Μετάβαση στο περιεχόμενο

Τεχνική Νομοθεσία Για Μηχανικούς Πληροφορικής/Προσωπικά Δεδομένα 2015

Από Βικιβιβλία

Διαρροή προσωπικών δεδομένων από το League of Legend (Τερζίδης Αντώνης Τ03548)

[επεξεργασία]

Το League of Legends έχει αναπτυχθεί από την εταιρία Riot Games και αποτελεί ένα απο τα δημοφιλέστερα παιχνιδια στον κόσμο. Είναι ένα ιδιαίτερα γνωστό online multiplayer game το οποίο κυκλοφόρησε το 2009 έχοντας ανοδική πορεία. Μέσα σε λίγα χρόνια, τον Αυγουστο του 2012 παιζόταν απο 12εκ. παίχτες σε Ευρώπη και Β.Αμερική. Για να γίνει ακόμα δημοφιλέστερο οι ομάδα του LoL άρχισε να διοργανώνει τουρνουά με έπαθλα που άγγιζαν το 1εκ δολάρια με αποτέλεσμα όσο δημοφιλέστερο γινόταν το παιχνίδι τόσο αυξανόταν και η αξία ενός λογαριασμού, αφού οι παιχτες ξόδευαν πολλές ώρες για να ξεκλειδώσουν νέους χαρακτήρες και δαπανούσαν πραγματικό χρήμα για να αγοράσουν αντικείμενα για τον αγαπημένο τους χαρακτήρα πράγμα που εδωσε πραγματική αξία σε ενα λογαριασμο ενος χρήστη του LoL.

Περίπου στα μέσα του 2012, το LoL δεχτηκε μια σοβαρή επίθεση εκθετοντας τους χρηστες την εταιρία αλλα και τα προσωπικά τους δεδομένα.Συγκεκριμένα η παραβίαση επέτρεψε στον κακόβουλο χάκερ να υποκλέψει usernames, passwords αλλα και στοιχεία πιστωτικών καρτών απο 120.000 πελάτες.την παραβίαση και την υποκλοπή όλων αυτών των δεδομένων την είχε κάνει ενας 21χρονος από το Queensland της Αυστραλίας ο οποίος και συνελήφθει.Κατηγορήθηκε απο το τμήμα απάτης και εγκλήματος στον κυβερνοχώρο της Αυστραλίας για αδικήματα/κακουργήματα όπως: παραβίαση υπολογιστών (computer hacking), για απάτη και για απόκτηση προσωπικών δεδομένων.Οι αρχές της Αυστραλίας για την διεξαγωγή της υπόθεσης έλαβαν βοήθεια απο το FBI αλλά και απο την ομάδα ασφάλειας του Riot Gamew και του LoL.

Αφου η εταιρία εκτέθηκε έβγαλε μια ανακόινωση λέγοντας ότι λυπατε για την υποκλοπή όλων αυτών των δεδομλενων και οτι ζητάει συγγνώμη.Στην συνέχεια πρότεινε στους χρήστες να αλλάξουν τα στοιχεία τους και κυρίως τους κωδικούς προσβασης σε ισχυρότερους.Επίσης ανακοίνωσε οτι μετά το συμβάν το λογισμικο της ασφάλειας θα αναβαθμιστεί συμπερι- λαμβανομένου και οτι όλοι οι χρήστες θα πρέπει να επαληθεύουν τον λογαριασμό τους με μία εγκυρη διεύθυνση e-mail καθώς και επαλήθευση σε sms για οποιαδήποτε αλλαγη στο email ή στο password ωστε να μην υπάρχουν ανάλογα αποτελέσματα και δυσαρεστημένοι πελάτες.

Πηγές:http://www.dailydot.com/esports/bot-of-legends-user-data-leak/

http://www.bbc.co.uk/newsbeat/article/23792860/league-of-legends-players-have-personal-details-hacked

Διαρροή UDID συσκευών της Apple (Θ.Αμάραντος,Σ.Ελευθεριάδης)

[επεξεργασία]

Τον Μάρτιο του 2012 υπήρξε μία μεγάλη διαρροή UDID (Μοναδικό Αναγνωριστικό Συσκευής) που αφορούσαν 1.000.000 συσκεύες της Apple.Για την διαρροή ευθύνεται μία μικρή εταιρία η BlueToad.Η ίδια ισχυρίστηκε πως υπήρξε επίθεση στους server της και έτσι κλάπηκαν τα UDID.Η ομάδα hack-τιβιστών AntiSec ανέλαβε την ευθύνη ισχυρίζοντας πως κατάφερε και υπέκλεψε ένα μη κρυπτογραφημένο αρχείο από το λάπτοπ ενός εκπροσώπου του FBI,θέλωντας έτσι να αποδείξει πως το FBI είχε πρόσβαση στα UDID,αλλά αυτό δεν επιβεβαιώθηκε ποτέ,μιας και το FBI το αρνήθηκε.Η Apple πάντως προέτρεπε τους προγραμματιστές που θέλανε να φτιάξουν μία εφαρμογή για το App Store της να μην χρησιμοποιούν τα UDID της συσκευής για "λόγους ιδιωτικότητας".Βέβαια με αυτό μάλλον δεν κατάφερε και πολλά γιατί ήδη στο App Store δύο στήλες από τις Top API της χρησιμοποιούσαν τα UDID των συσκευών σε ποσοστό 68%.
Όσων αφορά το ποιές είναι οι συνέπειες αυτής της διαρροής οι απόψεις είναι πολλές.Κάποιοι μέσα από τον χώρο της προστασίας δεδομένων ισχυρίζονται πως αν κάποιος γνωρίζει το UDID της συσκευής μπορεί να εγκαταστήσει παράνομο λογισμικό στην συσκευή,αν και αυτό απαιτεί την άδεια του χρήστη δεν σημένει πως δεν μπορεί να κρύβεται μέσα σε άλλα API(εφαρμογές).Όπως αποδείχτηκε πάντως από τον Aldo Cortesi,έναν ερευνητή ασφαλείας,γνωρίζοντας το UDID μίας συσκευής μπορεί κάποιος να υποκλέψει link από προφίλ στο Facebook,να αποκτήσει πρόσβαση στον λογαριασμό του χρήστη σε διάφορες gaming πλατφόρμες όπως την Zynga και την OpenFeint,ακόμα και να αποκτήσει συντεταγμένες GPS της συσκευής μέσω γεωεντοπισμού!Το μεγαλύτερο πρόβλημα όμως σε αυτή την υπόθεση είναι πως αν έχει υποκλαπεί το UDID της συσκευής δεν υπάρχει τρόπος να αλλάξει ή να σβηστεί.Έτσι αν κάποιος ανακάλυπτε,μέσω διαφόρων websites που είχαν δημιουργηθεί μόνο γι'αυτό το leak,ότι το UDID της συσκευής του έχει υποκλαπεί τότε ο μόνος τρόπος να απαλλαγεί από αυτό είναι η αγορά νέας συσκευής.Η Apple πάντως αντικατέστησε τον αριθμό UDID στις συσκευές της με το iOS 6 τον Σεπτέμβριο του 2012.

http://www.cnet.com/news/udid-leak-source-idd-bluetoad-mobile-firm-says-it-was-hacked/
http://www.cnet.com/news/apple-bolstering-privacy-by-ending-developer-access-to-udids/
http://www.theverge.com/2012/9/7/3298824/apple-ios-device-udid-spyware-privacy
http://oleb.net/blog/2012/09/udid-apis-in-ios-6/


Διαρροή Προσωπικών Δεδομένων απο το TAXISnet (Χρήστος Παπαευαγγέλου ΑΜ 4412251,Παύλος Παπαευαγγέλου ΑΜ 4412252)

[επεξεργασία]

TAXISnet

Το TAXISnet έχει στόχο να επεκτείνει, να βελτιώσει και να κάνει φιλικότερες και περισσότερο χρήσιμες τις υπάρχουσες ηλεκτρονικές υπηρεσίες. Βασικός στόχος του νέου συστήματος, που εφαρμόζει στην πράξη τις απαιτήσεις της πρόσφατης νομοθεσίας, είναι η διευκόλυνση των φορολογουμένων πολιτών προκειμένου να αντεπεξέρχονται στις φορολογικές τους υποχρεώσεις κατά το δυνατόν ευκολότερα, γρηγορότερα και ορθότερα. Και βασικό του πλεονέκτημα, είναι η τακτοποίηση και η οριοθέτηση της σχέσης μεταξύ φορολογουμένων και λογιστών, στην περίπτωση των πολιτών που επιλέγουν να εμπιστευθούν σε επαγγελματία τη διευθέτηση των υποχρεώσεών τους. Με το νέο σύστημα, ο λογιστής σας ΔΕΝ απαιτείται να γνωρίζει τους κωδικούς πρόσβασης που επιλέξατε ή τον κλειδάριθμο που εκδίδεται αποκλειστικά για σας κατά την εγγραφή σας. Μετά την εξουσιοδότησή σας -και με την προϋπόθεση ότι θα την αποδεχθεί- θα μπορεί να ενεργεί για λογαριασμό σας αυστηρά στα αντικείμενα για τα οποία τον εξουσιοδοτήσατε. Στην πλήρη του ανάπτυξη, το νέο σύστημα, ενδεικτικά: Θα καλύπτει την εμπρόθεσμη ή εκπρόθεσμη υποβολή αρχικών ή συμπληρωματικών-τροποποιητικών δηλώσεων που σήμερα υποβάλλονται είτε ηλεκτρονικά είτε στη Δ.Ο.Υ. καθώς και τη χορήγηση των περισσότερων από τα υφιστάμενα πιστοποιητικά και βεβαιώσεις. Θα παρέχει προσωποποιημένες πληροφορίες και θα υπενθυμίζει στους χρήστες τις φορολογικές τους υποχρεώσεις. Θα δίνει στο χρήστη τη δυνατότητα να εξουσιοδοτεί έναν ή περισσότερους λογιστές που θα ενεργούν για λογαριασμό του σε μία ή περισσότερες από τις υπηρεσίες που σταδιακά θα προστίθενται στο νέο σύστημα. Οπως αποκαλύφθηκε έγινε Διαρροή Προσωπικών Δεδομένων Ελλήνων Πολιτών από το «ελληνικό κράτος» .Οι Έρευνες για τη διαρροή των προσωπικών δεδομένων φέρεται να είναι στέλεχος του υπ. Οικονομικών. Ειπώθηκε οτι η επεξεργασία του σκληρού δίσκου με τα προσωπικά φορολογικά δεδομένα εννέα εκατομμυρίων πολιτών φέρεται να αποκάλυψε στους αστυνομικούς ο 35χρονος συλληφθείς. Από την πλευρά τους πάντως αστυνομικοί αναφέρουν ότι το πρόσωπο που κατείχε το εν λόγω αρχείο, το οποίο του έδωσε να επεξεργαστεί, χωρίς όμως, όπως ισχυρίζεται ο 35χρονος να το έχει δει, είναι ανώτερο στέλεχος του υπουργείου Οικονομικών[…]. Επισης ο εφοριακός εκβίαζε δικηγόρο απειλώντας να δημοσιεύσει τα προσωπικά του στοιχεία [...]υπάλλήλος,ο οποιος ειναι 26χρόνων, σε βάρος του οποίου σχηματίστηκε δικογραφία, . Ο υπάλλήλος της Δ.Ο.Υ κατηγορείται για συκοφαντική δυσφήμηση, απειλή καθώς και παράβαση του νόμου περί προστασίας προσωπικών δεδομένων. Η υπόθεση αποκαλύφθηκε όταν 44χρονος δικηγόρος κατήγγειλε την 20-11-2012 ότι σε forum ενημερωτικού ιστολογίου είχε αναρτηθεί σχόλιο με τα φορολογικά του στοιχεία. Από την διενεργηθείσα προανάκριση-έρευνα ταυτοποιήθηκε ότι η επίμαχη ανάρτηση πραγματοποιήθηκε από τον 26χρονο υπάλληλο της Δ.Ο.Υ., ο οποίος δεν συνελήφθη λόγω έλλειψης αυτόφωρης διαδικασίας. Η σχηματισθείσα δικογραφία θα υποβληθεί στον Εισαγγελέα Πρωτοδικών Αθηνών. Πλέον όπως λέγεται δεν υπάρχουν άλλες διαρροές προσωπικών δεδομένων απο το taxisnet και οτι είναι ασφαλές και πληρούνται όλες οι προδιαγραφές του απόρρητου. πηγ:http://www.gsis.gr/gsis/info/gsis_site/taxisnet/help.html http://www.inka.gr/?p=1123


Διαρροή προσωπικών δεδομένων χρηστών της Google (Κολαξή Δέσποινα-Λαγγούρα Ελένη)

[επεξεργασία]

Ένα ελάττωμα στο λογισμικό του Google Apps for Work ήταν αρκετό για να οδηγήσει σε διαρροή των προσωπικών δεδομένων πολλών χιλιάδων χρηστών. Συγκεκριμένα, τα ονόματα, οι φυσικές διευθύνσεις, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι αριθμοί τηλεφώνου τους διέρρευσαν ακούσια παρόλο που οι χρήστες είχαν επιλέξει να παραμείνουν οι πληροφορίες αυτές ιδιωτικές. Αυτή η παραβίαση αφορά ειδικά τα λεγόμενα δεδομένα "WHOIS". Πρόκειται, για μία βάση δεδομένων στην οποία αποθηκεύονται πληροφορίες και δεδομένα επικοινωνίας ανθρώπων οι οποίοι έχουν αγοράσει κάποιο domain name. Στη συγκεκριμένη βάση δεδομένων για λόγους προστασίας των προσωπικών τους δεδομένων οι πελάτες μπορούν καταβάλλοντας μία επιπλέον χρέωση, η οποία φτάνει σχεδόν τα 6 ευρώ ανά έτος, να κρατήσουν ιδιωτικές τις πληροφορίες τους. Αυτή την έξτρα υπηρεσία την προσφέρει η εταιρεία eNom, μέσω της οποίας γίνεται και η καταχώρηση των διάφορων δεδομένων, η οποία είναι υπεύθυνη για την ασφάλεια αυτών των δεδομένων και εγγυάται πως η μόνη περίπτωση που είναι υποχρεωμένη να τα παραδώσει είναι αν λάβει κάποια δικαστική εντολή.

Η διαρροή αυτή ξεκίνησε στα μέσα του 2013, όταν η eNom την εποχή που τα domain names ετοιμάζονταν για ανανέωση είχε απενεργοποιήσει τις ρυθμίσεις απορρήτου των καταχωρήσεων που γίνονταν για τα διάφορα domain names μέσω αυτής. Παρόλα αυτά, το πρόβλημα εντοπίστηκε από την Talos Security Intelligence and Research Group της Cisco στις 19 Φεβρουαρίου του 2015 και ανακοινώθηκε στους πελάτες στις 17 Μαρτίου του 2015. όταν το πρόβλημα εντοπίστηκε, οι συνεργάτες της Google, συμπεριλαμβανομένης της eNom, δεν πτοήθηκαν και αποφάσισαν να συνεχίσουν να επιτρέπουν στους πελάτες να κατοχυρώνουν διάφορα domain names. Αν και οι ρυθμίσεις αποκαταστάθηκαν μέσα σε 6 μόλις μέρες από την Google προσμετρώντας 282,867 από τους 305,925 πελάτες (94%) των οποίων τα στοιχεία εκτέθηκαν, η ζημιά είναι μεγάλη και θα φανεί στο άμεσο μέλλον.

Όπως αναφέρουν και οι ερευνητές της Cisco με ανώτερο τον Craig Williams, η μεγαλύτερη απειλή είναι οι πελάτες να πέσουν θύματα απόπειρας απάτης και κλοπής περαιτέρω στοιχείων τους καθώς είναι πιθανόν να βρεθούν δέκτες στοχευμένων phish emails τα οποία θα περιέχουν το πραγματικό όνομα, διεύθυνση και αριθμό τηλεφώνου τους. Η μεγαλύτερη και πιο ουσιαστική αποτυχία της Google, όμως, είναι ότι επιβεβαίωσε τη φήμη πως τις περισσότερες φορές οι χρήστες πράττουν ορθά που χρησιμοποιούν ψεύτικες ή τροποποιημένες πληροφορίες και στοιχεία κατά την εγγραφή τους σε κάποιο site ή σε οποιαδήποτε άλλη δράση τους στο διαδίκτυο.

Πηγές: [1], [2], [3]

Σκάνδαλο διαρροής της Sony (Μιλιλή Ειρήνη-Μαργαρίτη Αθηνά)

[επεξεργασία]

Στις 24 Νοεμβρίου 2014 η Sony Pictures Entertainment έπεσε θύμα απο χάκερ, δημοσιεύοντας προσωπικά δεδομένα. Αυτά τα δεδομένα περιλάμβαναν προσωπικές πληροφορίες των εργαζομένων της Sony Pictures σχετικά με τις οικογένειες τους, e-mail τους, σχετικά με τους μισθούς τους και πάρα πολλές άλλες πληροφορίες. Οι χάκερ που προκάλεσαν όλο αυτό, ήταν γνωστοί ως «Φύλακες της Ειρήνης». Οι χάκερ ισχυρίζονται ότι έχουν λάβει πάνω από 100 terabytes δεδομένων από τη Sony. Έρευνες δείχνουν ότι για περίπου 1 χρόνο οι Φύλακες της Ειρήνης εισέβαλλαν στα δεδομένα χωρίς να το αντιληφθεί κανείς. Στη συνέχεια εγκατέστησαν ένα malware πρόγραμμα λογισμικού, το οποίο σχεδιάστηκε για να διαγράψει δεδομένα από τους εξυπηρετητές. Τη Δευτέρα στις 24 Νοέμβρη η Sony έλαβε γνώση για το κακόβουλο λογισμικό διότι οι εργαζόμενοι δεν μπορούσαν να χειριστούν τους υπολογιστές. Βγήκαν στην επιφάνεια προσωπικά δεδομένα από όσους είχαν twitter με λογαριασμούς της Sony. Υπήρχε όμως και ένα προειδοποιητικό μήνυμα στις 21 Νοέμβρη, στα e-mail των εργαζομένων από τους Φύλακες της Ειρήνης ότι εάν δεν τους δώσουν χρηματική αποζημίωση θα τα βγάλουν όλα στη φόρα δημοσιοποιώντας όλα τα δεδομένα. Τα στελέχη της εταιρίας όμως αυτό το μήνυμα το αγνόησαν. Αφού πέρασε η προθεσμία και είδαν οι χάκερ ότι δεν τους παίρνουν στα σοβαρά, άρχισαν να κυκλοφορούν στο διαδίκτυο εμπιστευτικά δεδομένα. Η Sony έλαβε γρήγορα δράση επικοινωνώντας με το FBI και η ιδιωτική εταιρία Fire Eye ξεκίνησε τη προστασία των δεδομένων των εργαζομένων της Sony και προσπαθώντας να βρει τη πηγή διαρροής. Το FBI με αφορμή τις απειλές της Βορείου Κορέας για επιθέσεις σε κινηματογράφους όπου θα προβαλλόταν η ταινία The Intrview,η οποία επρόκειτο για τη σατιρική κωμωδία που στοχεύει το δικτατορικό καθεστώς της Βορείου Κορέας, θεώρησε ότι οι χάκερ ήταν από τη Βόρεια Κορέα και άρχισαν να επικεντρώνονται σε αυτό. Αποκάλυψε μετά από ανάλυση του κακόβουλου λογισμικού διαγραφής δεδομένων ότι υπήρχαν ομοιότητες σε κάποιες γραμμές κώδικα, αλγόριθμους κρυπτογράφησης και μεθόδους διαγραφής δεδομένων. Η Sony έκανε μήνυση στα μέσα μαζικής ενημέρωσης για το λόγο ότι ξεκίνησαν μία προπαγάνδα, καλύπτοντας τους Φύλακες της Ειρήνης. Ακόμη όμως δεν έχει λυθεί αυτή η υπόθεση. Τέλος, η Sony απέλυσε έναν αριθμό εργαζομένων γιατί είχε χάσει την εμπιστοσύνη της.


ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ -YAHOO- (Σετσίδης Χαράλαμπος)

[επεξεργασία]

Η Yahoo είναι εταιρεία διαδικτυακών υπηρεσιών είναι από τους πιο γνωστούς αλλά και από τους παλαιότερους καταλόγους ιστοσελίδων του διαδικτύου. Σήμερα φυσικά είναι μια από τις ισχυρότερες μηχανές αναζήτησης και προσφέρει στους χρήστες του το ηλεκτρονικό ταχυδρομείο. Το Yahoo έχει όχι απλά μεγάλη επισκεψιμότητα αλλά είναι και τεράστια ανάμεσα στις ειδησεογραφικές ιστοσελίδες ο αριθμός αναγνωστών να φτάνει τους 7 δις επισκέπτες κάθε μήνα. Ακόμα και μια τέτοια εταιρεία όπως η Yahoo με ένα τεράστιο όνομα στον χώρο ήρθε αντιμέτωπη με τον νόμο, αντιμέτωπη με μία συλλογική αγωγή που αφορά την παράνομη πρόσβαση στα μηνύματα του ηλεκτρονικού ταχυδρομείου (email) των χρηστών. Πιο συγκεκριμένα η αμερικάνικη εταιρεία (Yahoo) κατηγορήθηκε για το εξής παράπτωμα πως διάβαζε και επεξεργαζόταν τα μηνύματα ή αλλιώς (email) που έστελναν στους χρήστες της χρήστες που το email τους δεν άνηκε στην Yahoo. Η δίκη πραγματοποιήθηκε στο δικαστήριο της Καλιφόρνια όπου ανακοίνωσε πως όσοι έστελναν ή παρελάμβαναν email μέσω της Yahoo από τις 2 Οκτωβρίου του 2011 θα μπορούσαν να κινηθούν νομικά εναντίων της εταιρείας. Στην συλλογική αγωγή φαίνεται να συμμετείχαν πάνω από 1 εκατομμύριο άνθρωποι ενώ η Yahoo κατηγορήθηκε πως τα δεδομένα από την υποκλοπή θα τα χρησιμοποιούσαν για την ενίσχυση των διαφημιστικών της εσόδων μιας και την περασμένη χρονιά υπολογίζετε πως το 80% των εσόδων της προέρχονταν από διαφημίσεις. Οι χρήστες που δεν άνηκαν στην Yahoo κατηγορούν την αμερικάνικη εταιρεία πως χρησιμοποίησε τα δεδομένα για την δημιουργία στοχευόμενων διαφημίσεων για 275 εκατομμύρια χρήστες της. Το δικαστήριο έκρινε πως εναντίον της Yahoo μπορούν να στραφούν και οι χρήστες οι όποιοι δεν είναι συνδρομητές (χρήστες) της Yahoo. Αυτή η νέα μόδα συλλογικών – μαζικών αγωγών εναντίων μεγάλων εταιρειών γνωρίζει τεράστια επιτυχία στις ΗΠΑ, διότι κάνει ευκολότερη την λήψη των αποζημιώσεων και φυσικά με μικρότερο κόστος για τους ενάγοντες μιας και είναι άπειροι.


Πηγές:http://www.inewsgr.com/88/Yahoo-sta-dikastiria-gia-paraviasi-prosopikon-dedomenonles-kai-den-parakolouthountai-ta-panta.htm http://prezatv.blogspot.gr/2015/05/yahoo.html

Sony Playstation Network 2011 outage (Μπούρας Νικόλαος - Καρακώστας Δημήτριος)

[επεξεργασία]

Το 2011 και συγκεκριμένα στις 20 Απριλίου τα δίκτυα PlayStation σταμάτησαν να λειτουργούν λόγο μιας εξωτερικής εισβολής στο δίκτυο PlayStation της Sony και των υπηρεσιών Qriocity, όπου προσωπικά δεδομένα από περίπου 77 εκατομμύρια λογαριασμούς κινδύνευσαν με αποτέλεσμα να αποθαρρύνουν τους χρήστες να συνδεθούν on-line μέσω της υπηρεσίας. Πιο συγκεκριμένα η επίθεση έλαβε μέρος μεταξύ 17 και 19 Απριλίου αναγκάζοντας την Sony να κλείσει το δίκτυο της στις 20 Απριλίου. Τελικά στις 4 Μαΐου ήρθε η ανακοίνωση της Sony να γνωστοποιήσει ότι υπάρχει η πιθανότητα διαρροής προσωπικών δεδομένων από 77 εκατομμύρια χρήστες.Η διακοπή λειτουργίας του δικτύου είχε διάρκεια 23 ημερών.Κέρδισε μια θέση στην ιστορία των μεγαλυτέρων παραβιάσεων προσωπικών δεδομένων καθώς ξεπέρασε και το ΤJX του 2007. Η ανησυχία ανώτερων κυβερνητικών υπαλλήλων σχετικά με την κλοπή δεδομένων και την καθυστέρηση της ανακοίνωσης από την Sony για να προειδοποιήσει τους χρήστες ήταν εμφανής. Ανακοίνωση από την Sony πληροφορεί πως στις 26 Απριλίου γινόταν προσπάθειες να τρέξουν οι on-line υπηρεσίες μέσα σε μια βδομάδα.Στην 14 Μαΐου δόθηκε στην αγορά για το Playstasion 3 το firmware version 3.61 ως patch ασφαλείας το οποίο απαιτούσε αλλαγή των κωδικών πρόσβασης προτού γίνει η επανασύνδεση.Στις 23 του ιδίου μήνα έγινε γνωστό από την εταιρία ότι οι δαπάνες τις διακοπής λειτουργίας ανέρχονται στα 171 εκατομμύρια δολάρια.

Νομικές Ενέργειες Εναντίον της Sony

Όπως ήταν αναμενόμενο ξέσπασε μια καταιγίδα καταγγελιών εναντίον της Sony με τον κίνδυνο μεγάλης οικονομικής ζημίας για την εταιρία να είναι προ των πυλών. Στις 27 Απριλίου αναρτήθηκαν πληροφορίες μιας καταγγελίας και σύμφωνα με την καταγγελία αυτή στην δίκη , η Sony απέτυχε στο να ειδοποιήσει τους χρήστες για μια πιθανή παραβίαση όπως απέτυχε και στην ασφαλή αποθήκευση των πληροφοριών πιστωτικών καρτών των μελών και κατηγορήθηκε επίσης για παραβίαση του PCI για τα πρότυπα ασφάλειας για τη βιομηχανία καρτών πληρωμής. Μια δίκη στον Καναδά ενάντια στη Sony USA, τη Sony Canada και τη Sony Japan απαίτησε χρηματική αποζημίωση για τις ζημίες μέχρι 1 δισεκατομμύριο C$ για ασφάλεια παραβίασης προσωπικών δεδομένων(κλοπή ταυτότητας).Ο εναγών αναφέρθηκε στην δίκη λέγοντας, <<εάν δεν μπορείτε να εμπιστευθείτε μια τεράστια πολυεθνική εταιρία όπως τη Sony για να προστατεύσετε τις ιδιωτικές πληροφορίες σας, ποιόν άλλο μπορείτε να εμπιστευτείτε; Συμπεραίνουμε ότι η Sony έριξε όλο το βάρος της στην προστασία των παιχνιδιών της και όχι στην προστασία των προσωπικών δεδομένων των χρηστών της>>. Τον Οκτώβριο του 2012 ένας δικαστής σταμάτησε μια δίκη ενάντια στην εταιρία για παραβίαση ασφάλειας PSN,λέγοντας πως η Sony δεν έχει παραβιάσει τους νόμους της πολιτείας της Καλιφόρνια για την προστασία του καταναλωτή και πως δεν νοείται ο όρος <<τέλεια ασφάλεια>> ελαφρύνοντας την θέση της εταιρίας. Το 2013 στο Ηνωμένο Βασίλειο το γραφείο πληροφοριών χρέωσε την Sοny με πρόστιμο £250,000 επειδή έθεσε σε κίνδυνο ένα μεγάλο αριθμό προσωπικών δεδομένων των πελατών.

Η τριετία 2010-2013 ήταν φανερά,αρκετά επιβλαβής για την Sony καθώς έχασε πελάτες και χρήματα.Για να υποδεχθεί πίσω τους χρήστες της μετά την αντιμετώπιση των προβλημάτων ανακοίνωσε ότι θα προσφέρει αυξημένη προστασία των δεδομένων σε κάθε περιοχή, θα προσφέρει επίσης στους χρήστες του PSN δύο δωρεάν παιχνίδια από έναν κατάλογο πέντε παιχνιδιών, ως μέρος του προγράμματος Welcome back. Ως bonous παρέχεται επίσης και ένας μήνας δωρεάν συνδρομής στο PlayStation Plus για όλους τους πελάτες του PSN, αλλά και επέκταση των υπηρεσιών των ήδη συνδρομητών στην υπηρεσία αυτή.

Adobe data breach (Στέφανος Πολυχρονίδης - Μαρία Ψύρρα)

[επεξεργασία]

Στις 3 Οκτωβρίου το 2013 η εταιρία Adobe Systems ανακοίνωσε στους χρήστες της ότι προσωπικά δεδομένα από 2.9 εκατομμύρια χρήστες της κλάπηκαν. Μεταξύ αυτών κωδικοί πρόσβασης αλλά και στοιχεία πιστωτικών καρτών. Όλα τα δεδομένα που κλάπηκαν αργότερα ανέβηκαν στην ιστοσελίδα AnonNews.org σε ένα αρχείο με ονομασία "users.tar.gz” και όγκου 3.8 GB.

Αργότερα τον ίδιο μήνα αποκαλύφθηκε ότι το μέγεθος της διαρροής ήταν πολύ πιο μεγάλο. Τα δεδομένα που κλάπηκαν ήταν από τουλάχιστον 38 εκατομμύρια ενεργούς χρήστες ενώ το αρχείο users είχε πάνω από 150 εκατομμύρια εγγραφές από συνδυασμούς ονομάτων χρηστών και κωδικών πρόσβασης.

Μαζί με τα στοιχεία πελατών της Adobe επίσης κλάπηκαν μέρη του πηγαίου κώδικα του Photoshop και του ColdFusion κάνοντας πιο εύκολο να βρεθούν ευάλωτα σημεία(vulnerabilities) στον κώδικα τους για μελλοντικές επιθέσεις όπως στην PR Newswire όπου κλάπηκαν τα στοιχεία σύνδεσης των πελατών της και το πολιτειακό δικαστήριο της Washington όπου κλάπηκαν πάνω από 160.000 αριθμούς κοινωνικής ασφάλισης. Η εταιρία δέχτηκε μεγάλη κριτική για τις τεχνικές ασφαλείας που χρησιμοποιούσε από διάφορες εταιρίες ασφαλείας όπως την Sophos όπου έδειξε ότι ένας πάρα πολύ μεγάλος όγκος δεδομένων θα μπορούσε να κλαπεί με πάρα πολύ λίγη προσπάθεια κυρίως λόγο της ECB κρυπτογράφησης που χρησιμοποιούσε και το γεγονός ότι για όλες τις κρυπτογραφήσεις είχε το ίδιο κλειδί.

Λόγο της μεγάλης ανησυχίας μετά το συμβάν για κλοπές χρημάτων από τους λογαριασμούς των μελών που κλάπηκαν τα στοιχεία των πιστωτικών η χρεωστικών καρτών τους η Adobe προσέλαβε την Experian ώστε να ελέγχει τις κινήσεις των πιστωτικών καρτών δωρεάν σε όλα τα θύματα της επίθεσης για ένα χρόνο.

Στις 11 Νοεμβρίου το 2013 το δικηγορικό γραφείο Girard Gibbs LLP  ανέλαβε την υπεράσπιση των χρηστών της Adobe εναντίων της εταιρίας κατηγορώντας την ότι δεν έδωσε σημασία στην ασφάλεια των χρηστών της και δεν τους ενημέρωσε αρκετά γρήγορα μετά την επίθεση. Δεν έχει αποκαλυφθεί το ποσό που κλήθηκε η Adobe να πληρώσει στους χρήστες όμως τα δικαστικά έξοδα ξεπερνούν το 1 εκατομμύριο δολάρια.

Πηγές: [4] [5] [6] [7] [8]

Ashley Madison hack ( Σπανός - Παπαδήμας )

[επεξεργασία]

Αν κάποιος επισκευθεί την σελίδα Ashleymadison.com θα ενημερωθεί αμέσως περί τίνος πρόκειται. Χαρακτηριστηκά στο κάτω μέρος του site αναφέρει: "Η Ashley Madison είναι το πιο διάσημο όνομα στην απιστία και τα εξωσυζυγικά ραντεβού". Το πιο αστείο είναι ότι το συγκεκριμένο site το έχουν αναφέρει τηλεοπτικοί σταθμοί παγκόσμιας εμβέλειας όπως το BBC, το Reuters, το CNN αλλά και οι Times της Νέας Υόρκης. Με λίγα λόγια είναι ευρέως γνωστό σε όλο τον ανεπτυγμένο κόσμο και το μότο τους είναι: "Αν εγγραφείς σε εμάς θα βρεις σίγουρα σχέση".

Για τις ανάγκες της άσκησης δημιουργήθηκε λογαριασμός στο συγκεκριμένο site. Αυτό που κινεί την περιέργεια κατά την δημιουργία είναι ότι για να δημιουργηθεί λογαριασμός το site ζητάει οικογενειακή κατάσταση και όρια. Στα όρια οι επιλογές του χρήστη είναι "κάτι βραχυπρόθεσμο, μακροπρόθεσμο, κυβερνοσχέση και άλλα. Τα υπόλοιπα στοιχεία που πρέπει να δώσει κάποιος, είναι χαρακτηριστικά, όπως ύψος, βάρος σωματότυπος κλπ. Αντιλαμβάνεται κανείς εύκολα ότι στην ουσία ο χρήστης δίνει μαζί με τα προσωπικά του στοιχεία και μια περιγραφή του εαυτού του. Βάζοντας λοιπόν και μια φωτογραφία στο προφίλ δεν αφήνει καμία αμφιβολία για το ποιος είναι. Φυσικά και είναι αναφαίρετο δικαίωμα του καθενός να αναζητά ταίρι με οποιονδήποτε τρόπο.Ας μην ξεχνάμε όμως, ότι στο συγκεκριμένο site υπάρχουν και οικογενειάρχες, που ίσως να λειτουργούν κρυφά από την οικογένειά τους ή ακόμα και απλοί εραστές που δεν έχουν ακόμα δεσμευθεί. Συνεπώς η δημοσιοποίηση των στοιχείων τους δεν θα τους γεμίσει χαρά.

Τον Ιούλιο του 2015 λοιπόν το συγκεκριμένο σίτε έπεσε θύμα χάκινγκ από μια ομάδα με όνομα Active Team. Αυτό που έκανε η ομάδα, ήταν να υποκλέψει πάνω από 25 GB δεδομένων της εταιρείας. Φυσικά, μέσα σε αυτά ήταν και τα δεδομένα των χρηστών. Μόλις αυτό έγινε γνωστό, σε συνδυασμό με την πολιτική της μη διαγραφής των δεδομένων του χρήστη, πολύς κόσμος έχασε τον ύπνο του. Τον Αύγουστο του 2015 έγινε αυτό που οι χρήστες φοβότανε, τα δεδομένα τους ανέβηκαν σε συμπιεσμένη μορφή των 10 GB στο Bit torrent. Μερικές μέρες αργότερα ανέβηκαν άλλα 12.7 GB δεδομένων, ξανά στο Bit torrent. Ο σάλος που ακολούθησε ήταν τεράστιος. Μάλιστα υπήρχαν και 4 αυτοκτονίες που συνδέθηκαν από την αστυνομία με την διαρροή αυτών των δεδομένων εκ των οποίον η μία ήταν ενός πάστορα.

Βέβαια, δεν πρέπει να ξεχνάμε και το γεγονός ότι σε οποιοδήποτε θέμα σεξουαλικής φύσης, ο άνθρωπος τείνει να μεγιστοποιεί τα γεγονότα. Αν αναλογισθεί κανείς ότι από τα 5,5 εκατομμύρια γυναίκες που ήταν εγγεγραμμένες, μόνο οι 12.000 ήταν ενεργές και ότι μόνο οι 9.700 από τις 5.5 εκατομμύρια έχουν απαντήσει σε μήνυμα, θα μπορούσε να πει κανείς, ότι το σκάνδαλο ίσως και να πήρε μεγαλύτερες διαστάσεις από ότι χρειαζόταν. Επίσης, ένα άλλο στατιστικό είναι αρκετά ενδιαφέρον. Για κάθε μία φορά που μία γυναίκα έλεγχε το email της, 13.585 άνδρες τσέκαραν το δικό τους. Υπάρχει και το γεγονός ότι μια αρκετά διάσημη ανά τον κόσμο οικονομική ρεπόρτερ, η Claire Brownell, η οποία δήλωσε ότι με μια απλή δοκιμή του τεστ του Τούρινγκ (μπορεί να αντιληφθεί κατά πόσο μια μηχανή μπορεί να μιμηθεί τον άνθρωπο) θα μπορούσε να δείξει ότι πολλοί άνδρες αγόρασαν προνομιούχο λογαριασμό χωρίς κάποια ιδαίτερη απολαβή. Είναι λογικό να αναρωτιέται κανείς αν τελικά το σκάνδαλο έκανε κακό στην εταιρεία ή την έκανε πιο διάσημη.

Όλα αυτά όμως είναι απλές εικασίες. Τα επίσημα στοιχεία δείχνουν ότι το FBI έχει αναλάβει την υπόθεση, ότι στο σκάνδαλο υπάρχουν emails που είναι πολύ πιθανό να ανήκουν σε μέλη της κυβέρνησης του Ηνωμένου Βασιλείου αλλά και σε άτομα του υπουργείου οικονομικών της Αμερικής. Οι συγκεκριμένοι χάκερς δε, χαρακτηρίστηκαν ως εγκληματίες από το σίτε και επικυρήχθηκαν για 500.000 δολάρια.

Βιβλιογραφία : [9] [10] [11] [12]

AOL Search Leak (Τσάπο Αντονέλα-Νίκου Κωνσταντίνος)

[επεξεργασία]

Η AOL Inc. ιδρύθηκε το 1983 με το όνομα Control Video Corporation και είναι μια εταιρία μαζικής ενημέρωσης με έδρα της την New York στις Ηνωμένες Πολιτείες της Αμερικής. Αποτελεί μια εταιρία ψηφιακής διανομής των προϊόντων και υπηρεσιών της σε καταναλωτές και σε ιδιώτες (διαφημιστές και εκδότες) καθώς ταυτόχρονα ασχολείται με την ανάπτυξη και επένδυση σε ιστοσελίδες και γενικότερα σε εμπορικά brands.

Το 2006 και συγκεκριμένα τον Αύγουστο, η AOL κατηγορήθηκε για την απελευθέρωση ενός αρχείου που αποτελούνταν από λέξεις - κλειδιά που χρησιμοποιούσαν οι χρήστες της και κάποια ακόμη πιο προσωπικά δεδομένα όπως στοιχεία τραπεζικών συναλλαγών. Οι λέξεις κλειδιά ήταν πάνω από 20 εκατομμύρια και οι χρήστες που τα δεδομένα τους τέθηκαν σε κίνδυνο πάνω 650 χιλιάδες.

Η AOL γνώριζε για αυτό το αρχείο αλλά υποστήριξε πως προοριζόταν για καθαρά ερευνητικούς σκοπούς (ανώνυμα) και έτσι το κατέβασε από την ιστοσελίδα της χωρίς όμως αυτό να ευχαριστήσει τους χρήστες καθώς τα δεδομένα τους βρέθηκαν και σε άλλες ιστοσελίδες του διαδικτύου. Η εταιρία επίσης υποστήριξε πως η διαρροή αυτών των δεδομένων όπως οι λέξεις κλειδιά δε θα έπρεπε να απασχολήσει τόσο πολύ τους χρήστες, μα πολλοί δικηγόροι των χρηστών ξεκαθάρισαν πως και μόνο από απλές λέξεις - κλειδιά μπορεί να γίνει ταυτοποίηση του χρήστη και των κινήσεων του. Η εταιρία τελικά αναγνώρισε το λάθος της, ο τότε διευθύνων σύμβουλος Μaureen Govern παραιτήθηκε και τον Σεπτέμβριο του 2006 κατατέθηκε στα δικαστήρια αγωγή στην οποία ζητούνταν αποζημίωση 5.000$ για κάθε χρήστη. Ακόμη και σήμερα η εταιρία βρίσκεται στα δικαστήρια και έχει αλλάξει πολλά χέρια στην πορεία της ως τώρα.

Τέλος σε πολλές ιστοσελίδες και περιοδικά αυτό το γεγονός έχει χαρακτηριστεί ως μεγάλη γκάφα από μέρους της εταιρίας όπως για παράδειγμα τον Ιανουάριο του 2007 το περιοδικό Business 2.0 πρόσθεσε στη λίστα των «101 Dumbest Moments in Business» το γεγονός αυτό και σε πολλά blogs χρήστες και διαχειριστές σχολίασαν με όχι και τόσο ήπιους τόνους αυτό το περιστατικό.

Βιβλιογραφία:
http://www.networkworld.com/article/2185187/security/15-worst-internet-privacy-scandals-of-all-time.html
http://www.networkworld.com/article/2185973/lan-wan/the-15-worst-data-security-breaches-of-the-21st-century.html

eBay Hacked 2014(Μακρής Νικόλαος - Σταμάτης Γρηγόριος)

[επεξεργασία]

Το eBay είναι μια ιστοσελίδα ηλεκτρονικού εμπορίου όπου σε αυτήν γίνονται ηλεκτρονικές δημοπρασίες αλλά και αγορές ή πωλήσεις από ιδιώτες ή επιχειρήσεις. Η έδρα της εταιρίας eBay βρίσκεται στο Σαν Χοσέ της Καλιφόρνια. Το eBay αρχικά ονομαζόταν AuctionWeb το οποίο είχε ιδρυθεί στις 4 Σεπτέμβρη του 1995 από τον Ιρανοαμερικάνο προγραμματιστή Pierre Omidyar.

Στις 21 Μαϊου του 2014 είχε ανακοινωθεί από την εταιρεία eBay ότι το εταιρικό δίκτυο είχε χακαριστεί και μια βάση δεδομένων και οι κωδικοί των χρηστών ήταν σε κίνδυνο. Αμέσως ανακοινώθηκε ότι καλό θα ήταν οι χρήστες να αλλάξουν τους κωδικούς πρόσβασής τους. Η εταιρία eBay επικοινώνησε με την εταιρία CNET και είπε ότι ήταν θύμα χακαρίσματος μιας βάσης δεδομένων όπου υπήρχαν οι κωδικοί πρόσβασης όλων των χρηστών. Η CNET καθησύχασε τον κόσμο ότι δεν υπάρχει καμία απόδειξη ότι κάποια οικονομική πληροφορία βρίσκεται σε κίνδυνο. Σε κάποιο blog γράφτηκε κάποιο άρθρο για την ανακοίνωση της εταιρίας eBay για να αλλάξουν οι χρήστες τους κωδικούς πρόσβασης , το οποίο άρθρο κοινοποιήθηκε πολλές φορές σε σελίδες κοινωνικής δικτύωσης και δημιουργήθηκε μεγάλη σύγχυση για τους χρήστες που είχαν λογαριασμό στο eBay.

Μετά την ανακοίνωση της εταιρίας eBay για να αλλάξουν οι χρήστες τους κωδικούς πρόσβασής τους , οι μετοχές της εταιρίας έπεσαν. Τέλη Φεβρουαρίου αρχές Μαρτίου του 2015 η βάση δεδομένων που περιέχουν τους κωδικούς πρόσβασης των χρηστών κρυπτογραφήθηκαν. Έγιναν πολλές δοκιμές στα δίκτυα της εταιρίας και δεν επιτρεπόταν καμία ενέργεια αν δεν υπήρχε εξουσιοδοτημένη πρόσβαση. Το eBay ανακοίνωσε ότι είχε εντοπιστεί το χακάρισμα και ότι ψάχνουν να βρουν τι είχε υποκλαπεί. Η εταιρία ανακοίνωσε στους χρήστες του ότι καλό θα ήταν να αλλάξουν κωδικό πρόσβασης ειδικότερα αν χρησιμοποιούσαν τα ίδια στοιχεία log-in και σε άλλες ιστοσελίδες. Το eBay έχει 128 εκατομμύρια ενεργούς χρήστες σε όλο τον κόσμο. Αυτό το χακάρισμα υπολογίζεται ότι επηρέασε 110 εκατομμύρια χρήστες και τις πληροφορίες τους όπως ονόματα, διευθύνσεις e-mail, αριθμών τηλεφώνων.

Πηγές:

http://www.cnet.com/news/ebay-hacked-requests-all-users-change-passwords/

https://en.wikipedia.org/wiki/EBay

Σκάνδαλο υποκλοπών στις ΗΠΑ από την NSA(ΜΑΛΑΘΟΥΝΗΣ ΑΛΕΞΑΝΔΡΟΣ-ΛΙΤΣΑΡΔΟΠΟΥΛΟΣ ΑΘΑΝΑΣΙΟΣ)

[επεξεργασία]

Στις 20 Ιουνίου 2013 αποκαλύφθηκε ένα από τα μεγαλύτερα σκάνδαλα στην ιστορία των ΗΠΑ. Το σκάνδαλο αυτό αφορά την παρακολούθηση και καταγραφή ιδιωτικών συνομιλιών της χώρας, με κύριους υπεύθυνους την NSA. Ο λόγος για τον οποίο αποκαλύφθηκε αυτό το σκάνδαλο ήταν ένας άνθρωπος ονόματι Έντουαρντ Τζόζεφ Σνόουντεν ( Edward Joseph Snowden). Ο Σνόουντεν ήταν ένας υπάλληλος (τεχνικός διαχειριστής συστημάτων) που εργαζόταν για λογαριασμό της NSA και της CIA. Ο Σνοουντεν είχε υπό την κατοχή του σημαντικά και άκρως απόρρητα έγγραφα τα οποία αποδεικνύουν την παράνομη κατοχή και καταγραφή ιδιωτικών συνομιλιών Αμερικανών πολιτών για λογαριασμό της NSA. Ο τρόπος με τον οποίο αποκάλυψε τα έγγραφα και την συνομωσία αυτή, ήταν μέσω ενός συνεργάτη του, τον Γκρίνγουολντ Γκλεν, (Greenwald, Glenn) ο οποίος δούλευε στην The Guardian. Σύμφωνα με τον Σνοουντεν η NSA συνεργαζόταν με εταιρίες τηλεπικοινωνιών όπως η ATT, η οποία έδινε στοιχεία από κατασκοπία επικοινωνιών. Συγκεκριμένα παρείχε πρόσβαση σε δισεκατομμύρια μηνύματα ηλεκτρονικής αλληλογραφίας που ανταλλάχτηκαν στο Αμερικανικό έδαφος. Αξίζει να σημειωθεί ότι η συγκεκριμένη εταιρία είχε οδηγηθεί στην δικαιοσύνη στο παρελθόν για παραβίαση όρων του συντάγματος που αφορούν την παρακολούθηση ιδιωτικών συνομιλιών.Επίσης σύμφωνα με τον Γκινγουολντ ακόμη και οι απλοί αμαλυτές της NSA έχουν την δυνατότητα να ψάξουν και να ακούσουν επικοινωνίες/κλήσεις,στη συνέχεια τοποθετούν τις συνομιλίες σε μια βάση δεδομένων και την ανανεώνουν ανα τακτά χρονικά διαστήματα.Αυτό γίνεται μέσω συστημάτων όπως η PRISM.Η βάση δεδομένων της NSA αποτελείται απο ένα ιστορικό κλήσεων πολλών ετών με αποτέλεσμα οι αναλυτές να έχουν την δυνατότητα να αναζητήσουν απο αυτές συγκεκριμένες κλήσεις/email/ιστορικό αναζήτησης συγκεκριμένου χρονικού διαστήματος. Εκτός από το PRISM, το TEMPORA χρησιμοποιεί σύστημα υποκλοπής των οπτικών ινών που συνθέτουν την ραχοκοκαλιά του διαδικτύου για να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα των χρηστών του διαδικτύου χωρίς οποιαδήποτε ατομική υποψία ή στόχευση. Την επίγνωση της λειτουργιάς αυτής την κατέχουν οι εταιρίες οι οποίες κατασκευάζουν τις οπτικές ίνες ή τους σταθμούς εκφόρτωσης .Τέλος ο Σνόουντεν κατηγορήθηκε για παραβίαση του νόμου κατασκοπίας και για κλοπή κρατικών περιουσιακών στοιχείων. Ο Σνόουντεν γνωριζοντας τα γεγονοτα που θα ακολουθουσαν αναζήτησε άσυλο το οποιο βρήκε στην Ρωσια για 3 χρόνια, με την Βενεζουέλα να του προσφέρει και αυτή με την σειρά της ασυλία.

Πηγές:[13] [14] [15] [16]

Διαρροή προσωπικών δεδομένων οδηγών ταξί από bug στο Uber(Αλεξανδρος Βρουτσης-Μπουλλαρι Μαριο)

[επεξεργασία]

Στην καθημερινότητα των ανθρώπων υπάρχουν υπηρεσίες αλλά και εφαρμογές οι οποίες κάνουν πιο εύκολη την ζωη τους. Είτε το επιθυμούν οι χρήστες είτε όχι αυτές περιέχουν αρκετές πληροφορίες και δεδομένα όσων αφορά τους ίδιους. Πολλές φορές έχουν σημειωθεί περιστατικά διαροής αυτών των δεδομένων είτε λόγω κλοπής είτε λόγω λάθους των διαχειρηστών με αποτέλεσμα την δυσαρέσκεια των χρηστών. Ένα ανάλογο περιστατικό συνέβη και με τα δεδομένα που περιέχει η εφαρμογή UBER. Η εφαρμογή είναι μια υπηρεσία μεταφορών, δηλαδή, διευκολύνει την μεταφορά των πολιτών με ταξί.

Είναι μια εφαρμογή η οποία χρησιμοποιέιται απο τους χρηστές έχοντάς την εγκατεστημένη στα smartphones τους έτσι ώστε να βλέπουν ποια ταξί είναι διαθέσιμα να τους εξυπηρετήσουν για να φτάσουν στον προορισμό τους. Η Uber έχει ως σκοπό της να μπορεί ο χρήστης να βρίσκει το μέσο μεταφοράς που τον εξυπηρετεί σε χρόνο κάτω τον 2 λεπτών και αυτό μπορεί να γίνει εφόσον ο χρήστης επιλέξει την αφετηρεία και τον τερματικό σταθμό του και ο οδηγός που βρίσκεται πιο κοντά θα προσπαθήσει να τον εξυπηρετήσει οσο πιο γρήγορα μπορεί. Η εφαρμογή ξεκίνησε με έδρα το Σαν Φρανσίσκο των ΗΠΑ και έχει πλέον επεκταθεί σε 58 χώρες και 300 πόλεις ανα τον κόσμο συμπεριλαμβανομένου και της Αθήνας και εκτιμάται οτι αξίζει 50 δις δολάρια. To σύστημα Uber περιέχει τα στοιχεία των οδηγών ταξί που είναι ενταγμένοι στην εφαρμογή, όπως αριθμούς κοινωνικής ασφάλισης, φωτογραφίες, αριθμούς αδειών οδήγησης, οικονομικά στοιχεία και άλλες λεπτομέρειες.

Το Uber γνωστοποίησε την διαροή των δεδομένων των οδηγών στις ΗΠΑ με αποτέλεσμα τη δημοσιοποίηση των δεδομένων των οδηγών και αυτό έγινε αντιληπτό απο κάποιον οδηγό ο οποίος έκανε λήψη στηγμιοτύπου με το κινητό τηλέφωνό του και το έστειλε στο σύστημα υποστήριξης της εταιρείας και οι τεχνικοί υποστήριξαν ότι διόρθωσαν το λάθος το επόμενο ακριβώς μισάωρο. Δεν είναι η πρώτη φορά που έχουν διαρέυσει δεδομένα απο το σύστημα αφου μια άλλη φορά κάποιος hacker μπήκε και υπέκλεψε στοιχεία παλαιότερων αλλά και εν ενεργεία οδηγών.

Πηγες: http://time.com/3556741/uber/

http://www.fastcompany.com/3052303/behind-the-brand/uber-mistakenly-exposed-the-personal-data-of-hundreds-of-drivers

Διαρροή δεδομένων καρτών μέσω ATM(ΑΓΓΕΛΑΚΟΠΟΥΛΟΥ ΕΙΡΗΝΗ ΔΗΜΗΤΡΑ)

[επεξεργασία]

Το τελευταίο χρονικό διάστημα έχει παρατηρηθεί ραγδαία αύξηση παραβίασης των πληροφοριακών συστημάτων διαφόρων εταιρειών κυρίως του εξωτερικού.Πιο συγκεκριμένα τον Ιούνιο του 2015 στη Βιρτζίνια ένα μεγάλο μέρος των μηχανημάτων αυτόματης ανάληψης ΑΤΜ της Virginia Credit Union παραβιάστηκαν μέσω συσκευών skimming[17].Η ομάδα ατόμων που ευθύνονται για αυτή την παραβίαση και κατ'επέκταση τη διαρροή προσωπικών δεδομένων κατάφερε με τον τρόπο που αναφέρθηκε παραπάνω να συγκεντρώσει δεδομένα απο 2.000 πιστωτικές και χρεωστικές κάρτες των πελατών της τράπεζας.Επίσης οι κάρτες που παραβιάστηκαν κλωνοποιήθηκαν και με αυτό τον τρόπο οι "κλέφτες" κατάφεραν να αποσπάσουν μεγάλα χρηματικά ποσά απο τους τραπεζικούς λογαριασμούς των θυμάτων μέσα στην πλήρη αγνοιά τους.

Σε αντίθεση με όλα όσα είχαν ειπωθεί στην αρχή η τράπεζα προχώρησε σε μια πιο λεπτομερή έρευνα τα αποτελέσματα της οποίας έδειξαν πως οι συσκευές skimming που χρησιμοποιήθηκαν ήταν εξοπλισμένες με ένα ειδικό τσίπ το οποίο επιτρέπει την καταγραφή και την αποθήκευση του PIN[18] πράγμα που έκανε την δουλειά των "κλεφτών" πολύ πιο εύκολη.Σύμφωνα με τα δημοσιεύματα οι συγκεκριμένες συσκευές είχαν τοποθετηθεί για ένα μικρό χρονικό διάστημα στα καταστήματα SouthPark και The Glendside προτού εντοπισθούν απο την πιστωτική ένωση κατά τη διάρκεια μιας συνηθισμένης συντήρησης στα μηχανήματα αυτόνομης ανάληψης ΑΤΜ[19] της τράπεζας και αχρηστεύτουν.Παράλληλα η Virginia Credit Union εξέδωσε σχετική ανακοίνωση στην οποία κοινοποιούσε πως παρά την κλωνοποίηση των 2.000 καρτών οι 'κλέφτες' δεν κατάφεραν να αποσπάσουν χρηματικά ποσά απο όλες τις κλωνοποιημένες κάρτες .Παρόλα αυτά για λόγους ασφαλείας η τράπεζα προέβει σε αντικατάσταση όλων των τραπεζικών καρτών.Ας σημειωθεί ακόμη πως η τράπεζα έχει συμβουλέψει και έχει ζητήσει απο τους πελάτες της να παρακολουθούν τις κινήσεις των τραπεζικών τους λογαριασμών τους και σε περίπτωση που δούν κάτι περίεργο να το αναφέρουν άμεσα στους υπαλλήλους της τράπεζας.Τέλος οι αρμόδιες τοπικές αρχές έχουν αναλάβει την εκτενεί έρευνα του περιστατικού και τον εντοπισμό των "κλεφτών".


Πηγές:

http://www.itsecuritypro.gr/41/files/assets/basic-html/page24.html

http://www.nbc12.com/story/29246613/now-on-nbc12-vacu-skimmer-strike

http://www.cutimes.com/2015/06/03/virginia-credit-union-hit-by-atm-skimming-breach

Διαρροή προσωπικών δεδομένων του LinkedIn (ΑΛΕΞΙΟΥ ΜΑΡΙΑ-ΚΩΝΣΤΑΝΤΟΠΟΥΛΟΥ ΚΥΡΙΑΚΗ)

[επεξεργασία]

Το LinkedIn ιδρύθηκε τον Δεκέμβριο του 2002 από τον Ρέιντ Χόφμαν, ωστόσο επίσημα ξεκίνησε να λειτουργεί τον Μάιο του 2003.Πρόκειται για έναν ισότοπο επαγγελματικής κοινωνικής δικτύωσης.Εστιάζει στην δημιουργία ενός επαγγελματικού προφίλ του κάθε χρήστη με σκοπό την διεύρυνση του επαγγελματικού του κύκλου και την αξιοποίηση νέων ευκαιριών στην επαγγελματική του κατεύθυνση.Σήμερα είναι άκρως διαδεδομένο και θεωρείται η πιο πετυχημένη διαδικτυακή πλατφόρμα στον χώρο της επαγγελματικής κοινωνικής δικτύωσης παγκοσμίως με τους χρήστες της να ξεπερνούν τα 150 εκατομμύρια.Ωστόσο ένα σοβαρό πλήγμα τον Ιούνιο του 2012 ήρθε να χτυπήσει την εφαρμογή με αποτέλεσμα 6.5 εκατομμύρια κωδικοί χρηστών να διαρρεύσουν σε ένα ρωσικό δικτυακό τόπο.Ένα αρχείο που φέρεται να περιείχε τους κωδικούς των χρηστών σε κρυπτογραφημένη μορφή ανεβάστηκε από ένα Ρώσο χάκερ σε ένα δημόσιο φόρουμ στη Ρωσία.Το αρχείο αυτό περιείχε μόνο τους κωδικούς πρόσβασης που χρησιμοποιούσαν τον αλγόριθμο SHA-1 (hash) και δεν περιελάμβανε τα ονόματα χρηστών ή οποιαδήποτε άλλα δεδομένα.Πρόκειται για μια σημαντική παραβίαση στη βάση δεδομένων των κωδικών πρόσβασης με αποτέλεσμα οι κωδικοί να τίθενται εξαιρετικά εκτεθειμένοι στην αποκρυπτογράφησή τους από χάκερς όλου του κόσμου.Αν και η εφαρμογή είναι γνωστό πως για την κρυπτογράφηση των κωδικών της χρησιμοποιούσε τον αλγόριθμο SHA-1 ο οποίος είναι παγκόσμια διαδεδομένος και θεωρείται αρκετά ασφαλής αλγόριθμος κρυπτογράφησης αναφέρεται πως οι κωδικοί αυτοί δεν διέθεταν "κρυπτογραφικό αλάτι" (salt) κάτι το οποίο τους έκανε εξαιρετικά ευάλωτους στην αποκρυπτογράφησή τους.Οι υπεύθυνοι της εφαρμογής από τις πρώτες κιόλας αναφορές για την παραβίαση αυτή με ανάρτησή τους στο Twitter ενημέρωσαν τους χρήστες πως διερευνούν διεξοδικά τις αναφορές αυτές,ωστόσο απέφευγαν να διευκρινίσουν αν όντως υπήρξε η παραβίαση αυτή και αρκέστηκαν στο γεγονός να προτείνουν στους χρήστες και συγκεκριμένα σε αυτούς με λιγότερο ασφαλή κωδικό πρόσβασης να τον αλλάξουν.Στη συνέχεια όμως ο Vicente Silveira,Διευθυντής στο LinkedIn επιβεβαίωσε τις πληροφορίες αυτές και επισήμανε πως θα ληφθούν μέτρα για την αντιμετώπιση της κατάστασης αφού πρωτίστως ζήτησε και συγγνώμη από εκείνους που επηρεάστηκαν.Έτσι δρομολογήθηκαν κάποια email στους χρήστες των εκτεθειμένων κωδικών με οδηγίες για την ανάκτησή τους.Τέλος, πολύ σύντομα ο Silveira ανακοίνωσε στους χρήστες πως και στους κωδικούς των προσβεβλημένων μελών όπως και σε εκείνους που οι κωδικοί τους δεν διέρρευσαν έχουν ήδη τεθεί αυξημένα μέτρα ασφαλείας τα οποία χρησιμοποιούν κρυπτογράφηση και κρυπτογραφικό αλάτι.

ΠΗΓΕΣ:[1] [2]

Διαρροή δεδομένων σε session HTTPS λόγω cookies(Μπράτση Μαρία)

[επεξεργασία]

Με βάση μία πρόσφατη έρευνα του Αμερικάνικου CERT υποστηρίζεται ότι τα "cookies"[20] αποτελούν κίνδυνο για την κρυπτογραφημένη επικοινωνία που βασίζεται στο πρωτόκολλο HTTPS[21].

Αναλυτικότερα, η δημιουργία των "cookies" όσον αφορά τα HTTP αιτήματα έχουν ως αποτέλεσμα σοβαρό κίνδυνο των HTTPS session[22], καθώς δεν υπάρχει ασφάλεια ως προς τις εγγυήσεις για την ακεραιότητα των sibling domains[23]. Για παράδειγμα,ακολουθούν οι εξής ιστοσελίδες: mycompany.com και mycompany.net. Στην ουσία, (υπάρχει περίπτωση να) ανήκουν στην ίδια εταιρεία, να συνδέονται στον ίδιο ιστότοπο και στις ίδιες υπηρεσίες. Αυτά είναι δύο sibling domains.

Συγκεκριμένα, οι φυλλομετρητές ιστοσελίδων(Web Browsers) υπάρχει πιθανότητα να μην αυθεντικοποιούν πάντα τον "τομέα"(domain) που ορίζει ένα "cookie".Αυτό θα είχε ως συνέπεια να επιτρέψει σε έναν κακόβουλο χρήστη να ορίσει ένα cookie και στη συνέχεια να το χρησιμοποιήσει σε μία σύνδεση HTTPS, από το να χρησιμοποιήσει ένα κανονικό cookie. Με αυτόν τον τρόπο θα μπορούσαν να υπάρξουν άλλες ευπάθειες στον διακομιστή από την συγκεκριμένη ενέργεια και θα ήταν χρήσιμο για την πρόσβαση σε ιδιωτικές πληροφορίες. Για παράδειγμα: Ένας κακόβουλος χρήστης ορίζει cookies για την ιστοσελίδα example.com όπου "υπερισχύουν" του πραγματικού cookie για το example.com, όταν ο απλός χρήστης φορτώνει περιεχόμενο HTTPS.

Σε άρθρο που δημοσιεύτηκε στο USENIX Security 2015[24] αναφέρεται πώς, ενώ περιέχουν ένα secure flag, δηλαδή ένδειξη ότι πρέπει να αποσταλεί μέσω HTTPS, δεν υπάρχει αντίστοιχο "πεδίο"(flag) να αναπαριστά αντίστοιχη ένδειξη για τον τρόπο που έχει οριστεί ένα cookie. Έτσι, ένας κακόβουλος χρήστης επιτυγχάνει επιθέσεις man-in-the-middle [25] σε ένα session HTTP, ώστε να μπορούν να εισάγουν cookies που μπορούν να υπάρχουν σε συνδέσεις HTTPS.

Η συγκεκριμένη ευπάθεια βρέθηκε σε δημοφιλείς ιστοσελίδες όπως είναι η ιστοσελίδα της Google και της Bank Of America και έχει επιρροή και στους εξής περιηγητές:Chrome, Firefox, Internet Explorer και Safari.

Το CERT συμβουλεύει τους διαχειριστές ιστοσελίδων για την αντιμετώπιση της συγκεκριμένης επίθεσης να αναπτύξουν το HTTP Strict Transport Security(HSTS)[26], το οποίο βοηθά ασφαλείς ιστοσελίδες (που χρησιμοποιούν το πρωτόκολλο HTTPS), δηλώνοντας στους φυλλομετρητές ότι πρέπει να επικοινωνούν μόνο μέσω του πρωτοκόλλου HTTPS με το διακομιστή, ώστε να προστατεύονται οι συνδέσεις από επιθέσεις υποβάθμισης και κλοπή cookies.Ακόμη, οι τελικοί χρήστες θα πρέπει να κάνουν ενημέρωση του φυλλομετρητή τους, ώστε να διασφαλιστεί ότι υποστηρίζεται από το HSTS.

Τέλος, ένα θέμα που, επίσης, αφορά τα cookies είναι το ότι δεν υποστηρίζουν απομόνωση με βάση τη "θύρα"(port), δηλαδή ότι αν ένα cookie είναι readable/writeable από μία υπηρεσία που εκτελείται σε θύρα του διακομιστή, είναι readable/writeable και για άλλες υπηρεσίες που εκτελούνται σε θύρες.Με άλλα λόγια, cookies που χρησιμοποιούνται σε συγκεκριμένα schemes HTTP και HTTPS για ένα δεδομένο host, μπορούν επίσης να χρησιμοποιηθούν με άλλα schemes όπως το ftp και το gopher.

ΠΗΓΕΣ:https://cybersecurity.gr/https-vulnerability-cookies/

https://www.secnews.gr/96941/browsers-vendors-implemented-cookies-the-wrong-way-expose-users-to-mitm-attacks/

Διαρροή δεδομένων στο Λ.Ν.Α. μέσω AnonXPAyone Τσιβόλα Καραδήμα

[επεξεργασία]

Η ομάδα hackers AnonXPAyone ακολουθώντας καταγράμμα το σκεπτικό των Anonymous πραγματοποίησε "επίθεση" στο Λαϊκό Νοσοκομείο Αθηνών με τεράστια διαρροή δεδομένων, σύμφωνα με ανακοίνωση που έστειλαν στα μέσα ενημέρωσης μέσω email από άγνωστο αποστολέα. Παρά το γεγονός ότι η επίθεση ήταν πολύπλοκη κατάφεραν να θέσουν εκτός λειτουργίας τα συστήματα ασφαλείας του Γενικού Λαϊκού Νοσοκομείου Αθηνών, και να αποκτήσουν πρόσβαση σε πολύ ευαίσθητα δεδομένα, σε μύνημά τους αναφέρουν ότι έχουν στοιχεία γιατρών, ασθενών, νοσηλευτικού προσωπικού όπως: τηλέφωνα, ονόματα, διεθύνσεις, επίσης στοιχεία συνταγογραφήσεων και πρόσβαση σε όλο το εσωτερικό δίκτυο του νοσοκομείου. Με την επίθεσή τους αυτή, είχαν στόχο το εσωτερικό δίκτυο του νοσοκομείου εξωλοκλήρου, μπόρεσαν να κλέψουν απ' όλους τους server όλων των τμημάτων, στοιχεία από Αιματολογικές, Ακτινολογικές εξετάσεις καθώς και άλλες κινήσεις ασθενών, αλφαβητική λίστα ασθενών με όλα τα στοιχεία τους, εφημερίες ιατρών, προσωπικού, τις οποίες και δημοσειεύσαν με όλα τα παραπάνω στοιχεία.Το δίκτυο του νοσοκομείου αποδείχτηκε αρκετά ευαίσθητο στην επίθεση των hackers με αποτέλεσμα να κυνδινεύει ολόκληρο το Υ.Σ. καθώς τα περισσότερα μηχανήματα λειτουργούν με σύνδεση στο δίκτυο ανταλλάσωντας δεδομένα, αυτό σημένει ότι οι ασθενείς βρίσκονται στο έλεος των AnonXPAyone. Η επίθεση χαρακτηρίστηκε ως κυβερνοεπίθεση, αφού το Λαϊκό Νοσοκομείο ανήκει σε τριτοβάθμεια βαθμίδα, διότι λειτουγούν πανεπιστημιακές κλινικές καθώς και κλινικές του ΕΣΥ, αυτό το καθιστά μοναδικό στο είδος και τη δράση του που μετρά 70 και πλέον χρόνια επιτυχής πορεία στο χώρο της υγείας. Πλέον μπορούν να έχουν πρόσβαση σε κυβερνητικές υπηρεσίες, τόσο στην Ελλάδα όσο και στο εξωτερικό. Αρμόδιοι αξιωματούχοι ερμηνεύουν την επίθεση "κατασκοπεία" υποστηριζόμενοι από τρίτες χώρες,το γεγονός ότι οι δημόσιες υπηρεσίες βρίσκονται σε κακή κατάσταση λόγω της κρίσης εκμεταλεύτηκαν την ευκαιρία κι έβαλαν στόχο το Γ.Λ.Ν.Α ίσως αρκετά υψηλά αμοιβόμενοι[27].Ανάλογες επιθέσεις έχουν γίνει και στο παρελθόν όπως στο Μαϊάμι όπου Ρώσοι hackers εκβίαζαν το νοσοκομείο για στοιχεία χιλιάδων ασθενών έναντι αμοιβής πολλών δολαρίων [28]. Θα πρέπει οι δημόσιες υπηρεσίες να οργανωθούν σύμφωνα με τη ΔΗΕ, για τη διασφάλιση των προσωπικών δεδομένων των πολιτών.

Διαρροή προσωπικών δεδομένων της MSpy( Νίκος Καμπίτσας-Παυλίνα Λάρου-Ελένη Δανιηλίδου-Ιωάννα Κατσιούπη)

[επεξεργασία]

Η εφαρμογή βγήκε στην αγορά το 2011 από μια εταιρία που ασχολείται με θέματα τεχνολογίας στο Λονδίνο και έχει δεχθεί πολλές φορές αρνητική κριτική καθώς είναι πολύ εύκολο να χρησιμοποιηθεί κακόβουλα αφού μετά την εγκατάσταση της και τη δημιουργία ενός MSpy κωδικού, έχει την ιδιότητα να ανιχνεύει τη θέση της συσκευής-στόχου, να διαβάζει τα δεδομένα που υπάρχουν στη συσκευή(μηνύματα, φωτογραφίες, κλήσεις κλπ.) αλλά ταυτόχρονα και να την ελέγχει χωρίς να το καταλάβει ο ιδιοκτήτης της συσκευής(αφού η εφαρμογή παραμένει κρυμμένη στη συσκευή.

Στις αρχές λοιπόν του 2015 η εταιρία δέχτηκε κάποια παραβίαση στα συστήματα της με αποτέλεσμα την διαρροή προσωπικών δεδομένων χιλιάδων χρηστών. Η εφαρμογή χρησιμοποιείται σε πολλές συσκευές όπως κινητά τηλέφωνα, υπολογιστές, tablet για παρακολούθηση δραστηριοτήτων παιδιών από γονείς ή συνεργατών σε εταιρίες και παρά τις εισηγήσεις ότι τα δεδομένα ήταν ασφαλή και τις αρνήσεις, η ίδια εταιρία παραδέχτηκε την επίθεση στα συστήματα της. Οι δηλώσεις έκαναν αναφορά για 80.000 χρήστες, όμως ένα μήνυμα αυτών που συνέβαλαν στην επίθεση στον εμπειρογνώμονα ασφαλείας Brian Kreb ανέφερε ότι υπάρχουν δεδομένα για πάνω από 400.000 χρήστες. Επιπρόσθετα η MSpy υποστήριξε ότι είχε πέσει θύμα εκβιασμού και απειλών για χρηματικό ποσό, πού όμως αγνόησε και δε δέχτηκε το αίτημα αυτό, με αποτέλεσμα να γίνει η δημοσιοποίηση των προσωπικών δεδομένων.

Ο όγκος των δεδομένων που διέρρευσαν ήταν τεράστιος συμπεριλαμβανομένων μηνυμάτων ηλεκτρονικού ταχυδρομείου καθώς και κειμένου, φωτογραφιών, κωδικούς καρτών, τοποθεσιών και άλλων πληροφοριών χρηστών που ήταν υπό παρακολούθηση από κάποια συσκευή. Τα δεδομένα αυτά διέρρευσαν στο Deep Web όπου βρίσκονταν πολλά gigabyte δεδομένων που είχαν καταγραφεί από τις κινητές συσκευές και ήταν διαθέσιμα για κατέβασμα, όμως δεν ήταν δυνατή η άμεση πρόσβαση σε αυτά μέσω των συμβατικών μηχανών αναζήτησης, αλλά μόνο με τη χρήση ειδικών συστημάτων όπως του λογισμικού Tor. Το γεγονός αυτό έγινε γνωστό στον Brian Kreb από μια δημοσίευση σε μία ανώνυμη ιστοσελίδα. Η εταιρία MSpy ενημέρωσε όλους τους πιθανούς πελάτες της, που υποπτεύονταν ότι τα δεδομένα τους περιλαμβάνονται σε αυτά που είχαν κλαπεί. Επιπλέον ανέφερε για τη διόρθωση όλων των κενών ασφαλείας που άφησαν θα γίνει ανεκτή η επίθεση και ότι αναπτύσσουν αμυντικούς μηχανισμούς κρυπτογράφησης των δεδομένων.

Οι χρήστες του λογισμικού, ιδίως οι γονείς δήλωσαν τις ανησυχίες τους για το πως θα μπορούσε να διαχειριστεί κάποιος αυτά τα προσωπικά δεδομένα και κάποιοι από αυτούς ανέφεραν ότι δεν έχουν ενημερωθεί καθόλου για την επίθεση στα δεδομένα της εταιρίας. Η εφαρμογή χρησιμοποιείται περίπου από 2 εκατομμύρια χρήστες και κοστίζει ένα σημαντικό ποσό για την ενεργοποίηση της συνδρομής, όμως μετά από αυτές τις ενέργειες φαίνεται ότι χάθηκε η εμπιστοσύνη από πολλούς χρήστες.


Πηγές: http://krebsonsecurity.com/2015/05/mobile-spy-software-maker-mspy-hacked-customer-data-leaked/ http://www.bbc.com/news/technology-32826678 https://nakedsecurity.sophos.com/2015/05/18/mobile-spyware-customer-data-leaked-online-in-apparent-mspy-hack/ http://www.ibtimes.co.uk/exclusive-mspy-hacker-says-company-knew-data-leak-two-months-ago-1502473 http://thenextweb.com/apps/2013/11/28/mspy-terrifying-app-spying-another-smartphone-tablet-user/

Διαρροή προσωπικών δεδομένων iCloud (Λεωνίδας Κάμπαξης - Περικλής Μπαγγέας)

[επεξεργασία]

Διαρροή λογαριασμών στο steam (Καραγιαννοπούλου Μαρία - Σπανός Ιωάννης)

[επεξεργασία]

Δημιουργός του steam θεωρείται η εταιρεία Valve Corporation. Το steam είναι μία πλατφόρμα κοινωνικής δικτύωσης και διαχείρισης ψηφιακών δικαιωμάτων έχει την δυνατότητα να λειτουργήσει σε όλα τα λειτουργικά συστήματα (Windows, Linux, Mac OS X), αλλά διαθέτει περιορισμένη χρήση στο PlayStation 3, στο iOS και στo Android. Είναι διαθέσιμο σε 25 γλώσσες και πλέον ξεπερνά τους 100 εκατομμύρια ενεργούς χρήστες. Επίσης έχει όλα τα χαρακτηριστικά που έχουν τα μέσα κοινωνικής δικτύωσης(συνομιλία,φίλους,κ.α.). Πρώτη εμφάνιση του Steam για λογισμικό Windows έγινε στις 12 Σεπτεμβρίου 2003, για Mac OS X στις 12 Μαϊου 2010, για Linux στις 14 Φεβρουαρίου 2013. Και τέλος για τα κινητά πρωτοεμφανίστηκε στις 16 Ιανουαρίου 2012. Ωστόσο μέχρι σήμερα το steam έχει δεχτεί δύο επιθέσεις που αφορούν την διαρροή των λογαριασμών των χρηστών. Η πρώτη επίθεση έγινε τον Νοέμβριο του 2011, η οποία επιβεβαιώθηκε από τον Gabe Newell υπεύθυνο του Steam. Η κακόβουλη επίθεση έδειχνε αρχικά ότι παραποιήθηκε το forum του steam. Στην πραγματικότητα όμως οι hackers απέκτησαν πρόσβαση στη βάση δεδομένων των χρηστών. Σε αυτή τη βάση δεδομένων αποθηκεύονται τα προσωπικά στοιχεία των χρηστών τα οποία είναι:

  • Usernames
  • Κρυπτογραφημένοι κωδικοί
  • Λίστα αγοράς των παιχνιδιών που έχει κάνει ο κάθε χρήστης
  • Διευθύνσεις E-mail
  • Διευθύνσεις κοστολόγησης και
  • Κρυπτογραφημένα δεδομένα πιστωτικών καρτών

Η συγκεκριμένη επίθεση είχε ως αποτέλεσμα η εταιρεία valve να κατεβάσει τη σελίδα του forum. Σύμφωνα με τους υπεύθυνους της valve ανακοινώθηκε πως δεν γνωρίζουν αν χρησιμοποιήθηκαν τα προσωπικά στοιχεία των χρηστών και κυρίως οι πιστωτικές κάρτες, τόνισαν όμως οτι τα στοιχεία αυτά είναι ισχυρά κρυπτογραφημένα. Παρόλα αυτά το steam δέχτηκε και δεύτερη επίθεση η οποία συνέβη από τις 21 έως τις 25 Ιουλίου 2015. Η δεύτερη επίθεση έγινε και πάλι από hackers παραβιάζοντας για άλλη μία φορά τους λογαριασμούς των χρηστών, υποκλέπτοντας τους κωδικούς τους. Η επίθεση έγινε εξαιτίας μίας αδυναμίας που έχει το σύστημα στην επιβεβαίωση των προσωπικών στοιχείων λογαριασμού των χρητών στο steam. Οι hackers μέσω της λειτουργίας “lost password“, κατάφεραν να υποκλέψουν τους κωδικούς των χρηστών με την προϋπόθεση να γνωρίζουν το username(όνoμα χρήστη). Η valve κατάφερε να διορθώσει το λάθος ασφαλείας, το οποίο θεωρείται ως bug στον client του steam. Η διόρθωση έγινε αλλάζοντας τους κωδικούς των χρηστών με νέους στους λογαριασμούς που παρατηρήθηκαν αλλαγές μετά την επίθεση. Λόγω της επίθεσης αυτής είχε ως αποτέλεσμα να αποκτήσει πρόσβαση ο κάθε ένας σε κάθε ένα λογαριασμό, αλλάζοντας απλά τον κωδικό χρήστη, χωρίς να είναι απαραίτητη η επιβεβαίωση μέσω E-mail. Πηγές:http://gr.pcmag.com/forum/8499/news/ksana-se-leitourgia-ta-forum-tou-steam, https://el.wikipedia.org/wiki/Steam, http://gr.pcmag.com/se/?q=steam&model=article&order_by=-date&x=0&y=0&page=6, http://gr.pcmag.com/keno-asphaleias-steam/17925/news/parabiase-logariasmon-sto-steam, http://gr.pcmag.com/steam/17929/video/steam-how-accounts-are-getting-hacked-fixed

Ganna.com hacked - Διαρροή στοιχείων 10 εκατομμυρίων χρηστών (Τούρλας Μιχάλης - Κοκκώνης Ηλίας)

[επεξεργασία]

Οι υποθέσεις των παραβιάσεων πληροφοριακών συστημάτων είναι ένα πολύ σημαντικό θέμα που μας απασχολεί τα τελευταία χρόνια. Δυστυχώς όμως παρόλο που η ασφάλεια των πληροφοριακών συστημάτων γίνεται ολοένα και πιο ισχυρή τα φαινόμενα αυτά συνεχίζονται και φτάνοντας στον Ιούνιο του έτους 2015 όπου η σελίδα της Gaana.com , μια από τις πιο δημοφιλείς υπηρεσίες διάδοσης ροών μουσικής ( music streaming ) της Ινδίας με περισσότερους από 10 εκατομμύρια εγγεγραμμένους χρήστες και 7.5 εκατομμύρια μηνιαίους επισκέπτες , παραβιάστηκε . Αυτό είχε ως αποτέλεσμα να κλαπούν απο την βάση δεδομένων της ιστοσελίδας στοιχεία χρηστών όπου σε αυτά συμπεριλαμβάνονται προσωπικά δεδομένα όπως είναι ονόματα και επίθετα χρηστών ( usernames ) , διευθήνσεις ηλεκτρονικού ταχυδρομείου ( email addresses ) , τα προφίλ των Facebook και Twitter , κωδικους κρυπτογραφημενους με τη μέθοδο MD5 ( MD5-encrypted passwords ) , ημερομηνίες γέννησης και άλλες προσωπικές πληροφορίες . Είναι ανησυχητικό το γεγονός ότι η συγκεκριμένη υπηρεσία του διαδικτύου η οποία είναι μια από τις μεγαλύτερες εταιρείες του Διαδικτύου στην Ινδία (Times Internet) είναι ευάλωτη σε επιθέσεις όπως αυτή. Μετά από αυτό το χτύπημα η ιστοσελίδα ήταν εκτός λειτουργίας για συντήρηση αφήνοντας το μήνυμα “ Θα επανέλθουμε σύντομα παρακαλούμε μείνετε μαζί μας “ και με την επόμενη μέρα ο ιδιοκτήτης της ιστοσελίδας προέβη σε δηλώσεις ώστε να καθησυχάσει τους χρήστες. Όσον αφορά τα στοιχεία των χρηστών που εκτίθενται δεν είναι λύση η αλλαγή κωδικού πρόσβασης. Το καλύτερο θα ήταν η απενεργοποίηση του λογαριασμού μέχρις ότου βρεθεί λύση στο πρόβλημα και η αλλαγή των ηλεκτρονικών διευθύνσεων ( e-mail ) στα προφίλ του Facebook και του Twitter για μεγαλύτερη ασφάλεια. Μετά από έρευνες ανακαλύφτηκε ο επιτιθέμενος ο οποίος λεγόμενος στο ψευδώνυμο ως “ MakMan” κάτοικος Λαχόρης της δεύτερης μεγαλύτερης πόλης του Πακιστάν δήλωσε ό,τι εκμεταλλεύτηκε την ευπάθεια SQL injection για την ύπαρξη της οποίας είχε ενημερώσει τους διαχειριστές της ιστοσελίδας. Η εταιρία δεν έδωσε σημασία στην αναφορά που έστειλε και αυτό είχε σαν αποτέλεσμα την εκμετάλλευση των αδυναμιών. Επίσης ο ίδιος σε κοινοποιήσεις του στο Facebook ανέφερε ό,τι ο ίδιος δεν είχε την πρόθεση να κλέψει προσωπικές πληροφορίες από την ιστοσελίδα και δεν τις κράτησε για εκμετάλλευση. Αξίζει να σημειωθεί ό,τι μετά από αυτό το συμβάν ο ιδιοκτήτης της εταιρίας προσέφερε δουλειά στον επιτιθέμενο ώστε να βοηθήσει στην ασφάλεια της ιστοσελίδας.


Πηγές:

http://thehackernews.com/2015/05/gaanacom-hacked-10-million-users.html

http://tribune.com.pk/story/894297/indias-ganna-com-hacked-by-pakistani-hacker/

http://thenextweb.com/insider/2015/05/28/indian-music-streaming-service-gaana-hacked-millions-of-users-details-exposed/

Διαρροή προσωπικών δεδομένων χρηστών της εταιρείας Moonpig (Τάγκας Στέλιος - Μάριος Αθανάσιος Τσόγκας)

[επεξεργασία]

Η Moonpig είναι μια εταιρεία όπου μπορεί κανείς να φτιάξει και να παραγγείλει ευχητήριες κάρτες. Τον Αύγουστο του 2013 ο Paul Price, ελεύθερος επαγγελματίας προγραμματιστής, ανακάλυψε ένα κενό ασφαλείας στην διεπαφή του διακοσμητή της εταιρίας, το οποίο και υπεύθυνα αποκάλυψε στην εταιρία. Ύστερα από αναμονή περίπου 17 μηνών και αφότου επικοινώνησε ξανά με την Moonpig τον Σεπτέμβριο του 2014, βλέποντας ότι το σφάλμα δεν είχε επιδιορθωθεί, ανάρτησε στο ιστολόγιό του το εύρημά του.

Το κενό υπήρχε στον τρόπο με τον οποίο η εφαρμογή επικοινωνούσε με τον διακοσμητή. Όταν κανείς συνδεόταν μέσω με την εφαρμογή με το username και τον κωδικό του για πρώτη φορά, του στελνόταν ένα σύμβολο αντικατάστασης (token) επιβεβαίωσης έτσι ώστε να μην αποθηκεύεται ο κωδικός σύνδεσης στην συσκευή και οποιασδήποτε επιβεβαίωση γινόταν με αυτό το κλειδί. Η διεπαφή της εταιρίας Moonpig χρησιμοποιεί το customerID του χρήστη σαν συμβολο αντικατάστασης, ένα στοιχείο το οποίο είναι σειριακό. Αυτό σημαίνει ότι αν ένας χρηστης είχε customerId τον αριθμό 2354 για παράδειγμα, τότε ο χρήστης που είχε εγγραφεί πριν από αυτον είχε customerID τον αριθμό 2353, και ο επόμενος τον αριθμό 2355.

Άρα μπορούσε κανείς να γράψει ένα πρόγραμμα όπου θα ζητάει και θα αποθηκεύει ένα προς ένα τα στοιχεία των χρηστών της σελίδας, μιας και η διεπαφή δεν είχε κάποιον περιορισμό στα πόσα αιτήματα σε ένα δεδομένο χρονικό διάστημα θα απαντήσει. Τα στοιχεία όπου θα μπορούσε κανείς να πάρει με αυτόν τον τρόπο συμπεριλαμβάνουν την διεύθυνση ηλεκτρονικού ταχυδρομείου, την διεύθυνση κατοικίας, τα τελευταία τέσσερα ψηφία της πιστωτικής του κάρτας, το όνομα στο οποίο είναι καταχωρημένη η κάρτα, καθώς και η ημερομηνία λήξης της.

Η ίδια η εταιρία ισχυρίζεται πως δεν υπήρχε καμία διαρρόη και έκλεισε την εφαρμογή μετά την ανάρτηση, αλλά η πιθανότητα να ανακάλυψε και κάποιος άλλος το κενό αυτό και να το εκμεταλλεύτηκε είναι υπαρκτή.

Πηγές: [29], [30], [31]

Διαρροή προσωπικών δεδομένων της Experian (Μαλλιόπουλος Σωτήρης)

[επεξεργασία]

Την 1η Oκτωβρίου του 2015 μια παραβίαση δεδομένων στην Experian έναν απο τους μεγαλύτερους πιστωτικούς οργανισμούς στον κόσμο είχες ως συνέπεια την την διαρροή προσωπικών δεδομένων απο περίπου 15 εκατομμύρια πελάτες την T-Mobile των οποίων τα στοιχεία φιλοξενούνταν σε servers της Experian.Όπως ανακοίνωσε η T-Mobile ο γερμανικός κολοσσός των τηλεπικοινωνιών χάκερς εισέβαλαν στο δίκτυο της Experian αποκτώντας πρόσβαση σε στοιχεία πελατών που είχε στείλει η T-Mobile στην Experian ώστε να κάνει πιστωτικούς ελέγχους σε πιθανούς πελάτες που ενδιαφέρονται για συμβόλαια σε κινητά τηλέφωνα.Οι πληροφορίες στις οποίες απέκτησαν πρόσβαση οι χάκερς αφορούν ονόματα,τηλέφωνα,αριθμούς κοινωνικής ασφάλισης καθώς και αριθμούς διπλώματος,ταυτότητας και διαβατηρίου. Αν και οι αριθμοί ταυτότητας ,διπλώματος και διαβατηρίου ήτανε σε κρυπτογραφημένη μορφή η Experian δήλωσε πως είναι πιθανόν και αυτές οι πληροφορίες να έχουν διαρρεύσει.Ωστόσο η παραβίαση του δικτύου της Εxperian μιας τόσο μεγάλης παγκοσμίως εταιρίας πληροφοριακών υπηρεσιών δημιουργεί υποψίες και για παραβίαση προσωπικών δεδομένων και άλλων πελατών πέραν αυτών της T-Mobile κάτι το οποίο δεν έχει επιβεβαιώσει ακόμα η εταιρία.Πιο συγκεκριμένα η διαρροή προσωπικών δεδομένων που αφορά τις δύο αυτές εταιρίες εστιάζει σε πελάτες που έκαναν αίτηση για συμβόλαιο απο τις 13/10/13 έως τις 16/10/15. Για αυτό τον λόγο η ίδια η εταιρία ειδοποιεί όλα τα θύματα της επίθεσης με mail και τους παρέχει για δύο χρόνια παρακολούθηση του λογαριασμού.Αν και τα χειρότερα αποφεύχθηκαν καθώς και οι δύο εταιρίες διαβεβαίωσαν οτι τα αρχεία τα οποία διέρρευσαν δεν περιείχαν πληροφορίες όπως αριθμοί τραπέζης ή πιστωτικών καρτών υπάρχει κίνδυνος καθώς τα αρχεία αυτά έχουν αρχίσει να κυκλοφορούν προς πώληση σε διάφορες γωνιές του διαδικτύου γνωστού και ως dark web βάση των οποίων οι δράστες θα μπορούν να δημιουργήσουν ψεύτικες ταυτότητες.Ως φυσικό επακόλουθο αυτής της διαρροής πληροφοριών η φήμη και η αξιοπιστία των δυο αυτών εταιριών τέθηκε υπο αμφισβήτηση δημιουργώντας ρήξη μεταξύ αυτών.Ωστόσο η Experian ανέλαβε εξ ολοκλήρου την ευθύνη για αυτή την επίθεση στο δίκτυο της, κατάσταση η οποία είχε επαναληφθεί και στο παρελθόν όπου δεδομένα 200 εκατομμυρίων πελατών είχαν διαρρεύσει απο το δίκτυο της.

πηγές:1)http://www.wired.com/2015/10/hack-brief-hackers-steal-15m-t-mobile-customers-data-experian/ 2) http://www.bloomberg.com/news/articles/2015-10-07/t-mobile-experian-sued-over-hack-on-15-million-customers 3)http://www.theguardian.com/business/2015/oct/08/experian-hack-advocates-question-security-database 4)http://www.theguardian.com/business/2015/oct/01/experian-hack-t-mobile-credit-checks-personal-information

Διαρροή προσωπικών δεδομένων talk talk (Κατράνας Κωνσταντίνος - Θάλεια Μυτιληνού)

[επεξεργασία]

Talk talk είναι πάροχος υπηρεσιών διαδικτύου και κινητής τηλεφωνίας του εξωτερικού με κύρια έδρα της το Ηνωμένο Βασίλειο. Στις 27 Οκτωβρίου του 2015 η talk talk ανακοίνωσε πως δέχτηκε κυβερνοεπίθεση στην ιστοσελίδα της. Στην ανακοίνωση της η διευθύντρια της εταιρίας , Dido Harding παραδέχτηκε πως είναι πολύ πιθανό να υποκλάπηκαν προσωπικά δεδομένα τεσσάρων εκατομμυρίων πελατών εκ των οποίων συγκαταλέγονται στοιχεία πισωτικών καρτών και τραπεζικών λογαριασμών, απόρρητα e-mail καθώς και άλλα προσωπικά δεδομένα. Δυστυχώς η talk talk δεν γνωρίζει αν αυτά τα δεδομένα είχαν κρυπτογραφηθεί πρωτύτερα. Η κυβερνοεπίθεση αυτή ήταν η τρίτη μέσα σε έναν χρόνο που δέχτηκε η talk talk. Η συγκεκριμένη παραβίαση δεδομένων θα μπορούσε να είναι το χειρότερο που τους συνέβη.. Από την πρώτη κιόλας μέρα της ανακοίνωσης αυτής οι μετοχές της εταιρίας εμφάνισαν κατάρευση 7% της αξίας τους ενω δέχτηκαν έντονες επικρίσεις για το οτι η εταιρία δεν ενημέρωσε έγκαιρα τους βρετανούς για την επίθεση που δέχτηκε. Η αστυνομία του Λονδίνου σε συνεργασία με την αρμόδια υπηρεσία δίωξης ηλεκτρονικού εγκλήματος ερευνούν το περιστατικό της κυβερνοεπίθεσης ενάντια στην talk talk. Η εταιρία συμβουλεύει τους πελάτες της να είναι επιφυλακτικοί αν τυχόν λάβουν τηλεφωνήματα που ισχυρίζονται πως είναι από την talk talk ειδικά αν ο καλών ζητά προσωπικές πληροφορίες. Η εταιρία ποτέ δεν ρωτάει μέσω τηλεφώνου τους πελάτες της να δώσουν τους κωδικούς πρόσβασης τους καθώς επίσης ούτε μέσω e-mail. Οι βρετανοί θα πρέπει να προσέχουν και να ελέγχουν για τυχόν συναλλαγές ή πληρωμές που έγιναν απ τους λογαριασμούς τους και δεν πραγματοποίησαν οι ίδιοι. Σε μια τέτοια περίπτωση θα πρέπει να αναφέρουν τα γεγονότα. Η αστυνομία της Μεγάλης Βρετανίας συνέλαβε έναν 15χρονο νεαρό στην Βόρεια Ιρλανδία ο οποίος φέρεται να σχετίζεται με την διαρροή δεδομένων της talk talk. Το BBC σύφμωνα με δήμοσίευμα του αναφέρει οτι τον ίδιο χρόνο χτυπήθηκε το mobile sales της talk talk.

Πηγές : https://cybersecurity.gr/talk-talk-cyberattack/ http://www.bbc.com/news/technology-34615692

Διαρροή προσωπικών δεδομένων μέσω του ΟΤΕ (Ντάσκας Μιχαήλ-Μπρούτσος Κώστας)

[επεξεργασία]

Μέσω τού μεγαλύτερου τηλεπικοινωνιακού παρόχου στην Ελλάδα καί από τούς μεγαλύτερους στη Νοτιοανατολική Ευρώπη διέρευσαν προσωπικά δεδομένα παλαιών καί νέων συνδρομητών,αυτός ο τηλεπικοινωνιακός πάροχος δέν είναι άλλος από τον ΟΤΕ(Οργανισμός Τηλεπικοινωνιών Ελλάδος).Προσωπικά δεδομένα συνδρομητών τού ΟΤΕ διέρρευσαν σε ιδιωτική εταιρεία προσωπικών δεδομένων, η εταιρεία αυτή ονομάζεται σύμφωνα με έρευνες τής δίωξης ηλεκτρονικού εγκλήματος info credit Α.Ε η οποία είχε στα χέρια της προσωπικά δεδομένα 31.713.909 παλαιών και νέων πελατών-συνδρομητών του ΟΤΕ της διετίας 2008-2010.Η έρευνα της δίωξης ηλεκτρονικού εγκλήματος έδειξε ότι η εταιρεία αυτή είχε στήν κατοχή της προσωπικά δεδομένα όπως,ονοματεπώνυμα,ημερομηνίες γέννησης,όνομα πατρός,διευθύνσεις,ΑΦΜ καί στοιχεία δελτίου ταυτότητας.Το παράξενο στήν υπόθεση αυτής της διαρροής δεδομένων είναι ότι βρέθηκαν προσωπικά δεδομένα 350.000 συνδρομητών τής εταιρείας τού ΟΤΕ οι οποίοι συνδρομητές είχαν ζητήσει να μήν είναι στήν λίστα τού τηλεφωνικού καταλόγου,αυτό δείχνει τα ανεπαρκή μέτρα ασφαλείας τής εταιρείας.Στήν μεγάλη αυτή εταιρεία επιβλήθηκε πρόστιμο 60.000 ευρώ διότι αποδείχθηκε ανεπαρκή προστασία τών δεδομένων τών πελατών,υπάρχουν 4 πίνακες βάσης δεδομένων οι οποίοι ονομάζονται: 1)πίνακας «ote08_subscriptions», «ote09_subscriptions», «οte10a_subscriptions» και «ote10_subscriptions» με 5.434.349, 4.671.389, 4.620.797 και 4.563.422 στοιχεία συνδρομητών (συνολικά 19.289.957 μέχρι εδώ), 2)Πίνακας «ote_customers» με 8.453.783 συνδρομητές, 3)Πίνακας «ote_epagelma» με 3.969.568 εγγραφές, 4)Πίνακας «ote_epagelma» με 3.969.568 εγγραφές (γενικό σύνολο 31.713.909). Αυτοί είναι οι πίνακες στούς οποίους υπήρξε η διαρροή δεδομένων τών προσωπικών στοιχείων τών πελατών.Οι έρευνες δέν μπόρεσαν να διαπιστώσουν τον τρόπο με τον οποίο έγινε η παραβίαση στα δεδομένα,ο ΟΤΕ ζήτησε να ακυρωθεί το πρόστιμο τών 60.000 ευρώ καί επίσης δήλωσε ότι αυτό το γεγονός μπορεί να είναι αποτέλεσμα μόνο από κακόβουλη ενέργεια ακόμη ο ΟΤΕ υποστήριξε ότι η συγκρότηση τών μελών πού εξέδωσαν αυτή την απόφαση δέν ήταν νόμιμη.

πηγές:(http://www.naftemporiki.gr/finance/story/932974/na-akurothei-to-prostimo-pou-tou-epiblithike-gia-ti-diarroi-prosopikon-dedomenon-zitei-o-ote) (https://el.wikipedia.org/wiki/%CE%9F%CF%81%CE%B3%CE%B1%CE%BD%CE%B9%CF%83%CE%BC%CF%8C%CF%82_%CE%A4%CE%B7%CE%BB%CE%B5%CF%80%CE%B9%CE%BA%CE%BF%CE%B9%CE%BD%CF%89%CE%BD%CE%B9%CF%8E%CE%BD_%CE%95%CE%BB%CE%BB%CE%AC%CE%B4%CE%BF%CF%82)

Διαρροή προσωπικών δεδομένων από την SEGA(ΤΖΟΑΝΟΣ ΠΑΥΛΟΣ,ΤΖΕΦΡΩΝΗΣ ΠΑΝΑΓΙΩΤΗΣ)

[επεξεργασία]

Τον Ιούνιο του 2011 η SEGA μία από τις μεγαλύτερες εταιρείες πώλησης και δημιουργίας βιντεοπαιχνιδιών παραδέχτηκε πως είχε πέσει θύμα χάκερς οι οποίοι είχαν εισχωρήσει στην βάση δεδομένων της εταιρείας υποκλέπτοντας τα προσωπικά δεδομένα από περίπου 1.3 εκατομμύρια πελάτες της.Σύμφωνα με την εταιρεία τα προσωπικά δεδομένα που κλάπηκαν ήταν τα ονόματα των πελατών,οι ημερομηνίες γέννησης τους και οι ηλεκτρoνικές διευθύνσεις τους καθώς και οι κωδικοί τους όμως κρυπτογραφημένοι και όχι σε απλό κείμενο όπως υποστηρίζει η SEGA.Βέβαια δεν είναι γνωστό εάν η κρυπτογράφηση ήταν δυνατή έτσι ώστε να προστατέψει τους κωδικούς των χρηστών ή αν όντως οι χάκερς κατάφεραν να σπάσουν την κρυπτογράφηση και να κλέψουν τούς κωδικούς,επίσης η εταιρεία διέψευσε κάθε κατηγορία ότι εκλάπησαν πληροφορίες από τις πιστωτικές κάρτες των χρηστών που επηρεάστηκαν,επίσης ασφαλές έμεινε και το ιστορικό με τις αγορές που έχουν κάνει οι χρήστες.Η SEGA αντέδρασε στην επίθεση και αρχικά έκανε επαναφορά όλους τους κωδικούς των χρηστών και έριξε την ιστοσελίδα της,έπειτα απομωνώσαν την διεύθυνση από την οποία έγινε η παραβίαση και άρχισε άμεσα να διεξάγει έρευνα έτσι ώστε να μπορέσει να διαπιστώσει το μέγεθος της ζημίας αλλά και να κινηθεί εναντίων των χάκερ κάτι που όμως δεν πέτυχε αφού μέχρι ακόμα και σήμερα δεν έχουν εντοπιστεί οι υπεύθυνοι της επίθεσης.Αρχικά όλοι εστίασαν την προσοχή τους στο γκρουπ που φέρει την ονομασία LulzSecurity καθώς ήταν ένα από τα γκρουπ που είχαν ευθύνη για την επίθεση στην SONY κάτι το οποίο όμως διέψευσε το συγκεκριμένο γκρουπ και αντιθέτως ήταν διατεθημένο να βοηθήσει την SEGA έτσι ώστε να βρουν τους χάκερς.Την μέθοδο την οποία χρησιμοποίησαν οι χάκερς δεν έχει γίνει ακόμη γνωστή,επιπρόσθετα η SEGA δεν έχει δημοσιοποιήσει τις τεχνικές λεπτομέρειες της επίθεσης.Μετά την επίθεση η SEGA επένδυσε περισσότερα χρήματα για την ασφάλεια της ελπίζοντας να μην ξαναπέσει θύμα επίθεσης στο μέλλον.

Πηγές http://www.darkreading.com/attacks-and-breaches/hack-attack-exposes-13-million-sega-accounts/d/d-id/1098425? http://www.theguardian.com/technology/2011/jun/18/sega-pass-computer-giant-hacked

The Snappening (Χαραλαμπάκης Στυλιανός,Σιωμάδης Κων/νος)

[επεξεργασία]

Το Snapchat είναι μία εφαρμογή η οποία δημιουργήθηκε για λειτουργηκά iOS και Android από τους Evan Spiegel,Bobby Murphy και Reggie Brown και είναι μία εφαρμογή με την οποία μπορείς να στείλεις φωτογραφίες,βίντεο και κείμενο σε άλλο χρήστη.Αυτό που έκανε διάσημη αυτή την εφαρμογή είναι πως τα δεδομένα τα οποία στέλνει ο χρήστης αυτοκαταστρέφονται σε διάστημα από ένα έως δέκα δευτερολέπτων ανάλογα με το τι έχει επιλέξει ο αποστολέας.Μάλιστα, σε μετρήσεις που έκανε το Snapchat τον Μάιο του 2015 μέσο της εφαρμογής στέλνονταν πάνω από δύο δισεκκατομύρια φωτογραφίες και βίντεο την ημέρα.Ενώ σε μια πιο πρόσφατη μέτρηση που έγινε τον Νοέμβριο του 2015 έφτασε τα έξι δισεκκατομύρια εικόνων και βίντεο την ημέρα.Όμως τον Μάιο του 2014 όταν η Electronic Frontier Foundation(EFF) έκανε έναν διαγονισμό για το ποιες εταιρίες είναι αξιόπιστες η Snapchat μαζί με την AT&T και την Comcast ήταν οι εταιρίες που αξιολογήθηκαν με την χαμηλότερη βαθμολογία και συγκεκριμένα το Snapchat πήρε μόνο ένα αστέρι.Επιπρόσθετα ο Richard Hickman ανακάλυψε ότι οι φωτογραφίες του Snapchat συγκεκριμένα σε Android συσκευές δεν διαγράφονται αλλά απλά αποκρύπτονται και μπορούν να ανακτηθούν με την χρήση κατάλληλου λογισμικού.Αυτό σημαίνει πως δεν εξαφανίζονται για πάντα όπως πολλοί χρήστες πιστεύουν και μπορούν να ανακτηθούν από τρίτους χωρίς την συγκατάθεση του χρήστη.Παρ'όλα αυτά το Snapchat μέχρι και σήμερα ισχυρίζεται πως οι φωτογραφίες δεν αποθηκεύονται εκτός και αν δεν έχουν προβληθεί που στην περίπτωση αυτή παραμένουν στον Server για τριάντα ημέρες.Αυτός ήταν ένας από τους λόγους που βοήθησε τον Οκτώβριο του 2014 να hackάρουν το Snapchat με αποτέλεσμα να διαρρεύσουν γυμνές φωτογραφίες χρηστών στο διαδίκτυο και συγκεκριμένα σε ιστοσελίδες με μεγάλη επισκεψιμότητα όπως το 4chan.Οι hackers υπόκλεψαν τουλάχιστον εκατό χιλιάδες γυμνές φωτογραφίες και βίντεο τα οποία οι χρήστες τους νόμιζαν πως είχαν διαγραφεί.Αυτό προκάλεσε μεγάλο σάλο γιατί πολλές από τις φωτογραφίες που υποκλάπηκαν ήταν από διασημότητες παγκόσμιας φήμης αλλά και επειδή το μεγαλύτερο ποσοστό των χρηστών ήταν άτομα ηλικίας από 13 έως 17 χρονών υπήρχαν πολλές φωτογραφίες που θεωρήθηκαν παιδική πορνογραφία.Το μεγαλύτερο μέρος των φωτογραφιών ήταν από την Ευρώπη μιας και το 32% των χρηστών είναι Ευρωπαίοι και επίσης αξίζει να επισημάνουμε πως ένα μεγάλο ποσοστό των φωτογραφιών κλάπηκαν από τρίτες εφαρμογές.

ΠΗΓΕΣ:https://www.reddit.com/r/iphone/comments/2iuomp/the_snappening_200000_snapchat_accounts_hacked/ , https://en.wikipedia.org/wiki/Snapchat#The_Snappening , http://www.independent.co.uk/life-style/gadgets-and-tech/the-snappening-thousands-of-teenagers-photos-and-videos-released-through-third-party-app-9790298.html

==ΡΑΠΤΟΤΑΣΙΟΥ ΓΕΩΡΓΙΑ,ΚΑΛΑΠΑΝΙΔΑ ΛΑΜΠΡΙΝΗ== (Διαρροή μυστικών της Apple)

Διαρροή προσωπικών δεδομένων της JPMorgan(Μήτσιου Αθανάσιος - Βασδέκης Ανδρέας)

[επεξεργασία]

Η JPMorgan Chase & Co. 1 αποτελεί τη μεγαλύτερη πολυεθνική τράπεζα της Αμερικής με την περιουσία της να ξεπερνάει τα 2.6 τρισεκατομμύρια δολάρια. Το 2014 δεδομένα της τράπεζας διέρρευσαν καθώς χακερς εισέβαλαν2 στη βάση δεδομένων με αποτέλεσμα να τεθούν σε κίνδυνο 76 εκατομμύρια οικιακοί λογαριασμοί και 7 εκατομμύρια λογαριασμοί μικρών επιχειρήσεων. Ακόμα και σήμερα αποτελεί μία από τις μεγαλύτερες διαρροές δεδομένων. Οι χακερς κατόρθωσαν να αποσπάσουν στοιχεία των πελατών της τράπεζας όπως για παράδειγμα ονοματεπώνυμο, διεύθυνση κατοικίας , τηλέφωνο και ηλεκτρονική διεύθυνση. Η τράπεζα σε επίσημη ανακοίνωση της ανέφερε ρητά πως δεν υπάρχουν στοιχεία σχετικά με τα ευαίσθητα δεδομένα λογαριασμών όπως κωδικοί και αριθμοί ασφάλισης που να έχουν εκτεθεί. Οι κυβερνοεγκληματίες κατάφεραν να αποκτήσουν πρόσβαση στο δίκτυο μέσω ενός εξυπηρετητή που δεν πληρούσε τα κατάλληλα μέτρα ασφαλείας όπως για παράδειγμα πιστοποίηση με δύο παραμέτρους , τον κωδικό και έναν μοναδικό αριθμό.

Οι χακερς κατάφεραν να υποκλέψουν 3 εκτός από προσωπικά δεδομένα, μία λίστα με τις εφαρμογές που χρησιμοποιεί η Morgan που θα τους επέτρεπε να ελέγξουν κάθε μία από αυτές για γνωστές ευπάθειες, και να αποκτήσουν μεγαλύτερη πρόσβαση στο τραπεζικό σύστημα. Μέχρι και μερικές βδομάδες πριν ανακαλύψουν το πραγματικό εύρος της επίθεσης οι ειδικοί ασφαλείας της εταιρίας πίστευαν πως η ζημιά που είχε προκληθεί ανερχόταν στο 1 εκατομμύριο λογαριασμούς 4 . Κατάφεραν να αποκτήσουν πρόσβαση σε πάνω από 90 βάσεις δεδομένων αλλά δεν υπήρχε κανένα στοιχείο που να αποδεικνύει πως έκλεψαν λεφτά από κάποιο λογαριασμό γεγονός που προκάλεσε πολλές σκέψεις για το ποιος ήταν πραγματικά ο σκοπός της επίθεσης. Μερικοί ειδικοί πιστεύουν πως υπεύθυνοι για την επίθεση είναι Ρώσσοι προγραμματιστές καθοδηγούμενοι από την Ρωσική κυβέρνηση. Γρήγορα όμως αποδείχτηκε πως υπεύθυνοι ήταν κυβερνοεγκληματίες και όχι κατάσκοποι. Η δράση τους δεν περιορίστηκε μόνο στην JPMorgan. Επιπλέον εταιρίες όπως η Dow Jones Company5 και η Scottrade παραδέχτηκαν ότι στοχοποιήθηκαν από την ίδια ομάδα προγραμματιστών.

Διαρροή προσωπικών δεδομένων της Anthem (Μπαλάνος Κωνσταντίνος-Κολιός Χρυσοβαλάντης)

[επεξεργασία]

Η αμερικανική ασφαλιστική εταιρία υγείας, Anthem, παραδέχτηκε ότι έπεσε θύμα ηλεκτρονικής επίθεσης τον Φεβρουάριο του 2015, απ’ όπου κλάπηκαν οι προσωπικές πληροφορίες 80 εκατομμυρίων πελατών. Ο διευθύνων σύμβουλος της Anthem, Joseph Swedish δημοσίευσε μια δήλωση που εξηγεί ότι η προστασία των δεδομένων και η ασφάλεια αποτελεί κορυφαία προτεραιότητα της εταιρείας, αλλά και ότι οι επιτιθέμενοι κατάφεραν να διεισδύσουν τα συστήματά της αποκτώντας πρόσβαση στα δεδομένα των πελατών αλλά και της εταιρείας. Η Anthem, που βρίσκεται στην Indianapolis και παλαιότερα γνωστή ως WellPoint, καλύπτει περίπου 37.500.000 ανθρώπους. Η παραβιασμένη βάση δεδομένων περιείχε πληροφορίες για ορισμένους από τους σημερινούς και πρώην πελάτες της, καθώς και τους ίδιους τους υπαλλήλους της, το Δικαστήριο έκρινε επίσης ιατρικές και οικονομικές λεπτομέρειες μπορεί να υποκλάπηκαν, αλλά ο ασφαλιστής είπε αυτά τα στοιχεία δεν φαίνεται να περιλαμβάνονται στα δεδομένα που έχουν κλαπεί από τους χάκερ. Τα δεδομένα που κλάπηκαν είναι: ονόματα, ημερομηνίες γέννησης, ιατρικές ταυτότητες / αριθμούς κοινωνικής ασφάλισης, διευθύνσεις οδών, διευθύνσεις ηλεκτρονικού ταχυδρομείου και πληροφορίες για την απασχόληση, συμπεριλαμβανομένων των δεδομένων εισοδήματος. Ωστόσο, δεν υπάρχουν ενδείξεις ότι κλάπηκαν δεδομένα όπως τα στοιχεία πιστωτικής κάρτας ή ιατρικές πληροφορίες, διεκδικήσεις, τα αποτελέσματα των εξετάσεων ή διαγνωστικούς κώδικες , ούτε ότι τα δεδομένα πουλήθηκαν στη μαύρη αγορά. Ο Jaime Blasco, αντιπρόεδρος και επικεφαλής επιστήμονας στην εταιρία παροχής υπηρεσιών ασφαλείας AlienVault, είπε ότι, ενώ η Anthem διαβεβαίωσε τους πελάτες οτι δεν τέθηκε σε κίνδυνο η υγειονομική περίθαλψη ή οικονομικές πληροφορίες, το περιστατικό είναι ακόμα αποθαρρυντικό. Η Anthem ενημέρωσε το FBI και διατήρησε τις υπηρεσίες της εταιρίας FireEye να αξιολογήσει την πλήρη έκταση της παραβίασης. Επιπλέον η εταιρία θα στείλει ταχυδρομικό μήνυμα και email στα άτομα των οποίων τα δεδομένα βρίσκονταν στη λίστα που παραβιάστηκε. Η Anthem θα διαθέσει επίσης παροχή υπηρεσιών παρακολούθησης της πίστωσης και την προστασία της ταυτότητας δωρεάν. Εκφράζεται η ελπίδα ότι αυτό θα βελτιώσει την ασφάλεια των δεδομένων σε παρόχους υγειονομικής περίθαλψης του δημόσιου τομέα, ως απάντηση σε πολλά περιστατικά απώλειας δεδομένων που οδήγησαν σε πρόστιμα συνολικού ύψους £ 1,3 εκ.

Πηγες:1 2 3

Διαρροή Προσωπικών Δεδομένων Ελλήνων Πολιτών (Βογιατζής Ευστάθιος - Θάκα Ρέι)

[επεξεργασία]

Σύμφωνα με άρθρο της ιστοσελίδας Tvxs το οποίο αναφέρεται στο περιστατικό όπου τα θύματα των Ελλήνων πολιτών που παραβιάστηκαν τα προσωπικά δεδομένα τους καταλογίζεται στα 6 εκατομμύρια πολίτες περίπου, το σύνολο δηλαδή του ενεργού πληθυσμού. Τα αρχεία που έχουν διαρρεύσει περιλαμβάνουν προσωπικά δεδομένα και πιο συγκεκριμένα: τα στοιχεία υπολογισμού του Ενιαίου Τέλους Ακινήτων, τα στοιχεία υπολογισμού της έκτακτης εισφοράς του 2011, στοιχεία των τελών κυκλοφορίας για όλα τα έτη από το 2006 έως το 2012, κ.α.

Όσες εταιρίες ή υπηρεσίες έχουν στη διάθεσή τους τα προσωπικά δεδομένα μπορούν να τα χρησιμοποιήσουν με πολλούς τρόπους όπως εμπορική εκμετάλλευση μέχρι και εκβιασμούς σε βάρος πολιτών, όπου οι πολίτες αισθάνονται ευάλωτοι από τη διαρροή των προσωπικών τους δεδομένων. Από τα στοιχεία αυτά προκύπτει το πλήρες προφίλ όλων των πολιτών και η αξία τους είναι ανεκτίμητη. Ο ηλεκτρονικός όγκος των δεδομένων ανέρχεται στα 70GB.

Η Υπηρεσία Δίωξης Ηλεκτρονικού εγκλήματος εντόπισε ιδιωτικές εταιρίες που είχαν στην κατοχή τους ορισμένα από τα προσωπικά δεδομένα των πολιτών, χωρίς όμως να προσδιοριστεί η έκταση της διαρροής. Τελικά η Γενική Γραμματεία Πληροφοριακών Συστημάτων έδωσε εξηγήσεις και παραδέχτηκε ότι τα στοιχεία διέρρευσαν από την υπηρεσία και ενημέρωσε τα μέλη της Αρχής Προστασίας ότι λόγω έλλειψης χρηματοδότησης, δεν μπορούν να ληφθούν μέτρα προστασίας. Ειδικοί του ηλεκτρονικού εγκλήματος αναφέρουν πως με την πάροδο του χρόνου σβήνονται κρίσιμα δεδομένα για τον εντοπισμό των ενόχων.

Ωστόσο το σχέδιο ασφάλειας τροποποιήθηκε σε ότι αφορά την διαχείριση της πρόσβασης στην κεντρική βάση δεδομένων και εφαρμόζεται αυστηρά η διαδικασία ανάθεσης δικαιωμάτων σε εξουσιοδοτημένους χρήστες. Γίνεται με άλλα λόγια ο έλεγχος για την καταγραφή της πρόσβασης στη βάση δεδομένων. Επιπρόσθετα έχει αυξηθεί το επίπεδο ασφάλειας σε ότι αφορά τα μηχανήματα των ηλεκτρονικών υπολογιστών που διαχειρίζονται τους εκτυπωτές.

Διαρροή προσωπικών δεδομένων της tapatalk ( Λινάρδος Απόστολος- Μουτκανάς Ευάγγελος)

[επεξεργασία]

Το Tapatalk είναι μια εφαρμογή για λειτουργικά ios και android και η χρήση της είναι να διευκολύνει την περιήγηση σε αναρίθμητα forums μέσω του κινητού τηλεφώνου. Στις 9 Δεκεμβρίου του 2014 συμφώνα με τους διαχειριστές της υπηρεσίας tapatalk, hackers επιτέθηκαν στην υπηρεσία αυτή με αποτέλεσμα να εκτεθούν και να διαρρεύσουν προσωπικά δεδομένα των χρηστών όπως κωδικοί, διευθύνσεις ηλεκτρονικού ταχυδρομείου (e-mails) και άλλα πολλά. Οι διαχειριστές του tapatalk βεβαία αντέδρασαν γρήγορα στην επίθεση αυτή και έστειλαν e-mails στους χρήστες ώστε να αλλάξουν κωδικούς πρόσβασης ώστε να προστατέψουν τα προσωπικά τους δεδομένα. Οι υπεύθυνοι και δημιουργοί του Tapatalk ανακάλυψαν πριν από εβδομάδες ότι κάποιος κακόβουλος χρήστης είχε χρησιμοποιήσει ένα exploit για να παραβιάσει το WordPress Blog και τα Tapatalk Support Fora, με συνέπεια αυτού να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα ανυποψίαστων χρηστών της υπηρεσίας. Η Tapatalk εξέδωσε ανακοίνωση με διάφορες συμβουλές για την αντιμετώπιση τέτοιων συμβάντων και την τήρηση της ασφάλειας των χρηστών. Αυτά τα βήματα είναι τα εξής:

Πρώτον, να γίνεται αλλαγή του κωδικού πρόσβασης σε όσο πιο σύνθετο είναι εφικτό να γίνει, για παράδειγμα εκτός από τους αριθμούς να υπάρχουν πεζά και κεφαλαία γράμματα στον κωδικό αυτό ώστε να είναι πιο δύσκολο να τον παραβιάσει κάποιος.

Δεύτερον, να μην υπάρχουν οι ίδιοι κωδικοί πρόσβασης σε όλα τα μέσα κοινωνικής δικτυώσεις καθώς αν παραβιάσουν μια φορά τον κωδικό σε μια σελίδα θα είναι εύκολο να παραβιάσουν και τις υπόλοιπες σελίδες όπου υπάρχει ενεργός λογαριασμός.

Τέλος, η υπηρεσία διευκρινίζει ότι δεν θα περιέχονται πλέον σύνδεσμοι για την επαναφορά των κωδικών πρόσβασης ή οποιαδήποτε άλλο, οπότε εάν κάποιος λάβει ένα τέτοιο email καλείται να το αγνοήσει.


πήγες:http://www.myphone.gr/forum/showthread.php?t=407785

http://milaraki.com/blog/2013/06/tapatalk-free-for-now/

Διαρροή προσωπικών δεδομένων και κλοπή δακτυλικών αποτυπωμάτων OPM (Καραστογιάννη Δήμητρα-Μεσημέρης Μιχαήλ)

[επεξεργασία]

Στις 23 Σεπτεμβρίου του 2015 ανακοίνωσε το Γραφείο Διεύθυνσης Προσωπικού του Ομοσπονδιακού Κράτους των Ηνωμένων Πολιτειών Αμερικής(Office of Personnel Management)[1] την κλοπή δεδομένων δακτυλικών αποτυπωμάτων 5,6 εκατομμυρίων ανθρώπων .Πρόκειται για μια μαζική κυβερνοεπίθεση που είχε ως στόχο την κλοπή προσωπικών δεδομένων καθώς οι χάκερ είχαν πρόσβαση σε βάση δεδομένων[2] που χρησιμοποιούσε η κυβέρνηση για άδειες ασφάλειας γνωστά ως ερωτηματολόγια SF86.Θύματα αυτής της ενέργειας ήταν νυν και πρώην εργαζόμενοι του ομοσπονδιακού κράτους αλλά και άτομα που απλώς υπέβαλαν αίτηση για κυβερνητικές θέσεις και δεν εργάστηκαν ποτέ εκεί .Η παραβίαση αυτή σημάνει τον κίνδυνο καθώς αν και η δυνατότητα κλοπής δακτυλικών αποτυπωμάτων είναι περιορισμένη,με την διαρκή εξέλιξη της τεχνολογίας τα δακτυλικά αποτυπώματα αποτελούν ολοένα και περισσότερο κλειδί ασφάλειας προσωπικών δεδομένων,χρησιμοποιούνται ως κωδικοί πρόσβασης για ξεκλείδωμα κινητών τηλεφώνων,αυτοκινήτων ακόμα και σπιτιών έτσι οι χάκερ θα έχουν την δυνατότητα να επιμηκύνουν τις δραστηριότητες τους με βάση τα δεδομένα που έχουν στην κατοχή τους καθιστώντας τους πολύ επικίνδυνους για την ασφάλεια των προσωπικών δεδομένων .Ωστόσο έχουν προηγηθεί και άλλες παραβιάσεις ασφάλειας προσωπικών δεδομένων όπου έχει ανακοινώσει η συγκεκριμένη υπηρεσία με κλοπές αριθμών μητρώου κοινωνικής ασφάλισης,διευθύνσεις και άλλων προσωπικών δεδομένων που ξεπερνούν τα 18 εκατομμύρια σύμφωνα με το FBI[3].Οι Αμερικάνοι αξιωματούχοι πιστεύουν ότι αυτουργοί των επιθέσεων είναι κινέζοι χακερ που υποκινούνται από την κυβέρνηση της Κίνας την οποία χαρακτηρίζουν ως βασική απειλή για τις ΗΠΑ.Ο πρόεδρος της Κίνας Xi Jinping[4] ο οποίος με βάση ομιλίας του καταγγέλλει το γεγονός ,δηλώνει συνήγορος της ασφάλειας του κυβερνοχώρου.Μετά το γεγονός πολλοί κατέκριναν το Γραφείο Διεύθυνσης Προσωπικού του Ομοσπονδιακού Κράτους των ΗΠΑ και κυρίως την Katherine Archuleta η οποία είχε την ηγεσία ,για την αδυναμία προστασίας βασικών δεδομένων της εθνικής ασφάλειας και το γεγονός ότι δεν απέκλεισαν κάθε πρόσβαση από keyPoint καθώς μέσω τέτοιου πληκτρολογίου έγινε η παραβίαση πράγμα που οδήγησε και στην παραίτηση της.

Πηγή 1: http://www.crashonline.gr/σκανδαλο-στισ-ηπα-εκλάπησαν-τα-δακτυλ/ Πηγή 2:http://www.protothema.gr/world/article/512230/ipa-haker-eklepsan-perissotera-apo-pede-ekatommuria-daktulika-apotupomata-omospondiakon-upallilon/ Πηγή 3:https://left.gr/news/hakaran-ta-prosopika-dedomena-18-ekat-amerikanon-politon

Διαρροή Προσωπικών Δεδομένων:Vodafone (ΚΟΥΤΗΣ ΣΤΕΦΑΝΟΣ-ΒΑΣΙΛΑΚΟΣ ΧΑΡΙΛΑΟΣ)

[επεξεργασία]

Στις αρχές του Νοεμβρίου του έτους που διανύουμε πραγματοποιήθηκε στο Λονδίνο μια συντονισμένη επίθεση από χάκερς η οποία αφορούσε τον όμιλο των εταιριών κινητής τηλεφωνίας της Vodafone. To χτύπημα αυτό το οποίο κατάφεραν να πραγματοποιήσουν οι χάκερς αφορούσε το κεντρικό server της εταιρίας έτσι ώστε να καταφέρουν να κλέψουν τα προσωπικά στοιχειά και δεδομένα δύο χιλιάδων πελατών της. Το χτύπημα αυτό έγινε αντιληπτό από την Vodafone η οποία το έκανε γνωστό στο «National Crime Agency and Information Commissioners’Office» το οποίο είναι ένας οργανισμός που είναι υπεύθυνος για τη φύλαξη των προσωπικών δεδομένων των ατόμων στο Ηνωμένο Βασίλειο. Τα προσωπικά δεδομένα από τα συγκεκριμένα δύο χιλιάδες άτομα τα οποία κλαπήκαν αφορούσαν τα ονόματα τους, τους αριθμούς κινητών τηλεφώνων τους, τους κωδικούς τραπεζικών καταστημάτων, καθώς και τα τέσσερα τελευταία ψηφία των τραπεζικών λογαριασμών τους αλλά όχι τα στοιχεία από τις πιστωτικές και χρεωστικές κάρτες των ατόμων αυτών. Σε ανακοίνωση την οποία και δημοσίευσε η αγγλική εταιρία κάνει λόγο ότι αυτοί οι δύο χιλιάδες λογαριασμοί των πελατών της που διέρρευσαν μπλοκαρίστηκαν άμεσα έτσι ώστε οι χάκερς να μην προλάβουν να ενεργήσουν και να αποφευχθεί η απάτη και η κατάχρηση των προσωπικών δεδομένων των πελατών. Έτσι αυτό είχε ως συνέπεια η εταιρία να επικοινωνήσει με τα ¨θύματα¨ αλλά και με τις τράπεζες άμεσα προκειμένου να γίνει το έγκαιρο πάγωμα όλων αυτών των λογαριασμών και να μην υπάρξουν περαιτέρω προβλήματα και δυσκολότερα από τα ήδη υπάρχοντα.

http://www.irishtimes.com/business/retail-and-services/vodafone-is-the-latest-target-of-hacking-1.2414022 https://iguru.gr/2015/11/01/52977/vodafone-uk-hacked/

Διαρροή Προσωπικών Δεδομένων: RockYou! [Θεοδοσιου Παντελεημων & Αλέξανδρος Λιατσος]

[επεξεργασία]

Στα τέλη του 2009 η εταιρία RockYou υπέστει ‘hacking’ έχοντας ως άμμεσο αποτέλεσμα την διαρροή προσωπικών δεδομένων πάνω από 32 εκατομμυρίων χρηστών. Έτσι η RockYou για να δει το μέγεθος της ζημιάς που της είχε δημιουργηθεί,αποθήκευσε όλους τους λογαριασμούς των χρηστών της σε ένα απλό έγγραφο, μέσα στην βάση δεδομένων της η οποία ήταν εκτεθημένη στους επιτιθέμενους. Η RockYou ενώ ήξερε ήδη το πρόβλημα της, δεν ενημέρωσε κανέναν απο τους χρήστες της και ενώ περνούσε ο καιρός, το πρόβλημα της μεγάλωνε.Αρχικά η RockYou προσπάθησε να υποβαθμίσει το πρόβλημα της λέγοντας στους πελάτες της πως το πρόβλημα που αντιμετώπιζαν αναφερόταν στις εφαρμογές της.Από την άλλη πλευρά όμως, ένας χάκερ δημοσιέυσε μία ανακοίνωση η οποία έλεγε ότι μπορεί να αποδείξει ότι δεν είναι ο μόνος που έχει πρόσβαση στην βάση δεδομένων της RockYou και έτσι έβγαλε στην φόρα ένα μικρό κομμάτι της, με ονόματα απο τους χρήστες και τους κωδικούς τους επίσης.Το κομμάτι από την βάση δεδομένων περιείχε και κωδικούς από άλλα κοινωνικά δίκτυα όπως το MySpace και λογαριασμούς από διάφορα email-Yahoo, AOL-.

Το κομμάτι της βάσης δεδομένων:

jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com phdlance@gmail.com|mek*****|myspace|1| jennaplanerunner@gmail.com|mek*****|myspace|0| teamsmackage@gmail.com|pro*****|myspace|1| ayul@email.com|kha*****|myspace|1|tagged.com guera_n_negro@yahoo.com|emi*****|myspace|0| beyootifulgirl@aol.com|hol*****|myspace|1| keh2oo8@yahoo.com|cai*****|myspace|1| mawabiru@yahoo.com|pur*****|myspace|1| jodygold@gmail.com|att*****|myspace|1| aryan_dedboy@yahoo.com|iri*****|myspace|0| moe_joe_25@yahoo.com|725*****|myspace|1| xxxnothingbutme@aol.com|1th*****|myspace|0|

Τα λάθη που έκανε η RockYou ήταν τα εξής: Ο κακός χειρισμός του όλου θέματος ήταν το κυριότερο λάθος της. Επιπλέον γνώριζε για παραβίαση που είχαν αρκετό καιρό πριν, και δεν έκανε τίποτα, έχοντας ως αποτέλεσμα την διέρευση του κομματιού της βάσης δεδομένων της.Πολλοί από τους χρήστες δεν είχαν ιδέα για το όλο θέμα μέχρι την λήξη του.Τέλος η κακή πολιτική κωδικών πρόσβασης ήταν επίσης λάθος της εταιρίας καθώς για την δημιουργία κωδικού οι προυποθέσεις ήταν το μέγεθος του να είναι μεγαλύτερο από 5 χαρκτήρες καθώς και το ότι η RockYou αποθήκευε τους κωδικούς πρόσβασης, από τους χρήστες, σε ένα έγγραφο και η μεταφορά τους γινόταν μέσω ηλεκτρονικού ταχυδρομείου(email).

Αποτέλεσμα

Η όλη κατάσταση είχε ως αποτέλεσμα για την RockYou:

  1. Ποινή 250.000$
  2. 20 χρόνια ανεξάρτητους ελέγχους
  3. Πρέπει να χρησιμοποιούν πρόγραμμα ασφαλείας δεδομένων.


Πηγές: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ http://www.scmagazine.com/rockyou-hack-compromises-32-million-passwords/article/159676/ http://techcrunch.com/2009/12/14/rockyou-hack-security-myspace-facebook-passwords/ http://techcrunch.com/2009/12/14/rockyou-hacked/ http://www.databreachtoday.com/settlement-in-gaming-company-breach-a-4630

Διαρροή Προσωπικών Δεδομένων της Ku Klux Klan από τους Anonymous[Χατζησαλατας-Παπαϊωάννου]

[επεξεργασία]

Το βράδυ της Πέμπτης 5 Νοεμβρίου μία μέρα πριν την επέτειο της <<Νύχτας του Guy Fawkes>>, αναρτήθηκε από το γνωστό κίνημα των ακτιβιστών-hackers Anonymous μια λιστα με ονόματα και profile σε μέσα κοινωνικής δικτύωσης μελών της Ku Klux Klan.Η διαμάχη των Anonymous με την οργάνωση ξεκίνησε απο το γεγονός που έγινε στο Φέργκουσον,Μισούρι όπου ένας αστυνομικός πυροβόλησε και σκότωσε έναν αφροαμερικανό νεαρό.Το άτομο που φαίνεται ότι ήταν υπεύθυνος της επιχείρισης δημοσίευσε μία διαφορετική λίστα στο twitter αργότερα την ίδια μέρα. Έπειτα από επικοινωνία του με δημοσιογραφική ιστοσελίδα ισχυρίστικε ότι γνώριζε για τις δραστηριότητες του κινήματος και πως αυτός είναι ο ιδρυτής του καναλιού #OpKKK.Υποστηρίζει ότι παραβίασαν λογαριασμό έμπιστου μέλους της Ku Klux Klan και μέσω κοινωνικής μηχανικής κατάφεραν να συλλέξουν και άλλα ονόματα μελών της οργάνωσης.Επιπρόσθετα πολλά από τα ονόματα που περιέχονται στην λίστα βρέθηκαν να εχουν λογαριασμούς στο facebook με αναρτημένες σημαίες και σύμβολα της οργάνωσης καθώς και αναφορές στην λευκή ανωτερότητα.Ωστόσο τα ονόματα στην λίστα δεν προκάλεσαν μεγάλη έκπληξη διότι αρκετοί από αυτούς ήταν ήδη γνωστά μέλη της οργάνωσης.Ακόμα ο κατάλογος αμφισβητήθηκε αρκετά και ο λογαριασμός #OpKKK στο twitter αποστασιοποιήθηκε απο το κίνημα των Anonymous.Υπάρχουν αρκέτες υποθέσεις για την συγκεκριμένη λίστα και μία από αυτες είναι ο ότι εν λόγω λογαριασμός προσπαθούσε να κλονίσει την αξιοπιστία του κινήματος των ακτιβιστών.Επίσης οι Anonymoys δήλωσαν ξεκάθαρα ότι η Ku Klux Klan έχει εκτεθεί στο FBI και ότι υπάρχουν πληροφοριοδότες μέσα στην οργάνωση πράγμα το οποίο επιβεβαίωσε εκπρόσωπος του FBI αργότερα.

Πηγές:https://news.vice.com/article/the-anonymous-leak-of-supposed-kkk-names-is-actually-kind-of-lame

     http://www.theguardian.com/technology/2015/nov/06/anonymous-ku-klux-klan-name-leak
     http://www.al.com/news/index.ssf/2015/11/ku_klux_klan_info_leaked_by_an.html

Διαρροή προσωπικών δεδομένων: Dropbox Data Breach 2014 (ΧΟΥΤΖΙΟΥΜΗΣ ΑΠΟΣΤΟΛΟΣ - ΚΟΥΤΣΙΔΗΣ ΓΕΩΡΓΙΟΣ)

[επεξεργασία]

Τον Οκτώβριο του 2014, ένα από τα πολλά θύματα διαδικτυακής επίθεσης και διαρροής προσωπικών δεδομένων, ήταν και η γνωστή υπηρεσία αποθήκευσης αρχείων στο σύννεφο, το Dropbox. Αυτό που συνέβη ήταν να δοθούν στη δημοσιότητα εκατοντάδες διαπιστευτήρια χρηστών, δηλαδή διευθύνσεις ηλεκτρονικού ταχυδρομίου και κωδικοί, θέτοντας έτσι σε κίνδυνο όλα τα δεδομένα που είχαν αποθηκευμένα οι ίδιοι σε αυτό. Συγκεκριμένα, ένας χρήστης της ιστοσελίδας Pastebin, ισχυρίστηκε πως είχε στην κατοχή του τα διαπιστευτήρια εφτά εκατομμυρίων χρηστών, εκθέτοντας παράλληλα τα πρώτα 400 και ζητώντας δωρεές σε Bitcoin για να βγάλει στη φόρα τα υπόλοιπα. Λίγες ώρες μετά την επίθεση, ακολούθησαν συνεχόμενες ανακοινώσεις από τους ανθρώπους του Dropbox, προσπαθώντας να καθησυχάσουν τους χρήστες. Στην αρχή η εταιρεία έριξε τα βάρη στους ανίσχυρους κωδικούς των χρηστών και την επανάληψη τους σε άλλες ιστοσελίδες και όχι από τους ίδιους, αλλά μετά δήλωσε πως τα διαπιστευτήρια που κλάπηκαν δεν ήταν από τη δική τους υπηρεσία αλλά από άλλες, άσχετες με το Dropbox – τις οποίες όμως δεν κατονόμασε. Διαβεβαίωσε έτσι τους χρήστες για την ασφάλεια των αρχείων τους. Δηλαδή, οι κωδικοί ήταν πιο γενικευμένοι, και χρησιμοποιήθηκαν για την είσοδο σε διάφορες άλλους ιστοτόπους, μαζί με το Dropbox. Ένα σημαντικό θετικό στοιχείο που ενίσχυε αυτήν την οπτική της υπηρεσίας, ήταν το γεγονός πως δεν χτυπήθηκαν οι ίδιοι οι servers, αποτρέποντας έτσι την διαρροή των αρχείων των χρηστών. Επειδή βγήκαν και άλλες λίστες με λογαριασμούς, ξέχωρα από τον χρήστη του Pastebin, το Dropbox δήλωσε πως κανένας από τους λογαριασμούς εκείνους δεν ανήκει σε δικό του χρήστη. Η ιστορία αυτή δε συνεχίστηκε, καθώς οι περισσότεροι κωδικοί από τους λογαριασμούς έληξαν. Αυτή η επίθεση ανάγκασε το Dropbox να αναβαθμίσει τους όρους ασφαλείας των υπηρεσιών που παρέχει στους χρήστες, προσθέτοντας περισσότερες συνθήκες εισαγωγής των χρηστών στο σύστημα, όπως two-step authentication. Αν και οι server της υπηρεσίας δεν επηρεάστηκαν από την επίθεση και δεν χάθηκαν τα αρχεία των χρηστών, δεν αναιρούσε, σύμφωνα με τους ειδικούς, την επικινδυνότητα της συγκεκριμένης επίθεσης.

Πηγές: 1, 2

FIDH μια καταγγελία για παραβίαση των προσωπικών δεδομένων (Ολυμπία Σακοράφα-Σταυρούλα Πατούνα)

[επεξεργασία]

Στις 7 Νοεμβρίου του 2013 η Fidh έκανε καταγγελία στον εισαγγελέα του δικαστηρίου του Παρισιού κατά άγνωστο πρόσωπο. Ο λόγος ήταν η αποκάλυψη κάποιων γεγονότων τα όποια ήρθαν στο φως από τον κ. .Εντουαρντ Σνοουντεν. To λογισμικό αυτό είναι στηριγμένο στην καταπολέμηση των παραβιάσεων τον προσωπικών δεδομένων . Όμως λόγο του ότι παραβιάστηκαν βασικές αρχές του λογισμικού είχε κατατεθεί καταγγελία με βάση τα άρθρα του γαλλικού ποινικού κώδικα .Τα άρθρα αυτά είναι 323-1,226-18.226-1 και 226-2.Τα άρθρα αυτά αναφέρονται στην παραβίαση των προσωπικών δεδομένων καθώς και τις ιδιωτικής ζωής και την καταγραφή ιδιωτικών εγγράφων που συμπεριλαμβάνονται στα συγκεκριμένα μέσα. Στο δημοσιότητα δίνονται οι συγκεκριμένες πληροφορίες από τον κ. Εντουαρντ Σνοουντεν που έδωσε στο φως ότι υπάρχει ένα αμερικανικό πρόγραμμα του όποιο το όνομα είναι Prism(εργαλείο σχεδιασμού για δυναμική ενσωμάτωση συγχρονισμού και διαχείρισης). Το όποιο συλλέγει δεδομένα από διαφορές υπηρεσίες του διαδικτύου όπως είναι microsoft,apple,google ,yahoo,youtube, skype, facebook. Υπό το πρόσχημα της καταπολέμησης της τρομοκρατίας και του οργανωμένου εγκλήματος, το σύστημα παρακολούθησης των δεδομένων επέτρεψε στις ενώσεις NSA και το FBI να μπορεί να διατηρεί τους διακομιστές στις παραπάνω εταιρίες. Αυτό σημαίνει ότι έχουν πρόσβαση στο ιστορικό των αναζητήσεων, στο περιεχόμενο των e mail καθώς και σε οποιαδήποτε μορφή επικοινωνίας ,αποστολή φωτογραφιών, βίντεο ή εγγράφων. Η prism η όποια έχει πρόσβαση σε μισό δισεκατομμύριο ανακοινώσεις ανά μηνά ζητά να χρησιμοποιήσει λέξεις κλειδιά για να μπορεί να γνωρίζει όχι μόνο την προέλευση του μηνύματος αλλά να γνωρίζει και τον αποδεκτή. Αυτή η επέμβαση όμως είναι μια καταπάτηση για τις ατομικές ελευθερίες του ατόμου και μπορεί να οδηγήσει στο τέλος του κράτους δικαίου. Για αυτό η Fidh κατέθεσε καταγγελία στο δικαστήριο του Παρισιού.

Πηγές :https://www.fidh.org/en/region/europe-central-asia/france/fidh-and-ldh-file-a-complaint-for-infringement-of-personal-data-13648

https://www.fidh.org/en/region/americas/usa/international-protection-for-whistleblowers-should-be-increased-13624

Anonymous: Έκλεψαν 1TB δεδομένα από το Best Union (Βαγγέλης Πιτσέλης)

[επεξεργασία]

Οι Anonymous έκαναν μια σειρά ηλεκτρονικών επιθέσεων με στόχο την Expo 2015 Universal Exposition(Παγκόσμια Έκθεση)που έλαβε χώρα στο Μιλάνο.Οι Anonymous της Ιταλίας στοχεύουν τα συστήματα των οργανισμών που δουλεύουν για την έκθεση με μια σειρά επιθέσεων που φέρουν το όνομα #OpItaly και αυτό είχε σαν αποτέλεσμα να μπει στο στόχαστρο και η υπηρεσία εισιτηρίων Best Union.Οι επιθέσεις αυτές αρχισαν μια μέρα πριν την τελετή έναρξης(30 Απριλίου)με μια σειρα DDoS επιθέσεων με σκοπό να πλήξουν την ιστοσελίδα με τα εισιτήρια και είχαν σα στόχο να δείξουν την διαμαρτυρία τους απέναντι στην διαφθορά που έχει επηρεάσει την προμήθεια των προγραμματισμένων για την εκδήλωση έργων και έκλεισαν την σελίδα για όλο το βράδυ και για κάποιες ώρες το απόγευμα της επόμενης μέρας.Την ημέρα της έναρξης ενώ άνθρωποι ήταν στους δρόμους και διαδήλωναν κατά της expo οι Anonymous χτύπησαν για μια ακόμα φορά την ιστοσελίδα της expo και ενώ η οργάνωση της έκθεσης ελαχιστοποιούσε τις επιπτώσης των επιθέσεών η απέναντι πλευρά συνέχιζε αδιάκοπα τις επιθέσει και οι Ιταλοί hackers κατάφεραν να παραμορφώσουν την ιστοσελίδα της έκθεσης [32].Η επίθεσης στην Best Union επέτρεψε στους hackers να κλέψουν πληροφορίες από την βάση δεδομένων της εταιρείας και σύμφωνα με τα tweets που δημοσίευσαν η βάση δεδομένων περιείχε 1ΤΒ διαρροές από τους ανθρώπους που αγόρασαν τα εισιτήρια τους ηλεκτρονικά, καθώς φαίνεται πως τα passwords αποθηκευόταν σε απλή μορφη κειμένου.Οι επιθέσεις κράτησαν περίπου 2 μέρες και κατά την διάρκεια τους δημοσίευσαν στο twitter "πως δεν υπάρχει διαφθορά στις επιθέσεις DDoS". Παρά το γεγονός ότι οι Anonymous δεν έχουν πρόθεση να βλάψουν αθώους αυτή η κατάσταση μπορεί να δώσει πάτημα σε άλλους hackers να ξεκινήσουν μια εξστρατία phishing ζητώντας από τους χρήστες να τους δώσουν τα στοιχεία τους ώστε τα δεδομένα τους να ειναι ασφαλεί.


Πηγές:https://freedomhacker.net/anonymous-italy-steals-1tb-data-best-union-ticketing-service-4146/ Πηγές:https://el.wikipedia.org/

Παραβίαση ασφαλείας του snapchat (Στραβογιάννης - Χατζής )

[επεξεργασία]

Το snapchat είναι μια πολύ γνωστή εφαρμογή εφαρμογή ανταλλαγής μηνυμάτων, φωτογραφιών ακόμα και βίντεο. Αυτό που είναι ξεχωριστό σε αυτή την εφαρμογή και ουσιαστικά την κάνει ξεχωριστεί από τις άλλες εφαρμογές αποστολής μηνυμάτων και φωτογραφιών είναι η δυνατότητα αυτοκαταστροφής των μηνυμάτων κάθε μορφής σε μικρό χρονικό διάστημα από τον παραλήπτη και μάλιστα αυτό γίνεται αυτόματα.Aυτή η εφαρμογή χρησιμοποιείται από κινητά π διαθέτουν λογισμικό ios Κ android

Fapping στο iCloud της εταιρίας Apple (Βαλάντης Κοντός, Αποστόλης Γκανάτσιος)

[επεξεργασία]

Τον Αύγουστο του 2014 μια συλλογή απο σχεδόν 500 ιδιωτικές φωτογραφίες απο διάσημα ονόματα δημοσιεύτηκαν στο ευρύ κοινό μέσω ενός site ονόματι 4chan. Οι φωτογραφίες ηταν κυρίως γυναικών σε γυμνές πόζες οι οποίες αργότερα απο άλλους χρήστες δημοσιεύτηκαν και σε άλλα site- κοινωνικά δίκτυα. Οι συγκεκριμένες εικόνες εκλάπησαν απο την εφαρμογή της Apple icloud απο χάκερς οι οποίοι μάντεψαν τα ονόματα και τους κωδικούς των χρηστών μέσω της μεθόδου phishing και ετσι μπόρεσαν και εισήλθαν στα προσωπικά και απόρρητα δεδομένα τους. Να τονιστεί οτι η μέθοδος phishing συμβαίνει οταν ο χρήστης ξεγελαστεί και δώσει τα στοιχεία του σε σάιτ που δείχνουν αυθεντικά όμως στην ουσία ειναι ψεύτικα. το χακάρισμα του icloud ονομάστηκε απο τους ειδικούς ως Fappening η λέξη αυτή βγαίνει απο το Fap ο οποίος ειναι ένας όρος για τον αυνανισμό και όλα αυτά συνδέονται με τις γυμνές αποκαλύψεις των διασήμων. Οι ειδικευόμενοι θεώρησαν οτι η δημοσιποίηση των εικόνων ηταν μια πολύ σημαντική παραβίαση της ιδιωτικής ζωής αυτών των ανθρώπων ενώ ορισμένες απο αυτές τις εικόνες αμφισβητίθηκαν και ως ψεύτικες. Ο άνθρωπος που φέρεται να είναι ύποπτος για το Fapping επιβεβαιώθηκε οτι κατοικεί στο σικάγο και το όνομα του Emilio Herrera η IP διεύθυνση του φάνηκε να εισήλθε σε ξένους λογαριασμούς 3.263 φορές μεταξύ των μηνών μαίου και αυγούστου. Επίσης 31 διάσημες οικογένειες είχαν μπεί στο στόχαστρο του και φαίνεται οτι προσπάθησε να σπάσει 1.987 λογαριασμούς στην τελική. Ολα αυτά κατετάθηκαν στην ένορκη κατάθεση η οποία εχει δημοσιευτεί και στο διαδίκτυο.

συνδεσμοι: https://en.wikipedia.org/wiki/2014_celebrity_photo_hack http://www.forbes.com/sites/thomasbrewster/2015/06/10/fappening-link-to-hundreds-of-icloud-attacks/

Ashley Madison HACKED by The Impact Team (ΒΑΣΙΛΗΣ ΣΑΚΚΑΣ - ΠΕΡΣΕΑΣ ΔΗΜ. ΤΖΗΜΙΚΑΣ)

[επεξεργασία]

Τον Ιούλιο του 2015 η σελίδα Ashle Madison που προωθούσε τις εξωσυζυγικές σχέσεις έπεσε θύμα hacking από μια ομάδα με όνομα "The Impact Team". Στην επίθεση αυτή υπήρχε μεγάλη διαρροή δεδομένων. Η The Impact Team ανακοίνωσε την επίθεση στις 15 Ιουλίου και απείλησε οτι θα εκθέσει όλα στοιχεία και πληροφορίες των πελατών, συμπεριλαμβανομένων των προφίλ με μυστικές σεξουαλικές φαντασιώσεις, πιστωτικές κάρτες, πραγματικά ονόματα, διευθύνσεις, καθώς και τα έγγραφα και τα μηνύματα ηλεκτρονικού ταχυδρομείου των εργαζομένων της σελίδας Ashley Madison αν η Avid Media Life (θυγατρική της Ashle Madison) δεν κατεβάσει τις σελίδες Ashle Madison και Established Men.

Η Ashle Madison αρνήθηκε την διαρροή δεδομένων που έγινε στις 21 Ιουλίου. Η διαρροή έγινε μέσω BitTorrent όπου η Impact Team διέρρευσε 2 torrents 10GB και 19GB συμπιεσμένων αρχείων και τα link για τα Torrent τα δημοσίευσε στο Dark Web. Μέχρι τις 18 Αυγούστου επιβεβαιώθηκαν οτι ισχύουν τουλάχιστον 60GB δεδομένων.

Στη δεύτερη διαρροή τα 13GB από τα 19GB ήταν πληροφορίες από το προσωπικό email του Biderman (CEO της Avid Media Life) με όνομα “noel.biderman.mail.7z” τα οποία δεν μπορούσαν να αποσιμπιεστούν διότι το αρχείο ήταν κατεστραμμένο. Οι hackers επίσης διέρρευσαν πληροφορίες σχετικά με το ποσό που κέρδιζε η Ashley Madison για να διαγράψει τα στοιχεία και τα προφίλ χρηστών της το οποίο ανέρχονταν στα 1.7 εκατομμύρια δολάρια το χρόνο, (δηλαδή 20 δολάρια για καθε χρήστη για να σβήσει όλα τα στοιχεία του) αν και πάλι δεν τα έσβηνε όλα τα δεδομένα.

Στη διαρροή υπήρχαν τουλάχιστον 1200 emails που τελείωναν σε .ra το οποίο ανήκει στην Σαουδική Αραβία (όπου η μοιχεία τιμωρείτε με θάνατο). Επίσης υπήρχαν τουλάχιστον 15000 emails που άνηκαν σε πρόσωπα της αμερικάνικης κυβέρνησης και του αμερικάνικου στρατού, βρέθηκαν επίσης Βρετανοί κυβερνητικοί αξιωματούχοι, διάφοροι υπάλληλοι των Ηνωμένων Εθνών και του προσωπικού του Βατικανού και 145000 απλοί Έλληνες χρήστες.

Οι hackers επισήμαναν οτι ο στόχος τους είναι να ντροπιάσουν την Ashley Madison και να δώσουν ένα μάθημα ζωής στους χρήστες θύματα.

Μια εταιρία δημιούργησε ένα search engine για τους συγγενείς των θυμάτων για να να επιβεβαιώσουν αν το email τους βρισκόταν στο DataBase της Ashley Madison και αν αυτό το email επιβεβαιωνόταν τότε η εταιρία έστελνε mails που απειλούσε τους χρήστες θύματα ότι θα διαρρεύσουν τις πληροφορίες τους αν δεν καταβάλουν ένα συγκεκριμένο ποσό.

Διαρροή προσωπικών δεδομένων μέσω windowsLiveID (ΡΑΠΤΟΤΑΣΙΟΥ ΓΕΩΡΓΙΑ,ΚΑΛΑΠΑΝΙΔΑ ΛΑΜΠΡΙΝΗ)

[επεξεργασία]

Το Windows Live ID είναι η διεύθυνση email και ο κωδικός πρόσβασης που χρησιμοποιούν οι χρήστες για να συνδεθούν σε διάφορες υπηρεσίες. Πληροφορίες απο κάθε χρήστη που είναι αποθηκευμένες στην μνήμη απο το Windows Live ID είναι απο hotmail, messenger, Outlook ή και απο το MSN. Το Windows Live Id Ομως, χρησιμοποιεί μια ψέυτικη μέθοδο για να παραπλανήσει το χρήστη και να του κλέψει προσωπικά δεδομένα.Οι χρήστες ενημερώνονται από ένα email το οποίο υποτίθεται, τους προειδοποιεί οτι οι Windows live id λογιαριασμοί τους στέλνουν ανεπιθυμητα email σε αλλους χρήστες και ότι θα πρέπει να το σταματήσουν.

Για να το καταφέρουν αυτό θα πρέπει να ακολουθήσουν κάποια βήματα σε ένα link το οποιο δίνεται μέσω email και να συμπληρώσουν κάποια από τα στοιχεία τους. Το λεγόμενο phishing email. To phishing είναι μια απάτη που προσπαθεί να παγιδεύσει τους χρήστες ώστε να κλέψει απο αυτους προσωπικά δεδομένα και πληροφορίες, όπως γίνεται και στην περίπτωση του Windows Live. Οσοι χρήστες το κάνουν αυτό εξαπαντιούνται. Στην πραγματικότητα μεταφέρονται σε ψέυτικες ιστοσελίδες και οι πληροφορίες που έχουν επιβεβαιωθεί από τους χρήστες στέλνονται σε απατεώνες. Το λεγόμενο phishing email.To phishing είναι μια απάτη που προσπαθεί να παγιδεύσει τους χρήστες ώστε να κλέψει απο αυτους προσωπικά δεδομένα και πληροφορίες, όπως γίνεται και στην περίπτωση του Windows Live. Με αυτόν τον τρόπο οι απατεώνες δεν παίρνουν τα στοιχεία σύνδεσης αλλά μπορούν να πάρουν διάφορες προσωπικές πληροφορίες,επαγγελματικά email,ονόματα, ψευδώνυμα και τη λίστα επαφών του χρήστη. Επίσης μια εφαρμογή ζητάει άδεια από τους χρήστες για να συνδέεται στο λογαριασμό αυτόματα. Ειδικοί εξέτασαν τη σελίδα Windows live και εξακρίβωσαν ότι δεν φάνηκε τίποτε παράνομο ώστε να κλαπούν στοιχεία.Γ αυτό το λόγο οι χρήστες πρέπει να είναι πολύ προσεχτικοί,να διαβάζουν καλά τα δικαιώματα πρόσβασης για να μεταφερθούν σε μια σελίδα,να μην ακολουθούν link μέσα από μηνύματα και να έχουν εγκατεστημένα προγράμματα antivirus.










Ανάλυση δεδομένων

[επεξεργασία]

Ο Claire Brownell πιστεύει οτι υπήρχαν και αρκετά chatbots που έπιασαν κορόιδο εκατομμύρια χρήστες στο να πληρώσουν για premium accounts.

Ένας αναλυτής ασφαλείας χρησιμοποιώντας το εργαλείο Hashcat password recovery και το λεξικό RockYou βρήκε οτι οι TOP 10 χειρότεροι κωδικοί που χρησιμοποιούσαν οι χρήστες του Ashley Madison είναι οι:

Password Users using the password
123456 202
password 105
12345 99
qwerty 32
12345678 31
ashley 28
baseball 27
abc123 27
696969 23
111111 21

Τα TOP 10 Emails που χρησιμοποιούσαν οι χρήστες:

Email Provider Users
Gmail.com 8,774,873
Yahoo.com 6,623,069
Hotmail.com 6,243,883
AOL.com 1,253,878
Live.com 471,354
Yahoo.com.tw 369,437
Almlabs.com 343,824
QQ.com 327,122
Outlook.com 297,853
Naver.com 282,926
[επεξεργασία]

http://scrapmaker.com/data/wordlists/dictionaries/rockyou.txt

Σύνδεσμοι
[επεξεργασία]

Forbes
WikiPedia
IBT
Wired
TheHill
Πρώτο Θέμα
Wired
GizModo
ZDNet



Data breach at Algonquin College (Παπαδημητρίου Νίκος)

[επεξεργασία]

Κάθε μέρα, περίπου 1 εκατομμύριο επικίνδυνα λογισμικά(ιοί) έρχονται στην επιφάνεια. Σύμφωνα με έρευνα ομάδων που ασχολούνται με την προστασία στο Ίντερνετ, το 2014 δημιουργήθηκαν συνολικά 317 εκατομμύρια καινούρια κακόβουλα λογισμικά. Το 90% των hacker, βασίζονται σε διάφορα bugs τα οποία υπάρχουν μέσα σε υπολογιστές από το 2002. Κάτι παρόμοιο συνέβη και στο Algonquin College στην Ottawa, όπου ένα χτύπημα στον διακομιστή του άφησε τις πληροφορίες περισσότερων από 1000 μαθητών του εκτεθειμένες. Το περίεργο βέβαια είναι πως δεν εκλάπη ούτε ένα στοιχείο από μαθητή, σύμφωνα με το κολέγιο. Τα στοιχεία ήταν προσωπικές πληροφορίες μαθητών, οι οποίοι αμέσως ειδοποιήθηκαν από το πανεπιστήμιο. Σε ένα δελτίο τύπου όπου εκδόθηκε μετά το χτύπημα, αναφερόταν πως 1.225 μαθητές οι οποίοι παρακολουθούσαν μαθήματα Bachelor σε προγράμματα Πληροφορικής και Επιστήμης της Νοσηλευτικής, είχαν επηρεαστεί από το συγκεκριμένο χτύπημα. Το πρόγραμμα της Νοσηλευτικής θα παραδιδόταν από το κολέγιο της Ottawa, ενώ το πρόγραμμα της πληροφορικής από το Carleton University. Πιο αναλυτικά, η κατανομή των φοιτητών που επηρεάστηκαν είναι: -Φοιτητές του προγράμματος της Νοσηλευτικής το 2007 και το 2008, καθώς και ένα υποσύνολο υποψηφίων ή σπουδαστών μεταξύ του 2004 και του 2008(525 άτομα). -Φοιτητές του προγράμματος της Πληροφορικής από το 2008 μέχρι το 20012(700 άτομα). Ο διακομιστής του πανεπιστημίου έκλεισε αφότου έγινε αντιληπτό το χτύπημα και αμέσως ξεκίνησε έρευνα από μία εταιρεία κυβερνο-εγκληματολογίας. Το πανεπιστήμιο Algonquin ανακοίνωσε πως θα διέθετε όλα τα έξοδα που θα προέκυπταν από το γραφείο που προσλήφθηκε για να κάνει αυτήν την έρευνα και ειδοποίησε τα τριγύρω περιφερειακά πανεπιστήμια σχετικά με αυτό το χτύπημα.

Πηγές: http://www.cbc.ca/news/canada/ottawa/algonquin-college-server-hacked-but-no-data-taken-college-says-1.3111379

      http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/

Διαρροή προσωπικών δεδομένων από την ReverbNation (Γεωργούλης Νικόλαος-Καμπάς Αλέξανδρος)

[επεξεργασία]

Η ReverbNation είναι μία online υπηρεσία που δημιουργήθηκε το 2006 στην California και βοηθά τους μουσικούς παρέχοντας τούς εργαλεία και ευκαιρίες προκείμενου να διαχειρίζονται την καριέρα και τα τραγούδια τους όπως αυτοί επιθυμούν.Όλα ξεκίνησαν τον Ιανουάριο του 2014 όταν η συγκεκριμένη υπηρεσία έπεσε θύμα επίθεσης από έναν hacker,με συνέπεια να κλαπούν πληροφορίες που αφορούσαν τους χρήστες της.Η εταιρεία ισχυρίστηκε πως δεν κλάπηκαν δεδομένα από τις πιστωτικές κάρτες των χρηστών της,αλλά διέρρευσαν προσωπικές πληροφορίες όπως email,ονοματεπώνυμα,διευθύνσεις,αριθμοί κινητών τηλεφώνων,κρυπτογραφημένοι κωδικοί πρόσβασης και ημερομηνίες γέννησης.Ο γενικός διευθυντής και συνιδρυτής της ReverbNation,Michael Doernberg,δήλωσε πως <<αν και οι κωδικοί πρόσβασης των χρηστών είναι κρυπτογραφημένοι είναι εφικτό για ένα άτομο με γνώση πάνω στους υπολογιστές να τους μαντέψει εφόσον αποτελούνται από λίγους χαρακτήρες ή είναι πολύ προφανή>>.Με την επιστολή και το email που έστειλε στους χρήστες της η ReverbNation τούς προειδοποιεί πως από αυτή την διαρροή δεδομένων κινδυνεύουν όλοι όσοι έχουν κάνει λογαριασμό online από τον Μάιο του 2014 και έπειτα,και αυτό γιατί ο hacker είχε εισχωρήσει στα αρχεία του συστήματος της εταιρείας τους τελευταίους 5 μήνες.Επιπλέον,τούς παρότρυνε να αλλάξουν τον κωδικό πρόσβασής τους όχι μόνο στο σύστημα της ReverbNation αλλά και οπουδήποτε αλλού είχαν τον ίδιο κωδικό πρόσβασης προκειμένου να αποφευχθεί παρόμοιου είδους πρόβλημα και σε άλλες υπηρεσίες που τυχόν χρησιμοποιούν.Τέλος,η εταιρεία εξηγούσε βήμα-βήμα πως να αλλάξουν οι χρήστες τον κωδικό τους και τους προέτρεπε να χρησιμοποιήσουν κάποιο πρόγραμμα ασφαλείας προσωπικών κωδικών όπως τα 1Password και LastPass.Φυσικά το λιγότερο που μπορούσε να κάνει η ReverbNation ήταν να απολογηθεί και να ζητήσει συγγνώμη από τους χρήστες της για την εν λόγω αναστάτωση,πράγμα το οποίο και έκανε με σχετική ανακοίνωση που εξέδωσε.Έκτοτε δεν δημιουργήθηκε κανένα πρόβλημα στην εν λόγω εταιρεία η οποία έχει φτάσει τους 4 εκατομμύρια χρήστες παγκοσμίως.

http://news.softpedia.com/news/reverbnation-suffers-data-breach-urges-users-to-change-passwords-491016.shtml

http://www.digitalmusicnews.com/2015/09/04/reverbnation-tells-users-their-data-was-hacked-a-year-and-a-half-ago/

http://www.scmagazine.com/2014-breach-prompts-reverbnation-to-notify-customers/article/436757/

ΥΠΟΚΛΟΠΗ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΤΗΝ GCHQ (ΧΑΣΙΩΤΗ ΜΑΡΙΑ)

[επεξεργασία]

Η GCHQ είναι μια εταιρεία που σκοπός της είναι να προστατεύουν την Αγγλία μέσα από τις τηλεπικοινωνίες δηλαδή, από τις εταιρείες που είναι υπεύθυνες για την επικοινωνία των πολιτών και μέσω διαδικτύου. Συνεργάζεται και με άλλες εταιρείες αντίστοιχης εργασίας άλλων χώρων, όπως με τη Γαλλία, την Ισπανία και τη Γερμανία, ώστε να αποφευχθούν αποτελεσματικότερα και πιο γρήγορα οι επιθέσεις. Οι κυβερνήσεις των χωρών αυτών, αντέδρασαν μαθαίνοντας για τα αρχεία που έχει η Εθνικής Ασφάλειας (NSA), μετά τις αποκαλύψεις του Snowden, διότι αποκάλυπταν την παρακολοθ8ηση των πολιτών τους σε καθημερινή βάση ακόμη και της Angela Merkel, μιλώντας για το χρονικό διάστημα που κάλυπτε από το 2008-2010 . Αμερικανοί αξιωματούχοι των μυστικών υπηρεσιών υποστήριξαν ότι οι παρακολουθήσεις πραγματοποιήθηκαν από τις μυστικές οργανώσεις των χωρών αυτών με τη βοήθεια της Αμερικής. Μια ακόμη χώρα της όποιας οι πολίτες υποκλέπτονταν, ήταν η Σουηδία, η οποία δεν αντέδρασε, γιατί το 2008 ψήφισε ένα νόμο επιτρέποντας την υπηρεσία πληροφοριών να παρακολουθεί τις επικοινωνίες ηλεκτρονικού ταχυδρομείου και τηλεφώνου χωρίς δικαστική εντολή. Η εφημερίδα Guardian, αποκάλυψε το πρόγραμμα Tempora. Το πρόγραμμα αυτό, είναι ένα ηλεκτρονικό πρόγραμμα ασφαλείας και επιτήρησης που δοκιμάστηκε το 2008 και καθιερώθηκε το 2011 και λειτουργούσε μόνο από την GCHQ. Η εταιρεία χρησιμοποιεί τις οπτικές ίνες των καλωδίων για να αποκτήσει πρόσβαση σε μεγάλες ποσότητες προσωπικών δεδομένων των χρηστών του διαδικτύου. Οι παρακολουθήσεις πραγματοποιούνται στο Ηνωμένο Βασίλειο αλλά και στο εξωτερικό με τις εταιρίες που κατέχουν τα καλώδια και ενός υποβρύχιου καλωδίου προσεγγίζει τη ξηρά όπου γνωρίζουν σχετικά με το πρόγραμμα αυτό. Ένα ακόμη πρόγραμμα ήταν και το Optic Nerve, το οποίο μάζευε φωτογραφίες από την πραγματοποίηση συνομιλιών με κάμερα μέσω Yahoo. Το πρόγραμμα αυτό αντί να αποθηκεύει συνομιλίες, αποθήκευε φωτογραφίες ανά πέντε λεπτά. Όταν ρωτήθηκε η Yahoo, αν είχε γνώση πάνω σε αυτό απάντησε αρνητικά και εξέφρασε την δυσαρέσκεια της λέγοντας ότι «νέο επίπεδο παραβίασης της ιδιωτικότητας των χρηστών της». https://www.youtube.com/watch?v=s1Zj2Tp44_w http://www.larissanet.gr/2014/02/27/ipoklopes-eikonon-apo-webcams/ http://www.theguardian.com/uk-news/2015/oct/28/snowden-surveillance-and-public-relations

  1. https://en.wikipedia.org/wiki/Office_of_Personnel_Management_data_breach
  2. https://el.wikipedia.org/wiki/Βάση_δεδομένων
  3. https://el.wikipedia.org/wiki/FBI
  4. https://en.wikipedia.org/wiki/Xi_Jinping