nchatz Δημοσ. 3 Νοεμβρίου 2022 Δημοσ. 3 Νοεμβρίου 2022 To Dropbox δημοσιοποίησε μια παραβίαση ασφαλείας μετά την κλοπή 130 αποθετηρίων κώδικα (code repositories) από κακόβουλα άτομα που απέκτησαν πρόσβαση σε έναν από τους λογαριασμούς της εταιρείας στο GitHub. Για να το καταφέρουν, χρησιμοποίησαν διαπιστευτήρια υπαλλήλων που εκλάπησαν σε προηγούμενη επίθεση phishing. Η εταιρεία ανακάλυψε ότι οι επιτιθέμενοι παραβίασαν τον λογαριασμό της στις 14 Οκτωβρίου, όταν το GitHub την ενημέρωσε για ύποπτη δραστηριότητα που ξεκίνησε μία ημέρα πριν από την αποστολή της ειδοποίησης. «Μέχρι σήμερα, έχουμε διαπιστώσει με βάση την έρευνά μας ότι ο κώδικας στον οποίο είχε πρόσβαση ο δράστης περιείχε κάποια διαπιστευτήρια -κυρίως, κλειδιά API- που χρησιμοποιούνται από προγραμματιστές του Dropbox», αποκάλυψε η εταιρεία την Τρίτη. «Ο κώδικας και τα δεδομένα γύρω από αυτόν περιλάμβαναν επίσης χιλιάδες ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου που ανήκουν σε υπαλλήλους του Dropbox, τρέχοντες και προηγούμενους πελάτες, πελάτες πωλήσεων και πωλητές. Με βάση τα τελευταία επίσημα στατιστικά, το Dropbox έχει περισσότερους από 700 εκατομμύρια εγγεγραμμένους χρήστες. Η επιτυχημένη παραβίαση προέκυψε από μια επίθεση phishing που στόχευσε πολλούς υπαλλήλους της Dropbox χρησιμοποιώντας μηνύματα ηλεκτρονικού ταχυδρομείου που παρίσταναν την υπηρεσία CircleCI και τους ανακατεύθυναν σε μια σελίδα phishing, όπου εκεί τους ζητούνταν να εισάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους στο GitHub. Στην ίδια σελίδα phishing, ζητήθηκε επίσης από τους υπαλλήλους να χρησιμοποιήσουν το hardware authentication κλειδί τους για να περάσουν έναν κωδικό πρόσβασης μίας χρήσης (One Time Password). Αφού έκλεψαν τα διαπιστευτήρια των Dropboxers, οι επιτιθέμενοι απέκτησαν πρόσβαση σε ένα από τα GitHub Organizations του Dropbox και έκλεψαν 130 από τα code repositories του. «Αυτά τα αποθετήρια περιλάμβαναν τα δικά μας αντίγραφα βιβλιοθηκών τρίτων κατασκευαστών ελαφρώς τροποποιημένων για χρήση από το Dropbox, εσωτερικά πρωτότυπα, ορισμένα εργαλεία και αρχεία ρυθμίσεων που χρησιμοποιούνται από την ομάδα ασφαλείας», πρόσθεσε η εταιρεία. «Είναι σημαντικό ότι δεν περιλάμβαναν κώδικα για τις βασικές εφαρμογές ή την υποδομή μας. Η πρόσβαση σε αυτά τα αποθετήρια είναι ακόμη πιο περιορισμένη και αυστηρά ελεγχόμενη». Το Dropbox πρόσθεσε ότι οι επιτιθέμενοι δεν είχαν ποτέ πρόσβαση σε λογαριασμούς πελατών, κωδικούς πρόσβασης ή πληροφορίες πληρωμών και οι βασικές εφαρμογές και υποδομές της δεν επηρεάστηκαν ως αποτέλεσμα της παραβίασης. Ως μια πρώτη αντίδραση στο περιστατικό, το Dropbox εργάζεται για την εξασφάλιση ολόκληρου του περιβάλλοντός του χρησιμοποιώντας WebAuthn και hardware tokens παράλληλα με βιομετρικούς παράγοντες. Τον Σεπτέμβριο, άλλοι χρήστες του GitHub έγιναν επίσης στόχος μιας παρόμοιας επίθεσης που προσποιούνταν την πλατφόρμα CircleCI και τους ζητούσε να συνδεθούν στους λογαριασμούς τους στο GitHub για να αποδεχτούν τους όρους χρήσης και τις ενημερώσεις της πολιτικής απορρήτου για να συνεχίσουν να χρησιμοποιούν την υπηρεσία. Το GitHub δήλωσε ότι εντόπισε την εξαγωγή περιεχομένου από ιδιωτικά αποθετήρια σχεδόν αμέσως μετά την παραβίαση, με τους επιτιθέμενους να χρησιμοποιούν υπηρεσίες VPN ή proxy για να κάνουν πιο δύσκολο τον εντοπισμό τους. Διαβάστε ολόκληρο το άρθρο
eaglos Δημοσ. 3 Νοεμβρίου 2022 Δημοσ. 3 Νοεμβρίου 2022 Ψάρεσαν τους υπαλλήλους, το έμαθε η μαμά εταιρία, αφησε τα κλεμένα credentials ενεργά. Πάντα τέτοια... 1
Chef_Alexander Δημοσ. 3 Νοεμβρίου 2022 Δημοσ. 3 Νοεμβρίου 2022 Και του χρόνου με υγεία.... Κατά τα άλλα οι υπηρεσίες cloud storage πολυδιαφημίζονται για την αυξημένη ασφάλεια που παρέχουν.... 2
MrRush Δημοσ. 3 Νοεμβρίου 2022 Δημοσ. 3 Νοεμβρίου 2022 6 λεπτά πριν, Chef_Alexander είπε Και του χρόνου με υγεία.... Κατά τα άλλα οι υπηρεσίες cloud storage πολυδιαφημίζονται για την αυξημένη ασφάλεια που παρέχουν.... Ναι γιατί αν είναι μπετό ο υπάλληλος και δώσει τα στοιχεία του, έχει σημασία το ποσό ασφαλής είναι η υπηρεσία. Ότι να ναι μερικοί είστε. 7 1
ethereum Δημοσ. 3 Νοεμβρίου 2022 Δημοσ. 3 Νοεμβρίου 2022 (επεξεργασμένο) πρεπει να πονεσε πολύ , δεν ηταν χαριστική βολή , υπολογίσιμη όμως παραβίαση , την πατήσανε , ας πρόσεχαν . Επεξ/σία 3 Νοεμβρίου 2022 από ethereum
Επισκέπτης Δημοσ. 3 Νοεμβρίου 2022 Δημοσ. 3 Νοεμβρίου 2022 Μια υπενθύμιση πως το Cloud storage, μόνο safe δεν είναι..
jimex Δημοσ. 3 Νοεμβρίου 2022 Δημοσ. 3 Νοεμβρίου 2022 49 λεπτά πριν, MrRush είπε Ναι γιατί αν είναι μπετό ο υπάλληλος και δώσει τα στοιχεία του, έχει σημασία το ποσό ασφαλής είναι η υπηρεσία. Ότι να ναι μερικοί είστε. Δεν χρειάζεται να είσαι "μπετό" για να πέσεις θύμα επίθεσης phising. Εξάλλου όταν αναφερόμαστε σε άτομα που έχουν πρόσβαση σe ένα github repo και στο continuous integration του, μιλάμε σχεδόν αποκλειστικά για μηχανικούς και προγραμματιστές. Άρα αν θεωρείς αυτό τον κόσμο τόσο εύκολα "μπετά" και "χαζούς", τότε με την ίδια λογική όλοι οι υπόλοιποι δε θα πρέπει ούτε στη μπρίζα να βάζουν τον υπολογιστή. Παρόλο που δεν έχω πέσει ποτέ θύμα phising (που να το ξέρω ), οι επιθέσεις αυτές, ιδίως όταν είναι στοχευμένες είναι απίστευτα καλοστημένες και μπορούν να παραπλανήσουν εύκολα τον καθένα. Δεν πρόκειται για ανορθόγραφα μέιλ με Νιγηριανούς πρίγκηπες και πάντοτε εμπεριέχουν στοιχεία που εκμεταλεύονται την ψυχολογία των θυμάτων. Τα social engineering attacks δεν τα κάνουν μόνο 18 χρονοι που βρήκαν τρόπο να παίξουν. Διάφοροι οργανισμοί που θεωρούν ότι τους συμφέρει στήνουν ομάδες με μηχανικούς και ψυχολόγους ακριβώς για αυτή τη δουλειά. 13
dbrillis Δημοσ. 3 Νοεμβρίου 2022 Δημοσ. 3 Νοεμβρίου 2022 Οπως στο χώρο της οικοδομής υπάρχουν πάρα πολλά μαστόρια που αν τους ρωτησεις είναι ειδικοι και ξέρουν καλύτερα απο ολους να βαζουν πλακακια, να βαφουν, να βαζουν αλουμίνια, να βαζουν γυψοσανίδες και να ριχνουν μπετά, ετσι ακριβως εχει καταντησει και ο χωρος του IT/Software Development. Πληθωρα ασοβαρων το παιζουν μάνατζερ, developers, security officers και λοιπα, αλληλοσυγχαιρονται στο LinkedIn ( το εργασιακο Facebook/Instagram) και προσλαμβανουν ο ενας τον αλλον. Χιλιαδες εταιρείες εχουν πιστοποιήσεις που ισχυουν για δεκα λεπτά μονο την ημερα που γινετε το audit. Audits για κλαμματα. Να μιλησουμε για το GDPR; Απορω που δεν γίνονται παραβιάσεις κάθε μέρα. Ισως γίνονται και να μη το μαθαινουμε. 1 ώρα πριν, MrRush είπε Ναι γιατί αν είναι μπετό ο υπάλληλος και δώσει τα στοιχεία του, έχει σημασία το ποσό ασφαλής είναι η υπηρεσία. Ότι να ναι μερικοί είστε. Εχει παραγινει ομως με το ποσοι υπάλληλοι είναι ακατάλληλοι για τις θεσεις που κατέχουν. 3 1
freegr Δημοσ. 4 Νοεμβρίου 2022 Δημοσ. 4 Νοεμβρίου 2022 Τώρα ελπίζω ότι δε χρειάζεται να αλλάξουμε κωδικούς όσοι το χρησιμοποιούν αλλά τουλάχιστον η εταιρεία το ανέφερε.
MrRush Δημοσ. 4 Νοεμβρίου 2022 Δημοσ. 4 Νοεμβρίου 2022 2 ώρες πριν, jimex είπε Δεν χρειάζεται να είσαι "μπετό" για να πέσεις θύμα επίθεσης phising. Εξάλλου όταν αναφερόμαστε σε άτομα που έχουν πρόσβαση σe ένα github repo και στο continuous integration του, μιλάμε σχεδόν αποκλειστικά για μηχανικούς και προγραμματιστές. Άρα αν θεωρείς αυτό τον κόσμο τόσο εύκολα "μπετά" και "χαζούς", τότε με την ίδια λογική όλοι οι υπόλοιποι δε θα πρέπει ούτε στη μπρίζα να βάζουν τον υπολογιστή. Παρόλο που δεν έχω πέσει ποτέ θύμα phising (που να το ξέρω ), οι επιθέσεις αυτές, ιδίως όταν είναι στοχευμένες είναι απίστευτα καλοστημένες και μπορούν να παραπλανήσουν εύκολα τον καθένα. Δεν πρόκειται για ανορθόγραφα μέιλ με Νιγηριανούς πρίγκηπες και πάντοτε εμπεριέχουν στοιχεία που εκμεταλεύονται την ψυχολογία των θυμάτων. Τα social engineering attacks δεν τα κάνουν μόνο 18 χρονοι που βρήκαν τρόπο να παίξουν. Διάφοροι οργανισμοί που θεωρούν ότι τους συμφέρει στήνουν ομάδες με μηχανικούς και ψυχολόγους ακριβώς για αυτή τη δουλειά. I know, I know. Όσο στοχευμένες και να είναι αυτές οι επιθέσεις (έχω δει άπειρα πειστικά emails που είναι scam), όταν πρόκειται να πας κάπου μέσω ενός link το διπλοτσεκάρεις, ιδίως αν πρέπει να δώσεις στοιχεία εκεί που σε πάει. Το άρθρο αναφέρει το Circle CI. Όταν είσαι προγραμματιστής και ασχολείσαι με αυτά τα εργαλεία καθημερινώς, υπάρχουν πολλά red flags που πρέπει να δεις σε αυτές τις περιπτώσεις. 1) Τι στο καλό έγινε εκείνο το session που ήταν ενεργό στον browser σου; 2) Αν είσαι στο legit site του Circle CI, γιατί ο password manager σου δεν βγάζει autofill; 3) Αν το 2 δεν ισχύει γιατί δεν έχεις password manager και μπορείς να γράψεις τον κωδικό σου με το χέρι, γιατί συμβαίνει αυτό; Σε business environments πάντα οι κωδικοί πρέπει να είναι τελείως random, μεγάλοι και περίπλοκοι. Αν υπάρχει υπάλληλος που μπορεί να γράψει οποιονδήποτε κωδικό πέρα από αυτόν του password manager του, είναι ως ένα βαθμό security risk. Aν ο password manager δεν βγάζει κάτι σαν autofill, τότε πρέπει να διπλό και τριπλό τσεκάρεις αν βρίσκεσαι στο σωστό μέρος και πριν κάνεις οτιδήποτε να ρωτήσεις άλλα άτομα στο team αν έχουν λάβει το ίδιο email (γιατί αν είναι στο ίδιο group, τότε θα πρέπει να πάει σε όλους ταυτόχρονα). Αυτά είναι βασικά πράγματα που πρέπει να ξέρει όποιος έχει ευθύνη για οτιδήποτε σε μια εταιρία πληροφορικής. 2
panos2310 Δημοσ. 4 Νοεμβρίου 2022 Δημοσ. 4 Νοεμβρίου 2022 6 ώρες πριν, MrRush είπε I know, I know. Όσο στοχευμένες και να είναι αυτές οι επιθέσεις (έχω δει άπειρα πειστικά emails που είναι scam), όταν πρόκειται να πας κάπου μέσω ενός link το διπλοτσεκάρεις, ιδίως αν πρέπει να δώσεις στοιχεία εκεί που σε πάει. Το άρθρο αναφέρει το Circle CI. Όταν είσαι προγραμματιστής και ασχολείσαι με αυτά τα εργαλεία καθημερινώς, υπάρχουν πολλά red flags που πρέπει να δεις σε αυτές τις περιπτώσεις. 1) Τι στο καλό έγινε εκείνο το session που ήταν ενεργό στον browser σου; 2) Αν είσαι στο legit site του Circle CI, γιατί ο password manager σου δεν βγάζει autofill; 3) Αν το 2 δεν ισχύει γιατί δεν έχεις password manager και μπορείς να γράψεις τον κωδικό σου με το χέρι, γιατί συμβαίνει αυτό; Σε business environments πάντα οι κωδικοί πρέπει να είναι τελείως random, μεγάλοι και περίπλοκοι. Αν υπάρχει υπάλληλος που μπορεί να γράψει οποιονδήποτε κωδικό πέρα από αυτόν του password manager του, είναι ως ένα βαθμό security risk. Aν ο password manager δεν βγάζει κάτι σαν autofill, τότε πρέπει να διπλό και τριπλό τσεκάρεις αν βρίσκεσαι στο σωστό μέρος και πριν κάνεις οτιδήποτε να ρωτήσεις άλλα άτομα στο team αν έχουν λάβει το ίδιο email (γιατί αν είναι στο ίδιο group, τότε θα πρέπει να πάει σε όλους ταυτόχρονα). Αυτά είναι βασικά πράγματα που πρέπει να ξέρει όποιος έχει ευθύνη για οτιδήποτε σε μια εταιρία πληροφορικής. Εξαιρετική ανάλυση, χρήσιμες συμβουλές. Μία μικρή αλλαγή: "Αυτά είναι βασικά πράγματα, για τα οποία μία εταιρεία πληροφορικής είναι νομικά υπεύθυνη να τα εξασφαλίσει, όπως και την επιλογή του προσωπικού και τη διαρκή επιμόρφωσή του"
dchatz Δημοσ. 4 Νοεμβρίου 2022 Δημοσ. 4 Νοεμβρίου 2022 επιπλέον της ανασφάλειας που επικρατεί στο cloud να αναφέρω ότι είναι μια χαρά για να μοιράζεσαι τις φωτό σου και διάφορα χρήσιμα που έχεις από δω κι από εκεί, αλλά φυσικά ποτε δε θα βάλεις εκεί σημαντικούς κωδικούς σου, και προσωπικά στοιχεία, ταυτότητες, ΑΦΜ κλπ. Ακόμα και αν θες να τα βάλεις όμως μπορείς να τα βάλεις κρυπτογραφημένα π.χ. ένα rar με κωδικό.
Strat8 Δημοσ. 4 Νοεμβρίου 2022 Δημοσ. 4 Νοεμβρίου 2022 2 ώρες πριν, dchatz είπε επιπλέον της ανασφάλειας που επικρατεί στο cloud να αναφέρω ότι είναι μια χαρά για να μοιράζεσαι τις φωτό σου και διάφορα χρήσιμα που έχεις από δω κι από εκεί, αλλά φυσικά ποτε δε θα βάλεις εκεί σημαντικούς κωδικούς σου, και προσωπικά στοιχεία, ταυτότητες, ΑΦΜ κλπ. Ακόμα και αν θες να τα βάλεις όμως μπορείς να τα βάλεις κρυπτογραφημένα π.χ. ένα rar με κωδικό. Αν αποθηκεύεις τα αρχεία σου στο Google Drive ή στο OneDrive (της Microsoft) και δεν θέλεις να υπάρχει πρόσβαση σε πολύ ευαίσθητα αρχεία, τότε πολύ σωστά μπορείς να τα ανεβάζεις κρυπτογραφημένα (θα πρότεινα με VeraCrypt το οποίο είναι και δωρεάν open source). Όμως υπάρχουν και υπηρεσίες οι οποίες παρέχουν κρυπτογραφημένο cloud storage αλλά έχουν και "zero knowledge", όπου δεν μπορούν ούτε καν οι υπάλληλοι της υπηρεσίας να δουν τα αρχεία σου ακόμα και αν το θέλουν. Αυτές οι υπηρεσίες ακόμα και αν χακαριστούν, οι χάκερς το μόνο που θα καταφέρουν είναι να πάρουν τα αρχεία σου σε κρυπτογραφημένη μορφή χωρίς να έχουν τα μέσα να τα "ξεκλειδώσουν". 1
dchatz Δημοσ. 4 Νοεμβρίου 2022 Δημοσ. 4 Νοεμβρίου 2022 1 ώρα πριν, Strat8 είπε Αν αποθηκεύεις τα αρχεία σου στο Google Drive ή στο OneDrive (της Microsoft) και δεν θέλεις να υπάρχει πρόσβαση σε πολύ ευαίσθητα αρχεία, τότε πολύ σωστά μπορείς να τα ανεβάζεις κρυπτογραφημένα (θα πρότεινα με VeraCrypt το οποίο είναι και δωρεάν open source). Όμως υπάρχουν και υπηρεσίες οι οποίες παρέχουν κρυπτογραφημένο cloud storage αλλά έχουν και "zero knowledge", όπου δεν μπορούν ούτε καν οι υπάλληλοι της υπηρεσίας να δουν τα αρχεία σου ακόμα και αν το θέλουν. Αυτές οι υπηρεσίες ακόμα και αν χακαριστούν, οι χάκερς το μόνο που θα καταφέρουν είναι να πάρουν τα αρχεία σου σε κρυπτογραφημένη μορφή χωρίς να έχουν τα μέσα να τα "ξεκλειδώσουν". Τα μαρκαρισμένα υπάρχει τρόπος να ελεγχθούν από το χρήστη που πληρώνει και χρησιμοποιεί την υπηρεσία;
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα