Twój cotygodniowy przegląd newsów IT

Koniec roku to czas podsumowań – zacznij więc od sprawdzenia, czy któreś z Twoich haseł nie trafiło na listę najgorszych kombinacji 2018! Zobacz również, na jakie błędy pozwolili sobie Facebook, Amazon czy NASA.

123456 wciąż żywe – najgorsze hasła 2018

Słynne sześciocyfrowe “hasło” otwiera listę najgorszych haseł roku. Tegoroczne zestawienie 25 najpopularniejszych kombinacji przygotowano na bazie 5 mln haseł, które wyciekły do sieci w samym 2018 roku. Na listę trafiło też kilka wariantów popularnego ciągu cyfr oraz wielokrotnie wyśmiewane – a nadal używane! – szyfry w rodzaju “qwerty”, “password”, “password1” czy “admin”. Szacunki autorów zestawienia wskazują, że słynnego “123456” może używać nawet 3% użytkowników sieci… a blisko 10% z nich “chroniło” w tym roku swoje dane przynajmniej jednym z haseł listy. Wielu internautów ma świadomość, że słabe hasło to brak hasła, ale uparcie stosują ograne kombinacje z wygody i zwyczajnego lenistwa. Pół biedy, jeśli nie troszczą się ochroną własnych zasobów; gorzej, gdy takie groźne nawyki przenoszą na zasoby firmowe.

Źródło informacji: EN

Facebook udostępniał partnerom prywatne wiadomości użytkowników

Netflix, Dropbox, Spotify i Królewski Bank Kanady podpisały z Facebookiem umowę, dzięki której mogły m.in. odczytywać, pisać i usuwać prywatne wiadomości użytkowników portalu, widząc też uczestników ich konwersacji. Dostęp miał na celu kojarzenie usług, w ramach których użytkownik Facebooka mógłby np. po zalogowaniu się do Dropboxa udostępnić konkretną zawartość przez komunikator serwisu społecznościowego. Nowy raport New York Times ujawnił jednak, że przyznane partnerom przywileje dostępu przekraczały standardowe wymogi integracji API komunikatora z oprogramowaniem firm trzecich. Przedstawiciele Facebooka utrzymują, że dyskutowany program partnerski “miał charakter eksperymentalny i nie działa już od blisko trzech lat”.

Źródło informacji: EN

Zapytał Alexę o swoje dane, dostał cudze

W ramach GDPR każdy może zażądać od firm przetwarzających dane kompletu informacji na swój temat. Z tego prawa skorzystał pewien użytkownik Alexy – interfejsu Amazona. Jakie było jego zaskoczenie, gdy w odpowiedzi na swoje zapytanie otrzymał 1700 nagrań dźwiękowych innego użytkownika asystenta Amazon. Producent stwierdził, że niefortunne zdarzenie to odosobniony przypadek i efekt błędu ludzkiego oraz skontaktował się z oboma klientami, aby wyjaśnić nieporozumienie. Tym niemniej nawet pojedyncze i przypadkowe współdzielenie plików audio obcej osoby pozostaje problematyczne, bo właściciele Alexy zlecają jej np. zakupy i umawianie wizyt lekarskich. Siłą rzeczy godziny udostępnianych nagrań muszą zawierać informacje wrażliwe, które uparta osoba o złych intencjach z łatwością wykorzystałaby przeciwko nieświadomemu użytkownikowi.

Źródło informacji: EN

“Zapłać 4 tys. dolarów, albo wyślemy zabójcę”

Pamiętacie groźbę wysadzania szkół i banków z ubiegłego tygodnia? Kolejny atak przesuwa granicę jeszcze dalej, serwując ofiarom chyba najdzikszą do tej pory próbę szantażu mailowego.
Roznoszą go wiadomości o temacie – w luźnym tłumaczeniu – “Dość istotna sprawa dla Ciebie właśnie tutaj”. W treści łamaną angielszczyzną autor informuje odbiorcę, że jest specyficznym usługodawcą działającym w Dark Webie. Jego usługi to m.in. zabójstwa na zlecenie i taką właśnie “szybką i bezbolesną” usługę zamówiono w stosunku do odbiorcy wiadomości. Od wyroku można się rzekomo wymigać haraczem 4 tys. dolarów w Bitcoin, za które nadawca wiadomości odwoła zabójcę, a może nawet w ramach bonusu zupełnie go usunie. Kampanię spamową propagującą zagrożenie wykryto w zeszłym tygodniu. Wydaje się mało realne, by ktoś rzeczywiście uwierzył w tak amatorską próbę wyłudzenia, tym niemniej warto przestrzec swoich użytkowników, że cyberprzestępcy chwytają się już wszystkiego.

Źródło informacji: EN

Dwanaście lat danych NASA ląduje na czarnym rynku

W przywoływanej wyżej i alternatywnej wobec Internetu sieci Dark Web faktycznie można kupić wiele nietypowych, często nielegalnych usług i towarów. Od kilku dni należą do nich również dane z 12 ostatnich lat działalności kosmicznej agencji NASA, przy czym mają to być wyłącznie informacje dotyczące personelu. W wewnętrznej informacji agencji jej władze przyznały, że w październiku z serwera bazodanowego kadry wykradziono dane pracowników służby cywilnej NASA, włącznie z ich numerami ubezpieczenia. Według niektórych szacunków, osób dotkniętych wyciekiem może być nawet 21,5 miliona. Trwa dochodzenie mające ustalić przyczyny wycieku, a równolegle NASA weryfikuje zabezpieczenia innych swoich zasobów. Całe zajście wywołało zjadliwe komentarze internautów wytykających agencji, że “dysponuje techniką wysyłania misji na Marsa, a nie potrafi powstrzymać zwykłego ataku z sieci”.  

Źródło informacji: EN

Fałszywe maile Amazon propagują bankowego trojana

Świąteczne wyprzedaże stwarzają doskonałe okazje trzem grupom: dostawcom, klientom i cyberprzestępcom. Ci ostatni wykorzystują gorączkę rabatów i zamówień m.in. podszywając się mailowo pod internetowy sklep Amazon. Wiadomości przygotowane są z dużą dbałością o szczegóły informując odbiorcę jedynie, że jego “zamówienie zostało dostarczone”. Chcąc zrozumieć, o co chodzi zdezorientowany użytkownik musi kliknąć “Szczegóły zamówienia”, pobierając plik order_details.doc. W celu “prawidłowego wyświetlenia” treści dokument żąda dodatkowej zgody. Jej udzielenie aktywuje w tle złośliwe makra i bez wiedzy ofiary pobiera bankowego trojana, znanego pod nazwą Emotet. Zagrożenie zapamiętuje kombinacje klawiszy wpisywane podczas logowania do portali bankowości elektronicznej i wykrada dane przeglądanych kont.

Źródło informacji: EN

IoT: do cyberataku wystarczy dziś żarówka

W erze Internetu Rzeczu (Internet of Things) każde urządzenie podłączone do sieci może zostać wykorzystane do przeprowadzenia cyberataku. Eksperci wykryli lukę bezpieczeństwa w aplikacji kontrolującej nowoczesne żarówki LED, działające w ramach domowej sieci WiFi. Część komunikacji między aplikacją i żarówkami krążyła w postaci zwykłego tekstu, czytelnego dla każdego, kto przechwyciłby ruch. Aplikacja korzystała z protokołu HTTP głównie komunikując się z chmurą producenta, a torem HTTPS chroniła tylko kilka poleceń wysyłanych żarówkom np. rejestrację nowego urządzenia. Dzięki temu wchodząc do sieci można było wykryć i zinfiltrować nieszyfrowany ruch, przejąć kontrolę nad kontem użytkownika i uzyskać adres MAC urządzenia, otwierając cyberprzestępcom drogę do kolejnych ataków.

Źródło informacji: EN

Wyzwania dla płynności biznesu w 2019

Jakie problemy mogą redukować informatyczną płynność biznesu w 2019 roku i kolejnych latach? Zapytano o to blisko 300 menedżerów dużych firm, a ich odpowiedzi pozwoliły wyłonić 5 głównych obszarów. Pierwszym z nich jest odpowiednia reakcja w przypadku cyberataku. Koniecznością, którą muszą zrealizować przedsiębiorcy jest wczesne powiadamianie pracowników – im szybsza prawidłowa reakcja niwelująca skutki infekcji (np. odłączenie komputera od sieci), tym mniej przyszłej pracy z przywracaniem wyłączonych systemów do działania. Kolejne dwa wyzwania dotyczą optymalizowania komunikacji z pracownikami wszystkimi dostępnymi kanałami (które często się dezaktualizują), oraz potrzeby globalnych alertów bezpieczeństwa dla rozproszonych oddziałów i pracowników w różnych miejscach świata. Czwartym zagrożeniem płynności pracy jest rosnący szum informacyjny – według szacunków Gartnera do 2022 r. w sieci będzie więcej informacji fałszywych, niż prawdziwych, podnosząc ryzyko niepotrzebnych i groźnych dla bezpieczeństwa IT zachowań. Ostatnim wyzwaniem są coraz częstsze ekstremalne warunki pogodowe, jak pożary, tornada czy powodzie, związane z postępującym zaostrzaniem się klimatu. Systemy i centra danych muszą być na nie odporne.

Źródło informacji: EN