LastPass kápnul božskou
Společnost LastPass zveřejnila, že při letošním kybernetickém útoku na její cloudové úložiště došlo k odcizení dat ze zašifrovaných trezorů uživatelů. Službu cloudového úložiště používá LastPass k ukládání archivovaných záloh produkčních dat a při útoku získali útočníci přístup k této službě pomocí přístupového klíče ke cloudovému úložišti a dešifrovacích klíčů ke kontejnerům duálního úložiště odcizených z vývojářského prostředí. Odcizená data obsahovala základní informace o zákaznických účtech, jako jsou názvy společností, jména koncových uživatelů, fakturační adresy, e-mailové adresy, telefonní čísla a IP adresy. Společnost LastPass také přiznala, že z úložného kontejneru byla zkopírována záloha dat zákaznických trezorů, která obsahovala nezašifrovaná data, jako jsou URL adresy webových stránek, a také plně zašifrovaná citlivá pole, jako jsou uživatelská jména a hesla webových stránek a zabezpečené poznámky.
Generální ředitel společnosti LastPass Karim Toubba uvedl, že zašifrovaná data jsou zabezpečena 256bitovým šifrováním AES a lze je dešifrovat pouze pomocí jedinečného šifrovacího klíče odvozeného z hlavního hesla každého uživatele, které společnost LastPass nezná ani neukládá. Přestože jsou data zašifrována, společnost varovala, že se útočníci mohou pokusit získat přístup pomocí hrubé síly. Jedná se o druhý bezpečnostní incident, který společnost LastPass letos zveřejnila poté, co bylo v srpnu narušeno její vývojářské prostředí.
Ukradený zdrojový kód společnosti Okta
Společnost Okta oznámila svým zákazníkům přes emailová upozornění, že došlo k neoprávněnému přístupu do privátních repozitářů firmy nacházejících se na platformě GitHub. Oznámení taktéž ujišťuje že neunikla žádná zákaznická data, nejsou narušeny služby společnosti a není ani potřeba žádné aktivity ze strany zákazníků.
GitHub na začátku prosince upozornil společnost Okta na podezřelé přístupy k jejich účtu, na základě čehož byly neoprávněné přístupy potvrzeny. Další detaily překonání autentizace účtu nejsou prozatím známy.
Společnost Okta se zabývá autentizačními službami a Identity and Access Management řešeními (IAM) a tudíž je pro firmu takovýto průnik do jejích repozitářů velice nepříjemná záležitost vzhledem k tomu, že se nejedná o první podobný incident za tento rok. Už tak pošramocená reputace společnosti z úniku zákaznických dat z března, za kterou údajně stojí skupina Lapsus$ tak dostala další ránu.
Google přichází s end-to-end šifrováním pro web Gmail
Společnost Google oznámila možnost použití end-to-end šifrování pro uživatele používající Google Workspace. Tuto funkcionalitu Google nazývá Clien-side Encryption (CSE) a již dříve byla k dispozici uživatelům služeb Google Drive, Docs, Sheets, Slides a dalších.
Stejně jako při použití jiných šifrovacích utilit, jako například PGP, by servery společnosti Google neměly být schopny číst obsah emailů, včetně obrázků a příloh. Jediná nešifrovaná část emailové komunikace by tedy měly být emailové hlavičky. Uživateli je navíc umožněno použití vlastních privátních klíčů k šifrování dat, kromě standartně používaných šifrovacích metod Google Workspace. Společnost Google zmiňuje, že CSE šifruje data v rámci klientského prohlížeče, a tudíž šifrování probíhá před přenosem dat z klientské stanice.
Tato funkcionalita je současně provozována v režimu beta a je na požádání poskytnuta uživatelům některých subscription plánů. Po povolení služby a konfiguraci klíčů bude funkcionalita zapnutelná tlačítkem klíče v klientském rozhraní při psaní nového emailu. Otázkou samozřejmě zůstává bezpečnost implementace práce s klíči v prohlížeči a to, zda Google má možnost k privátním klíčům přistupovat, navzdory svým prohlášením.
Zneužití XSS v ZoomWhiteboard
Bezpečnostní výzkumník Eugene Lim objevil v aplikaci Whiteboard společnosti Zoom zranitelnost XSS (cross-site scripting). Aplikace Whiteboard umožňuje uživatelům spolupracovat v reálném čase na sdíleném plátně a funguje na webu i v mobilních aplikacích pomocí JavaScriptu a vloženého prohlížeče. Zranitelnost umožňuje útočníkovi odeslat libovolný JavaScript kód jiným klientům a tak provést zmiňovaný útok.
Chyba byla nalezena při studiu způsobu, jakým funkce Zoom Whiteboard používá webové rozhraní API ClipboardEvent a DataTransfer listener k extrakci uživatelských dat ze schránky a jejich vložení do stránky. Lim vyvinul proof-of-concept skript, který používal schránku k vytvoření a doručení XSS payloadu, a zjistil, že zranitelnost bylo poměrně obtížné odhalit, protože zahrnuje závislost na třetí straně. V současné době by již měla být zranitelnost ze strany Zoomu opravena.
FrodoPIR: Budoucnost privátních databázových dotazů?
Společnost Brave Software vyvinula FrodoPIR, databázový dotazovací systém zaměřený na ochranu soukromí, který umožňuje uživatelům získávat data ze serverů, aniž by byl odhalen obsah jejich dotazů. Systém je navržen tak, aby byl jednoduchý na implementaci, univerzálnější a efektivnější než stávající řešení. Společnost Brave plánuje použít FrodoPIR v připravované funkci svého prohlížeče, která uživatelům umožní kontrolovat, zda jejich uživatelská jména a hesla nebyla součástí známých úniků dat. A to bez toho, aniž by serveru prozradila kontrolované dvojice jméno-heslo. Systém má také potenciální využití mimo pouhou kontrolu přihlašovacích údajů, například pro kontrolu transparentnosti a zneplatňování certifikátů, streamování a bezpečné prohlížení webových stránek.
FrodoPIR pracuje ve dvou fázích: offline fázi, kdy probíhají přípravné procesy, a online fázi, kdy je serveru zaslán „šifrovaný“ dotaz. Server zpracuje databázi a výsledky zpřístupní jako veřejné parametry, které si klient stáhne a použije k výpočtu předem zpracovaných dotazů. Klient pak vybere vhodné parametry dotazu a vytvoří šifrovaný vektor dotazu, který odešle serveru. Server se tak nikdy nedozví, na jakou hodnotu se klient dotazuje, a přesto vrátí správnou odpověď, pokud se v databázi nachází. Klient odpověď dešifruje pomocí stejných předem zpracovaných parametrů dotazu.
EU vyšetřuje únik dat z Twitteru
Irská komise pro ochranu osobních údajů (The Irish Data Protection Commission, DPC) zahájila vyšetřování, které má za úkol zjistit, zda společnost Twitter neporušila obecné nařízení o ochraně osobních údajů EU – GDPR nebo zákon o ochraně osobních údajů v návaznosti na únik dat, který se dotkl více než 5,4 milionu uživatelů. Únik zahrnoval jak veřejné informace, tak soukromá telefonní čísla a e-mailové adresy, které byly získány zneužitím zranitelnosti v aplikačním programovém rozhraní (API) Twitteru, kterou společnost opravila v lednu.
Tyto údaje byly v červenci nabídnuty k prodeji na hackerském fóru za 30 000 dolarů. Většina údajů byla veřejně dostupná, například Twitter IDs, jména a místa, uniklá databáze však obsahovala i neveřejné informace, například e-mailové adresy a telefonní čísla. Tyto údaje byly shromážděny v prosinci 2021 prostřednictvím zmíněné zranitelnosti, která byla odhalena v rámci bug bounty programu na HackerOne a která umožňovala komukoli zadat do rozhraní API telefonní čísla nebo e-mailové adresy a propojit je s přidruženým Twitter ID.
DPC se ve svém vyšetřování snaží zjistit, zda Twitter splnil všechny své povinnosti správce uživatelských údajů, které mu GDPR udává. V roce 2020 udělil DPC společnosti Twitter pokutu ve výši 450 000 eur za to, že neoznámila porušení ochrany údajů v požadované lhůtě 72 hodin a že porušení ochrany údajů nedostatečně zdokumentovala. V listopadu 2021 udělila DPC pokutu ve výši 265 milionů eur také společnosti Meta za rozsáhlý únik údajů na Facebooku, který odhalil osobní údaje stovek milionů uživatelů po celém světě. Údaje o uživatelích Facebooku byly rovněž sdíleny na známém hackerském fóru. Zveřejnění takových typů údajů umožňuje aktérům hrozeb využít je například k cíleným socioinženýrským útokům.
Ve zkratce
- W4SP stealer objeven v několika PyPI balíčcích
- Bug ve Wordpress pluginu s 50k+ stáhnutími aktivně využívají hackeři
- Comcast Xfinity účty hacknuty 2FA bypass útokem
- Malware pro krádež informací cílí na softwarové piráty
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU