Έναςερευνητής τεχνητής νοημοσύνης της Microsoft διέρρευσε κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων μυστικών κλειδιών και κωδικών πρόσβασης, ενώ δημοσίευσε έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοικτού κώδικα στο GitHub. Σε μια έρευνα που μοιράστηκε με το TechCrunch, η νεοσύστατη εταιρεία ασφάλειας cloud Wiz δήλωσε ότι ανακάλυψε το αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι αναγνώστες του αποθετηρίου GitHub, το οποίο παρέχει κώδικα ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz ανακάλυψε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να δίνειάδειαπρόσβασης σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος περαιτέρωπροσωπικά δεδομένα.
Τα δεδομένα περιλάμβανανκωδικούςπρόσβασης για υπηρεσίες της Microsoft, μυστικάκλειδιά και άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Σύμφωναμετην Wiz, οιδιευθύνσειςURLστιςοποίες δημοσιεύθηκαν αυτά τα δεδομένα μετά το 2020είχανρυθμιστεί λανθασμένα ώστε να επιτρέπουν δικαιώματα “Πλήρους ελέγχου” αντί για “Μόνο για ανάγνωση”, γεγονόςπουθαμπορούσεναεπιτρέψεισεοποιονδήποτεήξερε πού να κοιτάξει να διαγράψει, να αντικαταστήσει ή να εισάγει κακόβουλο περιεχόμενο Ηεταιρεία δήλωσε ότι αυτό συνέβη.
Η Wiz επισημαίνει ότι ο λογαριασμός αποθήκευσης δεν ήταν άμεσα εκτεθειμένος-ταSAStokensείναι ένας μηχανισμός τηςAzure που επιτρέπει στους χρήστες να δημιουργούν κοινόχρηστους συνδέσμους γιαπρόσβαση σε δεδομένα στολογαριασμότους Azure Storage.
Η Wiz κοινοποίησετα ευρήματά της στηMicrosoft στις 22 Ιουνίου και η Microsoft δήλωσεότισυνέλεξετα κουπόνια SAS δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου. Σε μια ανάρτηση στο blog που μοιράστηκε με το TechCrunch πριν από τη δημοσίευση, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι “δεν εκτέθηκαν δεδομένα πελατών ωςαποτέλεσμααυτούτουπροβλήματοςκαιδενπαραβιάστηκανάλλεςεσωτερικέςυπηρεσίες.“Ωςαποτέλεσμα της έρευνας της Wiz, ηMicrosoftεπιβεβαίωσεότιτοGitHub‘sSecret Spanning Service, η οποία,όπως είπε, είχε επεκταθεί. Η υπηρεσία παρακολουθεί τις αλλαγές σεόλους τους δημόσιους κώδικες ανοικτού κώδικα καιδημοσιεύειδιαπιστευτήριακαι άλλαμυστικά σε απλό κείμενο, συμπεριλαμβανομένωντωνμαρκώνSAS που ενδέχεται να έχουν υπερβολικά επιτρεπτικέςημερομηνίεςλήξηςκαι δικαιώματα.
Προστατεύοντας την Επιχείρησή σας: Η Σημασία της Κυβερνοασφάλειας
Η κυβερνοασφάλεια είναι κάτι περισσότερο από μια απλή ανησυχία για την τεχνολογική ασφάλεια. Είναι η βασική αμυντική γραμμή της επιχείρησής σας, προστατεύοντας τα δεδομένα, τους πελάτες και τη φήμη σας. Σε αυτό το άρθρο, θα δούμε τη σημασία της κυβερνοασφάλειας στις επιχειρήσεις και πώς μπορείτε να την ενσωματώσετε στην καθημερινή λειτουργία σας.
Κυβερνοασφάλεια: Τι είναι και γιατί είναι σημαντική;
Η κυβερνοασφάλεια αναφέρεται στην προστασία των ψηφιακών συστημάτων, δεδομένων και δικτύων από κυβερνοαπειλές και επιθέσεις. Αυτές οι απειλές μπορούν να περιλαμβάνουν malware, phishing, επιθέσεις ransomware και πολλά άλλα. Γιατί όμως είναι τόσο σημαντική για κάθε επιχείρηση;
1. Προστασία των Δεδομένων: Οι επιχειρήσεις συχνά διαθέτουν ευαίσθητα δεδομένα πελατών, εργαζομένων και οικονομικά στοιχεία. Η διαρροή ή η κλοπή αυτών των δεδομένων μπορεί να οδηγήσει σε σοβαρές συνέπειες, συμπεριλαμβανομένης της απώλειας φήμης και των νομικών επιπτώσεων.
2. Προστασία της Φήμης: Η καλή φήμη είναι ανεκτίμητη. Ένας κακόβουλός «χάκερ» μπορεί να καταστρέψει τη φήμη μιας επιχείρησης, διαρρέοντας προσωπικά δεδομένα ή προκαλώντας αναστάτωση στις υπηρεσίες της.
3. Προστασία από Νομικές Επιπτώσεις: Η μη συμμόρφωση με τους νόμους περί προστασίας των δεδομένων και της κυβερνοασφάλειας μπορεί να οδηγήσει σε σοβαρές νομικές συνέπειες.
Πώς να Ενσωματώσετε την Κυβερνοασφάλεια:
Η κυβερνοασφάλεια δεν είναι μια μονοδιάστατη λύση. Πρέπει να ενσωματωθεί σε όλες τις πτυχές της επιχείρησης. Αναλυτικά:
1. Κατάρτιση και Ευαισθητοποίηση: Εκπαιδεύστε το προσωπικό σας για τις κυβερνοαπειλές και τις βέλτιστες πρακτικές ασφάλειας.
2. Τεχνολογικά Εργαλεία: Χρησιμοποιήστε ασφαλή λογισμικά και υλικά, όπως firewalls, antivirus, IDS/IPS, και SIEM συστήματα, για να προστατεύσετε τα συστήματά σας από επιθέσεις.
3. Ανάλυση και Εντοπισμός Κινδύνων: Εφαρμόστε μηχανισμούς ανίχνευσης και αντιμετώπισης κυβερνοαπειλών για να εντοπίσετε εγκαίρως ανωμαλίες στο δίκτυό σας.
4. Πολιτικές και Διαδικασίες: Τηρήστε πολιτικές και διαδικασίες κυβερνοασφάλειας που καθορίζουν πώς πρέπει να διαχειρίζεστε τα δεδομένα και τις πιθανές απειλές.
5. Συνεργασία με Εξωτερικούς Εμπειρογνώμονες: Εξετάστε τη συνεργασία με εξωτερικούς εμπειρογνώμονες για τον έλεγχο κυβερνοασφάλειας και τον εντοπισμό πιθανών ευπάθειών.
6. Ανάκτηση Δεδομένων και Επιχειρησιακή Συνέχεια: Αναπτύξτε σχέδια ανάκτησης δεδομένων και συνέχειας επιχειρησιακής δραστηριότητας, ώστε να αντιμετωπίσετε τις επιθέσεις.
7. Συμμόρφωση με τους Νόμους: Διασφαλίστε ότι η επιχείρησή σας συμμορφώνεται με τους νόμους περί προστασίας των δεδομένων και της κυβερνοασφάλειας.
Η κυβερνοασφάλεια δεν είναι πλέον πολυτέλεια, αλλά αναγκαίο μέτρο για κάθε επιχείρηση. Η προστασία των δεδομένων, της φήμης και της νομικής συμμόρφωσης πρέπει να βρίσκεται στην κορυφή της λίστας προτεραιοτήτων σας. Εφαρμόζοντας καλές πρακτικές κυβερνοασφάλειας, μπορείτε να προστατεύσετε την επιχείρησή σας και να διασφαλίσετε την ασφαλή της λειτουργία.
Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη
Η εταιρεία γενετικής ανάλυσης 23andMe, επιβεβαίωσε ότι χάκερ, χρησιμοποιώντας κλεμμένους κωδικούς πρόσβασης, απέκτησαν πρόσβαση στις προσωπικές πληροφορίες περίπου 6,9 εκατομμυρίων μελών της.
Ενώ οι χάκερ κατάφεραν να εισέλθουν σε περίπου 14.000 λογαριασμούς, ήτοι το 0,1% των πελατών της, κατάφεραν να δουν πληροφορίες που είχαν μοιραστεί από συγγενείς με γενετικούς δεσμούς στην 23andMe, δήλωσε εκπρόσωπος.
Η 23andMe βρίσκεται σε εξέλιξη ενημέρωσης των πελατών που επηρεάστηκαν και έχει ενισχύσει την ασφάλεια των λογαριασμών απαιτώντας από τους χρήστες να δημιουργήσουν νέους κωδικούς πρόσβασης και φυσικά προστασία 2fa.
Από τους 6,9 εκατομμύρια λογαριασμούς που κατάφεραν να πάρουν πρόσβαση, στους 5,5 εκατομμύρια λογαριασμούς περιείχαν πληροφορίες για γενετικούς συγγενείς και ενδέχεται επίσης να περιλαμβάνουν ημερομηνίες γέννησης και τοποθεσίες, αν είχαν καταχωρηθεί από τους χρήστες, σύμφωνα με την 23andMe.
Η 23andMe ιδρύθηκε το 2006 και έχει έδρα στο Mountain View, Καλιφόρνια, όπου βρίσκεται και η έδρα της Google.
Δημιουργία ψεύτικου DOX για να προστατέψετε τον εαυτό σας
Σε αυτό το άρθρο θα σας δείξω πόσο εύκολο είναι να φτιάξετε ένα ψεύτικο δικό σας DOX για να κάνετε τη ζωή του “χακερ” ή του επιτήδειου που θέλει να βρει πληροφορίες για εσάς, ακόμα πιο δύσκολη.
Θα πω αρχικά τι είναι το DOX-ing
DOX-ing είναι η διαδικασία συγκέντρωσης πληροφοριών για ένα άτομο.Αυτό μπορεί να γίνει διαδικτυακά,μέσω τηλεφώνου ή και face2face.
Οι πληροφορίες που συλλέγει ένας DOX-er για το θύμα του μπορεί να περιέχουν όνομα,τηλέφωνο,e-mail,IP,στοιχεία σύνδεσης από διάφορους λογαριασμούς,διεύθυνση κατοικίας και πάρα πολλά ακόμα!
Όλες αυτές οι πληροφορίες συγκρουτούν ένα DOX.
Το DOX δηλαδή μπορούμε να πούμε ότι είναι και το “έγγραφο” με τις προσωπικές πληροφορίες κάποιου. Αφού κάποιος μαζέψει τις προσωπικές σας πληροφορίες θα τις μοιράσει δημόσια. Θα τις ανεβάσει δηλαδή σε δημόσιες ιστοσελίδες για να μπορεί να διαβάσει τις πληροφορίες σας ο οποιοσδήποτε. Τέτοιες σελίδες μπορεί να είναι το pastebin,το skidpaste,το doxbin και άλλες.
Έχουμε και λέμε λοιπόν.
Έχοντας “δώσει” δημόσια ένα DOX για τον εαυτό σας,με ψεύτικες όμως πληροφορίες,ο επιτήδιος όταν θα προσπαθεί να βρει πληροφορίες για να φτιάξει το DOX σας(να σας DOΧ-άρει δηλαδή) θα βρει ένα ήδη υπάρχων DOX.
Έε,εννοείτε ότι θα μπερδευτεί και θα πάρει πληροφορίες από το ήδη υπάρχων DOX.Επίσης μπορεί να τις συγκρίνει με τις πληροφορίες που έχει ήδη για να δει εαν συμπίπτουν.
Καλό είναι στο ψεύτικο DOX σας να βάλετε και κάποιο αληθινό σας στοιχείο, όπως όνομα,ηλικία,πόλη…κάτι δηλαδή πολύ γενικό(Όχι IP,e-mails,διαδικτιακούς λογαριασμούς επειδή μέσα από αυτα είναι εύκολο να βρει και άλλα!!)
Αν όμως διαθέτετε λογαριασμούς online,μέσω των οποίων ο επιτήδειάς μπορεί να βρει και άλλα στοιχεία μην το κάνετε!
Αν για παράδειγμα γράψετε στο DOX σας ότι λέγεστε Μιχάλης και ότι γεννηθήκατε 01/01/1990 και ότι ζείτε στη Καβάλα,ο επιτήδιως αν τυχαία σας βρει σε κάποια ιστοσελίδα online(π.χ. facebook) και δει ότι όλα αυτά τα στοιχεία συμπίπτουν θα υποψιαστεί ότι μπορεί να είστε εσείς ο τύπος που ψάχνει.
Έτσι μέσω του λογαριασμού στο Facebook σας θα βρει ακόμα περισσότερες πληροφορίες όπως διευθυνση,ενδιαφέροντα,φίλοι,e-mail κλπ κλπ.
Γιάυτό προσοχή!
Ένα ψεύτικο DOX μοιάζει κάπως έτσι:
Όπως βλέπετε αυτό είναι ένα αρκετά μικρό DOX.Δεν περιέχει δηλαδή πολλές πληροφορίες.
Ένα πιο “καλο” και αναλυτικότερο DOX περιέχει πολύ περισσότερες πληροφορίες όπως πιο προσωπικά στοιχεία.
Δεν μας ενδιαφέρει άμα θα φτιάξετε ένα ψεύτικο αναλυτικότατο DOX ή ένα πολύ γενικό με λίγες(και πάλι ψεύτικες)πληροφορίες.
Αρκεί να προσέξετε αυτά που σας είπα.Μπορεί να χρειαστεί αλλά μπορεί και να μην χρειάζεται να βάζετε αληθινές σας πληροφορίες στο ψεύτικο DOX.
Κάτι άλλο που πρέπει να προσέξετε είναι ότι καλό είναι το DOX σας να το γράφετε στα Αγγλικά και άμα το ανεβάσετε στο pastebin αν είστε σίγουροι ότι δεν είστε δυνδεδεμένοι στο λογαριασμό σας στο pastebin.
Μην φτιάξετε πολλά διαφορετικά DOX επειδή ο επιτηδείως θα υποψιαστεί ότι το έχετε κάνει ο ίδιος εσκεμένα.
Ανεβάστε το ψεύτικο DOX σας σε πολλές free paste ιστοσελίδες.
Αυτά από εμένα.Αν έχετε σκοπό να δημιουργήσετε κάποτε ένα ψεύτικο DOX για τον εαυτό σας,καλό είναι να το κάνετε όσο το δυνατόν νωρίτερα για να φαίνεται και πιο παλιό όταν ο άλλος θα ψάξει να βρει στοιχεία σας.