Postřehy z bezpečnosti: Jak se stát milionářem snadno a rychle

19. 11. 2018
Doba čtení: 3 minuty

Sdílet

V dnešním díle si ukážeme, že Elon Musk stále táhne, podíváme se, kam až může vést šíření fake news, povíme si o chybě platformy Steam a CMS WordPress nebo o změnách v cloudovém úložišti DropBox.

Velmi úspěšný a zároveň jednoduchý podvod se podařil útočníkům, kteří získali přístup k několika twitterovým účtům verifikovaných uživatelů. Jako příklad můžeme uvést vydavatelství Pantheon Books, obchod Matalan či kolumbijské Ministerstvo dopravy a indický Národní úřad krizového řízení. Účtům pak změnili jméno na Elon Musk společně s odpovídající profilovou fotkou a vydali tweet, ve kterém údajně Elon Musk rozdává celkem 10 000 bitcoinů při příležitosti jeho (údajného) odchodu z pozice ředitele společnosti Tesla.

Tweet odkazoval na různé stránky (musk.plus, musk.fund nebo spacex.plus), na kterých byli uživatelé vyzváni k potvrzení jejich bitcoinové peněženky zasláním od 0,1 do 3 bitcoinů na adresu 1KAGE12gtYVfizicQSDQmnPHYfA29bu8Da s tím, že návratnost bude 1 až 30 bitcoinů. Většina nachytaných uživatelů zaslala nejmenší možnou částku, ale našli se i tací dobráci, kteří poslali 0.5 a dokonce i 0.9995 bitcoinů (zhruba 145 000 Kč). Celkem se podařilo útočníkům získat přes 28 bitcoinů (zhruba čtyři miliony korun).

Naše postřehy

WhatsApp je přehlcený objemem tzv. fake news, které se šíří v Indii prostřednictvím skupinových zpráv. Nedostatek důvěry v mainstreamová média vedl k masivnímu šíření falešných digitálních informací na sociálních sítích. Podle BBC však v Indii nabrala tato problematika obrat k nejhoršímu. Šíření fake news prostřednictvím skupin na WhatsAppu, jedné z nejpopulárnějších komunikačních platforem v Indii, s databází dvě stě milionů uživatelů, rozpoutalo v zemi vlnu mimořádného násilí. Britský deník The Guardian píše, že v uplynulém roce bylo zabito zhruba 30 lidí poté, co byli obviněni z únosu dětí. Praxe souvisí s rostoucím hinduistickým nacionalismem a klesající cenou dat. Nezanedbatelný vliv má také silné šifrování WhatsApp komunikace. Není neobvyklé, že Indové více věří tomu, co říká známý, než tradičním médiím.

Světem WordPressu aktuálně hýbe zranitelný plugin, který je stále hojně zneužíván k získání kontroly nad webovými stránkami. Plugin, který slibuje „soulad s GDPR“, tak paradoxně slouží spíše útočníkům než majitelům stránek. Rozšíření se jmenuje „WP GDPR Compliance“ a opravená verze má číslo 1.4.3.

Suma 20 000 dolarů byla udělena v rámci bug bounty programu společností Valve. Výzkumník Artem Moskowsky objevil chybu v platformě Steam, díky které bylo možné zdarma vygenerovat platný klíč pro libovolnou hru. Artem prohlásil, že na chybu narazil náhodou procházením partnerského portálu služby Steam. Jedná se o mechanismus umožňující herním studiím generovat klíče pro fanoušky a novináře. Stačilo pozměnit jeden parametr pro obejití ověření vlastnictví hry.

Facebook obsahoval další bezpečnostní chybu, kterou útočníci mohli zneužít a získat osobní informace o uživatelích a jejich přátelích. Pracovníkům společnosti Imperva se podařilo zjistit, že stránka zobrazovala výsledky včetně iFrame elementů s tím, že jejich konečné URLs neměli žádný ochranný mechanismus, který by je chránil proti CSRF (cross-site requesting forgery). Zranitelnost již byla opravena.

bitcoin školení listopad 24

Dropbox nevyhověl kritice a od 7. listopadu přestal synchronizovat na některých souborových systémech. Konkrétně to znamená, že uživatelé Linuxu, kteří využívají encryptfs a mají Dropbox složku ve svém home adresáři, se musí poohlédnout po konkurenci nebo skousnout snížení bezpečnosti, tedy složku přesunout a začít se starat o správné nastavení přístupových práv. Přesto pokud útočník získá práva uživatele root (což nutně neznamená, že se dostane do home adresáře), jediné cenné soubory, které získá, budou ty z Dropboxu.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.