Ze zákulisí Twitteru
Na Malwarebytes vyšel článek, shrnující informace, vynesené Peiterem „Mudgem“ Zatkem. Ten je známý jako člen skupiny L0pht, a pracoval i v DARPA a Googlu. Peitr tvrdí, že když to Twitteru přišel, nebylo tam v podstatě ani rudimentární řízení přístupu – každý technik měl přístup prakticky k jakýmkoliv uživatelským datům. A to ani deset let po žalobě FTC na stejné téma.
Report naznačuje, že Twitter není robustní ani technicky, ani lidsky. Údajně je náchylný k blackoutům a ztrátám dat díky nedostatečné redundanci a dokumentaci a řízení rizik, a na druhé straně je jako světově významná korporace náchylný k lobbingu a vlivu různých zájmových skupin či přímo vlád.
V souvislosti s kauzou Elona Muska, který se rozhodl vycouvat z avizované koupě Twitteru, materiál také naznačuje, že jsou kreativně upravovány statistiky, například tvorbou dobře vypadajících nesmyslných metrik – které tím pádem skrývají například skutečné počty falešných a spamových účtů.
Graf zaměstnanců Twitteru s administrátorským přístupem
Peitrova zpráva byla zveřejněna zhruba dva týdny poté, co byl manažer Twitteru odsouzen za špionáž pro Saúdskou Arábii.
Facebook, sledování polohy a soud
Ani Facebook to nemá jednoduché. Meta je žalována, že i přes zakázané sledování polohy na telefonech s Androidem i iOS aplikace Facebooku opakovaně přesnou polohu získávala. Spor běží už od roku 2018, kdy si Brendan Lundy and Mariah Watkins z Colorada vyžádali od Facebooku svá osobní data, a objevili i detailní záznamy o poloze tam, kde rozhodně být neměly.
K žalobě se později přidala další skupina a rozšířila spor o způsob zjišťování polohy z analýzy IP adres.
Nicméně Meta nyní navrhuje mimosoudní vyrovnání ve výši 37.5 milionu dolarů. Vzhledem k tomu, že vyrovnání se týká přibližně 70 milionů uživatelů, pro každého to znamená něco přes půl dolaru odškodnění. Které si Meta zpátky vydělá v průměru za osm hodin.
Třetí český cenzurní seznam
Vedle seznamu nepovolených internetových her a seznamu stránek s nelegální nabídkou léčivých přípravků k nám na základě zákona č. 242/2000 Sb. a 146/2002 Sb. třetí seznam – „seznam internetových stránek s nabídkou nebezpečných potravin nebo těch, jejichž obsah závažným způsobem porušuje požadavky stanovené právními předpisy, k jejichž kontrole je inspekce příslušná“. Zdá se, že neúspěšná iniciativa Přichází cenzor měla trochu ironicky pravdu minimálně v tom, že s jídlem roste chuť.
RCE zranitelnost v GitLabu
GitLab obsahuje RCE zranitelnost, je silně doporučen update. Zranitelnost se týká funkce importu z GitHubu – pokud nemůžete promptně upgradovat, je dočasným řešením ji zakázat. Postiženy jsou verze 11.3.4 – 15.1.4, 15.2 – 15.2.3 a 15.3. Zranitelnost je vedena jako CVE-2022–2884.
Ve zkratce
- Byla nalezena zranitelnost, zneužitelná k získání rootovského přístupu ve virtuálním stroji. Vedena je jako CVE-2022–31676.
- V Cisco ADSM starších než 7.18.1.152, byla nalezena RCE zranitelnost. Vedena je jako CVE-2021–1585.
- Google Cloud zaznamenal a zneškodnil prozatím největší DDoS útok na HTTPS, čítající 46 milionů dotazů za sekundu.
- Amazon Web Services se často využívají pro landing page phishingových útoků
- Novant Health (USA) unikla data 1 362 296 osob, posbíraná pomocí sledovacího skriptu Meta Pixel (Facebook).
- Linux oslavil 31 let.
Pro poučení
Egor Rogov vydal druhou část své knihy PostgreSQL 14 Internals.
Pro pobavení
Pokud vám ethernetový port začne blikat v morseovce, může jít o využití nápadu Dr. Mordechaie Guriho z Ben Gurionovy univerzity v Negevu k exfiltraci dat. Dr. Guri se ostatně překlenováním vzduchového firewallu zabývá už dlouho a důkladně.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU