.

www.tivi.fi

 

[Humanoid]

Myös Samsungeissa vakava aukko joka tarvii päivityksen asentamisen:

Samsung kännykkänä? Päivitä heti, kriittinen haavoittuvuus löydetty - antaa oikeuden kaikkiin tietoihin

Samsungin puhelimista ja tableteista on löytynyt tietoturva-aukko, joka mahdollistaa kaikkiin tietoihin pääsyn ja mm. salaa tehtyjen puhelujen soittamisen.

www.puhelinvertailu.com

Haavoittuvuus koskee kaikkia Samsungin puhelimia ja tabletteja, joista löytyy Android 9, Android 10, Android 11 tai Android 12 -käyttöjärjestelmäversio. Käytännössä siis kaikki viimeisen viiden, kuuden vuoden aikana julkaistut Samsungin puhelimet ja tabletit ovat haavoittuvuuden kohteena.

 

[neko]

Mielenkiinnosta, onko tuota selvitetty tarkemmin, miten tuossa onnistuu? Täytyyhän jotenkin hyökkäys kohdentua hyökättävään laitteeseen? En ole itse lukenut tarkempia tietoja vielä, on tässä aamupäivä hässäkkää. Joten joku referaatti kelpaisi.

On turvakamerana (on sekin sana Android-kännystä, missä on ties mikä softa aukkoineen) vanha S7:n aika ajoin toiminnassa ja verkossa.