Ana Sayfa Güvenlik Marriott International, 500m Rekor Veri İhlaline Uğradı

Marriott International, 500m Rekor Veri İhlaline Uğradı

  • Harry James
  • 0
  • 1427
  • 74
reklâm

Her ay siber güvenlik, çevrimiçi gizlilik ve veri koruma dünyasında çok şey oluyor. Yetişmek zor!

Aylık güvenlik özetimiz, her ay en önemli güvenlik ve gizlilik haberlerini takip etmenize yardımcı olur. İşte kasımda ne oldu.

1. Marriott International, 500m Kayıt Veri İhlaline Uğradı

Her zamanki gibi, ayın sonunda çıkan en büyük güvenlik haberlerinden biri.

Kasım ayında Marriott International otel grubu ile muazzam bir veri ihlali ortaya çıkmasıyla sona erdi. Saldırganın 2014 yılından beri Marriott International Starwood bölüm ağına erişmesi nedeniyle 500 milyon müşteri kaydının etkilendiği düşünülüyor.

Marriott International, 5.800'den fazla özelliği ile dünyanın en büyük otel zincirini oluşturmak için 2016 yılında Starwood'u satın aldı..

Sızıntı, farklı kullanıcılar için farklı şeyler ifade eder. Ancak, her kullanıcı için bilgi aşağıdakilerin bir kombinasyonunu içerir:

  • isim
  • Adres
  • Telefon numarası
  • E
  • Pasaport numarası
  • Hesap Bilgileri
  • Doğum tarihi
  • Cinsiyet
  • Varış ve ayrılış bilgileri

Belki de en önemlisi, Marriott'un vahyi bazı Kayıtlar şifreli kart bilgilerini içeriyordu ama aynı zamanda özel anahtarların da çalındığını göz ardı edemedi..

Uzun ve kısa olanı şudur: 10 Eylül 2018 tarihinden önce, devremülk özellikleri de dahil olmak üzere herhangi bir Marriott Starwood otelde kalıyorsanız, bilgileriniz tehlikeye girmiş olabilir..

Marriott, bir yıl boyunca WebWatcher'a ücretsiz abonelik sunarak potansiyel olarak etkilenen kullanıcıyı korumak için önlemler almaktadır. ABD vatandaşları ayrıca ücretsiz bir dolandırıcılık danışmanlığı ve ücretsiz geri ödeme kapsamı alacaklar. Şu anda, üç kayıt sitesi var:

  • Amerika Birleşik Devletleri
  • Kanada
  • Birleşik Krallık

Aksi takdirde, verilerinizi korumanın bu üç basit yolunu inceleyin: Veri İhlallerini Karşılamanın Nasıl Yapılacağı: 3 Verilerinizi Korunmanın Basit Yolları Veri İhlallerinin Nasıl Karşılaşılacağı: 3 Veri'nizi Korumanın Basit Yolları Veri ihlallerinin yalnızca hisse fiyatları ve devlet departmanlarına düşmesi gerekmez bütçeleri. Bir ihlal haberi olduğunda, ne yapmalısınız? büyük bir ihlalden sonra.

2. Kripto Çalma Kötü Amaçlı Yazılım ile Enjekte Edilen Olay Akışı JavaScript Kütüphanesi

Haftada 2 milyondan fazla indirme alan bir JavaScript kitaplığına kripto para birimlerini çalmak için tasarlanmış kötü amaçlı kod uygulandı.

Node.js akış modülleriyle çalışmayı kolaylaştıran bir JavaScript paketi olan Event-Stream deposunun karışık kod içerdiği bulundu. Araştırmacılar kodu deobfccule ettiğinde, amacının bitcoin hırsızlığı olduğu anlaşıldı..

Analiz, kodun, mobil ve masaüstü için Copay bitcoin cüzdanı ile ilişkili kitaplıkları hedeflediğini gösterir. Copay cüzdanı bir sistemde varsa, kötü amaçlı kod cüzdan içeriğini çalmaya çalışır. Daha sonra bir Malezya IP adresine bağlanmaya çalışır..

Kötü amaçlı kod, orijinal geliştirici Dominic Tarr'ın kütüphaneyi kontrolünü başka bir geliştiriciye teslim etmesinin ardından Event-Stream deposuna yüklendi, right9ctrl.

Right9ctrl, kontrol teslim edildikten hemen sonra kütüphanenin yeni bir versiyonunu yükledi, Copay cüzdanlarını hedef alan kötü amaçlı kodu içeren yeni versiyon.

Ancak, o zamandan beri, right9ctrl herhangi bir kötü amaçlı kod olmadan kütüphanenin yeni bir versiyonunu daha yükledi. Yeni yükleme ayrıca, kötü amaçlı kod tarafından hedeflenen JavaScript kitaplıklarının kullanımını kaldırmak için cep ve masaüstü cüzdan paketlerini güncelleyerek Copay ile çakışıyor..

3. Amazon, Kara Cuma Öncesinde Veri İhlali Günlerine Uğradı

Amazon, yılın en büyük alışveriş gününden birkaç gün önce (tabii ki Çin'in Bekarlar Günü), veri ihlali yaşadı.

“Teknik bir hata nedeniyle web sitemizin yanlışlıkla adınızı ve e-posta adresinizi ifşa ettiğini bildirmek için sizinle iletişime geçiyoruz. Sorun düzeltildi. Bu, yaptığınız hiçbir şeyin sonucu değildir ve şifrenizi değiştirmenize veya başka herhangi bir işlem yapmanıza gerek yoktur..”

Bu ihlalin kesin ayrıntılarını ölçmek zordur, çünkü pekala, Amazon anlatmıyor. Ancak ABD, ABD, Güney Kore ve Hollanda’daki Amazon kullanıcılarının hepsi ihlal konusunda bir Amazon e-postası aldıklarını bildirdi, bu yüzden oldukça küresel bir konuydu..

Kullanıcılar, Amazon'a yönelik bir saldırıdan ziyade, verilerin ihlal edilmesine yol açan bir Amazon teknik sorunu olduğu konusunda bir miktar teselli alabilir. Bilginin serbest bırakılması, herhangi bir bankacılık bilgisi içermez..

Bununla birlikte, Amazon'un etkilenen kullanıcıların şifrelerini değiştirmelerine gerek olmadığına dair mesajlar yanlış. Amazon veri ihlalinden etkilendiyseniz, hesap şifrenizi değiştirin..

4. Kendi Kendini Şifreleyen Samsung ve Çok Önemli SSD Güvenlik Açıkları

Güvenlik araştırmacıları, Samsung ve Crucial'ın kendi kendini şifreleyen SSD'lerinde birçok kritik güvenlik açığını ortaya çıkardı. Araştırma ekibi, üç Crucial SSD'yi ve dört Samsung SSD'yi test etti ve test edilen her bir modelde kritik sorunlar buldu..

Hollanda Radboud Üniversitesi güvenlik araştırmacılarından Carlo Meijer ve Bernard van Gastel, sürücülerin donanım tabanlı şifrelemeyi kullanan SSD'lerde şifreleme uygulamalarının iki özelliği olan ATA güvenliği ve TCG Opal'ın uygulanmasındaki güvenlik açıklarını [PDF] belirlediler.

Çeşitli konular var:

  • Şifre ve veri şifreleme anahtarı arasında kriptografik bağlamanın eksikliği, bir saldırganın şifre doğrulama işlemini değiştirerek sürücülerin kilidini açabileceği anlamına gelir.
  • Crucial MX300, üretici tarafından belirlenen bir ana şifreye sahiptir - bu şifre boş bir dizedir, örn..
  • SSD aşınma seviyesinin kullanılması ile Samsung veri şifreleme anahtarlarının kurtarılması.

Araştırmacılar, endişe verici bir şekilde, bu güvenlik açıklarının, diğer SSD üreticilerinin yanı sıra diğer modeller için de geçerli olabileceğini belirtti..

Sürücülerinizi nasıl koruyacağınızı mı merak ediyorsunuz? Açık kaynaklı şifreleme aracını kullanarak verilerinizi nasıl koruduğunuzu burada bulabilirsiniz, VeraCrypt VeraCrypt Kullanarak Veri ve Dosyalarınızı Nasıl Şifreleyip Koruyabilirsiniz VeraCrypt Kullanarak Veri ve Dosyalarınızı Nasıl Şifreleyip Koruyabilirsiniz VeraCrypt Kullanarak VeraCrypt Kullanabileceğiniz ücretsiz ve açık kaynaklı bir şifreleme aracı Windows'ta değerli kişisel verilerinizi şifrelemek ve korumak için. .

5. Apple Pay Malvertising Kampanyası iPhone Kullanıcılarını Hedefliyor

iPhone kullanıcıları, Apple Pay’i içeren devam etmekte olan kötü amaçlı bir kampanyanın hedefidir..

Kampanya, Apple Pay kimlik bilgilerini kullanıcıları, iki kimlik avı pop-up'ı kullanarak yönlendirmeye ve dolandırmaya çalışır; saldırı, iOS üzerinden erişildiğinde bir dizi premium gazete ve dergiden kaynaklanır..

PayLeak olarak bilinen kötü amaçlı yazılım, kötü amaçlı reklamı Çin’e kayıtlı bir alana tıklayan, şüphesiz iPhone kullanıcıları.

Kullanıcı etki alanına ulaştığında, kötü amaçlı yazılım, aygıt hareketi, aygıt türü (Android veya iPhone) ve aygıt tarayıcısının Linux x86_64, Win32 veya MacIntel olup olmadığını içeren bir dizi kimlik bilgisini kontrol eder..

Ayrıca, kötü amaçlı yazılım, herhangi bir antivirüs veya antimalware uygulaması için cihazı kontrol eder..

Doğru koşullar sağlanmışsa, Android kullanıcıları, kullanıcının bir Amazon hediye kartı kazandığını iddia eden bir kimlik avı sitesine yönlendirilir.

Ancak, iPhone kullanıcıları iki açılır pencere alır. Birincisi, iPhone'un güncellenmesi gerektiğini belirten bir uyarıdır, ikincisi ise kullanıcıya Apple Pay uygulamasının da güncellenmesi gerektiğini bildirir. İkinci alarm Apple Pay kredi kartı bilgilerini uzaktan kumanda ve kontrol sunucusu ile paylaşıyor.

6. Bir Milyon Çocuk Takipçisi Savunmasız Saatler

En az bir milyon GPS özellikli çocuk izci saati, güvenlik açığı bulunan ebeveynlere satılıyor.

Pen Test Ortakları'nın araştırması, son derece popüler olan MiSafe çocuk güvenlik saatiyle birlikte bir güvenlik sorunlarının derinliğini ortaya koyuyor. GPS özellikli saatler, bir ebeveynin çocuğunun konumunu her zaman izlemesine izin verecek şekilde tasarlanmıştır.

Bununla birlikte, güvenlik araştırmacıları cihaz kimliği numaralarının (ve bu nedenle kullanıcı hesabına) erişilebileceğini buldu..

Hesaba erişmek, güvenlik ekibinin çocuğu bulmasını, çocuğun bir fotoğrafını görüntülemesini, çocuk ile ebeveyni arasındaki konuşmaları dinlemesini veya uzaktan arama yapmasını veya çocuğun mesajını vermesini sağlamıştır..

“Araştırmamız, 'Misafes kids watcher' markalı saatler üzerinde yapıldı ve 30.000 saate kadar etkilediği görülüyor. Ancak, aynı veya neredeyse aynı güvenlik sorunlarından etkilenen en az 53 diğer çocuk izleyici saati markasını keşfettik..”

Çocuklara yönelik akıllı cihazlardaki güvenlik açıkları yeni bir sorun değildir. Bağlantılı Oyuncakları Hedefleyen Yeni Hacker'lar Durumları Güvenilmez Kaldıklarını Görüyor Bağlantılı Oyuncakları Hedefleyen Yeni Hacker'lar Durumları Güvenilmez Kaldıklarını Kanıtlıyorlar. Bununla birlikte, endişelenen biri olarak kalıyor.

“Peki, çocuklarınız için nasıl güvenli akıllı oyuncaklar satın alıyorsunuz? Sen yok,” Hacker One’ın BT mühendisi Aaron Zander’in. “Ancak, gerekirse, en ucuz seçeneklere girmeyin ve video, Wi-Fi ve Bluetooth gibi özellikleri en aza indirmeye çalışın. Ayrıca, bir cihazınız varsa ve güvenlik sorunu varsa, hükümet temsilcilerinize ulaşın, düzenleyici kurumlarınızı yazın, bunun hakkında bir şeyler yapın, daha iyi olmasının tek yolu budur..”

Kasım Güvenlik Haberleri Toplaması

Bunlar, 2018 Kasım’daki en iyi güvenlik hikayelerinden altı tanesi. Fakat çok daha fazlası oldu; hepsini ayrıntılı olarak listeleyecek yerimiz yok. İşte geçen ay ortaya çıkan beş ilginç güvenlik hikayesi:

  • Japon siber güvenlik stratejisi şef yardımcısı, hiç bilgisayar kullanmadığını açıkladı.
  • Ulus devletli kötü amaçlı yazılım Stuxnet, İran'daki tesislere ve kuruluşlara saldırdı (yine).
  • Hacker'lar iPhone X, Samsung Galaxy S9 ve Xiaomi Mi6 cihazlarında sıfır günlük kullanım buluyor.
  • Microsoft, çeşitli bilgisayar korsanları tarafından birden fazla saldırıda kullanılan bir Windows sıfır günlük yararlanma ekini yayar..
  • Pegasus'un gelişmiş casus yazılımı Meksika'daki araştırmacı gazetecileri hedef almak için kullanılıyor.

Bir başka siber güvenlik haberi. Siber güvenlik dünyası sürekli değişiyor ve en son ihlallere, kötü amaçlı yazılımlara ve gizlilik konularına ayak uydurmak bir mücadele..

Bu yüzden her ay sizin için en önemli ve en ilginç haber parçalarını topladık..

Gelecek ayın başında tekrar kontrol edin - yeni bir yılın başlangıcı, daha az değil - Aralık 2018 güvenlik toplantısı için. Gelecek ay, 2018 yılında MakeUseOf’un da güvenlik toparlanmasında da görülecektir. Bu arada, akıllı cihazlarınızı güvenceye almak için bu beş ipucuna ve püf noktalarına göz atın 5 Akıllı Cihazlarınızı ve IoT Cihazlarını Güvenceye Almak için 5 Akıllı Cihazlarınızı ve IoT Cihazlarını Güvenceye Almak için 5 İpucu Akıllı ev donanımı Nesnelerin İnterneti'nin bir parçasıdır, ancak ne kadar güvenli bu cihazlara bağlıyken ağınız mı? .




Henüz no comments

Facebook'u Silmemek İçin 7 Sebep #DeleteFacebook
Sosyal medya
Facebook Zaman Çizelgenizde Diğer Kişilerin Yayınlanmalarını Nasıl Durdurabilirsiniz?
Sosyal medya
Milenyumlara Göre Snapchat İle İlgili Her Şey Yanlış
Sosyal medya
Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.