Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –
Η εταιρεία γενετικής ανάλυσης 23andMe, επιβεβαίωσε ότι χάκερ, χρησιμοποιώντας κλεμμένους κωδικούς πρόσβασης, απέκτησαν πρόσβαση στις προσωπικές πληροφορίες περίπου 6,9 εκατομμυρίων μελών της.
Ενώ οι χάκερ κατάφεραν να εισέλθουν σε περίπου 14.000 λογαριασμούς, ήτοι το 0,1% των πελατών της, κατάφεραν να δουν πληροφορίες που είχαν μοιραστεί από συγγενείς με γενετικούς δεσμούς στην 23andMe, δήλωσε εκπρόσωπος.
Η 23andMe βρίσκεται σε εξέλιξη ενημέρωσης των πελατών που επηρεάστηκαν και έχει ενισχύσει την ασφάλεια των λογαριασμών απαιτώντας από τους χρήστες να δημιουργήσουν νέους κωδικούς πρόσβασης και φυσικά προστασία 2fa.
Από τους 6,9 εκατομμύρια λογαριασμούς που κατάφεραν να πάρουν πρόσβαση, στους 5,5 εκατομμύρια λογαριασμούς περιείχαν πληροφορίες για γενετικούς συγγενείς και ενδέχεται επίσης να περιλαμβάνουν ημερομηνίες γέννησης και τοποθεσίες, αν είχαν καταχωρηθεί από τους χρήστες, σύμφωνα με την 23andMe.
Η 23andMe ιδρύθηκε το 2006 και έχει έδρα στο Mountain View, Καλιφόρνια, όπου βρίσκεται και η έδρα της Google.
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Επίθεση Χάκερ Στο Δικαστικό Σύστημα της Αυστραλίας: Κλοπή Ηχογραφήσεων και Παρεμπόδιση Δικτύου
Χάκερ προσπάθησαν να αποκτήσουν πρόσβαση στη βάση δεδομένων με τις ηχογραφήσεις των δικαστηρίων στην πολιτεία της Βικτόρια στην Αυστραλία και διέκοψαν το δίκτυο τεχνολογίας ήχου-εικόνας στα δικαστήρια, επηρεάζοντας τις υπηρεσίες ηχογραφήσεων και μεταγραφών, δήλωσε επίσημος την Τρίτη.
Σύμφωνα με τη δήλωση της διευθύντριας της Υπηρεσίας Δικαστηρίων της Βικτόρια, Louise Anderson, ενδέχεται να έχουν κλαπεί ηχογραφήσεις από κάποιες δικαστικές ακροάσεις μεταξύ 1ης Νοεμβρίου και 21ης Δεκεμβρίου 2023. Επιπλέον, ορισμένες ακροάσεις πριν από την 1η Νοεμβρίου μπορεί επίσης να έχουν επηρεαστεί, σύμφωνα με τα λεγόμενά της.
“Η πιθανή πρόσβαση περιορίζεται στις ηχογραφήσεις που αποθηκεύονται στο δίκτυο. Δεν προσπελάστηκαν άλλα συστήματα δικαστηρίων ή αρχεία, συμπεριλαμβανομένων πληροφοριών υπαλλήλων ή οικονομικών δεδομένων”, δήλωσε η Anderson.
Οι ακροάσεις του Ιανουαρίου θα συνεχιστούν μετά την απομόνωση και απενεργοποίηση του επηρεασμένου δικτύου, και οι αξιωματούχοι του δικαστηρίου συνεργάζονται στενά με τους ειδικούς κυβερνοασφαλείας της κυβέρνησης. Η Υπηρεσία Δικαστηρίων της Βικτόρια δεν αποκάλυψε εάν λάβει απαιτήσεις για λύτρα.
Ομάδες κυβερνοεγκληματιών με υποστήριξη από το κράτος και χάκερ έχουν εντείνει τις επιθέσεις τους σε κρίσιμες υποδομές, επιχειρήσεις και κατοικίες της Αυστραλίας, όπως ανέδειξε έκθεση της κυβέρνησης που κυκλοφόρησε το Νοέμβριο του 2023, με μία επίθεση να σημειώνεται κάθε έξι λεπτά.
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Το ZeroFont phishing ξεγελάει το Outlook και δείχνει ψεύτικες AV σαρώσεις
Οι χάκερς χρησιμοποιούν ένα νέο τέχνασμα, χρησιμοποιώντας γραμματοσειρές μηδενικού σημείου στα μηνύματα ηλεκτρονικού ταχυδρομείου, για να κάνουν τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου να φαίνονται ότι σαρώνονται με ασφάλεια από τα εργαλεία ασφαλείας του Microsoft Outlook.
Αν και η τεχνική ZeroFont phishing έχει χρησιμοποιηθεί στο παρελθόν, είναι η πρώτη φορά που τεκμηριώνεται ότι χρησιμοποιείται με αυτόν τον τρόπο.
Σε μια νέα έκθεση του αναλυτή της ISC Sans, Jan Kopriva, ο ερευνητής προειδοποιεί ότι αυτό το τέχνασμα θα μπορούσε να κάνει τεράστια διαφορά στην αποτελεσματικότητα των επιχειρήσεων phishing και οι χρήστες θα πρέπει να γνωρίζουν την ύπαρξή της.
Επιθέσεις ZeroFont
Η μέθοδος επίθεσης ZeroFont, η οποία καταγράφηκε για πρώτη φορά από την Avanan το 2018, είναι μια τεχνική phishing που εκμεταλλεύεται ελαττώματα στον τρόπο με τον οποίο τα συστήματα επεξεργασίας τεχνητής νοημοσύνης και φυσικής γλώσσας (NLP) στις πλατφόρμες ασφαλείας ηλεκτρονικού ταχυδρομείου αναλύουν το κείμενο.
Περιλαμβάνει την εισαγωγή κρυμμένων λέξεων ή χαρακτήρων σε μηνύματα ηλεκτρονικού ταχυδρομείου, θέτοντας το μέγεθος της γραμματοσειράς στο μηδέν, καθιστώντας το κείμενο αόρατο για τους ανθρώπινους στόχους, αλλά διατηρώντας το αναγνώσιμο από τους αλγόριθμους NLP.
Η επίθεση αυτή αποσκοπεί στην αποφυγή των φίλτρων ασφαλείας με την εισαγωγή αόρατων καλοήθων όρων που αναμειγνύονται με ύποπτο ορατό περιεχόμενο, διαστρεβλώνοντας την ερμηνεία του περιεχομένου από την τεχνητή νοημοσύνη και το αποτέλεσμα των ελέγχων ασφαλείας.
Στην έκθεσή της για το 2018, η Avanan προειδοποίησε ότι το ZeroFont παρέκαμψε την προηγμένη προστασία από απειλές (ATP) του Office 365 της Microsoft, ακόμη και όταν τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν γνωστές κακόβουλες λέξεις-κλειδιά.
Απόκρυψη ψευδών σαρώσεων antivirus
Σε ένα νέο phishing email που είδε η Kopriva, ένας απειλητικός παράγοντας χρησιμοποιεί την επίθεση ZeroFont για να χειραγωγήσει τις προεπισκοπήσεις μηνυμάτων σε ευρέως χρησιμοποιούμενα προγράμματα ηλεκτρονικού ταχυδρομείου, όπως το Microsoft Outlook.
Συγκεκριμένα, το εν λόγω μήνυμα ηλεκτρονικού ταχυδρομείου εμφάνιζε ένα διαφορετικό μήνυμα στη λίστα email του Outlook από ό,τι στο παράθυρο προεπισκόπησης.
Όπως μπορείτε να δείτε παρακάτω, στο παράθυρο της λίστας email αναγράφεται “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM,” ενώ η αρχή του email στο παράθυρο προεπισκόπησης/ανάγνωσης εμφανίζει “Job Offer | Employment Opportunity”.
Αυτή η ασυμφωνία επιτυγχάνεται με την αξιοποίηση του ZeroFont για την απόκρυψη του ψεύτικου μηνύματος σάρωσης ασφαλείας στην αρχή του ηλεκτρονικού μηνύματος phishing, έτσι ώστε ενώ δεν είναι ορατό στον παραλήπτη, το Outlook εξακολουθεί να το αρπάζει και να το εμφανίζει ως προεπισκόπηση στο παράθυρο καταχώρισης μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Ο στόχος είναι να ενσταλάξουν στον παραλήπτη μια ψευδή αίσθηση νομιμότητας και ασφάλειας.
Παρουσιάζοντας ένα παραπλανητικό μήνυμα σάρωσης ασφαλείας, αυξάνεται η πιθανότητα ο στόχος να ανοίξει το μήνυμα και να ασχοληθεί με το περιεχόμενό του.
Είναι πιθανό ότι το Outlook δεν είναι το μόνο πρόγραμμα-πελάτης ηλεκτρονικού ταχυδρομείου που αρπάζει το πρώτο τμήμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου για προεπισκόπηση ενός μηνύματος χωρίς να ελέγχει αν το μέγεθος της γραμματοσειράς του είναι έγκυρο, οπότε συνιστάται επαγρύπνηση και για τους χρήστες άλλου λογισμικού.
Έκλεψαν κλειδιά SSH από ροή κακόβουλων πακέτων PyPI και npm
Μια σειρά κακόβουλων πακέτων npm και PyPi έχουν βρεθεί να κλέβουν ένα ευρύ φάσμα ευαίσθητων δεδομένων από προγραμματιστές λογισμικού στις πλατφόρμες αυτές.
Η εκστρατεία ξεκίνησε στις 12 Σεπτεμβρίου 2023 και ανακαλύφθηκε για πρώτη φορά από τη Sonatype, οι αναλυτές της οποίας ανακάλυψαν 14 κακόβουλα πακέτα στο npm.
Η Phylum αναφέρει ότι μετά από μια σύντομη διακοπή λειτουργίας στις 16 και 17 Σεπτεμβρίου, η επίθεση συνεχίστηκε και επεκτάθηκε στο οικοσύστημα PyPI.
Από την έναρξη της εκστρατείας, οι επιτιθέμενοι έχουν ανεβάσει 45 πακέτα στο npm (40) και στο PyPI (5), με παραλλαγές στον κώδικα που υποδηλώνουν ταχεία εξέλιξη της επίθεσης.
Κακόβουλα πακέτα
Ο πλήρης κατάλογος των κακόβουλων πακέτων που διανεμήθηκαν στο πλαίσιο αυτής της εκστρατείας βρίσκεται στο κάτω μέρος της έκθεσης της Phylum.
Ωστόσο, αξίζει να σημειωθεί ότι τα παρακάτω πακέτα χρησιμοποίησαν typosquatting για να μοιάζουν με νόμιμα δημοφιλή πακέτα, γεγονός που μπορεί να ξεγελάσει τους προγραμματιστές ώστε να τα εγκαταστήσουν:
shineouts και @dynamic-form-components/shineout – μιμούνται τη δημοφιλή βιβλιοθήκη React “Shineout”
apm-web-vitals – θα μπορούσε να περάσει ως “APM” (application performance monitoring) για τη βιβλιοθήκη “web-vitals” της Google που μετρά την απόδοση του ιστού
eslint-plugin-shein-soc-raw και @spgy/eslint-plugin-spgy-fe – προσποιούνται ότι είναι πρόσθετα ESLint
ssc-concurrent-log-handler & sc-concurrent-log-handler – προσποιούνται ότι είναι νόμιμα βοηθητικά προγράμματα καταγραφής
Σύμφωνα με τη Phylum, τουλάχιστον επτά διαφορετικά κύματα επίθεσης και αρκετές φάσεις περιείχαν τροποποιήσεις κώδικα για την ενίσχυση της μυστικότητας και την προσθήκη πιο συγκεκριμένης στόχευσης.
Τα πρώτα κύματα επιθέσεων εμφανίστηκαν μεταξύ 12 και 15 Σεπτεμβρίου, με τους απειλητικούς φορείς να ανεβάζουν καθημερινά νέα σύνολα πακέτων, φτάνοντας συνολικά τα 33 πακέτα.
Τα μεταγενέστερα κύματα επιθέσεων σημειώθηκαν στις 18 Σεπτεμβρίου (τρία πακέτα), στις 20 Σεπτεμβρίου (πέντε πακέτα) και στις 24 Σεπτεμβρίου (4 πακέτα).
Στα αρχικά κύματα, τα πακέτα διέθεταν σκληρά κωδικοποιημένες ρουτίνες συλλογής και διαφυγής δεδομένων, που περιείχαν εσωτερικά τον κώδικα συλλογής δεδομένων σε μορφή απλού κειμένου, γεγονός που τα καθιστούσε ευάλωτα στον εντοπισμό.
Οι μεσαίες επαναλήψεις εισήγαγαν πιο σύνθετους μηχανισμούς, όπως η ανάκτηση και η εκτέλεση του bash script συλλογής δεδομένων από έναν εξωτερικό τομέα.
Επίσης, οι συγγραφείς πρόσθεσαν ένα άγκιστρο “προεγκατάστασης” για την αυτόματη εκτέλεση κακόβουλων JavaScript κατά την εγκατάσταση.
Τα πιο πρόσφατα πακέτα χρησιμοποιούσαν κωδικοποίηση base64 για να αποφύγουν την ανάλυση, η οποία αργότερα αναβαθμίστηκε σε διπλή κωδικοποίηση base64.
Σε γενικές γραμμές, οι επιτιθέμενοι συμμετείχαν σε μια συνεχή διαδικασία δοκιμής και βελτίωσης του κώδικα και μάλιστα παρέδωσαν πακέτα που εξειδικεύονταν σε ορισμένες πτυχές της συλλογής δεδομένων περισσότερο από άλλες.
Απειλή για κλοπή πληροφοριών
Τα δεδομένα που εκλάπησαν από τα πακέτα περιλαμβάνουν ευαίσθητες πληροφορίες μηχανών και χρηστών.
Τα στοιχεία μηχανής και χρήστη που συλλέγονται περιλαμβάνουν το όνομα κεντρικού υπολογιστή, το όνομα χρήστη, την τρέχουσα διαδρομή, την έκδοση του λειτουργικού συστήματος, τις εξωτερικές και εσωτερικές διευθύνσεις IP και την έκδοση Python για τα πακέτα PyPI.
Αυτές οι λεπτομέρειες και οι ρυθμίσεις του Kubernetes που είναι αποθηκευμένες στα αρχεία kubeconfig και τα ιδιωτικά κλειδιά SSH στο ~/.ssh/id_rsa γράφονται σε ένα αρχείο κειμένου (ConceptualTest.txt) και αποστέλλονται στους διακομιστές των επιτιθέμενων.
Οι κλεμμένες πληροφορίες μπορούν να χρησιμοποιηθούν για την αποκάλυψη των πραγματικών ταυτοτήτων των προγραμματιστών και να δώσουν στους επιτιθέμενους μη εξουσιοδοτημένη πρόσβαση σε συστήματα, διακομιστές ή υποδομές που είναι προσβάσιμες μέσω των κλεμμένων ιδιωτικών κλειδιών SSH.
Εάν οι κλεμμένες διαμορφώσεις του Kubernetes περιέχουν διαπιστευτήρια πρόσβασης σε συστάδες, οι επιτιθέμενοι θα μπορούσαν να τροποποιήσουν τις αναπτύξεις, να προσθέσουν κακόβουλα containers, να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα που είναι αποθηκευμένα στη συστάδα, να μετακινηθούν πλευρικά ή να εξαπολύσουν επίθεση ransomware.
Οι χρήστες των πλατφορμών διανομής κώδικα, όπως το PyPI και το npm, συνιστάται να είναι προσεκτικοί με τα πακέτα που κατεβάζουν και ξεκινούν στα συστήματά τους, καθώς υπάρχει συνεχής εισροή κακόβουλου λογισμικού σε αυτά τα οικοσυστήματα.
