Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.

To Dropbox δημοσιοποίησε μια παραβίαση ασφαλείας μετά την κλοπή 130 αποθετηρίων κώδικα (code repositories) από κακόβουλα άτομα που απέκτησαν πρόσβαση σε έναν από τους λογαριασμούς της εταιρείας στο GitHub.

Για να το καταφέρουν, χρησιμοποίησαν διαπιστευτήρια υπαλλήλων που εκλάπησαν σε προηγούμενη επίθεση phishing.

Η εταιρεία ανακάλυψε ότι οι επιτιθέμενοι παραβίασαν τον λογαριασμό της στις 14 Οκτωβρίου, όταν το GitHub την ενημέρωσε για ύποπτη δραστηριότητα που ξεκίνησε μία ημέρα πριν από την αποστολή της ειδοποίησης.

«Μέχρι σήμερα, έχουμε διαπιστώσει με βάση την έρευνά μας ότι ο κώδικας στον οποίο είχε πρόσβαση ο δράστης περιείχε κάποια διαπιστευτήρια -κυρίως, κλειδιά API- που χρησιμοποιούνται από προγραμματιστές του Dropbox», αποκάλυψε η εταιρεία την Τρίτη. «Ο κώδικας και τα δεδομένα γύρω από αυτόν περιλάμβαναν επίσης χιλιάδες ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου που ανήκουν σε υπαλλήλους του Dropbox, τρέχοντες και προηγούμενους πελάτες, πελάτες πωλήσεων και πωλητές. Με βάση τα τελευταία επίσημα στατιστικά, το Dropbox έχει περισσότερους από 700 εκατομμύρια εγγεγραμμένους χρήστες.

image.png.e7757b68bd405cb408caad5632635f9f.png

Η επιτυχημένη παραβίαση προέκυψε από μια επίθεση phishing που στόχευσε πολλούς υπαλλήλους της Dropbox χρησιμοποιώντας μηνύματα ηλεκτρονικού ταχυδρομείου που παρίσταναν την υπηρεσία CircleCI και τους ανακατεύθυναν σε μια σελίδα phishing, όπου εκεί τους ζητούνταν να εισάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους στο GitHub.

Στην ίδια σελίδα phishing, ζητήθηκε επίσης από τους υπαλλήλους να χρησιμοποιήσουν το hardware authentication κλειδί τους για να περάσουν έναν κωδικό πρόσβασης μίας χρήσης (One Time Password). Αφού έκλεψαν τα διαπιστευτήρια των Dropboxers, οι επιτιθέμενοι απέκτησαν πρόσβαση σε ένα από τα GitHub Organizations του Dropbox και έκλεψαν 130 από τα code repositories του.

«Αυτά τα αποθετήρια περιλάμβαναν τα δικά μας αντίγραφα βιβλιοθηκών τρίτων κατασκευαστών ελαφρώς τροποποιημένων για χρήση από το Dropbox, εσωτερικά πρωτότυπα, ορισμένα εργαλεία και αρχεία ρυθμίσεων που χρησιμοποιούνται από την ομάδα ασφαλείας», πρόσθεσε η εταιρεία. «Είναι σημαντικό ότι δεν περιλάμβαναν κώδικα για τις βασικές εφαρμογές ή την υποδομή μας. Η πρόσβαση σε αυτά τα αποθετήρια είναι ακόμη πιο περιορισμένη και αυστηρά ελεγχόμενη».

Το Dropbox πρόσθεσε ότι οι επιτιθέμενοι δεν είχαν ποτέ πρόσβαση σε λογαριασμούς πελατών, κωδικούς πρόσβασης ή πληροφορίες πληρωμών και οι βασικές εφαρμογές και υποδομές της δεν επηρεάστηκαν ως αποτέλεσμα της παραβίασης.

Ως μια πρώτη αντίδραση στο περιστατικό, το Dropbox εργάζεται για την εξασφάλιση ολόκληρου του περιβάλλοντός του χρησιμοποιώντας WebAuthn και hardware tokens παράλληλα με βιομετρικούς παράγοντες. Τον Σεπτέμβριο, άλλοι χρήστες του GitHub έγιναν επίσης στόχος μιας παρόμοιας επίθεσης που προσποιούνταν την πλατφόρμα CircleCI και τους ζητούσε να συνδεθούν στους λογαριασμούς τους στο GitHub για να αποδεχτούν τους όρους χρήσης και τις ενημερώσεις της πολιτικής απορρήτου για να συνεχίσουν να χρησιμοποιούν την υπηρεσία.

Το GitHub δήλωσε ότι εντόπισε την εξαγωγή περιεχομένου από ιδιωτικά αποθετήρια σχεδόν αμέσως μετά την παραβίαση, με τους επιτιθέμενους να χρησιμοποιούν υπηρεσίες VPN ή proxy για να κάνουν πιο δύσκολο τον εντοπισμό τους.


Διαβάστε ολόκληρο το άρθρο

Δημοσ.
6 λεπτά πριν, Chef_Alexander είπε

Και του χρόνου με υγεία....

Κατά τα άλλα οι υπηρεσίες cloud storage πολυδιαφημίζονται για την αυξημένη ασφάλεια που παρέχουν....

Ναι γιατί αν είναι μπετό ο υπάλληλος και δώσει τα στοιχεία του, έχει σημασία το ποσό ασφαλής είναι η υπηρεσία. Ότι να ναι μερικοί είστε.

  • Like 7
  • Thanks 1
Δημοσ. (επεξεργασμένο)

πρεπει να πονεσε πολύ  , δεν ηταν χαριστική βολή ,  υπολογίσιμη όμως παραβίαση , την πατήσανε , ας πρόσεχαν .

Επεξ/σία από ethereum
Δημοσ.

Μια υπενθύμιση πως το Cloud storage, μόνο safe δεν είναι..

Δημοσ.
49 λεπτά πριν, MrRush είπε

Ναι γιατί αν είναι μπετό ο υπάλληλος και δώσει τα στοιχεία του, έχει σημασία το ποσό ασφαλής είναι η υπηρεσία. Ότι να ναι μερικοί είστε.

Δεν χρειάζεται να είσαι "μπετό" για να πέσεις θύμα επίθεσης phising. Εξάλλου όταν αναφερόμαστε σε άτομα που έχουν πρόσβαση σe ένα github repo και στο continuous integration του, μιλάμε σχεδόν αποκλειστικά για μηχανικούς και προγραμματιστές. Άρα αν θεωρείς αυτό τον κόσμο τόσο εύκολα "μπετά" και "χαζούς", τότε με την ίδια λογική όλοι οι υπόλοιποι δε θα πρέπει ούτε στη μπρίζα να βάζουν τον υπολογιστή.

Παρόλο που δεν έχω πέσει ποτέ θύμα phising (που να το ξέρω :)), οι επιθέσεις αυτές, ιδίως όταν είναι στοχευμένες είναι απίστευτα καλοστημένες και μπορούν να παραπλανήσουν εύκολα τον καθένα. Δεν πρόκειται για ανορθόγραφα μέιλ με Νιγηριανούς πρίγκηπες και πάντοτε εμπεριέχουν στοιχεία που εκμεταλεύονται την ψυχολογία των θυμάτων. Τα social engineering attacks δεν τα κάνουν μόνο 18 χρονοι που βρήκαν τρόπο να παίξουν. Διάφοροι οργανισμοί που θεωρούν ότι τους συμφέρει στήνουν ομάδες με μηχανικούς και ψυχολόγους ακριβώς για αυτή τη δουλειά.

  • Like 13
Δημοσ.

Οπως στο χώρο της οικοδομής υπάρχουν πάρα πολλά μαστόρια που αν τους ρωτησεις είναι ειδικοι και ξέρουν καλύτερα απο ολους  να βαζουν πλακακια, να βαφουν, να βαζουν αλουμίνια, να βαζουν γυψοσανίδες και να ριχνουν μπετά, ετσι ακριβως εχει καταντησει και ο χωρος του IT/Software Development. 

Πληθωρα ασοβαρων το παιζουν μάνατζερ, developers, security officers και λοιπα, αλληλοσυγχαιρονται στο LinkedIn ( το εργασιακο Facebook/Instagram) και προσλαμβανουν ο ενας τον αλλον. Χιλιαδες εταιρείες εχουν πιστοποιήσεις που ισχυουν για δεκα λεπτά μονο την ημερα που γινετε το audit. Audits για κλαμματα. Να μιλησουμε για το GDPR; 

Απορω που δεν γίνονται παραβιάσεις κάθε μέρα. Ισως γίνονται και να μη το μαθαινουμε.

 

1 ώρα πριν, MrRush είπε

Ναι γιατί αν είναι μπετό ο υπάλληλος και δώσει τα στοιχεία του, έχει σημασία το ποσό ασφαλής είναι η υπηρεσία. Ότι να ναι μερικοί είστε.

Εχει παραγινει ομως με το ποσοι υπάλληλοι είναι ακατάλληλοι για τις θεσεις που κατέχουν.

  • Like 3
  • Thanks 1
Δημοσ.

Τώρα ελπίζω ότι δε χρειάζεται να αλλάξουμε κωδικούς όσοι το χρησιμοποιούν αλλά τουλάχιστον η εταιρεία το ανέφερε. 

Δημοσ.
2 ώρες πριν, jimex είπε

Δεν χρειάζεται να είσαι "μπετό" για να πέσεις θύμα επίθεσης phising. Εξάλλου όταν αναφερόμαστε σε άτομα που έχουν πρόσβαση σe ένα github repo και στο continuous integration του, μιλάμε σχεδόν αποκλειστικά για μηχανικούς και προγραμματιστές. Άρα αν θεωρείς αυτό τον κόσμο τόσο εύκολα "μπετά" και "χαζούς", τότε με την ίδια λογική όλοι οι υπόλοιποι δε θα πρέπει ούτε στη μπρίζα να βάζουν τον υπολογιστή.

Παρόλο που δεν έχω πέσει ποτέ θύμα phising (που να το ξέρω :)), οι επιθέσεις αυτές, ιδίως όταν είναι στοχευμένες είναι απίστευτα καλοστημένες και μπορούν να παραπλανήσουν εύκολα τον καθένα. Δεν πρόκειται για ανορθόγραφα μέιλ με Νιγηριανούς πρίγκηπες και πάντοτε εμπεριέχουν στοιχεία που εκμεταλεύονται την ψυχολογία των θυμάτων. Τα social engineering attacks δεν τα κάνουν μόνο 18 χρονοι που βρήκαν τρόπο να παίξουν. Διάφοροι οργανισμοί που θεωρούν ότι τους συμφέρει στήνουν ομάδες με μηχανικούς και ψυχολόγους ακριβώς για αυτή τη δουλειά.

I know, I know. Όσο στοχευμένες και να είναι αυτές οι επιθέσεις (έχω δει άπειρα πειστικά emails που είναι scam), όταν πρόκειται να πας κάπου μέσω ενός link το διπλοτσεκάρεις, ιδίως αν πρέπει να δώσεις στοιχεία εκεί που σε πάει.

Το άρθρο αναφέρει το Circle CI. Όταν είσαι προγραμματιστής και ασχολείσαι με αυτά τα εργαλεία καθημερινώς, υπάρχουν πολλά red flags που πρέπει να δεις σε αυτές τις περιπτώσεις.

1) Τι στο καλό έγινε εκείνο το session που ήταν ενεργό στον browser σου;
2) Αν είσαι στο legit site του Circle CI, γιατί ο password manager σου δεν βγάζει autofill;
3) Αν το 2 δεν ισχύει γιατί δεν έχεις password manager και μπορείς να γράψεις τον κωδικό σου με το χέρι, γιατί συμβαίνει αυτό; 

Σε business environments πάντα οι κωδικοί πρέπει να είναι τελείως random, μεγάλοι και περίπλοκοι. Αν υπάρχει υπάλληλος που μπορεί να γράψει οποιονδήποτε κωδικό πέρα από αυτόν του password manager του, είναι ως ένα βαθμό security risk. Aν ο password manager δεν βγάζει κάτι σαν autofill, τότε πρέπει να διπλό και τριπλό τσεκάρεις αν βρίσκεσαι στο σωστό μέρος και πριν κάνεις οτιδήποτε να ρωτήσεις άλλα άτομα στο team αν έχουν λάβει το ίδιο email (γιατί αν είναι στο ίδιο group, τότε θα πρέπει να πάει σε όλους ταυτόχρονα).

Αυτά είναι βασικά πράγματα που πρέπει να ξέρει όποιος έχει ευθύνη για οτιδήποτε σε μια εταιρία πληροφορικής. 

  • Like 2
Δημοσ.
6 ώρες πριν, MrRush είπε

I know, I know. Όσο στοχευμένες και να είναι αυτές οι επιθέσεις (έχω δει άπειρα πειστικά emails που είναι scam), όταν πρόκειται να πας κάπου μέσω ενός link το διπλοτσεκάρεις, ιδίως αν πρέπει να δώσεις στοιχεία εκεί που σε πάει.

Το άρθρο αναφέρει το Circle CI. Όταν είσαι προγραμματιστής και ασχολείσαι με αυτά τα εργαλεία καθημερινώς, υπάρχουν πολλά red flags που πρέπει να δεις σε αυτές τις περιπτώσεις.

1) Τι στο καλό έγινε εκείνο το session που ήταν ενεργό στον browser σου;
2) Αν είσαι στο legit site του Circle CI, γιατί ο password manager σου δεν βγάζει autofill;
3) Αν το 2 δεν ισχύει γιατί δεν έχεις password manager και μπορείς να γράψεις τον κωδικό σου με το χέρι, γιατί συμβαίνει αυτό; 

Σε business environments πάντα οι κωδικοί πρέπει να είναι τελείως random, μεγάλοι και περίπλοκοι. Αν υπάρχει υπάλληλος που μπορεί να γράψει οποιονδήποτε κωδικό πέρα από αυτόν του password manager του, είναι ως ένα βαθμό security risk. Aν ο password manager δεν βγάζει κάτι σαν autofill, τότε πρέπει να διπλό και τριπλό τσεκάρεις αν βρίσκεσαι στο σωστό μέρος και πριν κάνεις οτιδήποτε να ρωτήσεις άλλα άτομα στο team αν έχουν λάβει το ίδιο email (γιατί αν είναι στο ίδιο group, τότε θα πρέπει να πάει σε όλους ταυτόχρονα).

Αυτά είναι βασικά πράγματα που πρέπει να ξέρει όποιος έχει ευθύνη για οτιδήποτε σε μια εταιρία πληροφορικής. 

Εξαιρετική ανάλυση, χρήσιμες συμβουλές.

Μία μικρή αλλαγή: 

"Αυτά είναι βασικά πράγματα, για τα οποία μία εταιρεία πληροφορικής είναι νομικά υπεύθυνη να τα εξασφαλίσει, όπως και την επιλογή του προσωπικού και τη διαρκή επιμόρφωσή του"

Δημοσ.

επιπλέον της ανασφάλειας που επικρατεί στο cloud να αναφέρω ότι είναι μια χαρά για να μοιράζεσαι τις φωτό σου και διάφορα χρήσιμα που έχεις από δω κι από εκεί, αλλά φυσικά ποτε δε θα βάλεις εκεί σημαντικούς κωδικούς σου, και προσωπικά στοιχεία, ταυτότητες, ΑΦΜ κλπ.

Ακόμα και αν θες να τα βάλεις όμως μπορείς να τα βάλεις κρυπτογραφημένα π.χ. ένα rar με κωδικό.

Δημοσ.
2 ώρες πριν, dchatz είπε

επιπλέον της ανασφάλειας που επικρατεί στο cloud να αναφέρω ότι είναι μια χαρά για να μοιράζεσαι τις φωτό σου και διάφορα χρήσιμα που έχεις από δω κι από εκεί, αλλά φυσικά ποτε δε θα βάλεις εκεί σημαντικούς κωδικούς σου, και προσωπικά στοιχεία, ταυτότητες, ΑΦΜ κλπ.

Ακόμα και αν θες να τα βάλεις όμως μπορείς να τα βάλεις κρυπτογραφημένα π.χ. ένα rar με κωδικό.

Αν αποθηκεύεις τα αρχεία σου στο Google Drive ή στο OneDrive (της Microsoft) και δεν θέλεις να υπάρχει πρόσβαση σε πολύ ευαίσθητα αρχεία, τότε πολύ σωστά μπορείς να τα ανεβάζεις κρυπτογραφημένα (θα πρότεινα με VeraCrypt το οποίο είναι και δωρεάν open source). Όμως υπάρχουν και υπηρεσίες οι οποίες παρέχουν κρυπτογραφημένο cloud storage αλλά έχουν και "zero knowledge", όπου δεν μπορούν ούτε καν οι υπάλληλοι της υπηρεσίας να δουν τα αρχεία σου ακόμα και αν το θέλουν. Αυτές οι υπηρεσίες ακόμα και αν χακαριστούν, οι χάκερς το μόνο που θα καταφέρουν είναι να πάρουν τα αρχεία σου σε κρυπτογραφημένη μορφή χωρίς να έχουν τα μέσα να τα "ξεκλειδώσουν".

  • Thanks 1
Δημοσ.
1 ώρα πριν, Strat8 είπε

Αν αποθηκεύεις τα αρχεία σου στο Google Drive ή στο OneDrive (της Microsoft) και δεν θέλεις να υπάρχει πρόσβαση σε πολύ ευαίσθητα αρχεία, τότε πολύ σωστά μπορείς να τα ανεβάζεις κρυπτογραφημένα (θα πρότεινα με VeraCrypt το οποίο είναι και δωρεάν open source). Όμως υπάρχουν και υπηρεσίες οι οποίες παρέχουν κρυπτογραφημένο cloud storage αλλά έχουν και "zero knowledge", όπου δεν μπορούν ούτε καν οι υπάλληλοι της υπηρεσίας να δουν τα αρχεία σου ακόμα και αν το θέλουν. Αυτές οι υπηρεσίες ακόμα και αν χακαριστούν, οι χάκερς το μόνο που θα καταφέρουν είναι να πάρουν τα αρχεία σου σε κρυπτογραφημένη μορφή χωρίς να έχουν τα μέσα να τα "ξεκλειδώσουν".

Τα μαρκαρισμένα υπάρχει τρόπος να ελεγχθούν από το χρήστη που πληρώνει και χρησιμοποιεί την υπηρεσία;

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...