Výbušné flash disky
Nejméně pět ekvádorských novinářů pracujících pro různé zpravodajské organizace dostalo v posledních týdnech dle místních policejních orgánů a organizace pro ochranu svobody slova a práv novinářů Fundamedios balíčky s bombami ukrytými do USB flash disků. Ty měly explodovat po připojení disků k počítači, k čemuž minimálně v jednom případě skutečně došlo. Novináři, který flash disk připojil ke svému počítači, naštěstí způsobil pouze drobná zranění.
Ekvádorský ministr vnitra potvrdil, že ve všech pěti případech byly novinářům dodány stejné typy USB disků, a že incidenty, které označil za snahu o umlčení tisku, jsou aktuálně vyšetřovány jako teroristické útoky.
Obrázková apokalypsa Googlu a Microsoftu
V uplynulém týdnu se ukázalo, že chyba/zranitelnost postihující nástroj pro úpravu obrázků Markup, instalovaný na telefonech Pixel od společnosti Google, která byla publikována v předminulém týdnu, a která si vysloužila neformální označení aCropalypse, postihuje i nástroj Snipping Tool (Výstřižky) ve Windows.
Zranitelnost způsobuje, že po oříznutí obrázku s pomocí jmenovaných nástrojů nedojde ve vybraných případech ke změně velikosti původního souboru, ale pouze k přepisu jeho začátku. Některé části původního obrázku, které měly být odstraněny, tak může být možné obnovit.
Dopady zranitelnosti mohou být relativně citelné, zejména v oblasti ochrany citlivých informací a soukromí, a pro uživatele výše jmenovaných nástrojů tak může být na místě zhodnotit, zda díky zranitelnosti nemohlo dojít k úniku jakýchkoli jejich citlivých dat.
Pro Pixel i Windows 11 jsou již k dispozici záplaty pro diskutovanou zranitelnost, za zmínku však stojí, že totéž se v době psaní tohoto článku ještě netýkalo nástroje Snipping Tool ve Windows 10.
ChatGPT zobrazoval uživatelům cizí data
Aplikace ChatGPT začala v pondělí zobrazovat některým uživatelům v seznamu jejich předchozích požadavků dotazy, které daní uživatelé nikdy nezadali a které patřily jiným uživatelům jmenované platformy. Uživatelé placené verze služby ChatGPT Plus pak mohli na stránkách svého účtu vidět i vybrané osobní (a v omezené míře platební) údaje jiných uživatelů.
Jak se později ukázalo, na vině byla chyba v komponentě sytému Redis, kterou ChatGPT využívá.
CEO společnosti OpenAI, která platformu provozuje, se za situaci omluvil a společnost již začala kontaktovat uživatele, jejichž data mohla v důsledku výše uvedené chyby uniknout – dle analýzy OpenAI by se mělo jednat o cca 1,2 % uživatelů služby ChatGPT Plus.
Platforma BreachForums ukončila svou činnost
V návaznosti na zatčení provozovatele BreachForums, online tržiště s nelegálně získanými daty, v předminulém týdnu, se řízení platformy ujal její druhý administrátor, který posléze informoval, že má v plánu tržiště dále provozovat.
Počátkem tohoto týdne však své rozhodnutí změnil a rozhodl se fungování platformy ukončit. Dle vlastního vyjádření tak učinil v návaznosti na zjištění úspěšného přístupu k serverové infrastruktuře tržiště s využitím účtu původního provozovatele v průběhu víkendu, přičemž tento přístup připisoval policejním orgánům.
FBI později potvrdila, že se jí skutečně podařilo získat databázi obsahující data (včetně těch o uživatelích) z platformy BreachForums a lze tak předpokládat, že v souvislosti s touto platformou dojde v nadcházejících měsících i k dalším zatčením.
Proběhl Pwn2Own 2023
V uplynulém týdnu proběhla každoroční konference/soutěž Pwn2Own zaměřená na identifikaci zranitelností v široce užívaných systémech.
Účastníci akce si letos odnesli přes milion dolarů, přičemž pět nejhodnotnějších zranitelnosti oceněných částkami v rozmezí od 75 000 do 150 000 dolarů se týkalo automobilů Tesla (dvě zranitelnosti), platformy Microsoft Sharepoint, hypervisoru Oracle VirtualBox a komunikační platformy Microsoft Teams.
GitHub provedl výměnu SSH klíčů
Provozovatelé platformy GitHub ve čtvrtek vyměnili RSA SSH klíče užívané pro zabezpečení komunikace s verzovacím systémem Git. K uvedenému kroku se odhodlali poté, co bylo zjištěno, že soukromý RSA klíč užívaný platformou byl v průběhu týdne krátce volně dostupný ve veřejném repozitáři.
Dle oficiálního vyjádření organizace nebylo zpřístupnění klíče spojeno s kompromitací systémů GitHubu a nejsou známy ani žádné případy jeho zneužití. Přesto je dobrý nápad u klientů vyměnit klíče bezpečným způsobem.
Další zajímavosti
- Nový výzkum ukazuje možnosti detekce nežádoucích změn v HW mikročipů
- V platformě WooCommerce byla identifikována kritická zranitelnost umožňující neautentizovanému útočníkovi získat administrátorský přístup
- CISA publikovala Untitled Goose Tool – nástroj pro identifikaci škodlivého chování v cloudových službách společnosti Microsoft
- Nový výzkum ukazuje další možnost v oblasti zneužívání hlasových asistentů
- Ruské vedení se bude zbavovat iPhonů
- Na příkaz vlády v Paňdžábu byl několik dní vypnutý mobilní internet a SMS služby
- ENISA publikovala novou zprávu zaměřenou na hrozby pro organizace působící v dopravě
- Britské policejní orgány provozovaly sérii falešných stránek nabízejících DDoS služby
- Byl publikován exploit pro zranitelnost v systému Veeam Backup & Replication, která umožňuje útočníkům získat přístupové údaje v čitelné podobě
- CSIRT.CZ varoval před falešnými rozšířeními prohlížečů nabízejícími funkčnosti spojené s ChatGPT
- Let's Encrypt spustil rozhraní ARI, které umožňuje upravovat termín obnovení certifikátu
- Byly rozdány Ceny Velkého bratra za rok 2022
- Všechny instance systému CloudPanel defaultně užívají stejný SSL certifikát
Pro pobavení
Better change the URL to ‚https‘ before downloading.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU