Michaelu Steeberovi hackli OurMine jeho Twitter účet. Měli to snadné

Michaelu Steeberovi hackli OurMine jeho Twitter účet. Měli to snadné, nechránil ho dvoufaktorem, používal stejné heslo na řadě online služeb. Hackem účtu se navíc dostali i tam, kde použil Twitter pro přihlašování.Viz Comment: How a Twitter hack taught me to take online security seriously. Tady se vám asi bude velmi hodit tip První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

michael-steeber-hack-twitter.jpg

Advertisements

Děravé API Instagramu umožnilo získávat telefonní čísla a e-maily účtů

Děravé API Instagramu umožnilo získávat telefonní čísla a e-maily účtů. Hackeři získali řadu údajů o účtech celebrit a snaží se je prodávat. Viz Celebs’ phone numbers and e-mail addresses exposed in active Instagram hack a pokud stále nemáte na Instagramu aktivní dvoufaktorové ověření, tak je nejvyšší čas to napravit.

2017-09-01 20_35_19-Celebs’ phone numbers and e-mail addresses exposed in active Instagram hack _ Ar.png

Po hacknutém CopyFish je tu hack Web Developer for Chrome. Dost zásadní

Po hacknutém CopyFish je tu hack Web Developer for Chrome. Dost zásadní, protože tohle je jedno z velmi používaných rozšíření pro Chrome. A dost zásadní pro poučení. Autor prostě zadal přihlašovací údaje k jeho Google účtu. A ten vůbec neměl chráněný dvoufaktorem. U někoho kdo má rozšíření používané miliony lidí je to docela zvláštní opomenutí. A ano, viz První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

2017-08-04 09_42_39-Uživatel Chris Pederick na Twitteru_ „The Web Developer for Chrome account has b2017-08-04 09_42_55-Uživatel Chris Pederick na Twitteru_ „The Web Developer for Chrome account has b

Google chce nahradit dvoufaktorové SMS přímým použitím autorizovaného mobilního zařízení

Google chce nahradit dvoufaktorové SMS přímým použitím autorizovaného mobilního zařízení. Dost užitečné, pokud uvážíte, že SMS je nejenom možné odchytávat, ale tato tradiční cesta dvoufaktoru už byla opakovaně prolomena pořízením „klonu“ mobilního telefonu. Viz Better experience for SMS 2-Step Verification users with Google prompt

Google Prompt.png

WhatsApp (konečně) má dvoufaktorové ověření

WhatsApp (konečně) má dvoufaktorové ověření. (tedy spíš dva kroky ověření, ale zůstaňme u toho 2FA, má to stejně víc nedostatků). Což zejména u WhatsApp je dobré, protože může pomocí proti útočníkům co si ověří vaše telefonní číslo někde jinde. Což, to je důležité. je taky jediné co to umí. Také si můžete pořídit odkaz na vypnutí zadáním e-mailu, ale trochu nepochopitelně ho WhatsApp nepovažuje za nutné ověřit. Ale také to znamená, že je nově možné na uživatele WhatsApp s aktivním ověřením zkoušet nějaké to sociální inženýrství co jim přihraje link a oni na něj kliknou. Absurdní je i to, že „abyste nezapomněli passcode, bude se vás na něj WhatsApp ptát“. Passcode je šestimístný PIN, který si v rámci zapnutí ověření nastavujete a téhle další otravnosti se zbavit nemůžete, dokud máte ověření zapnuté. Divná věc.

PS: Pokud namítnete, že to není dvoufaktorové ověření, tak máte pravdu. WhatsApp vlastně jenom přidal heslo.

2016-03-02 09_50_57-WhatsApp __ Home

POZOR! Hack Yahoo ještě horší, uniklo přes 500 milionů účtů.

Hack Yahoo ještě horší, uniklo přes 500 milionů účtů. Viz Yahoo Says Information on at Least 500 Million User Accounts Was Stolen a tady nezapomeňte, že jde o únik z roku 2014 a záplava hesel bude stále používána jak na Yahoo, tak na jiných online službách. Yahoo tvrdí, že za hackem stojí „státem sponzorovaný“ hacker (což zní jako snaha o PR výmluvu). Skoro jisté je, že to je největší hack v dějinách (překonává MySapace s 360 miliony hesel i Adobe s 153 milionů hesel) .

Původně se předpokládalo, že jde o 280 milionů údajů. Jak se útočníci dostali přímo do interních systémů Yahoo řečeno nebylo, ani jaká země za tím stojí.  Jako vždy připomenu Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel? a zásadní prvek dodatečné ochrany v podobě dvoufaktorového ověření.

2016-09-02 18_57_26-Have I been pwned_ Check if your email has been compromised in a data breach