Amazon- och Marriott Hotels dataöverträdelser, sårbara SSD: er, Apple Pay och mer: det är November: s säkerhetsnyheter.

Marriott International lider 500 m Record Data Breach

Annons Så mycket händer varje månad i cybersäkerhetens värld, online-integritet och dataskydd. Det är svårt att hålla jämna steg! Vår månatliga säkerhetsuppfattning hjälper dig att hålla koll på de viktigaste säkerhets- och integritetsnyheterna varje månad. Här är vad som hände i november. 1. Marriott Intern

Annons

Så mycket händer varje månad i cybersäkerhetens värld, online-integritet och dataskydd. Det är svårt att hålla jämna steg!

Vår månatliga säkerhetsuppfattning hjälper dig att hålla koll på de viktigaste säkerhets- och integritetsnyheterna varje månad. Här är vad som hände i november.

1. Marriott International lider 500 m Record Data Breach

Som någonsin har en av de största bitarna med säkerhetsnyheter träffats i slutet av månaden.

November avslutades med hotellgruppen Marriott International som avslöjade ett enormt dataöverträdelse. Det antas att upp till 500 miljoner kundregister påverkas eftersom angriparen hade tillgång till nätverket Marriott International Starwood sedan 2014.

Marriott International förvärvade Starwood 2016 för att skapa den största hotellkedjan i världen med över 5 800 fastigheter.

Läckan betyder olika saker för olika användare. Informationen för varje användare innehåller emellertid en kombination av:

  • namn
  • Adress
  • Telefonnummer
  • E-postadress
  • Passnummer
  • Kontoinformation
  • Födelsedatum
  • Kön
  • Information om ankomst och avgång

Kanske av största vikt är Marriotts uppenbarelse att vissa poster inkluderade krypterad kortinformation - men inte heller kunde utesluta att de privata nycklarna också hade stulits.

Det långa och korta är: om du stannade på ett hotell i Marriott Starwood, inklusive timeshareegenskaper, före 10 september 2018, kan din information ha äventyrats.

marriott internationell hotellgrupps webwatcher-registrering

Marriott vidtar åtgärder för att skydda potentiellt drabbade användare genom att erbjuda ett års gratis prenumeration på WebWatcher. Amerikanska medborgare kommer också att få en kostnadsfri konsultation om bedrägeri och återbetalning. För närvarande finns det tre anmälningswebbplatser:

  • Förenta staterna
  • kanada
  • Storbritannien

Annars kan du kolla in dessa tre enkla sätt att skydda dina data. Hur man motverkar dataöverträdelser: 3 enkla sätt att skydda dina data Hur man motverkar dataintrång: 3 enkla sätt att skydda dina dataintrång bryter inte bara med aktiekurser och regeringsavdelningen budgetar. Vad ska du göra när nyheter om ett brott slår till? Läs mer efter ett stort intrång.

2. JavaScript-bibliotek för händelseström som injiceras med skadlig programvara för kryptostjälv

Ett JavaScript-bibliotek som tar emot över 2 miljoner nedladdningar per vecka injicerades med skadlig kod utformad för att stjäla cryptocurrencies.

Event-Stream-förvaret, ett JavaScript-paket som förenklar arbetet med strömningsmoduler för Node.js, visade sig innehålla dumt kod. När forskarna avböjde koden blev det tydligt att dess mål var bitcoinstöld.

Analys föreslår koden riktar sig till bibliotek som är associerade med Copay bitcoin plånbok för mobil och stationär. Om Copay-plånboken finns i ett system, försöker den skadliga koden att stjäla plånbokens innehåll. Den försöker sedan ansluta till en malaysisk IP-adress.

Den skadliga koden laddades upp till Event-Stream-förvaret efter att den ursprungliga utvecklaren, Dominic Tarr, överlämnade kontrollen över biblioteket till en annan utvecklare, right9ctrl.

Right9ctrl laddade upp en ny version av biblioteket nästan så snart kontroll överlämnades, den nya versionen innehöll den skadliga koden som riktar sig till Copay-plånböcker.

Sedan den tiden har dock right9ctrl laddat upp en ny ny version av biblioteket - utan någon skadlig kod. Den nya uppladdningen sammanfaller också med att Copay uppdaterade sina mobila och stationära plånbokspaket för att ta bort användningen av JavaScript-bibliotek som är inriktade på den skadliga koden.

3. Amazon lider av dataöverträdelse dagar före Black Friday

Några dagar före årets största shoppingdag (naturligtvis Kinas singeldag) fick Amazon ett dataöverträdelse.

”Vi kontaktar dig för att meddela dig att vår webbplats oavsiktligt avslöjade ditt namn och din e-postadress på grund av ett tekniskt fel. Problemet har åtgärdats. Detta är inte ett resultat av någonting du har gjort, och det finns inget behov av dig att ändra ditt lösenord eller vidta andra åtgärder. "

Det är svårt att mäta de exakta detaljerna om överträdelsen, för det är inte Amazon som berättar. Emellertid rapporterade Amazon-användare i Storbritannien, USA, Sydkorea och Nederländerna att de fick ett Amazon-e-postmeddelande angående överträdelsen, så det var en ganska global fråga.

Användare kan ta någon tröst genom att det var en Amazon-teknisk fråga som ledde till datainbrottet, snarare än en attack på Amazon. Utgivningen av information innehåller inte heller någon bankinformation.

Amasons meddelande om att det inte finns något behov av berörda användare att ändra sitt lösenord är dock helt fel. Om du har påverkats av Amazon-dataintrånget, ändra ditt kontolösenord.

4. Självkrypterande sårbarheter i Samsung och Crucial SSD

Säkerhetsforskare upptäckte flera kritiska sårbarheter i Samsung och Crucial självkrypterande SSD: er. Forskningsteamet testade tre Crucial SSD: er och fyra Samsung SSD: er och fann kritiska problem med varje testad modell.

Carlo Meijer och Bernard van Gastel, säkerhetsforskare vid Radboud University i Nederländerna, identifierade sårbarheter [PDF] i enheternas implementering av ATA-säkerhet och TCG Opal, som är två specifikationer för att implementera kryptering på SSD: er som använder hårdvarubaserad kryptering.

självkrypterande ssd-sårbarheter

Det finns olika frågor:

  • Brist på kryptografisk bindning mellan lösenord och datakrypteringsnyckel innebär att en angripare kan låsa upp enheter genom att ändra lösenordsvalideringsprocessen.
  • Crucial MX300 har ett huvudlösenord som har ställts in av tillverkaren - det här lösenordet är en tom sträng, t.ex. finns det inte ett.
  • Återställning av Samsung-datakrypteringsnycklar genom utnyttjande av SSD-slitstyrningsnivå.

Förvånande angav forskarna att dessa sårbarheter mycket väl kan gälla för andra modeller såväl som för olika SSD-tillverkare.

Undrar du om hur du skyddar dina enheter? Så här skyddar du dina data med hjälp av open-source-krypteringsverktyget, VeraCrypt Hur du krypterar och skyddar dina data och filer med VeraCrypt Hur du krypterar och skyddar dina data och filer med VeraCrypt VeraCrypt är ett gratis, open source-krypteringsverktyg som du kan använda för att kryptera och skydda dina värdefulla personuppgifter i Windows. Läs mer .

5. Apple Pay Malvertising-kampanj riktar sig till iPhone-användare

iPhone-användare är målet för en pågående malvertiseringskampanj som involverar Apple Pay.

Kampanjen försöker omdirigera och scam användare av sina Apple Pay-referenser med hjälp av två nätfiske-pop-ups, där attacken kommer från en serie premium-tidningar och tidskrifter när de nås via iOS.

Den skadliga programvaran, känd som PayLeak, levererar intetanande iPhone-användare som klickar på den skadliga annonsen till en kinesisk-registrerad domän.

När användaren anländer till domänen, kontrollerar skadlig programvara en serie referenser, inklusive rörelse av enheten, enhetstypen (Android eller iPhone), och om enhetens webbläsare är Linux x86_64, Win32 eller MacIntel.

Dessutom kontrollerar skadlig programvara enheten för antivirus- eller antimalware-appar.

apple betala falska uppdateringar pop up malware

Om de rätta villkoren är uppfyllda, omdirigeras Android-användare till en phishing-webbplats som hävdar att användaren har vunnit ett Amazon-presentkort.

Men iPhone-användare får två popup-fönster. Den första är en varning om att iPhone behöver uppdateras, medan den andra informerar användaren om att deras Apple Pay-app också behöver uppdateras. Den andra varningen delar Apple Pay-kreditkortsinformation med ett fjärrkommando- och kontrollserver.

6. En miljon barntrackerklockor är sårbara

Minst en miljon GPS-aktiverade barn tracker klockor säljs till föräldrar packade med sårbarheter.

Pen Test Partners 'undersökning beskrev en liten säkerhetsfråga med den extremt populära MiSafe-barns säkerhetsur. De GPS-aktiverade klockorna är utformade så att en förälder kan spåra sitt barns plats hela tiden.

Säkerhetsforskarna fann dock att enhets-ID-nummer - och därför användarkontot - kunde komma åt.

Genom att komma åt kontot gjorde säkerhetsteamet möjlighet att hitta barnet, se ett foto av barnet, lyssna på konversationer mellan barnet och deras förälder eller fjärransamtal eller meddela barnet själv.

”Vår forskning gjordes på klockor märkta med" Misafé barnvaktare "och verkar påverka upp till 30 000 klockor. Vi upptäckte dock åtminstone 53 andra barnmärken för trackerklockor för barn som påverkas av identiska eller nästan identiska säkerhetsproblem. ”

Sårbarheter i smarta apparater riktade till barn är inte en ny fråga. Nya fall av hackare som riktar sig till anslutna leksaker bevisar att de förblir osäkra. Nya fall med hackare. Måltagning av anslutna leksaker bevisar att de förblir osäkra. Läs mer. Det är dock fortfarande oroväckande.

”Så hur köper du säkra smarta leksaker till dina barn? Det gör du inte, säger Aaron Zander, IT-ingenjör på Hacker One. ”Men om du måste, gå inte efter de billigaste alternativen och försök att minimera funktioner som video, Wi-Fi och Bluetooth. Om du har en enhet och den har en säkerhetsbrist, räcka ut till dina regeringsrepresentanter, skriv dina reglerande organ, gör en stink om det, det är det enda sättet att det blir bättre. "

November säkerhetsnyheter Roundup

Dessa är sex av de bästa säkerhetsberättelserna från november 2018. Men mycket mer hände; vi har bara inte utrymme för att lista det hela i detalj. Här är fem fler intressanta säkerhetshistorier som dyker upp förra månaden:

  • Den japanska vice chefen för cybersecurity-strategin avslöjade att han aldrig har använt en dator.
  • Nationell statlig skadlig programvara Stuxnet attackerar anläggningar och organisationer i Iran (igen).
  • Hackare hittar nolldagars exploater i iPhone X, Samsung Galaxy S9 och Xiaomi Mi6 enheter.
  • Microsoft korrigerar ett Windows-dagars utnyttjande som används i flera attacker av olika hackgrupper.
  • Pegasus avancerade spionprogram används för att rikta sig på utredande journalister i Mexiko.

En annan virvelvind av cybersecurity-nyheter. Cybersäkerhetsvärlden förändras ständigt, och att hålla sig à jour med de senaste kränkningarna, skadliga program och integritetsfrågor är en kamp.

Det är därför vi samlar de viktigaste och mest intressanta nyheterna åt dig varje månad.

Kom tillbaka i början av nästa månad - början av ett nytt år, inte mindre - för din säkerhetsrundup i december 2018. Nästa månad kommer också MakeUseOf 2018-året att se i säkerhetsrundup. Under tiden kan du kolla in dessa fem tips och tricks för att säkra dina smarta enheter. 5 tips för att säkra dina smarta enheter och IoT-enheter är ditt nätverk med dessa enheter anslutet? Läs mer .

Bildkredit: Karlis Dambrans / Flickr

Utforska mer om: Amazon, Apple Pay, Black Friday, Datorsäkerhet, Cryptocurrency, Malvertising, Security Breach, Solid State Drive, Toys.