XZ-Utils Backdoor
Na začiatku mesiaca bol zamestnancom Microsoftu odhalený backdoor v populárnej kompresnej knižnici xz utils, ktorá je integrovaná vo všetkých známych distribúciách Linuxu. Tento backdoor tam bol pridaný priamo správcom danej knižnice, ktorý vystupoval pod nickname Jia Tan. Za týmto účtom pravdepodobne stála štátom sponzorovaná skupina, pretože v priebehu rokov 2021 – 2024 pridal viac ako 6 tisíc commitov do celkovo 7 open-source projektov. Celé toto malo pravdepodobne zvýšiť kredibilitu účtu, až kým nedošlo k prepisu správcu projektu xz utils práve na tento účet. Následne vo februári 2024 bol do utility pridaný malý backdoor, ktorý umožňoval konkrétnemu súkromnému kľúču autentizovať sa do akejkoľvek SSH inštancie. Našťastie sa podarilo náhodou backdoor odhaliť ešte pred tým, ako sa táto verzia dostala do stable Linux distribúcií. V prípade, že by ďalších pár mesiacov nebol backdoor odhalený, jednalo by sa pravdepodobne o najsofistikovanejší supply-chain útok v histórií.
Zdroj: https://www.wired.com/story/jia-tan-xz-backdoor/
OWASP oznámil únik dát
OWASP Foundation sa informovala o nesprávnej konfigurácii ich starého webového servera, čo viedlo k úniku údajov týkajúcich sa životopisov členov OWASP starých desať rokov. OWASP Foundation sa prehodnocuje svoje zásady uchovávania údajov a zavádza dodatočné bezpečnostné opatrenia, aby zabránila budúcim únikom. Podľa najnovších informácií by sa jednalo o únik dát, ktorý bol spôsobený nesprávnou konfiguráciou.
Zdroj: https://owasp.org/blog/2024/03/29/OWASP-data-breach-notification.html
Google zabránil zverejneniu viac ako 2 miliónov škodlivých aplikácií
Google v roku 2023 zabránil zverejneniu 2,28 milióna aplikácií porušujúcich zásady v obchode Google Play aj vďaka investíciám do nových a vylepšených bezpečnostných funkcií, aktualizácií zásad a pokročilých procesov strojového učenia a kontroly aplikácií. Na základe nastavených procesov bolo taktiež identifikovaných a zakázaných 333 tisíc škodlivých účtov kvôli potvrdenému malwaru alebo opakovanému porušovaniu zásad.
Zdroj: https://security.googleblog.com/2024/04/how-we-fought-bad-apps-and-bad-actors-in-2023.html
Dropbox Sign zaznamenal únik dát
Dropbox zaznamenal neoprávnený pripojenie do produkčného prostredia Dropbox Sign (pôvodne HelloSign). Útočník získal prístup k údajom týkajúcim sa všetkých užívateľov Dropbox Sign, ako sú napríklad e-maily a užívateľské mená. V prípade podskupín používateľov mal útočník prístup aj k telefónnym číslam, hashovaným heslám a určitým autentifikačným informáciám, ako sú kľúče API, tokeny OAuth a viacfaktorová autentizácia. Neexistujú dôkazy o tom, že by útočník pristupoval k obsahu účtov používateľov, ako sú ich zmluvy alebo šablóny, alebo k ich platobným údajom.
Zdroj: https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm
Problémy s post-kvantovým mechanizmom v Chrome a MS Edge
Chrome a MS Edge v najnovšej verzií zapli funkcie, ktoré implementujú kvantovo odolné mechanizmy pre výmeny kľúčov v rámci spojenia TLS 1.3. Od zapnutia tejto funkcie sa užívatelia sťažujú na problémy s pripojením na niektoré webové servery. Problém nie je
2/2
priamo v prehliadači, ale v implementácií protokolu TLS 1.3 týmito servermi, ktoré nezvládajú väčšiu veľkosť Client Hello správ, ktorá je pre kvantovo odolné mechanizmy nutná.
Zdroj: https://www.root.cz/zpravicky/postkvantova-kryptografie-v-chrome-rozbiji-spatne-implementace-tls-v-serverech