Marriott International subisce una violazione dei dati record di 500 m
Annuncio pubblicitario
Tante cose accadono ogni mese nel mondo della sicurezza informatica, della privacy online e della protezione dei dati. È difficile tenere il passo!
Il nostro riassunto mensile della sicurezza ti aiuterà a tenere sotto controllo le notizie più importanti sulla sicurezza e sulla privacy ogni mese. Ecco cosa è successo a novembre.
1. Marriott International subisce una violazione dei dati record di 500 m
Come sempre, uno dei più grandi successi di notizie sulla sicurezza alla fine del mese.
Novembre si è concluso con il gruppo alberghiero Marriott International rivelando un'enorme violazione dei dati. Si ritiene che siano interessati fino a 500 milioni di record di clienti poiché l'attaccante ha avuto accesso alla rete della divisione Marriott International Starwood dal 2014.
Marriott International ha acquisito Starwood nel 2016 per creare la più grande catena alberghiera del mondo, con oltre 5.800 proprietà.
La perdita significa cose diverse per utenti diversi. Tuttavia, le informazioni per ciascun utente contengono una combinazione di:
- Nome
- Indirizzo
- Numero di telefono
- Indirizzo email
- Numero di passaporto
- Informazioni account
- Data di nascita
- Genere
- Informazioni su arrivi e partenze
Forse la più importante è la rivelazione di Marriott secondo cui alcuni record includevano informazioni crittografate sulla carta, ma non potevano escludere che anche le chiavi private fossero state rubate.
Il lungo e il breve è questo: se hai alloggiato in un hotel Marriott Starwood, comprese le proprietà in multiproprietà, prima del 10 settembre 2018, le tue informazioni potrebbero essere state compromesse.
Marriott sta adottando misure per proteggere l'utente potenzialmente interessato offrendo un abbonamento gratuito di un anno a WebWatcher. I cittadini statunitensi riceveranno inoltre gratuitamente una consulenza sulle frodi e una copertura di rimborso. Al momento, ci sono tre siti di iscrizione:
- stati Uniti
- Canada
- Regno Unito
Altrimenti, dai un'occhiata a questi tre semplici modi per proteggere i tuoi dati Come contrastare le violazioni dei dati: 3 semplici modi per proteggere i tuoi dati Come contrastare le violazioni dei dati: 3 semplici modi per proteggere i tuoi dati tasche. Cosa dovresti fare quando si verifica la notizia di una violazione? Maggiori informazioni dopo una grave violazione.
2. Libreria JavaScript di streaming eventi iniettata con malware crittografato
Una libreria JavaScript che riceve oltre 2 milioni di download a settimana è stata iniettata con codice dannoso progettato per rubare le criptovalute.
Il repository Event-Stream, un pacchetto JavaScript che semplifica il lavoro con i moduli di streaming Node.js, è risultato contenere codice offuscato. Quando i ricercatori hanno deobfuscato il codice, è diventato chiaro che il suo obiettivo era il furto di bitcoin.
L'analisi suggerisce che il codice ha come obiettivo le librerie associate al portafoglio bitcoin Copay per dispositivi mobili e desktop. Se il portafoglio Copay è presente su un sistema, il codice dannoso tenta di rubare il contenuto del portafoglio. Quindi tenta di connettersi a un indirizzo IP malese.
Il codice dannoso è stato caricato nel repository Event-Stream dopo che lo sviluppatore originale, Dominic Tarr, ha passato il controllo della libreria a un altro sviluppatore, right9ctrl.
Right9ctrl ha caricato una nuova versione della libreria non appena è stato consegnato il controllo, la nuova versione contenente il codice dannoso indirizzata ai portafogli Copay.
Tuttavia, da quel momento, right9ctrl ha caricato un'altra nuova versione della libreria, senza alcun codice dannoso. Il nuovo upload coincide anche con Copay che aggiorna i loro pacchetti di wallet mobili e desktop per rimuovere l'uso delle librerie JavaScript targetizzate dal codice dannoso.
3. Amazon subisce i giorni di violazione dei dati prima del Black Friday
Pochi giorni prima del più grande giorno di shopping dell'anno (escluso il China's Single's Day, ovviamente), Amazon ha subito una violazione dei dati.
"Ti stiamo contattando per informarti che il nostro sito Web ha divulgato inavvertitamente il tuo nome e indirizzo email a causa di un errore tecnico. Il problema è stato risolto. Questo non è il risultato di nulla di ciò che hai fatto e non è necessario che tu cambi la password o intraprenda qualsiasi altra azione. "
È difficile valutare i dettagli esatti della violazione perché, beh, Amazon non lo dice. Tuttavia, gli utenti di Amazon nel Regno Unito, negli Stati Uniti, nella Corea del Sud e nei Paesi Bassi hanno riferito di aver ricevuto un'e-mail di Amazon relativa alla violazione, quindi si è trattato di un problema piuttosto globale.
Gli utenti possono provare un po 'di consolazione in quanto si è trattato di un problema tecnico di Amazon che ha portato alla violazione dei dati, piuttosto che a un attacco su Amazon. Il rilascio di informazioni non contiene neanche informazioni bancarie.
Tuttavia, il messaggio di Amazon secondo cui non è necessario che gli utenti interessati cambino la loro password è chiaramente sbagliato. Se sei stato interessato dalla violazione dei dati di Amazon, modifica la password del tuo account.
4. Vulnerabilità con crittografia automatica Samsung e SSD Crucial
I ricercatori della sicurezza hanno scoperto molteplici vulnerabilità critiche negli SSD Samsung e Crucial con crittografia automatica. Il team di ricerca ha testato tre SSD Crucial e quattro SSD Samsung, riscontrando problemi critici con ciascun modello testato.
Carlo Meijer e Bernard van Gastel, ricercatori sulla sicurezza dell'Università di Radboud nei Paesi Bassi, hanno identificato le vulnerabilità [PDF] nell'implementazione dei drive di sicurezza ATA e TCG Opal, che sono due specifiche per l'implementazione della crittografia su SSD che utilizzano la crittografia basata su hardware.
C'è una varietà di problemi:
- La mancanza di associazione crittografica tra password e chiave di crittografia dei dati significa che un utente malintenzionato può sbloccare le unità modificando il processo di convalida della password.
- Il Crucial MX300 ha una password principale impostata dal produttore: questa password è una stringa vuota, ad esempio non ce n'è una.
- Recupero delle chiavi di crittografia dei dati Samsung attraverso lo sfruttamento del livellamento dell'usura SSD.
In modo sconcertante, i ricercatori hanno affermato che queste vulnerabilità potrebbero benissimo applicarsi ad altri modelli così come a diversi produttori di SSD.
Ti chiedi come proteggere le tue unità? Ecco come proteggere i tuoi dati utilizzando lo strumento di crittografia open source, VeraCrypt Come crittografare e proteggere dati e file utilizzando VeraCrypt Come crittografare e proteggere dati e file utilizzando VeraCrypt VeraCrypt è uno strumento di crittografia gratuito e open source che puoi utilizzare per crittografare e proteggere i tuoi preziosi dati personali in Windows. Leggi di più .
5. La campagna Apple Pay Malvertising si rivolge agli utenti iPhone
Gli utenti di iPhone sono il bersaglio di una campagna di malvertising in corso che coinvolge Apple Pay.
La campagna tenta di reindirizzare e truffare gli utenti delle loro credenziali Apple Pay utilizzando due pop-up di phishing, con l'attacco che ha origine attraverso una serie di giornali e riviste premium quando si accede tramite iOS.
Il malware, noto come PayLeak, offre agli utenti iPhone ignari che fanno clic sull'annuncio dannoso in un dominio registrato in Cina.
Quando l'utente arriva al dominio, il malware controlla una serie di credenziali, incluso il movimento del dispositivo, il tipo di dispositivo (Android o iPhone) e se il browser del dispositivo è Linux x86_64, Win32 o MacIntel.
Inoltre, il malware verifica la presenza di app antivirus o antimalware sul dispositivo.
Se vengono soddisfatte le condizioni corrette, gli utenti Android vengono reindirizzati a un sito di phishing che afferma che l'utente ha vinto una carta regalo Amazon.
Tuttavia, gli utenti iPhone ricevono due popup. Il primo è un avviso che l'iPhone deve essere aggiornato, mentre il secondo informa l'utente che anche la sua app Apple Pay deve essere aggiornata. Il secondo avviso condivide le informazioni della carta di credito Apple Pay con un server di comando e controllo remoto.
6. Un milione di orologi tracker per bambini vulnerabili
Almeno un milione di orologi tracker per bambini abilitati per GPS sono venduti ai genitori pieni di vulnerabilità.
La ricerca di Pen Test Partners ha dettagliato una serie di problemi di sicurezza con l'orologio di sicurezza per bambini MiSafe estremamente popolare. Gli orologi abilitati per GPS sono progettati per consentire a un genitore di tenere traccia della posizione del proprio figlio in ogni momento.
Tuttavia, i ricercatori della sicurezza hanno scoperto che era possibile accedere ai numeri ID dispositivo, e quindi all'account utente.
L'accesso all'account ha consentito al team di sicurezza di individuare il bambino, visualizzare una foto del bambino, ascoltare le conversazioni tra il bambino e il suo genitore, oppure chiamare o inviare messaggi remoti al bambino stesso.
"La nostra ricerca è stata condotta su orologi con il marchio" Misafes watcher per bambini "e sembra interessare fino a 30.000 orologi. Tuttavia, abbiamo scoperto almeno 53 altri marchi di orologi tracker per bambini che sono interessati da problemi di sicurezza identici o quasi identici ".
Le vulnerabilità nei dispositivi intelligenti rivolti ai bambini non rappresentano un nuovo problema Nuovi casi di hacker destinati a giocattoli connessi dimostrano che rimangono insicuri Nuovi casi di hacker destinati a giocattoli connessi dimostrano che rimangono non sicuri Ulteriori informazioni. Rimane comunque preoccupante.
“Quindi, come acquisti giocattoli intelligenti sicuri per i tuoi bambini? Non è così ”, afferma Aaron Zander, ingegnere informatico di Hacker One. "Ma se è necessario, non scegliere le opzioni più economiche e provare a ridurre al minimo le funzionalità come video, Wi-Fi e Bluetooth. Inoltre, se disponi di un dispositivo e presenta un difetto di sicurezza, contatta i rappresentanti del tuo governo, scrivi ai tuoi organi di regolamentazione, puzza, è l'unico modo per migliorare. "
Raccolta di notizie sulla sicurezza di novembre
Queste sono le sei principali storie di sicurezza di novembre 2018. Ma sono successe molte altre; semplicemente non abbiamo spazio per elencare tutto in dettaglio. Ecco altre cinque storie di sicurezza interessanti che sono apparse il mese scorso:
- Il vice-capo giapponese della strategia per la sicurezza informatica ha rivelato di non aver mai usato un computer.
- Il malware a stato nazionale Stuxnet attacca le strutture e le organizzazioni in Iran (di nuovo).
- Gli hacker trovano exploit zero-day nei dispositivi iPhone X, Samsung Galaxy S9 e Xiaomi Mi6.
- Microsoft corregge un exploit zero-day di Windows utilizzato in più attacchi da vari gruppi di hacker.
- Lo spyware avanzato Pegasus viene utilizzato per i giornalisti investigativi in Messico.
Un altro turbine di notizie sulla sicurezza informatica. Il mondo della sicurezza informatica è in continua evoluzione e tenere il passo con le ultime violazioni, malware e problemi di privacy è una lotta.
Ecco perché ogni mese ti raccogliamo le notizie più importanti e più interessanti.
Ricontrolla all'inizio del mese prossimo, l'inizio di un nuovo anno, non meno, per la tua rassegna sulla sicurezza di dicembre 2018. Il prossimo mese vedrà anche il MakeUseOf dell'anno 2018 anche in occasione della sicurezza. Nel frattempo, dai un'occhiata a questi cinque suggerimenti e trucchi per proteggere i tuoi dispositivi intelligenti 5 Suggerimenti per proteggere i tuoi dispositivi intelligenti e dispositivi IoT 5 Suggerimenti per proteggere i tuoi dispositivi intelligenti e dispositivi IoT L'hardware della casa intelligente fa parte di Internet of Things, ma quanto è sicuro la tua rete con questi dispositivi è connessa? Leggi di più .
Credito di immagine: Karlis Dambrans / Flickr
Ulteriori informazioni su: Amazon, Apple Pay, Black Friday, Sicurezza informatica, Criptovaluta, Malvertising, Violazione della sicurezza, Unità a stato solido, Giocattoli.