Marriott International soffre di violazione dei dati record di 500 milioni
Succede così tanto ogni mese nel mondo della cybersecurity, della privacy online e della protezione dei dati. È difficile stare al passo!
Il nostro mensile di sicurezza ti aiuterà a tenere d'occhio le più importanti notizie sulla sicurezza e sulla privacy ogni mese. Ecco cosa è successo a novembre.
1. Marriott International soffre di violazione dei dati record di 500 milioni
Come sempre, uno dei più grandi pezzi di notizie sulla sicurezza colpisce alla fine del mese.
Il mese di novembre si è concluso con il gruppo alberghiero Marriott International che ha rivelato un'enorme violazione dei dati. Si ritiene che siano interessati fino a 500 milioni di record di clienti, dal momento che l'aggressore ha avuto accesso alla rete della divisione Marriott International Starwood dal 2014.
Marriott International ha acquisito Starwood nel 2016 per creare la più grande catena alberghiera del mondo, con oltre 5.800 proprietà.
La perdita significa cose diverse per utenti diversi. Tuttavia, le informazioni per ciascun utente contengono una combinazione di:
- Nome
- Indirizzo
- Numero di telefono
- Indirizzo email
- Numero di passaporto
- Informazioni account
- Data di nascita
- Genere
- Informazioni su arrivo e partenza
Forse la cosa più importante è la rivelazione di Marriott alcuni i record includevano informazioni crittografate sulla carta, ma non potevano escludere che anche le chiavi private fossero state rubate.
Il lungo e il corto è questo: se hai soggiornato in qualsiasi hotel Marriott Starwood, incluse le proprietà in multiproprietà, prima del 10 settembre 2018, le tue informazioni potrebbero essere state compromesse.
Marriott sta adottando misure per proteggere gli utenti potenzialmente interessati offrendo l'abbonamento gratuito di un anno a WebWatcher. Anche i cittadini statunitensi riceveranno gratuitamente una consulenza per le frodi e una copertura per il rimborso. Al momento attuale, ci sono tre siti di iscrizione:
- stati Uniti
- Canada
- Regno Unito
Altrimenti, dai un'occhiata a questi tre semplici modi per proteggere i tuoi dati Come contrastare le violazioni dei dati: 3 semplici modi per proteggere i tuoi dati Come contrastare le violazioni dei dati: 3 semplici modi per proteggere i dati Le violazioni dei dati non colpiscono solo i prezzi delle azioni e il dipartimento governativo tasche. Cosa dovresti fare quando viene rilevata la notizia di una violazione? Leggi di più dopo una grave violazione.
2. Libreria JavaScript Event-Stream iniettata con malware Crypto-Stealing
Una libreria JavaScript che riceve oltre 2 milioni di download a settimana è stata iniettata con codice maligno progettato per rubare criptovalute.
Il repository Event-Stream, un pacchetto JavaScript che semplifica il lavoro con i moduli di streaming Node.js, è stato trovato contenere codice offuscato. Quando i ricercatori hanno debianizzato il codice, è diventato chiaro che il suo obiettivo era il furto di bitcoin.
L'analisi suggerisce le librerie degli obiettivi del codice associati al portafoglio bitcoin di Copay per dispositivi mobili e desktop. Se il wallet di Copay è presente su un sistema, il codice dannoso tenta di rubare il contenuto del wallet. Quindi tenta di connettersi a un indirizzo IP malese.
Il codice dannoso è stato caricato nel repository di Event-Stream dopo che lo sviluppatore originale, Dominic Tarr, ha passato il controllo della libreria a un altro sviluppatore, right9ctrl.
Right9ctrl ha caricato una nuova versione della libreria quasi non appena il controllo è stato consegnato, la nuova versione contenente il codice dannoso che mira ai portafogli Copay.
Tuttavia, da quel momento, right9ctrl ha caricato un'altra nuova versione della libreria, senza alcun codice dannoso. Il nuovo caricamento coincide anche con Copay che aggiorna i propri pacchetti di portafoglio mobile e desktop per rimuovere l'uso delle librerie JavaScript prese di mira dal codice dannoso.
3. Amazon subisce giorni di violazione dei dati prima del Black Friday
Solo pochi giorni prima della giornata di shopping più importante dell'anno (ovviamente il China's Single's Day, ovviamente), Amazon ha subito una violazione dei dati.
“Ti stiamo contattando per informarti che il nostro sito Web ha rivelato inavvertitamente il tuo nome e il tuo indirizzo email a causa di un errore tecnico. Il problema è stato risolto. Questo non è il risultato di qualcosa che hai fatto, e non è necessario per te cambiare la tua password o compiere altre azioni.”
È difficile valutare i dettagli esatti della violazione perché, beh, Amazon non lo dice. Tuttavia, gli utenti di Amazon negli Stati Uniti, negli Stati Uniti, in Corea del Sud e nei Paesi Bassi hanno segnalato di ricevere un'email di Amazon in merito alla violazione, quindi si è trattato di un problema abbastanza globale.
Gli utenti possono trarre qualche consolazione dal momento che si trattava di un problema tecnico di Amazon che portava alla violazione dei dati, piuttosto che a un attacco su Amazon. Il rilascio di informazioni non contiene alcuna informazione bancaria, neanche.
Tuttavia, il messaggio di Amazon secondo cui non è necessario che gli utenti interessati cambino la password è semplicemente sbagliato. Se sei stato colpito dalla violazione dei dati di Amazon, cambia la password del tuo account.
4. Vulnerabilità Samsung e Crucial SSD con crittografia automatica
I ricercatori di sicurezza hanno scoperto numerose vulnerabilità critiche in SSD Samsung e Crucial autocrittanti. Il team di ricerca ha testato tre SSD Crucial e quattro SSD Samsung, riscontrando problemi critici con ciascun modello testato.
Carlo Meijer e Bernard van Gastel, ricercatori della Radboud University in Olanda, hanno identificato le vulnerabilità [PDF] nell'implementazione delle unità di sicurezza ATA e TCG Opal, che sono due specifiche per l'implementazione della crittografia su SSD che utilizzano la crittografia basata su hardware.
C'è una varietà di problemi:
- La mancanza di associazione crittografica tra password e chiave di crittografia dei dati indica che un utente malintenzionato può sbloccare le unità modificando il processo di convalida della password.
- Il Crucial MX300 ha una password principale impostata dal produttore: questa password è una stringa vuota, ad esempio, non ce n'è una.
- Ripristino delle chiavi di crittografia dei dati Samsung attraverso lo sfruttamento del livellamento dell'usura SSD.
In modo sconcertante, i ricercatori hanno affermato che queste vulnerabilità potrebbero benissimo essere applicate ad altri modelli e a diversi produttori di SSD.
Ti stai chiedendo come proteggere le tue unità? Ecco come proteggi i tuoi dati usando lo strumento di crittografia open-source, VeraCrypt Come crittografare e proteggere i tuoi dati e file usando VeraCrypt Come crittografare e proteggere i tuoi dati e file usando VeraCrypt VeraCrypt è uno strumento gratuito di crittografia open source che puoi usare per crittografare e proteggere i tuoi preziosi dati personali in Windows. Leggi di più .
5. La campagna malvertita Apple Pay si rivolge agli utenti iPhone
Gli utenti di iPhone sono l'obiettivo di una campagna di malvertising in corso che coinvolge Apple Pay.
La campagna tenta di reindirizzare e truffare gli utenti delle loro credenziali Apple Pay utilizzando due popup di phishing, con l'attacco originato da una serie di giornali e riviste premium quando vi si accede tramite iOS.
Il malware, noto come PayLeak, fornisce agli utenti ignari iPhone che fanno clic sull'annuncio dannoso su un dominio registrato in cinese.
Quando l'utente arriva al dominio, il malware controlla una serie di credenziali, tra cui il movimento del dispositivo, il tipo di dispositivo (Android o iPhone) e se il browser del dispositivo è Linux x86_64, Win32 o MacIntel.
Inoltre, il malware controlla il dispositivo per eventuali applicazioni antivirus o antimalware.
Se vengono soddisfatte le condizioni corrette, gli utenti Android vengono reindirizzati a un sito di phishing che afferma che l'utente ha vinto una carta regalo Amazon.
Tuttavia, gli utenti iPhone ricevono due popup. Il primo è un avviso che l'iPhone deve aggiornare, mentre il secondo informa l'utente che anche l'app Apple Pay deve essere aggiornata. Il secondo avviso condivide le informazioni sulla carta di credito Apple Pay con un server di comando e controllo remoto.
6. One Million Children's Tracker Watches vulnerabile
Almeno un milione di orologi tracker per bambini abilitati per GPS sono venduti a genitori pieni di vulnerabilità.
La ricerca dei partner di Pen Test ha dettagliato una litania di problemi di sicurezza con il famosissimo orologio per la sicurezza dei bambini MiSafe. Gli orologi dotati di GPS sono progettati per consentire a un genitore di tracciare la posizione del proprio bambino in ogni momento.
Tuttavia, i ricercatori di sicurezza hanno scoperto che era possibile accedere ai numeri ID del dispositivo e, di conseguenza, all'account utente.
L'accesso all'account ha permesso al team di sicurezza di individuare il bambino, visualizzare una foto del bambino, ascoltare le conversazioni tra il bambino e il genitore, o effettuare una chiamata remota o inviare messaggi al bambino stesso.
“La nostra ricerca è stata effettuata su orologi di marca "Misafes kids watcher" e sembra interessare fino a 30.000 orologi. Tuttavia, abbiamo scoperto almeno 53 altri marchi di tracker per bambini che sono affetti da problemi di sicurezza identici o quasi identici.”
Le vulnerabilità nei dispositivi intelligenti rivolte ai bambini non sono un nuovo problema Nuovi casi di hacker Targeting di giocattoli connessi Dimostrano che i nuovi casi di hacker non sono sicuri I progetti di giocattoli collegati dimostrano che non sono sicuri Leggi di più. Rimane, tuttavia, preoccupante.
“Quindi, come acquistate giocattoli intelligenti sicuri per i vostri bambini? Non lo fai,” dice Aaron Zander, ingegnere informatico presso Hacker One. “Ma se è necessario, non cercare le opzioni più economiche e provare a ridurre al minimo funzionalità come video, Wi-Fi e Bluetooth. Inoltre, se hai un dispositivo e ha un difetto di sicurezza, rivolgiti ai rappresentanti del tuo governo, scrivi i tuoi corpi regolatori, fai schifo, è l'unico modo in cui migliora.”
Notizie sulla sicurezza di novembre
Quelle sono sei delle principali storie sulla sicurezza del novembre 2018. Ma molto di più è successo; semplicemente non abbiamo spazio per elencarlo in dettaglio. Ecco altre cinque storie di sicurezza interessanti che sono apparse il mese scorso:
- Il vice-capo giapponese della strategia di sicurezza informatica ha rivelato di non aver mai usato un computer.
- Malware dello stato-nazione Stuxnet attacca strutture e organizzazioni in Iran (di nuovo).
- Gli hacker trovano exploit zero-day nei dispositivi iPhone X, Samsung Galaxy S9 e Xiaomi Mi6.
- Microsoft applica patch a un exploit zero-day di Windows utilizzato in più attacchi da parte di vari gruppi di hacker.
- Lo spyware avanzato Pegasus viene utilizzato per colpire i giornalisti investigativi in Messico.
Un altro vortice di notizie sulla sicurezza informatica. Il mondo della sicurezza informatica è in continua evoluzione e tenere il passo con le ultime violazioni, malware e problemi di privacy è una lotta.
Ecco perché raccogliamo le notizie più importanti e più interessanti per te ogni mese.
Torna all'inizio del prossimo mese, l'inizio di un nuovo anno, non meno, per il riepilogo della sicurezza del dicembre 2018. Il prossimo mese vedrà anche l'anno MakeUseOf 2018 in roundup di sicurezza. Nel frattempo, dai un'occhiata a questi cinque consigli e trucchi per proteggere i tuoi dispositivi intelligenti 5 Suggerimenti per proteggere i tuoi dispositivi intelligenti e dispositivi IoT 5 Suggerimenti per proteggere i tuoi dispositivi intelligenti e dispositivi IoT L'hardware di casa intelligente fa parte dell'Internet degli oggetti, ma è sicuro la tua rete con questi dispositivi è collegata? Leggi di più .
Immagine di credito: Karlis Dambrans / Flickr
Scopri di più su: Amazon, Apple Pay, Black Friday, Sicurezza informatica, Criptovaluta, Malvertising, Violazione della sicurezza, Unità a stato solido, Giocattoli.