Pada 22 November, pakar DataViper Vinnie Troy dan Bob Dyachenko mengumumkan penemuan database besar (dengan kata lain) yang berisi data pribadi lebih dari satu miliar orang (
berita ,
laporan asli). Server Elasticsearch tersedia tanpa otorisasi, secara total, lebih dari 4 terabyte data disimpan di sana. Dilihat dari tanda dalam catatan, sumber informasi adalah dua perusahaan yang secara profesional terlibat dalam pengumpulan dan akumulasi data pribadi. Basis data terbesar diduga dikumpulkan oleh People Data Labs: server terbuka berisi 3 miliar catatannya (dengan duplikat), termasuk lebih dari 650 juta alamat email.
Tetapi surat tidak terbatas pada. Para peneliti membandingkan data dari database People Data Labs dengan informasi di server yang tidak aman, mencari catatan tentang diri mereka di sana. Kami mendapat kebetulan yang hampir lengkap: data di jejaring sosial, alamat pos terkenal, nomor telepon (termasuk nomor yang tidak digunakan di mana pun, dan hanya operator telekomunikasi yang bisa tahu tentang kepunyaannya kepada orang tertentu). Serta alamat tempat tinggal yang akurat untuk kota dan koordinat. Yang memiliki server terbuka tidak jelas, itu di-host di platform cloud Google, yang tidak mengungkapkan informasi pelanggan. Ada kemungkinan bahwa pemilik server umumnya adalah pihak ketiga yang secara sah atau tidak terlalu memperoleh akses ke informasi tersebut.
Jelaslah bahwa agregator data pribadi tidak tertarik dengan kebocoran semacam itu - mereka memperoleh penjualan informasi. Kebocoran yang tidak disengaja di sisi perusahaan semacam itu juga tidak mungkin, karena database perusahaan yang bersaing disimpan di satu server. Tentu saja, ini bukan basis data kata sandi (yang telah dibocorkan oleh jutaan catatan di masa lalu), mereka tidak menyebabkan kerusakan langsung. Tetapi mereka dapat memfasilitasi kerja para penjahat cyber yang terlibat dalam rekayasa sosial. Kita tidak boleh lupa bahwa sebagian besar informasi ini dikirimkan oleh kami secara sukarela - di profil LinkedIn, posting Facebook, dan sebagainya. Di suatu tempat di hampir setiap pengguna jaringan aktif, file pribadi yang sangat rinci disimpan, terus diperbarui dengan data baru. Kebocoran ini memungkinkan kami untuk memperkirakan skala: hanya dua perusahaan swasta, kemungkinan besar tidak terkait dengan negara, mengumpulkan informasi dari sumber terbuka, memiliki data sekitar 15% dari populasi dunia.
Facebook mengumumkan penutupan kerentanan serius di messenger Whatsapp (
berita ,
buletin resmi). Saat memproses metadata file video dalam format MP4, buffer overflow dapat terjadi, yang menyebabkan aplikasi crash atau eksekusi kode arbitrer. Mudah untuk mengeksploitasi kerentanan: cukup untuk mengetahui nomor korban dan mengirimnya file video yang sudah disiapkan. Jika pengunduhan otomatis konten diaktifkan dalam aplikasi, tidak ada tindakan tambahan yang diperlukan dari pengguna (kesimpulan: lebih baik menonaktifkan pengunduhan otomatis).
Kerentanan ini mirip dengan masalah Whatsapp lain yang ditemukan dan ditutup
pada bulan Mei tahun ini . Dalam hal itu, buffer overflow dipanggil dalam modul untuk komunikasi VOIP, dan operasinya lebih sederhana - Anda bahkan tidak perlu mengirim apa pun, itu sudah cukup untuk memulai panggilan "salah". Konsekuensi dari kerentanan Mei lebih serius, itu dapat diandalkan digunakan dalam serangan nyata dan disebarkan oleh perusahaan yang menjual eksploitasi ke layanan khusus. Baik kerentanan
Mei maupun yang
baru dikomentari oleh pencipta utusan Telegram yang bersaing, Pavel Durov. Argumennya, singkatnya: di Telegram tidak ada kerentanan berskala besar, tetapi di Whatsapp ada, karena itu tidak aman. Durov dapat dipahami, tetapi bukan fakta bahwa itu layak untuk membuat kesimpulan yang jauh tentang keamanan kode untuk kerentanan
tertutup . Anda dapat menarik kesimpulan tentang serangan nyata, tetapi di sini banyak tergantung pada popularitas perangkat lunak atau layanan.
Apa lagi yang terjadi
Pakar Kaspersky Lab berbagi
prediksi untuk pengembangan serangan cyber canggih untuk tahun 2020. Semakin banyak, operasi cyber skala besar dilakukan di bawah "bendera palsu": "bukti" ditambahkan ke kode dan sisi server, yang mengarah ke atribusi kampanye yang salah. Serangan dengan bantuan trojan ransomware menjadi sasaran, dan volume "pemboman karpet" menurun. Mereka mengidentifikasi korban yang mampu membayar dengan tepat, dan mereka ditargetkan secara spesifik. Pertumbuhan serangan menggunakan perangkat IoT diperkirakan - baik dengan meretas perangkat yang diinstal dan dengan memperkenalkan kuda IoT Trojan ke dalam jaringan korban.
Google
meningkatkan hadiah karena mendeteksi kerentanan dalam chip keamanan Titan M hingga satu setengah juta dolar. Titan M digunakan dalam smartphone Pixel terbaru (dimulai dengan Pixel 3) dan memberikan akses aman ke data paling berharga, misalnya, saat melakukan pembayaran. Pembayaran maksimum adalah untuk menemukan kerentanan yang memungkinkan Anda mem-bypass sistem keamanan dari jarak jauh.
Video di atas adalah
contoh aneh
tentang peningkatan hak istimewa melalui kelemahan dalam mekanisme Kontrol Akun Pengguna. Unduh biner yang ditandatangani Microsoft, coba mulai dengan hak administrator, dapatkan jendela entri kata sandi, klik tautan di properti sertifikat, buka peramban dengan hak istimewa sistem. Kerentanan pada Windows 7, 8 dan 10 ditutup
pada 12 November .
Check Point
melihat kerentanan dalam perangkat lunak sumber terbuka luas yang tertanam dalam aplikasi Android yang populer. Kami menemukan perpustakaan yang belum ditambal sebagai bagian dari aplikasi Facebook, WeChat dan AliExpress. Facebook berkomentar bahwa keberadaan kerentanan dalam kode tidak menjamin operasinya: kode masalah mungkin tidak terlibat.
Situs cryptocurrency Monero
diretas dan pada 18 November siang dibagikan distribusi yang dimodifikasi dengan fungsi mencuri uang dari dompet pengguna.