Postřehy z bezpečnosti: novináři dostali flash disky obsahující výbušninu

27. 3. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na zdraví a životu nebezpečné USB flash disky, zranitelnost umožňující získat původní obsah z „oříznutých“ obrázků nebo konec tržiště BreachForums.

Výbušné flash disky

Nejméně pět ekvádorských novinářů pracujících pro různé zpravodajské organizace dostalo v posledních týdnech dle místních policejních orgánů a organizace pro ochranu svobody slova a práv novinářů Fundamedios balíčky s bombami ukrytými do USB flash disků. Ty měly explodovat po připojení disků k počítači, k čemuž minimálně v jednom případě skutečně došlo. Novináři, který flash disk připojil ke svému počítači, naštěstí způsobil pouze drobná zranění.

Ekvádorský ministr vnitra potvrdil, že ve všech pěti případech byly novinářům dodány stejné typy USB disků, a že incidenty, které označil za snahu o umlčení tisku, jsou aktuálně vyšetřovány jako teroristické útoky.

Obrázková apokalypsa Googlu a Microsoftu

V uplynulém týdnu se ukázalo, že chyba/zranitelnost postihující nástroj pro úpravu obrázků Markup, instalovaný na telefonech Pixel od společnosti Google, která byla publikována v předminulém týdnu, a která si vysloužila neformální označení aCropalypse, postihuje i nástroj Snipping Tool (Výstřižky) ve Windows.

Zranitelnost způsobuje, že po oříznutí obrázku s pomocí jmenovaných nástrojů nedojde ve vybraných případech ke změně velikosti původního souboru, ale pouze k přepisu jeho začátku. Některé části původního obrázku, které měly být odstraněny, tak může být možné obnovit.

Dopady zranitelnosti mohou být relativně citelné, zejména v oblasti ochrany citlivých informací a soukromí, a pro uživatele výše jmenovaných nástrojů tak může být na místě zhodnotit, zda díky zranitelnosti nemohlo dojít k úniku jakýchkoli jejich citlivých dat.

Pro PixelWindows 11 jsou již k dispozici záplaty pro diskutovanou zranitelnost, za zmínku však stojí, že totéž se v době psaní tohoto článku ještě netýkalo nástroje Snipping Tool ve Windows 10.

ChatGPT zobrazoval uživatelům cizí data

Aplikace ChatGPT začala v pondělí zobrazovat některým uživatelům v seznamu jejich předchozích požadavků dotazy, které daní uživatelé nikdy nezadali a které patřily jiným uživatelům jmenované platformy. Uživatelé placené verze služby ChatGPT Plus pak mohli na stránkách svého účtu vidět i vybrané osobní (a v omezené míře platební) údaje jiných uživatelů.

Jak se později ukázalo, na vině byla chyba v komponentě sytému Redis, kterou ChatGPT využívá.

CEO společnosti OpenAI, která platformu provozuje, se za situaci omluvil a společnost již začala kontaktovat uživatele, jejichž data mohla v důsledku výše uvedené chyby uniknout – dle analýzy OpenAI by se mělo jednat o cca 1,2 % uživatelů služby ChatGPT Plus.

Platforma BreachForums ukončila svou činnost

V návaznosti na zatčení provozovatele BreachForums, online tržiště s nelegálně získanými daty, v předminulém týdnu, se řízení platformy ujal její druhý administrátor, který posléze informoval, že má v plánu tržiště dále provozovat.

Počátkem tohoto týdne však své rozhodnutí změnil a rozhodl se fungování platformy ukončit. Dle vlastního vyjádření tak učinil v návaznosti na zjištění úspěšného přístupu k serverové infrastruktuře tržiště s využitím účtu původního provozovatele v průběhu víkendu, přičemž tento přístup připisoval policejním orgánům.

FBI později potvrdila, že se jí skutečně podařilo získat databázi obsahující data (včetně těch o uživatelích) z platformy BreachForums a lze tak předpokládat, že v souvislosti s touto platformou dojde v nadcházejících měsících i k dalším zatčením.

Proběhl Pwn2Own 2023

V uplynulém týdnu proběhla každoroční konference/soutěž Pwn2Own zaměřená na identifikaci zranitelností v široce užívaných systémech.

Účastníci akce si letos odnesli přes milion dolarů, přičemž pět nejhodnotnějších zranitelnosti oceněných částkami v rozmezí od 75 000 do 150 000 dolarů se týkalo automobilů Tesla (dvě zranitelnosti), platformy Microsoft Sharepoint, hypervisoru Oracle VirtualBox a komunikační platformy Microsoft Teams.

GitHub provedl výměnu SSH klíčů

Provozovatelé platformy GitHub ve čtvrtek vyměnili RSA SSH klíče užívané pro zabezpečení komunikace s verzovacím systémem Git. K uvedenému kroku se odhodlali poté, co bylo zjištěno, že soukromý RSA klíč užívaný platformou byl v průběhu týdne krátce volně dostupný ve veřejném repozitáři.

bitcoin školení listopad 24

Dle oficiálního vyjádření organizace nebylo zpřístupnění klíče spojeno s kompromitací systémů GitHubu a nejsou známy ani žádné případy jeho zneužití. Přesto je dobrý nápad u klientů vyměnit klíče bezpečným způsobem.

Další zajímavosti

Pro pobavení

Better change the URL to 'https' before downloading.

Better change the URL to ‚https‘ before downloading.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.