Tietoturvauutiset ja blogipostaukset

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Taitaa olla perus alustan raivausta ja "julkisten" tietojen indeksointia. Muistaakseni tästä oli vastaava case joskus aiemminkin.

Luultavasti tästä aiheutuu jonkinlainen kalasteluviestien hyökkäysaalto.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Muutamia linkkejä (DAILY NCSC-FI NEWS FOLLOWUP 2022-10-28):
Päivittyvä lista OpenSSL 3.0.0 - 3.0.6 haavoittuvista laitteista.
Tänään julkaistaan klo. 15-19 Suomen aikaa korjaus 3.0.7. Saa nähdä milloin päivitys on saatavilla esim. Ubuntu 22.04 LTS versioon.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Päivittyvä lista OpenSSL 3.0.0 - 3.0.6 haavoittuvista laitteista.
Tänään julkaistaan klo. 15-19 Suomen aikaa korjaus 3.0.7. Saa nähdä milloin päivitys on saatavilla esim. Ubuntu 22.04 LTS versioon.
OpenSSL CVE-2022-3786 ja CVE-2022-3602


 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
857
Eipä se ollutkaan niin iso reikä mitä maalailtiin.

"Actually exploiting this will be really really hard even for very competent exploit writers, and will require a large number of relatively unlikely scenarios to all align for the exploit writer for it to pan out"

 
Liittynyt
28.10.2016
Viestejä
2 364
Tämä ei varmaan tullut kellekään yllätyksenä, mutta TikTokilla on varsin vapaa pääsy myös eurooppalaisten dataan:

The Chinese-owned social video app is updating its privacy policy to confirm that staff in countries, including China, are allowed to access user data to ensure their experience of the platform is "consistent, enjoyable and safe." The other countries where European user data could be accessed by TikTok staff include Brazil, Canada and Israel as well as the US and Singapore, where European user data is stored currently. [...] Data could be used to conduct checks on aspects of the platform, including the performance of its algorithms, which recommend content to users, and detect vexatious automated accounts. TikTok has previously acknowledged that some user data is accessed by employees of the company's parent, ByteDance, in China.
 
Liittynyt
01.08.2017
Viestejä
2 741
Tämä ei varmaan tullut kellekään yllätyksenä, mutta TikTokilla on varsin vapaa pääsy myös eurooppalaisten dataan:
Voipi olla vain että EU sanoo tähän lopulta oman sanansa, GDPR ja tiedonsäilyvyys EU:n sisällä ja sillain, tai jos on rahaa kuin roskaa niin kuukausittain voi tiktok maksaa GDPR mätkyt.
 
Liittynyt
28.10.2016
Viestejä
2 364
Voipi olla vain että EU sanoo tähän lopulta oman sanansa, GDPR ja tiedonsäilyvyys EU:n sisällä ja sillain, tai jos on rahaa kuin roskaa niin kuukausittain voi tiktok maksaa GDPR mätkyt.
Varmasti sanookin. Eri asia kiinnostaako TikTokia. Ainahan he voivat vain sanoa, että homma ok, mutta taustalla se jatkuu kuten ennenkin.
 
Liittynyt
22.10.2016
Viestejä
7 045
Sitten null reititys toktikin palvelimille euroopan laajuisesti niin homma loppuu siihen.
Käytännössä ei.

Aluksi riittää että tiktok vaan vakuuttaa ettei enää tehdä niin. Jos selviä todisteita datan virtaamidesta kiinaan pystytään keräämään luokkaa vuoden ajan tuon jälkeenkin, byrokratian rattaat lähtee pyörimään.

Siellä on ensin virallisia kirjeitä, vuoden oikeudessa väännön jälkeen jotain uhkasakkoja, ja uhkasakon lankeamisen jälkeen sitä koitetaan periä, jonka jälkeen oikeusruljannssi taas alusta jolla se tiktok oikeasti koitetaan piilottaa.

Käytännössähän sitä ei voida estää, mutta sinne tiktokiin pääseminen voidaan tehdä peruskäyttäjälle hankalaksi, joka tietysti tässä tapauksessa riittää.

Käytännössä tietysti koko tiktok voi olla käytännössä kuollut 5 vuoden aikana.
 
Liittynyt
19.10.2016
Viestejä
3 411
Käytännössä ei.

Aluksi riittää että tiktok vaan vakuuttaa ettei enää tehdä niin. Jos selviä todisteita datan virtaamidesta kiinaan pystytään keräämään luokkaa vuoden ajan tuon jälkeenkin, byrokratian rattaat lähtee pyörimään.

Siellä on ensin virallisia kirjeitä, vuoden oikeudessa väännön jälkeen jotain uhkasakkoja, ja uhkasakon lankeamisen jälkeen sitä koitetaan periä, jonka jälkeen oikeusruljannssi taas alusta jolla se tiktok oikeasti koitetaan piilottaa.

Käytännössähän sitä ei voida estää, mutta sinne tiktokiin pääseminen voidaan tehdä peruskäyttäjälle hankalaksi, joka tietysti tässä tapauksessa riittää.

Käytännössä tietysti koko tiktok voi olla käytännössä kuollut 5 vuoden aikana.
No kyllä noita näemmä maaliin asti saadaan ('vastikään' Instagram):

TikTokinkin tutkinta on käynnissä, vaikka siinä toki vielä kestää
 
Liittynyt
19.10.2016
Viestejä
5 886
Googlelta on tullut hyvä dokumenttisarja tietoturvasta ja siitä miten Google turvaa omia palveluitaan. Jokainen jakso liittyy yhteen Googlella työskentelevään tiimiin ja samoin noissa käydään isompia keissejä läpi. Vahvat suosittelut.

 
Liittynyt
17.10.2016
Viestejä
2 334
We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information. Our customers’ passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture.
 
Liittynyt
30.07.2017
Viestejä
27
Ilmeisesti Androidin certejä vuotanu ja niitä käytetty malwaren allekirjoittamiseen. Jos nyt oikein ymmärsin niin vuotaneilla certeillä allekirjotetut ohjelmat voivat ajaa itseään käyttöjärjestelmän oikeuksin.


Edit: Jos tuosta bugisivulta nyt oikein ymmärtää, on tämä vissiin ollut jo joitakin kuukausia sisäisesti tiedossa ja nyt vasta julkaistu, eli ehkä on korjattukkin jo nykyisistä android versioista, jos vaan päivitykset on ihmisillä ajantasalla.
 
Viimeksi muokattu:
Liittynyt
10.01.2019
Viestejä
16 125
Ilmeisesti Androidin certejä vuotanu ja niitä käytetty malwaren allekirjoittamiseen. Jos nyt oikein ymmärsin niin vuotaneilla certeillä allekirjotetut ohjelmat voivat ajaa itseään käyttöjärjestelmän oikeuksin.
Tämähän kuullostaa ihan siltä millä devaajat voisi tehdä oikeita älypuhelin sovelluksia.


Edit, io-tech oli tehnyt asiasta uutisen jossa kerrottu seikkaperäisemmin mistä kyse

Googlen palveluksessa työskentelevä insinööri Łukasz Siewierski on havainnut joidenkin OEM-valmistajien käyttämien Android-alustan allekirjoitusvarmenteiden vuotaneen vääriin käsiin. Vuoto on mahdollistanut haittaohjelmien allekirjoittamisen OEM-valmistajien varmententeilla, mikä on tehnyt haitallisten sovellusten tunnistamisesta haastavaa. Koska kyseessä on koko Android-alustan allekirjoitusvarmenne, voidaan samalla varmenteella allekirjoitetulle haittaohjelmalle myöntää koko järjestelmätason käyttöoikeudet. Alla on lueteltu vuodetuilla varmenteilla allekirjoitettuja haittaohjelmia mutta periaatteessa vuoto mahdollistaa myös OEM-valmistajien omien sovellusten saastuttamisen. Allekirjoituksen jälkeen sovellus vaikuttaa turvalliselta ja asentuu päivityksenä edellisen version päälle, minkä jälkeen käyttäjän on liki mahdotonta havaita saastunutta sovellusta.
  • com.russian.signato.renewis
  • com.sledsdffsjkh.Search
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage
  • com.vantage.ectronic.cornmuni
Toistaiseksi vuodettuja varmenteita on havaittu muun muassa Samsungilta, LG:ltä ja MediaTekiltä. Google on ollut valmistajiin jo yhteydessä ja pyytänyt heitä uusimaan kyseiset varmenteet. APKMirrorin tietokannan perusteella esimerkiksi Samsung on kuitenkin jatkanut vuodettujen varmenteiden käyttämistä viime päiviin asti. Lisäksi Google kehottaa valmistajia harkitsemaan jatkossa tarkemmin, kuinka usein koko Android-alustan allekirjoitusvarmenteita käytetään yksittäisten sovellusten kohdalla.

Googlen mukaan Play Kaupasta ladatut sovellukset ovat turvallisia mutta OEM-valmistajien tai muiden osapuolten kauppapaikoista ladatut sovellukset saattavat olla saastuneita, sillä varmenteen perusteella sovellukseen ei voida enää luottaa. Esimerkiksi APKMirrror luokittelee sovelluksen turvalliseksi käytetyn allekirjoitusvarmenteen perusteella. Jatkossa käyttäjän tuleekin pitää kaikkia vuodetuilla varmenteilla allekirjoitettuja sovelluksia potentiaalisesti saastuneina.

Lähteet:
No hyvis ilmeisesti joutuu ne certit kaivaan hämäriltä kujilta.
 
Viimeksi muokattu:

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Apple parantaa iCloud palvelujensa tietoturvaa. Lähinnä lisää end-to-end salausta iCloudin eri juttuihin.

iCloud already protects 14 sensitive data categories using end-to-end encryption by default, including passwords in iCloud Keychain and Health data. For users who enable Advanced Data Protection, the total number of data categories protected using end-to-end encryption rises to 23, including iCloud Backup, Notes, and Photos. The only major iCloud data categories that are not covered are iCloud Mail, Contacts, and Calendar because of the need to interoperate with the global email, contacts, and calendar systems.

Edit: Päivitetty iCloudin suojaus artikkeli (Standard ja Advanced data protection)
 
Viimeksi muokattu:
Liittynyt
07.07.2019
Viestejä
1 395
Niin monta kertaa kun tässäkin keskustelussa on jauhettu salasanoista, niin nyt ne on vihdoinkin historiaa? Chromeen tuli login manageri, jolla kirjautuminen on helppoa ja turvallista:

Sekä keskustelu aiheesta, joka on pyörinyt jo kolmisen vuotta. Mutta tämän verran se vaati aikaa, että saatiin tuotua suoraan selaimeen nuo ominaisuudet laajasti tuettuna:

Ja vielä Iltasanomissakin:
Chrome-selain aloitti salasanojen hylkäämisen: Tämä tulee tilalle
 
Viimeksi muokattu:

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Niin monta kertaa kun tässäkin keskustelussa on jauhettu salasanoista, niin nyt ne on vihdoinkin historiaa?
Mahdollisesti joskus vielä monen monen vuoden päästä. Tämän idea ja kehityssuunta ovat oikeita, mutta niin kauan kuin tuotannossa olevat järjestelmät ja ohjelmistot eivät tue tätä, salasanoista ei olla pääsemässä eroon. Niin ärsyttäviä kuun ne ovatkin.

Microsoftin passwordless-kirjautuminenkaan ei vaikuta aiheutaneen kovinkaan suurta buumia yritysten keskuudessa. Toivotaan parasta ja sitä rataa.
 
Liittynyt
09.11.2016
Viestejä
1 331
Microsoftin passwordless-kirjautuminenkaan ei vaikuta aiheutaneen kovinkaan suurta buumia yritysten keskuudessa. Toivotaan parasta ja sitä rataa.
Microsoftin ongelma on se, että tietoturvalla koetetaan tehdä rahaa. esim. Azure Active Directory Premium P1 / P2 maksavat molemmat, ja ovat vaatimus MFA:lle. Ymmärrän kyllä, että tuotesegmenttejä pitää olla, mutta itse en koskaan rahastaisi asiakkaita tietoturvalla, vaan muilla ominaisuuksilla.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Tietoturva on aika iso osa it teollisuutta ja sen rahantekoa.
Juurikin näin. Lisäksi tuotekehitys ja asioiden pyörittäminen uskottavalla tavalla, ei vaan ole ilmaista vaikka miten kääntelisi ja ajattelisi. Ymmärrän että paremmalla tietoturvalla kaikki voittaa pitkässä juoksussa, mutta kultaisen keskitien löytäminen vasta tehtävä onkin. :)
 
Liittynyt
17.10.2016
Viestejä
2 334
I uncovered multiple zero-day vulnerabilities that I was able to use to turn endpoint detection and response (EDR) and antivirus (AV) tools into next-generation wipers with the potential to impact hundreds of millions of endpoints all around the world.
This wiper runs with the permissions of an unprivileged user yet has the ability to wipe almost any file on a system, including system files, and make a computer completely unbootable. It does all that without implementing code that touches the target files, making it fully undetectable.
 
Liittynyt
20.10.2016
Viestejä
6 184




Tähän olisi kannattanut loppuun laittaa vielä, että tuo on korjattu jo ainakin kolmen valmistajan osalta...

Three of the vendors also released new versions of their software or patches to address this vulnerability:
  • Microsoft Malware Protection Engine: 1.1.19700.2
  • TrendMicro Apex One: Hotfix 23573 & Patch_b11136
  • Avast & AVG Antivirus: 22.10
 
Liittynyt
28.10.2016
Viestejä
2 364
LastPassin "zero knowledge" on jotain ihan muuta:
 
Liittynyt
28.10.2016
Viestejä
2 364
TikTok on seurannut toimittajien sijaintia:

An internal investigation by ByteDance, the parent company of video-sharing platform TikTok, found that employees tracked multiple journalists covering the company, improperly gaining access to their IP addresses and user data in an attempt to identify whether they had been in the same locales as ByteDance employees.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Apple parantaa iCloud palvelujensa tietoturvaa. Lähinnä lisää end-to-end salausta iCloudin eri juttuihin.

iCloud already protects 14 sensitive data categories using end-to-end encryption by default, including passwords in iCloud Keychain and Health data. For users who enable Advanced Data Protection, the total number of data categories protected using end-to-end encryption rises to 23, including iCloud Backup, Notes, and Photos. The only major iCloud data categories that are not covered are iCloud Mail, Contacts, and Calendar because of the need to interoperate with the global email, contacts, and calendar systems.

Edit: Päivitetty iCloudin suojaus artikkeli (Standard ja Advanced data protection)
Tuossa jäi vähemmälle huomiolle tuo, että pystyy estämään selaimella pääsyn iCloud.com datoihin. Advanced Data Protection ei toimi vielä Suomessa, mutta tuo iCloud.com esto toimii.
Kirjautuminen onnistuu selaimella iCloud.com osoitteeseen Face tai Touch ID käyttäen, mutta datoihin ei pääse kiinni ellei luotetulla laitteella sitä salli.
1672236547884.png
Harvoin tullut käytettyä tuota iCloud.com selaimella eli esto meni itsellä päälle.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Netgearin reitittimissä korjattu haavoittuvuus.
 
Liittynyt
22.10.2016
Viestejä
7 045
Netgearin reitittimissä korjattu haavoittuvuus.
Oliko tämä nyt se haavoittuvuus joka edellytti että on kirjautunut roottina sisään että sitä pystyi hyödyntämään?
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Oliko tämä nyt se haavoittuvuus joka edellytti että on kirjautunut roottina sisään että sitä pystyi hyödyntämään?
En tarkemmin tutkinut.
Tuossa on maininta
Attackers can exploit this flaw in low-complexity attacks without requiring permissions or user interaction.
 
Liittynyt
28.10.2016
Viestejä
2 364
Ja vuorostaan Nortonin salasanamanageri murron kohteena:

Our own systems were not compromised. However, we strongly believe that an unauthorized third party knows and has utilized your username and password for your account. This username and password combination may potentially also be known to others.

In accessing your account with your username and password, the unauthorized third party may have viewed your first name, last name, phone number, and mailing address. Our records indicate that you utilize our Norton Password Manager feature and, we cannot rule out that the unauthorized third party also obtained details stored there especially if your Password Manager key is identical or very similar to your Norton account password. If your data has been accessed, the unauthorized third party could make this data available to other unauthorized parties or use the password and email combination to try to access your other online accounts.
 
Liittynyt
01.11.2020
Viestejä
1 230
Liittynyt
28.10.2016
Viestejä
2 364
Niin tai jos luit tuon tiedotteen, salasanamanageria ei ole murrettu, vaan joidenkin käyttäjien Norton-tunnukset ja salasanat ovat joutuneet jakoon jossain muualla. Ilmeisesti vain asianosaiset ovat tuon tiedotteen saaneet.
Luin. Mutta mitä kautta nämä tunnukset vuotivat? Jonkin toisen Nortonin ohjelman, vai mitä kautta kolmannella osapuolella oli pääsy tunnuksiin? Liikaa epäselviä asioita. Myös LastPass jatkaa edelleen radiohiljaisuutta.
 
Liittynyt
01.11.2020
Viestejä
1 230
[
Luin. Mutta mitä kautta nämä tunnukset vuotivat? Jonkin toisen Nortonin ohjelman, vai mitä kautta kolmannella osapuolella oli pääsy tunnuksiin? Liikaa epäselviä asioita. Myös LastPass jatkaa edelleen radiohiljaisuutta.
Voi olla joku phishingjuttu tai vaikka selaimessa haitallinen lisäke tai mitä vaan. En usko että Nortonilla olisi syytä valehdella siitä ettei heidän järjestelmiinsä ole päästy. Valheella on lyhyet jäljet ja tuolla alalla rankat seuraukset.
 
Liittynyt
28.10.2016
Viestejä
2 364
[
Voi olla joku phishingjuttu tai vaikka selaimessa haitallinen lisäke tai mitä vaan. En usko että Nortonilla olisi syytä valehdella siitä ettei heidän järjestelmiinsä ole päästy. Valheella on lyhyet jäljet ja tuolla alalla rankat seuraukset.
Lähinnä toivoisin aivoimempaa selitystä ja yksityiskohtia. Nyt ei ole edes varmaa onko vuoto tapahtunut jonkin toisen Nortonin tuotteen kautta.
 
Liittynyt
17.10.2016
Viestejä
1 304
Lähinnä toivoisin aivoimempaa selitystä ja yksityiskohtia. Nyt ei ole edes varmaa onko vuoto tapahtunut jonkin toisen Nortonin tuotteen kautta.
Sama ajatus tuli täällä, onko kuitenkin jostain Nortonin palvelusta onnistuttu nuuskimaan tunnuksia. Toisaalta, vaikea sanoa mitä "our customers" aina tarkoittaa. Bleeping Computer kirjoittaa että omistaja olisi Gen Digital, aiemmin SymantecCorporation ja NortonLifeLock. Noista jälkimmäinen on kai aiemmin ostanut Avastin ja Aviran. Linkissä on päivitys, jonka mukaan aika iso määrä tilejä hyökkäyksen kohteena.
Gen’s family of brands offers products and services to approximately 500 million users. We have secured 925,000 inactive and active accounts that may have been targeted by credential-stuffing attacks.
 
Liittynyt
01.11.2020
Viestejä
1 230
Sama ajatus tuli täällä, onko kuitenkin jostain Nortonin palvelusta onnistuttu nuuskimaan tunnuksia. Toisaalta, vaikea sanoa mitä "our customers" aina tarkoittaa. Bleeping Computer kirjoittaa että omistaja olisi Gen Digital, aiemmin SymantecCorporation ja NortonLifeLock. Noista jälkimmäinen on kai aiemmin ostanut Avastin ja Aviran. Linkissä on päivitys, jonka mukaan aika iso määrä tilejä hyökkäyksen kohteena.
Norton on näköjään itse sanonut, että kyseessä on credential stuffing -hyökkäys. Eli tuossahan ei Nortonin tunnukset ja salasanat ole vuotaneet minnekään, vaan hyökkääjä on saanut jostain haltuunsa tunnus/salasana-pareja ja on niitä tunkemalla yrittänyt päästä Nortonin palveluun sisälle. Parit voivat olla peräisin mistä hyvänsä muun saitin tietomurrosta, sillä moni käyttäjä käyttää samaa tunnusta ja salasanaa monessa saitissa, joten osa toimii sitten myös Nortonin sivustossa.

Toki olisi hyvä jos nämä tiedotteet löytyisivät myös Nortonin omasta sivustosta. En ainakaan heti löytänyt.

 
Liittynyt
17.10.2016
Viestejä
1 304
Norton on näköjään itse sanonut, että kyseessä on credential stuffing -hyökkäys. Eli tuossahan ei Nortonin tunnukset ja salasanat ole vuotaneet minnekään, vaan hyökkääjä on saanut jostain haltuunsa tunnus/salasana-pareja ja on niitä tunkemalla yrittänyt päästä Nortonin palveluun sisälle. Parit voivat olla peräisin mistä hyvänsä muun saitin tietomurrosta, sillä moni käyttäjä käyttää samaa tunnusta ja salasanaa monessa saitissa, joten osa toimii sitten myös Nortonin sivustossa.
Tässä tapauksessa saattaisi jollain todennäköisyydellä odottaa credential stuffing hyökkäystä myös muihin palveluihin. Vastaavasti jos tiedot ovat alun perin peräisin jostain Gen Digitalin/Nortonin muusta palvelusta, olisi järkevää yrittää hyökätä juuri Nortonin palveluita vastaan. Ja lisäksi hyökkäyksessä kokeilluista tunnuksista varsin huomattava osa olisi joko entisiä tai aktiivisia Nortonin asiakkaiden tunnuksia. Tämän selvittämiseksi lisätieto olisi mukavaa. Ja siksi Bleeping Computerkin on yrittänyt saada vastausta kuinka moneen Norton käyttäjään hyökkäys kohdistui.

Tosin koska muuta julkista tiedotetta ei ilmeisesti ole laadittu, tuo sinun skenaariosi saattaa olla todennäköisempi. On myös mahdollista että Nortonilla on arvaus mistä palvelusta tiedot ovat peräisin ja he ovat taustalla ottaneet kyseiseen firmaan yhteyttä. Silloin julkinen tiedotus tietenkin jätettäisiin kyseisen firman tehtäväksi.
 
Liittynyt
28.10.2016
Viestejä
2 364
Tietosuojavaltuutetun päätöksen mukaan Google Analytics ei saa aivan puhtaita papereita:

Helmet-kirjastoilla ei ole ollut lainmukaista henkilötietojen käsittelyperustetta Helmet.fi -sivustolla seurantateknologioiden kautta kerättyjen henkilötietojen jatkokäsittelylle, vaan ne ovat käsitelleet näitä henkilötietoja esimerkiksi verkkosivujen kehittämistarkoituksessa ilman lainmukaista käsittelyperustetta (rikotut artiklat: 5(1)(a), 6(1) ja 25(1)).
 
Liittynyt
19.10.2016
Viestejä
857
Googlen vakoiluskriptit löytyy melkein kaikkialta. Jos on käytössä Firefox, niin ETP strict asentoon, jos Edge niin Tracking protection strictiin. Jos muu selain niin uBlock Origin käyttöön.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Jos teillä on TP-Linkin reitittimiä käytössä, kannttaa varmistaa että firmikset ovat ajan tasalla.

Impact
The two different vulnerabilities have unrelated impacts. The first vulnerability is a heap-based buffer overflow that can cause a crash or allow for arbitrary remote code execution. The second vulnerability is an information disclosure issue where the function used by the httpd process may allow an attacker to guess each byte of a username and password deterministically.
 
Liittynyt
09.11.2016
Viestejä
1 331
Ovat kyllä aika iäkkäitä laitteita, "TP-Link router WR710N-V1-151022 running firmware published 2015-10-22 and Archer-C5-V2-160201 running firmware published 2016-02-01"
 
Liittynyt
19.10.2016
Viestejä
5 886
Aktialla on ollut tänään hieman pahempi tietoturvaongelma pankkitunnistautumisen kanssa. Eli tunnistautuminen on nähtävästi mennyt läpi vääränä henkilönä.

"Pankkitunnistautumisessa suuri ongelma, väärien ihmisten vero- ja Kela-tietoja näkyvissä
Aktia-pankilla on ollut vakava häiriö pankkitunnistautumisessa, jota käytetään muun muassa Suomi.fi-tunnistuksessa."

 
Liittynyt
17.10.2016
Viestejä
5 331
Aktialla on ollut tänään hieman pahempi tietoturvaongelma pankkitunnistautumisen kanssa. Eli tunnistautuminen on nähtävästi mennyt läpi vääränä henkilönä.

"Pankkitunnistautumisessa suuri ongelma, väärien ihmisten vero- ja Kela-tietoja näkyvissä
Aktia-pankilla on ollut vakava häiriö pankkitunnistautumisessa, jota käytetään muun muassa Suomi.fi-tunnistuksessa."

Itseäni tuossa tapauksessa ihmetytti kun jossain uutisessa kerrottiin että kun yritti uudestaan niin tulikin eri henkilön tiedot näkyviin. Sen vielä jotenkin ymmärtäisin että aina tulisi saman väärän ihmisen tiedot mutta että joka kerta randomilla jonkun eri henkilön.
 
Liittynyt
19.10.2016
Viestejä
857
Uusimmissa iOS päivityksissä korjausta kriittiseen reikään Safarissa. Pelkkä pahantahtoisella web-sivulla vierailu voi altistaa hyökkäykselle. Aukkoa käytetään jo aktiivisesti iOS 15 ja sitä vanhenmilla versioilla ja Apple on poikkeuksellisesti julkaissut korjauksen jopa iki-vanhalle iOS 12:sta About the security content of iOS 12.5.7
 
Toggle Sidebar

Statistiikka

Viestiketjut
237 427
Viestejä
4 161 314
Jäsenet
70 408
Uusin jäsen
allun90

Hinta.fi

Ylös Bottom