Zappos - 24 millió ügyfélrekord
A ruházati cikkek kereskedelmével foglalkozó Zappos.com kentucky-i adatközpontján keresztül ismeretlenek 24 millió felhasználó személyes adataihoz férhettek hozzá. A támadók hozzájuthattak nevekhez, e-mail címekhez, számlázási és szállítási címekhez, telefonszámokhoz, és a bankkártyaszámok utolsó négy jegyéhez, de a teljes CC-k a vállalat szerint nem kerülhettek ki.
TeaMp0isoN vs. T-Mobile
A TeaMp0isoN csapatnak egy-egy jól irányzott SQL injection támadással sikerült hozzáférnie néhány T-Mobile alkalmazott jelszavához, amit aztán Pastebinen publikáltak. Egy ilyen hiba egy ekkora cégnél azért elég ciki (bár sajnos nem kirívó), de azt azért létni kell, hogy itt jó eséllyel ismét sqlmap-huszárokkal (erre nem akar összedobni valaki egy logót? :) van dolgunk.
XBox Live jelszó brute-force?
Az Analog Hype blog alapján az Index is lehozta, hogy állítólag bénán volt megcsinálva az xbox.com jelszóellenőrző felülete. A bénán itt azt jelenti, hogy 8 próbálkozást hagyott a támadónak, mielőtt feldobott egy CAPTCHA-t, majd gép-ember teszt nélkül hagyta tovább próbálkozni a delikvenst egy másik fiókkal. A Hype-osokat állítólag elhajtották a MS-osok, ezért publikálták a problémát.
A történet azonban több helyről is bűzlik: Egyrészt január 17-én személyesen is kipróbáltam a dolgot, az első rossz próbálkozás után CAPTCHA-t kaptam. Másrészt az xbox.com, mint minden MS szolgáltatás, Live ID-val működik, és nagyon meg lennék lepve, ha eltérő kódot használnának a különböző site-okon a beléptetésre. Miért nem érintett ez a probléma más oldalakat is? A blogposzt ezen kívül nem szól arról, hogy ha 8 próbálkozásból nem sikerült megtalálni a jelszót, mikor lehet újra próbálkozni (én az első rossz próbálkozás után a jó jelszóval sem tudtam belépni CAPTCHA nélkül, új sessionnel).
Az Analog Hype szerint a "probléma" összefüggésben állhat azzal, hogy 1500 XBox hozzáférés jelent meg a feketepiacon, ami viszont nem túl nagy szám, ennyit simán össze lehet kotorni mondjuk adathalászattal.
Nyílt jelszavak a DreamHost-nál
A DreamHost is kénytelen volt egy kellemetlen közleményt kiadni a héten, miután a "one-click intall wizard" megoldásuk hibáját kihasználva ismeretlenek hozzáfértek a felhasználók jelszavaihoz. Bár a szolgáltató hashelte a jelszavakat, egy régi adatbázis tartalmazta azokat nyílt-szövegként is (tipikus #fail), ezért a DreamHost minden felhasználónál jelszóváltoztatást kényszerít ki. Bár az ügyfelekk közül többen panaszkodtak malware fertőzésre az DH-nál hosztolt, oldalaikon, a cég szerint ezeknek nincs köze a jelszavak kiszivárgásához.
Megaupload - Anonymous DDoS
Az FBI lelövette a Megaupload fájlmegosztó oldalt, mivel a gyanú szerint az üzemeltetők szoftver-kalózkodásban vettek részt. Az Anonymous erre DDoS támadást intézett több kiadó, jogvédő szervezet és az FBI weboldalai ellen is. Majd megunják...
Butyka "IceMan" Róbert vs NASA - 3 év, 7 évre felfüggesztve
A Prím egész jó cikket közölt a témában.
Még mindig Symantec
Bár eddig úgy tűnt, hogy a NAV forráskódja egy indiai partnertől került ki, most úgy tűnik, magát a Symantec rendszerét érte támadás még 2006-ban. A jelek szerint az incidens a víruskergető szoftver mellett több kisebb eszköz forráskódját is érintette, az eset azonban várhatóan nem fogja nagyon megrázni a céget, hiszen az új cél operációs rendszerek megjelenésével az ezekhez szorosan integrálódó eszközök jelentős részét is át kellett írni az évek folyamán.
Oracle frissítések
Megjelent az Oracle negyedéves frissítésainak menetrendszerinti darabja. Az előző héten tévedtem a javításra kerülő hibákkal kapcsolatban, autentikáció nélküli kódfuttatásra alkalmas sebezhetőséget ugyanis nem látok a listában, bocs! Az Oracle szerint a legkellemetlenebb javított sebezhetőség az adatbázis szerver lelövésére ad lehetőséget, távolról, autentikáció nélkül, de hasonló probléma érinti a Solaris TCP/IP stackjét is.
Régebben én is filozofáltam egy sort az Oracle CVSS számítási módszerén, úgy látszik nem ok nélkül. A januári CPU örömére ezzel kapcsolatban is megjelent egy hosszabb, tisztázó poszt.
Izraeli vs. szaudi hackerek
Az MTI egész korrekt összefoglalót közölt, az Izrael és Szaud-Arábia közötti virtuális adok-kapokról. Szvsz. ezek az akciók körülbelül annyira relevánsak, mint az Anonok fenyegetései a mexikói drogkartellek felé: a deface-elgetés meg néhány kB adat publikálása nem lesz hatással arra, hogy ki, mikor, kit lő le/robbant fel.
Facebook vs. Koobface
A Facebook nyilvánosságra hozta a Koobface féreg mögötti szervezet tagjainak nevét és profilját. A Koobface még 2008-ban kezdett el terjedni a közösségi hálózaton, Adobe Flash frissítésnek álcázva magát. A Facebook biztonsági csapata azóta folyamatosan dolgozott a károk enyhítésén, illetve a tettesek kézrekerítésén. Az erőfeszítések eredményeként a féreg 9 hónapja eltűnt a Facebookról, de más közösségi oldalakon továbbra is aktív maradt.
Mivel a legújabb Hacktiont még nem látom TeCsőn, nézzétek ezt (thx detritus!):
kz71 2012.01.23. 21:03:18
krebsonsecurity.com/2012/01/phishing-your-employees-101/
kz