Marriott International Suffers 500m Record Data Breach
Så mycket händer varje månad i cybersäkerhetsvärlden, privatlivets fred och dataskydd. Det är svårt att fortsätta!
Vår månatliga säkerhetskonsumtion hjälper dig att hålla flikar på de viktigaste säkerhets- och sekretessnyheterna varje månad. Här är vad som hände i november.
1. Marriott International Suffers 500m Record Data Breach
Som någonsin träffas en av de största bitarna av säkerhetsnyheter i slutet av månaden.
November avslutades med Marriott International Hotel Group som avslöjade en enorm dataöverträdelse. Det är uppskattat att 500 miljoner kundrekord påverkas eftersom angriparen hade tillgång till Marriott International Starwood-divisionens nätverk sedan 2014.
Marriott International förvärvade Starwood 2016 för att skapa den största hotellkedjan i världen med över 5 800 fastigheter.
Läckan betyder olika saker för olika användare. Informationen för varje användare innehåller emellertid en kombination av:
- namn
- Adress
- Telefonnummer
- E-postadress
- Passnummer
- Kontoinformation
- Födelsedatum
- Kön
- Ankomst och avgångsinformation
Kanske av största betydelse är Marriotts uppenbarelse som några poster inkluderade krypterad kortinformation - men kunde inte heller utesluta att även privata nycklarna hade blivit stulna.
Den långa och korta är den här: Om du bodde på något Marriott Starwood-hotell, inklusive timeshare-egenskaper, före den 10 september 2018, kan din information ha äventyras.
Marriott vidtar åtgärder för att skydda potentiellt drabbade användare genom att erbjuda ett års gratisabonnemang till WebWatcher. Amerikanska medborgare kommer också att få gratis bedrägeribekämpning och återbetalningsskydd gratis. Vid nuvarande tid finns tre inskrivningsplatser:
- Förenta staterna
- kanada
- Storbritannien
Annars, kolla in dessa tre enkla sätt att skydda dina data. Hur man motarbetar dataöverträdelser: 3 enkla sätt att skydda dina data. Hur man motarbetar dataöverträdelser: 3 enkla sätt att skydda dina data. Dataöverträdelser påverkar inte bara aktiekurser och statliga avdelningar budgetar. Vad ska du göra när nyheter om ett brott bryter? Läs mer efter en stor överträdelse.
2. Event-Stream JavaScript Library Injected With Crypto-Stealing Malware
Ett JavaScript-bibliotek som tar emot över 2 miljoner nedladdningar per vecka injicerades med skadlig kod avsedd att stjäla kryptokurvor.
Event-Stream-arkivet, ett JavaScript-paket som förenklar arbetet med Node.js-streaming-moduler, visade sig innehålla förkrossad kod. När forskare slog upp koden blev det tydligt att målet var bitcoin stöld.
Analysen föreslår att koden riktar bibliotek som är associerade med Copay bitcoin plånboken för mobil och skrivbord. Om Copay plånboken är närvarande på ett system försöker den skadliga koden att stjäla plånbokens innehåll. Det försöker sedan ansluta till en malaysisk IP-adress.
Den skadliga koden laddades upp till händelse-Stream-arkivet efter att den ursprungliga utvecklaren Dominic Tarr överlämnade kontrollen av biblioteket till en annan utvecklare, right9ctrl.
Right9ctrl laddade upp en ny version av biblioteket nästan så snart kontrollen överlämnades, den nya versionen innehållande den skadliga koden som riktar sig mot Copay plånböcker.
Sedan den tiden har right9ctrl laddat upp en ny version av biblioteket utan någon skadlig kod. Den nya uppladdningen sammanfaller också med Copay, som uppdaterar sina mobila och stationära plånbokspaket för att ta bort användningen av JavaScript-bibliotek som riktas mot den skadliga koden.
3. Amazon lider data brott dag innan svart fredag
Bara dagar före årets största shoppingdag (naturligtvis Kinas enskilda dag), fick Amazon ett dataskydd.
“Vi kontaktar dig för att meddela att vår webbplats oavsiktligt avslöjat ditt namn och din e-postadress på grund av ett tekniskt fel. Problemet har åtgärdats. Det här är inte ett resultat av allt du har gjort, och det är inte nödvändigt att du ändrar ditt lösenord eller vidtar andra åtgärder.”
Det är svårt att mäta exakta detaljer om överträdelsen eftersom, Amazon, säger inte det. Amazon-användare i USA, USA, Sydkorea och Nederländerna rapporterade emellertid att de fick en Amazon-e-post om överträdelsen, så det var en ganska global fråga.
Användare kan ta lite tröst genom att det var en Amazon-teknisk fråga som ledde till dataskyddet, snarare än en attack på Amazon. Utgivandet av information innehåller inte heller någon bankinformation.
Amazons meddelande om att det inte finns något behov av att drabbade användare ändrar sitt lösenord är vanligtvis felaktiga. Om du har påverkats av Amazon-överträdelsen, ändra ditt lösenord för ditt konto.
4. Självkrypterande Samsung och viktiga SSD-säkerhetsproblem
Säkerhetsforskare avslöjade flera kritiska sårbarheter i Samsung och avgörande självkrypterande SSD. Forskargruppen testade tre avgörande SSD och fyra Samsung SSDs, och hitta kritiska problem med varje testad modell.
Carlo Meijer och Bernard van Gastel, säkerhetsforskare vid Radboud University i Nederländerna, identifierade sårbarheter [PDF] i frekvensomriktarens implementering av ATA-säkerhet och TCG Opal, som är två specifikationer för att implementera kryptering på SSD-enheter som använder maskinvarubaserad kryptering.
Det finns en rad olika problem:
- Brist på kryptografisk bindning mellan lösenord och datakrypteringsnyckel betyder att en angripare kan låsa upp enheter genom att ändra lösenordsvalideringsprocessen.
- Crucial MX300 har ett huvudlösenord som anges av tillverkaren-det här lösenordet är en tom sträng, t ex finns det ingen.
- Återvinning av Samsung-datakrypteringsnycklar genom utnyttjande av SSD-slitage.
Diskonterande uppgav forskarna att dessa sårbarheter kan vara mycket bra för andra modeller samt olika SSD-tillverkare.
Undrar du hur du skyddar dina enheter? Så här skyddar du dina data med hjälp av krypteringsverktyget för öppen källkod, VeraCrypt Så här krypterar du och skyddar dina data och filer med VeraCrypt Så här krypterar du och skyddar dina data och filer med VeraCrypt VeraCrypt är ett gratis, öppen källkrypteringsverktyg som du kan använda att kryptera och skydda dina värdefulla personuppgifter i Windows. Läs mer .
5. Apple Pay Malvertising-kampanjen riktar sig till iPhone-användare
iPhone-användare är målet för en pågående malvertiserande kampanj med Apple Pay.
Kampanjen försöker att omdirigera och bluffa användarna av sina Apple Pay-uppgifter med hjälp av två phishing-popup-fönster, med attacken som härrör från en serie premiumtidningar och tidskrifter när de nås via IOS.
Malware, känd som PayLeak, ger intet ont anande iPhone-användare som klickar på den skadliga annonsen till ett kinesiskt registrerat domän.
När användaren anländer till domänen kontrollerar malware en serie referenser, inklusive enhetsrörelse, enhetstypen (Android eller iPhone) och om enhetsbläddraren är Linux x86_64, Win32 eller MacIntel.
Dessutom kontrollerar skadlig programvara enheten för antivirusprogram eller antimalware-appar.
Om de rätta villkoren är uppfyllda, omdirigeras Android-användare till en phishing-webbplats som hävdar att användaren har vunnit ett Amazon-presentkort.
IPhone-användare får emellertid två popup-fönster. Den första är en varning om att iPhone behöver uppdateras, medan den andra informerar användaren om att deras Apple Pay app behöver uppdateras också. Den andra varningen delar Apple Pay-kreditkortsinformationen med en fjärrkommando- och kontrollserver.
6. En Miljon Barn Tracker Klockor Sårbar
Minst en miljon GPS-aktiverade barns spårarklockor säljs till föräldrar som är försedda med sårbarheter.
Pen Test Partners undersökte en mängd säkerhetsproblem med den extremt populära MiSafe-barnens säkerhetsvakt. GPS-klockorna är utformade så att en förälder alltid kan spåra deras barns plats.
Säkerhetsforskarna fann emellertid att enhetens ID-nummer och därmed användarkontot kunde nås.
Åtkomst till kontot aktiverade säkerhetsgruppen för att hitta barnet, visa ett barns foto, lyssna på konversationer mellan barnet och deras förälder eller fjärrsamtal eller meddelande barnet själva.
“Vår forskning utfördes på klockor märkta "Misafes kids watcher" och verkar påverka upp till 30.000 klockor. Vi upptäckte dock åtminstone 53 andra varumärken för tracker watch för barn som påverkas av identiska eller nästan identiska säkerhetsproblem.”
Sårbarheter i smarta enheter som riktar sig till barn är inte en ny fråga Nya fall av hackare som riktar sig till anslutna leksaker bevisar att de förblir osäkra nya fall av hackare som riktar sig till anslutna leksaker bevisar att de förblir osäkra Läs mer. Det är dock fortfarande oroande.
“Så hur köper du säkra smarta leksaker till dina barn? Det gör du inte,” säger Aaron Zander, IT-ingenjör på Hacker One. “Men om du måste, gå inte för de billigaste alternativen och försök att minimera funktioner som video, Wi-Fi och Bluetooth. Också om du har en enhet och det har en säkerhetsfel, nå ut till dina regeringsrepresentanter, skriv dina reglerande organ, stink om det, det är det enda sättet blir bättre.”
November Security News Roundup
Det är sex av de bästa säkerhetshistorierna från november 2018. Men mycket mer hände; Vi har bara inte utrymme att lista det i detalj. Här är fem intressanta säkerhetsberättelser som dök upp i förra månaden:
- Den japanska vice-chef för cybersäkerhetsstrategi avslöjade att han aldrig har använt en dator.
- Nationella stats malware Stuxnet attackerar anläggningar och organisationer i Iran (igen).
- Hackare hittar nolldagarsutnyttjande i iPhone X, Samsung Galaxy S9 och Xiaomi Mi6-enheter.
- Microsoft patchar en Windows Noll-dag exploatering används i flera attacker av olika hacking grupper.
- Pegasus avancerade spionprogram används för att rikta utredande journalister i Mexiko.
En annan virvelvind av cybersäkerhetsnyheter. Världen av cybersäkerhet förändras ständigt, och hålla sig ajour med de senaste överträdelserna, malware och sekretessfrågor är en kamp.
Därför ritar vi upp de viktigaste och mest intressanta nyhetsbitarna varje månad.
Kolla tillbaka i början av nästa månad - början på ett nytt år, inte mindre - för din säkerhetsrunda i december 2018. Nästa månad kommer också se MakeUseOf 2018 året i säkerhetsrapportering också. Under tiden kan du kolla in dessa fem tips och tricks för att säkra dina smarta enheter. 5 Tips för att säkra dina smarta enheter och IoT-enheter 5 Tips för att säkra dina smarta enheter och IoT-enheter Smart hemhårdvara är en del av sakerna, men hur säkert Är ditt nätverk med dessa enheter anslutna? Läs mer .
Bildkrediter: Karlis Dambrans / Flickr
Utforska mer om: Amazon, Apple Pay, Black Friday, Datorsäkerhet, Cryptocurrency, Malvertising, Säkerhetsbrott, Solid State Drive, Leksaker.