Marriott International Suffers 500m Record Data Breach
Så mye skjer hver måned i verden av cybersecurity, online personvern og databeskyttelse. Det er vanskelig å holde tritt!
Vår månedlige sikkerhetsfordeling hjelper deg med å holde faner på de viktigste sikkerhets- og personvernsnyheter hver måned. Her er det som skjedde i november.
1. Marriott International Suffers 500m Record Data Breach
Som en gang treffer en av de største biter av sikkerhetsnyheter i slutten av måneden.
November avsluttet med Marriott International Hotel Group avsløre en enorm data brudd. Det antas at 500 millioner kundeoppføringer er berørt da angriperen hadde tilgang til Marriott International Starwood divisjonsnettverket siden 2014.
Marriott International kjøpte Starwood i 2016 for å skape den største hotellkjeden i verden, med over 5.800 eiendommer.
Lekkasjen betyr forskjellige ting for ulike brukere. Imidlertid inneholder informasjonen for hver bruker en kombinasjon av:
- Navn
- Adresse
- Telefonnummer
- Epostadresse
- Passnummer
- Kontoinformasjon
- Fødselsdato
- Kjønn
- Ankomst- og avreiseinformasjon
Kanskje mest viktig er Marriotts åpenbaring som noen poster inkluderte kryptert kortinformasjon - men kunne heller ikke utelukke at private nøkler også var blitt stjålet.
Den lange og korte er dette: Hvis du bodde på et hvilket som helst Marriott Starwood-hotell, inkludert timeshare-egenskaper, før 10. september 2018, kan informasjonen din ha blitt kompromittert.
Marriott tar tiltak for å beskytte potensielt berørt bruker ved å tilby et års gratis abonnement på WebWatcher. Amerikanske statsborgere vil også motta gratis svindelkonsultasjon og refusjonsdekning gratis. På nåværende tidspunkt er det tre registreringssteder:
- forente stater
- Canada
- Storbritannia
Ellers kan du sjekke ut disse tre enkle måtene for å beskytte dataene dine. Slik motvirker databrudd: 3 enkle måter å beskytte dine data på. Slik motvirker databrudd: 3 enkle måter å beskytte dataene dine Databrudd rammer ikke bare aksjekurser og myndigheter budsjetter. Hva skal du gjøre når nyheter om brudd treffer? Les mer etter et stort brudd.
2. Event-Stream JavaScript-bibliotek injisert med Crypto-Staling Malware
Et JavaScript-bibliotek som mottar over 2 millioner nedlastinger per uke ble injisert med ondsinnet kode designet for å stjele cryptocurrencies.
Event-Stream-arkivet, en JavaScript-pakke som forenkler arbeidet med Node.js streaming-moduler, ble funnet å inneholde forvirret kode. Når forskerne slo av koden, ble det klart at målet hans var bitcoin theft.
Analyse antyder at koden er målrettet med biblioteker knyttet til Copay bitcoin-lommeboken til mobil og skrivebord. Hvis Copay-lommeboken er til stede på et system, forsøker den ondsinnede koden å stjele lommebokinnholdet. Det forsøker da å koble til en malaysisk IP-adresse.
Den ondsinnede koden ble lastet opp til Event-Stream-arkivet etter at den opprinnelige utvikleren Dominic Tarr ga kontroll over biblioteket til en annen utvikler, right9ctrl.
Right9ctrl lastet opp en ny versjon av biblioteket nesten så snart kontrollen ble overlevert. Den nye versjonen inneholder den ondsinnede koden som retter seg mot Copay-lommebøker.
Siden den tiden har right9ctrl lastet opp en ny versjon av biblioteket uten skadelig kode. Den nye opplastingen sammenfaller samtidig med at Copay oppdaterer sine mobil- og stasjonære lommebokpakker for å fjerne bruken av JavaScript-bibliotekene som er målrettet mot den ondsinnede koden.
3. Amazon Suffers Data Breach Dager Før Svart Fredag
Bare dager før årets største shoppingdag (bar Kinas enkeltdag, selvfølgelig), har Amazon hatt et brudd på data.
“Vi kontakter deg for å fortelle deg at nettstedet vårt utilsiktet har gitt navn og e-postadresse på grunn av en teknisk feil. Problemet er løst. Dette er ikke et resultat av alt du har gjort, og det er ikke nødvendig for deg å endre passordet ditt eller ta andre handlinger.”
Det er vanskelig å måle nøyaktige detaljer om bruddet fordi, Amazon, forteller ikke. Imidlertid rapporterte Amazon-brukere i USA, USA, Sør-Korea og Nederland alle at de mottok en Amazon-e-post om bruddet, så det var et ganske globalt problem.
Brukere kan ta litt trøst ved at det var et Amazon-teknisk problem som førte til databrudd, snarere enn et angrep på Amazon. Utgivelsen av informasjon inneholder heller ikke bankinformasjon.
Imidlertid er Amazons melding om at det ikke er behov for berørte brukere å endre passordet deres, feil. Hvis du har blitt påvirket av Amazon-brudd på data, endrer du passordet for kontoen din.
4. Selvkrypterende Samsung og viktige SSD-sikkerhetsproblemer
Sikkerhetsforskere avdekket flere kritiske sårbarheter i Samsung og Crucial selvkrypterende SSDer. Forskningsgruppen testet tre viktige SSDer og fire Samsung SSDs, og fant kritiske problemer med hver testet modell.
Carlo Meijer og Bernard van Gastel, sikkerhetsforskere ved Radboud University i Nederland, identifiserte sårbarheter [PDF] i stasjonernes implementering av ATA-sikkerhet og TCG Opal, som er to spesifikasjoner for implementering av kryptering på SSD-er som bruker maskinvarebasert kryptering.
Det er en rekke problemer:
- Mangel på kryptografisk binding mellom passord og datakrypteringsnøkkel betyr at en angriper kan låse opp stasjoner ved å endre passordvalideringsprosessen.
- Crucial MX300 har et hovedpassord satt av produsenten. Dette passordet er en tom streng, for eksempel er det ikke en.
- Gjenoppretting av Samsung-datakrypteringsnøkler gjennom utnyttelse av SSD-slitasje.
Uslått, fortalte forskerne at disse sårbarhetene kan være svært godt gjeldende for andre modeller, samt forskjellige SSD-produsenter.
Lurer du på hvordan du beskytter stasjonene dine? Slik beskytter du dataene ved hjelp av åpen kildekode krypteringsverktøy, VeraCrypt Slik krypterer og beskytter dine data og filer ved hjelp av VeraCrypt Slik krypterer og beskytter dine data og filer ved hjelp av VeraCrypt VeraCrypt er et gratis, åpen kildekode krypteringsverktøy som du kan bruke å kryptere og beskytte verdifulle personlige data i Windows. Les mer .
5. Apple Pay Malvertising-kampanjen retter seg mot iPhone-brukere
iPhone-brukere er målet for en pågående malvertising-kampanje som involverer Apple Pay.
Kampanjen forsøker å omdirigere og lure brukere av sine Apple Pay-legitimasjonsopplysninger ved å bruke to phishing-popup-vinduer, med angrepet som kommer fra en rekke premiumaviser og blader når de er tilgjengelige via IOS.
Malware, kjent som PayLeak, leverer intetanende iPhone-brukere som klikker den skadelige annonsen på et kinesisk registrert domene.
Når brukeren kommer til domenet, kontrollerer malware en rekke legitimasjonsbeskrivelser, inkludert enhetsbevegelse, enhetstypen (Android eller iPhone), og om nettleseren er Linux x86_64, Win32 eller MacIntel.
Videre kontrollerer malware enheten for eventuelle antivirusprogrammer eller antimalware-apper.
Hvis de riktige betingelsene er oppfylt, blir Android-brukere omdirigert til et phishing-nettsted som hevder at brukeren har vunnet et Amazon-gavekort.
IPhone-brukere får imidlertid to popup-vinduer. Den første er et varsel om at iPhone trenger oppdatering, mens den andre informerer brukeren om at deres Apple Pay-app trenger oppdatering også. Det andre varselet deler Apple Pay-kredittkortinformasjonen med en ekstern kommando- og kontrollserver.
6. En million barns tracker klokker sårbare
Minst en million GPS-aktiverte barnas tracker klokker blir solgt til foreldre som er pakket med sårbarheter.
Pen Test Partners 'undersøkelse beskriver et stort antall sikkerhetsproblemer med det ekstremt populære MiSafe barns sikkerhetsur. GPS-aktiverte klokker er designet for å tillate en forelder å spore plasseringen av deres barn til enhver tid.
Sikkerhetsforskerne fant imidlertid at enhetens ID-numre - og dermed brukerkontoen - kunne nås.
Å få tilgang til kontoen aktiverte sikkerhetslaget for å finne barnet, se et bilde av barnet, lytte til samtaler mellom barnet og foreldrene deres, eller ekstern samtale eller melding barnet selv.
“Vår forskning ble utført på klokker merket 'Misafes kids watcher' og ser ut til å påvirke opptil 30.000 klokker. Imidlertid oppdaget vi minst 53 andre merker for tracker watch som påvirkes av identiske eller nesten identiske sikkerhetsproblemer.”
Sårbarheter i smarte enheter rettet mot barn er ikke et nytt problem. Nye tilfeller av hackere som målretter tilkoblede leker, viser at de forblir usikre nye tilfeller av hackere. Målrettede tilkoblede leker beviser at de forblir usikre. Les mer. Det er imidlertid fortsatt et bekymringsfullt.
“Så hvordan kjøper du trygge smarte leker til barna dine? Det gjør du ikke,” sier Aaron Zander, IT ingeniør hos Hacker One. “Men hvis du må, ikke gå for de billigste alternativene og prøv å minimere muligheter som video, Wi-Fi og Bluetooth. Også, hvis du har en enhet, og det har en sikkerhetsfeil, nå ut til regjeringens representanter, skriv dine regulerende organer, gjør en stink om det, det er den eneste måten det blir bedre.”
November Security News Roundup
Det er seks av de beste sikkerhetshistoriene fra november 2018. Men mye mer skjedde; Vi har bare ikke plass til å liste det i detalj. Her er fem mer interessante sikkerhetshistorier som dukket opp i forrige måned:
- Den japanske nestlederen for cybersikkerhetsstrategi viste at han aldri har brukt en datamaskin.
- Nasjonalstatlig malware Stuxnet angriper fasiliteter og organisasjoner i Iran (igjen).
- Hackere finner nulldagsutnyttelser i iPhone X, Samsung Galaxy S9 og Xiaomi Mi6-enheter.
- Microsoft patches en Windows null-dag utnytte brukes i flere angrep av ulike hacking grupper.
- Pegasus avanserte spionprogrammer brukes til å målrette undersøkende journalister i Mexico.
En annen virvelvind av cybersecurity nyheter. Verden av cybersecurity er i stadig endring, og holder seg oppdatert med de siste bruddene, malware og personvernproblemer er en kamp.
Derfor ringer vi opp de viktigste og mest interessante nyhetene for deg hver måned.
Sjekk tilbake i begynnelsen av neste måned - starten på et nytt år, ikke mindre - for din sikkerhetsrunde i desember 2018. Neste måned vil også se MakeUseOf 2018 året i sikkerhetsrapportering også. I mellomtiden kan du sjekke ut disse fem tipsene og triksene for å sikre dine smarte enheter. 5 Tips for å sikre dine smarte enheter og IoT-enheter. 5 Tips for å sikre dine smarte enheter og IoT-enheter. Smart hjemmehardware er en del av tingenes Internett, men hvor trygt er nettverket ditt med disse enhetene koblet til? Les mer .
Bildekreditt: Karlis Dambrans / Flickr
Utforsk mer om: Amazon, Apple Pay, Black Friday, Datasikkerhet, Cryptocurrency, Malvertising, Security Breach, Solid State Drive, Leker.