Juu, noihin pitäisi kyllä määrätä joku laki joka pakottaisi nuo jollain tavalla opt-in eikä opt-out, alkaa vähän joka puolelta tuota dataa leviämään ja vaikka minne nykypäivänä. Ja kun ei edes itse oikein pysty mistään helposti selvittämään mistä kaikkialta omia tietoja jaellaan ja minne kaikkialle. Tässä viimeisen parin vuoden aikana on kyllä tullut kiellettyä sen verran monesta paikasta tietojen luovutus ja rajattu niiden käyttötarkoituksia etten ole enää laskuissa pysynyt perässä. Samoin on tullut poisteltua vanhoja käyttäjätilejä monista turhista palveluista mutta niistä tuskin tiedot katoavat vaikka käyttäjätunnus poistuisikin...
Tuo on vähän semmoinen "suo siellä, vetelä täällä" -tyyppinen asia. Jos päivitykset ei asennu automaattisesti, on riski että jää joku kriittinenkin haavoittuvuus laitteeseen, kuten esim. Asuksen kanssa olisi käynyt tänä kesänä. Harvalla riittää into tai energia seuraamaan jatkuvasti haavoittuvuuksien ilmaantumista.
Nearly 150,000 ASUS routers potentially exposed to critical vulnerability
Researchers said the CVE, which has a CVSS score of 9.8, raises additional concerns about the security of edge, small office and home office devices.www.cybersecuritydive.com
www.kyberturvallisuuskeskus.fi
www.is.fi
www.is.fi
Ei ainakaan noissa alkuperäisissä uutisissa (alla + sen linkit) puhuta mitään että ongelma olisi vain jos piuhat pielessä...Tästä myös Kyberturvallisuuskeskus tiedottanut, huomattu että Asus reitittimiä on suomessa käytetty ddos hyökkäyksiin.
Kyberturvallisuuskeskuksen viikkokatsaus - 43/2024 | Kyberturvallisuuskeskus
Tällä viikolla kerromme palvelunestohyökkäyksistä sekä ilmiöstä, jossa yrityksiltä on udeltu eri tahojen avoimia laskuja ja todennäköisimmin valmisteltu laskutuspetoksia. Muina aiheina ovat Kaikki liikkeessä ja Cyber Security Nordic -tapahtumat sekä yli 300:lle yritykselle myönnetty tietoturvan...Viranomainen julkaisi listan: Onko sinulla joku näistä reitittimistä? Toimi näin
Suomalaisia laitteita osallistui historialliseen hyökkäykseen.Onkohan tämä haavoittuvuus käytettävissä ulkoverkosta päin? Vai niin että on tosiaan kytketty väärin LAN porttiin?Viranomainen varoittaa: Varo tätä pahaa virhettä asentaessasi reitittimen
Jos reititin on väärin kytketty, suojauksista ei ole mitään apua.
Mikähän palvelu siellä sitten julkiverkkoon päin on auki, että voi tehdä authentication bypassin?Ei ainakaan noissa alkuperäisissä uutisissa (alla + sen linkit) puhuta mitään että ongelma olisi vain jos piuhat pielessä...
Ei tuota reikää ilman julkiverkkoon auki olevaa etähallintaa voi hyödyntää. Tai toisena vaihtoehtona ilman virheellistä kytkentää.
Ei ole väliä.
findata.fi
Kiitos!Tuolta löytyy ohjeet kuinka lähetät viestin.Oikeudet tietoihisi
Miten voin kieltää tietojeni toissijaisen käytön? Kielto tehdään täyttämällä lomake ja lähettämällä se suomi.fi -palvelussa vahvasti tunnistautuneena.
cybersecuritynews.com
PfSense Stored XSS Vulnerability Leads To RCE Attacks, PoC Published
A critical security vulnerability has been discovered in pfSense version 2.5.2, potentially allowing attackers to execute arbitrary code on affected systems.
Tämä on aika hauska: My Fingerprint- Am I Unique ?
En varmaankaan ole suoranaisesti kirjautunut ulos, vaan pelkästään sulkenut sivuston. Joka tapauksessa siitä on varmasti useita kuukausia kun olen sinne viimeksi ollut kirjautuneena. Testin vuoksi painoin "Kirjaudu sisään" -nappia, ja siinä tosiaan oli valmiina minun sähköpostiosoitteeni, mutta "Muista tunnus" -valinta ei ollut aktiivisena. Incognito modessa ei sisäänkirjautuessa tullut mitään valmista sähköpostiosoitetta.
Nyt en kyllä tajua mitä tässä ajat takaa, avaatko vähän enemmän?
Tällä ei ole mitään väliä, selaimessa tiedot voi pysyä käytännössä rajattomasti. Esim. tämä sivusto on tallentanut jotain keksejä joiden olemassaolo päättyy vasta vuoden päästä. Jos haluat pelotella itseäsi, niin avaa selaimesta "developer tools" ja mene "Application" välilehdelle ja katso esim. mitä "local storage":ssa on tietoja tallessa. Siellä on esim. "fr-copied-html" (tai "fr-copied-text") jossa näkyy mitä olet tällä sivustolla viimeksi kopioinut leikepöydälle. Se on ihan mahdotonta mitä dataa selaimet/sivustot voivat seurata/"tallentaa".
Sain sieltä lopuksi linkin heidän evästekäytäntöihinsä Samsung Evästekäytäntö | Samsung Suomi
Itsellä tulee CERT-FI-ALERT ja NCSC-FI-UUTISKOOSTE jutut sähköpostiin. Aamuisin klo. 5:00 nuo tulee ja ei ole hirveän pitkiä listoja.
www.kyberturvallisuuskeskus.fi
Ainakin CERT-FI-ALERT käsittelee haavoittuvuuksia järjestelmästä riippumatta, eli MacOS-asiaakin on mukana, sekä juttua myös sulautettujen järjestelmien aukoista yms.
Itsellä tulee CERT-FI-ALERT ja NCSC-FI-UUTISKOOSTE jutut sähköpostiin. Aamuisin klo. 5:00 nuo tulee ja ei ole hirveän pitkiä listoja.
Tilaa uutiskirjeitä | Kyberturvallisuuskeskus
Voit tilata laatimamme varoitukset ja haavoittuvuuskoosteet liittymällä CERT-FI-ALERT-sähköpostilistalle. Tilaa samalla tietoturva-aiheinen uutiskoosteemme.
Virittelin Thunderbirdiin RSS-feedit käyttöön niin tuleepa sitäkin kokeiltua.Itsellä tulee CERT-FI-ALERT ja NCSC-FI-UUTISKOOSTE jutut sähköpostiin. Aamuisin klo. 5:00 nuo tulee ja ei ole hirveän pitkiä listoja.
Tilaa uutiskirjeitä | Kyberturvallisuuskeskus
Voit tilata laatimamme varoitukset ja haavoittuvuuskoosteet liittymällä CERT-FI-ALERT-sähköpostilistalle. Tilaa samalla tietoturva-aiheinen uutiskoosteemme.
Tässä kai oleellista mitä sopimuksia olet tehnyt, no senkin jälkeen minkä maan lainsäädäntöä noudatetaan, onko ne sen maan mukaan päteviä tuolta osin.En nyt löytänyt sopivampaakaan keskustelua, mutta tietoturvaan jotenkin taitaa tämäkin liittyä. Kävin Samsungin sivuilla chatissa kyselemässä kahden tuotteen eroja ihan random-asiakaspalvelijalta, ja siinä aikamme höpistyämme tultiin siihen tulokseen että parempi kysyä teknisestä tuesta. Sieltä sitten hetken päästä Mohammed tervehti minua omalla nimelläni, ja sen jälkeen käytiinkin aika paljon keskustelua mistä nimeni olivat saaneet. En siis ollut kirjautuneena Samsung-tililleni, eikä nimeäni oltu kysytty missään kohtaa aikaisemmin.
Tämmöisen vastauksen sitten lopulta sain:
Kysymys kuuluukin, että onko tämä nyt ihan luvallista toimintaa? Jossain julkisella koneella olisi minun tietoni muistissa jos joskus sattuisin Samsung-tililleni kirjautumaan? Sitten vielä lopuksi lähettivät minulle koko keskustelun sähköpostiin, eli jostain olivat kaikki tietoni kaivaneet?
Joo sen täytyy olla jotenkin noin kuten sanoit. Pelit jäivät jumiin todennäköisesti kun verkkoyhteyden tarkistus tai accountin tarkistus ei sujunu toivotulla tavalla.
-----BEGIN PGP MESSAGE-----
jA0ECQMKRXA4m7egRkn/0kAB8mGmM+dq/5r4ebZc7L+oMoJYhiHTJeoSZxOtF+ij
ZaPGPas2yUqtSadU8erxreyeLPapfporDed1iwVNQ3zw
=37Ao
-----END PGP MESSAGE-----
Kovin on ollut hiljaista senkin jälkeen kun Samsung jäi kiinni vakoilusta. Ei ketään kiinnostanut, että yritys vakoilee asiakkaitaan keräämällä screen capturea näytöistä internetin yli.
Tiivistelmä:OpenWrt Sysupgrade flaw let hackers push malicious firmware images
A flaw in OpenWrt's Attended Sysupgrade feature used to build custom, on-demand firmware images could have allowed for the distribution of malicious firmware packages.www.bleepingcomputer.com
Haavoittuvuus: OpenWrt:n Attended Sysupgrade -ominaisuudessa havaittiin kriittinen haavoittuvuus (CVE-2024-54143), joka mahdollisti haitallisten laiteohjelmistopakettien jakelun.
Korjaus: Haavoittuvuus korjattiin nopeasti, ja käyttäjiä kehotetaan tarkistamaan asennetut laiteohjelmistot.
Hyökkäysmenetelmä: Hyökkääjät voivat hyödyntää komentojen injektiota ja hash-trunkkausta myrkyttääkseen laiteohjelmistot.
Suositukset: Käyttäjiä kehotetaan päivittämään laiteohjelmistonsa varmuuden vuoksi, vaikka ei ole todisteita siitä, että haavoittuvuutta olisi hyödynnetty.
