Tietoturvauutiset ja blogipostaukset

[=JP=]

Mikäli tuo pitää paikkansa, niin Samsung saattaa olla pienessä pulassa...

Hackers leak 190GB of alleged Samsung data, source code

The Lapsus$ data extortion group leaked today a huge collection of confidential data they claim to be from Samsung Electronics, the South Korean giant consumer electronics company.

www.bleepingcomputer.com

Shortly after teasing their followers, Lapsus$ published a description of the upcoming leak, saying that it contains “confidential Samsung source code” originating from a breach.

• source code for every Trusted Applet (TA) installed in Samsung’s TrustZone environment used for sensitive operations (e.g. hardware cryptography, binary encryption, access control)
• algorithms for all biometric unlock operations
• bootloader source code for all recent Samsung devices
• confidential source code from Qualcomm
• source code for Samsung’s activation servers
• full source code for technology used for authorizing and authenticating Samsung accounts, including APIs and services

Toisaalta, saattaa myös avata ovet custom ROM maailmalle nykyisissä luureissa...

 

[ztec]

Koitin katsoa, että ei olis dupe, mutta tää näyttää kans niin perinteiseltä:
Taas hyvä esimerkki, miten otetaan "huipputurvallinen salaus" ja sitten pienellä kikkailulla sabotoidaan se täysin tiedustelupalveluita varten.
Samsung Encryption Flaw - Schneier on Security
Mihin siis voi luottaa?

 

[user9999]

Nvidian tietomurrossa vuoti Nvidian ajurien allekirjoitusavaimet.

Malware now using stolen NVIDIA code signing certificates

www.bleepingcomputer.com

According to samples uploaded to the VirusTotal malware scanning service, the stolen certificates were used to sign various malware and hacking tools, such as Cobalt Strike beacons, Mimikatz, backdoors, and remote access trojans.

While both stolen NVIDIA certificates are expired, Windows will still allow a driver signed with the certificates to be loaded in the operating system.

 

[=JP=]

While both stolen NVIDIA certificates are expired, Windows will still allow a driver signed with the certificates to be loaded in the operating system.

Tämä on kyllä myöskin paljon Microsoftin moka, minkä hiton takia vanhentuneet sertifikaatit hyväksytään kyselemättä!?

 

[Agent_007]

Tämä on kyllä myöskin paljon Microsoftin moka, minkä hiton takia vanhentuneet sertifikaatit hyväksytään kyselemättä!?

Ongelmaksi tulee jo asennetut ajurit. Eli kaikkien pitäisi saada sitten päivitetyllä sertifikaatilla allekirjoitetut uudet ajurit asennettua, että tuon vanhan voi poistaa käytöstä.

Jonkun online-pakotetun lisälaitteen kanssa (esim. joku iot-nappi) toi olisi teoriassa vielä mahdollista, mutta muuten tuo on käytännössä mahdoton yhtälö ratkaista.

 

[tavallinen viikari]

Eikö Microsoft voi laittaa noihin vaarallisiin sertifikaatteihin punaista lippua tai muuta hälytysmerkkiä, että käyttäjät pystyisivät havaitsemaan vaarallisen ajurin vaikka sitä ei pakotettaiskaan poistamaan tai päivättämään?

 

[Agent_007]

Tuon varoituksen (että jonkin käytössä olevan laiteajurin sertifikaatti on poistettu käytöstä tietoturvasyistä) voisi tietenkin lisätä esim. Windows Defenderiin, mutta sitten se varoitus jäisi todella monessa koneessa näkyviin koneen loppu eliniäksi, kun markkinoilla on aika paljon laiteajureita, joita ei ole päivitetty vuosikausiin (eikä todennäköisesti enää koskaan päivitetä). Noita laiteajureihin ja ajureiden asennuksiin liittyviä tietoturvaongelmia on Windows-puolella niin paljon, että niiden korjaaminen ei ainakaan omasta mielestäni onnistu mitenkään tässä nykyisessä Windows-ekosysteemissä.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

(tässä siis yksi esimerkki viime vuodelta)

 

[leripe]

Tähän Wiindows Defenderin tuunaukseen liittyvään artikkeliin tulikin juuri törmättyä:

Windows Defender is enough, if you harden it

This article is not intended to convince you to abandon your current antivirus solutions. In this post I would like to share my observations and ways to improve the effectiveness of Defender. You don’

0ut3r.space

Nopeesti luettuna tossa artikkelissa kerrottiin miten saat home editioniin gpo:lla asiat, jotka about kaikki saa ihan asetuksista päälle?

 

[ztec]

Onkohan naapurin kaverit asialla, Euroopassa pimeni satelliitti-yhteydet:

SATCOM terminals under attack in Europe: a plausible analysis.

------ Update 03/12/2022 Reuters has published new information on this incident, which initially matches the proposed scenario. You can find...

www.reversemode.com

Samalla hyvä muistuts siitä, että kaikki älylaitteet on hakkeroitavissa, vaikka sitä ei heti uskoisi.

Edlt linkki myös satelliitti yhteydet ja netti keskusteluun.

 

[=JP=]

Windows käyttäjät, päivitelkääs uusin "tiistai päivityspaketti", siellä on pari kriittistäkin aukkoa, joista ainakin yhtä käytetään aktiivisesti hyödyksi...

InfoSec Handlers Diary Blog - SANS Internet Storm Center

Microsoft March 2022 Patch Tuesday, Author: Renato Marinho

isc.sans.edu

 

[=JP=]

Liekkö miten käytetty appi täällä Suomessa (Truecaller, löytyy sekä Google Play että Apple Storesta), mutta helppo tapa saada omat yhteystiedot jakoon nettiin ja saattaa olla yksi syy, miksi tulee niitä mukavia spämmipuheluita "Microsoftin tuelta" sun muilta...

How billion-dollar caller ID app TrueCaller knows so much about you

A weeks-long investigation by The Caravan shows the Swedish company has used India’s lack of a comprehensive legal framework surrounding data protection to advance its business.

restofworld.org

if you are listed in any of the phonebooks of a registered user of Truecaller, your privacy has already been compromised without your consent, and your phone number — possibly with your professional identity — is ready to be viewed by the whole world.

Truecaller’s database has been built by tapping four main sources: downloads of the app; white and yellow pages of foreign countries not restricted by privacy concerns; partnerships with social media platforms that publicly display numbers; and free authentication of application-programming interfaces (APIs) and software development kits (SDKs). According to the former employee interviewed by The Caravan, the number of users who have given consent for their phone numbers to be identified and added to the Truecaller database is negligible compared to those who have been added without their consent.

“Apart from tracking your calls, their duration, and your most and least favorite contacts, the Truecaller software can build your detailed financial profile, as it has access to your SMS [messages],” the former employee said. They confirmed that the company’s algorithm can read the content of text messages. “With a special feature called ‘SMS categorizer,’ the Truecaller software is able to recognize personal, high-priority [bank OTPs and transactions], and also spam messages of its registered user.”

Eli jos kukaan, jonka puhelimessa on sinun numerosi kontakteissa käyttää kyseistä softaa, niin numerosi on jo jaossa ties missä.

 

[user9999]

Liekkö miten käytetty appi täällä Suomessa (Truecaller, löytyy sekä Google Play että Apple Storesta), mutta helppo tapa saada omat yhteystiedot jakoon nettiin ja saattaa olla yksi syy, miksi tulee niitä mukavia spämmipuheluita "Microsoftin tuelta" sun muilta...

How billion-dollar caller ID app TrueCaller knows so much about you

A weeks-long investigation by The Caravan shows the Swedish company has used India’s lack of a comprehensive legal framework surrounding data protection to advance its business.

restofworld.org

if you are listed in any of the phonebooks of a registered user of Truecaller, your privacy has already been compromised without your consent, and your phone number — possibly with your professional identity — is ready to be viewed by the whole world.

Truecaller’s database has been built by tapping four main sources: downloads of the app; white and yellow pages of foreign countries not restricted by privacy concerns; partnerships with social media platforms that publicly display numbers; and free authentication of application-programming interfaces (APIs) and software development kits (SDKs). According to the former employee interviewed by The Caravan, the number of users who have given consent for their phone numbers to be identified and added to the Truecaller database is negligible compared to those who have been added without their consent.

Eli jos kukaan, jonka puhelimessa on sinun numerosi kontakteissa käyttää kyseistä softaa, niin numerosi on jo jaossa ties missä.

Applen Apps Store Top-listalla (Suomi) sijalla 155 tuo appi.

 

[Hans Niskatuki]

Mikäli tuo pitää paikkansa, niin Samsung saattaa olla pienessä pulassa...

Hackers leak 190GB of alleged Samsung data, source code

The Lapsus$ data extortion group leaked today a huge collection of confidential data they claim to be from Samsung Electronics, the South Korean giant consumer electronics company.

www.bleepingcomputer.com

Tuohon uutiseen liittyen:

Samsung confirms hackers stole Galaxy devices source code

Samsung Electronics confirmed on Monday that its network was breached and the hackers stole confidential information, including source code present in Galaxy smartphones.

www.bleepingcomputer.com

Samsung Electronics confirmed on Monday that its network was breached and the hackers stole confidential information, including source code present in Galaxy smartphones.

The company representative did not say if the intruders made any demands before leaking the proprietary information, as it happened in the case of the Nvidia leak.

Lapsus$ said that they are delaying leaking the rest of the Nvidia information because they are negotiating with a buyer.

The cache leaked from Samsung is much larger and allegedly includes details about the company’s Trusted Applet in Samsung’s TrustZone environment responsible for sensitive tasks such as hardware cryptography, binary encryption, and access control.

The hackers also claim that the dump includes source code for Knox, Samsung’s proprietary security and management framework present on most of its devices.

Samsung Says Hackers Breached Company Data, Galaxy Source Code

Samsung Electronics Co. suffered a cybersecurity breach that exposed internal company data, including source code for the operation of its Galaxy smartphones, the company said on Monday.

www.bloomberg.com

“There was a security breach relating to certain internal company data,” Samsung said. “According to our initial analysis, the breach involves some source code relating to the operation of Galaxy devices, but does not include the personal information of our consumers or employees. Currently, we do not anticipate any impact to our business or customers. We have implemented measures to prevent further such incidents and will continue to serve our customers without disruption.”

 

[=JP=]

Tuohon uutiseen liittyen:

Samsung confirms hackers stole Galaxy devices source code

Samsung Electronics confirmed on Monday that its network was breached and the hackers stole confidential information, including source code present in Galaxy smartphones.

www.bleepingcomputer.com

Samsung Says Hackers Breached Company Data, Galaxy Source Code

Samsung Electronics Co. suffered a cybersecurity breach that exposed internal company data, including source code for the operation of its Galaxy smartphones, the company said on Monday.

www.bloomberg.com

Juu, tästä oli jo kirjoitettu tuolla uutisosastollakin, niin en jaksanut tänne kirjoitella tuosta enempää...

Lapsus$ iski myös Samsungin palvelimille ja varasti liki 190 Gt dataa

Kaotik kirjoitti uutisen/artikkelin: Lapsus$:n tietomurto NVIDIAlle on kirvoittanut viime päivinä useampiakin otsikoita. Hakkeriryhmä ei ole kuitenkaan pyöritellyt peukaloitaan vuotaessaan tietoa, sillä nyt ryhmän on varmistettu murtautuneen myös Samsungin tiedostoihin. Nettiin putkahti pian...

bbs.io-tech.fi

 

[=JP=]

APCn UPS laitteissa kivoja reikiä löydetty, etenkin jos on aktivoitu pilvihallinta. Ongelma on aikas suuri, koska noita laitteita käytetään todella laajasti maailmalla...

APC UPS zero-day bugs can remotely burn out devices, disable power

A set of three critical zero-day vulnerabilities now tracked as TLStorm could let hackers take control of uninterruptible power supply (UPS) devices from APC, a subsidiary of Schneider Electric.

www.bleepingcomputer.com

Two of the vulnerabilities, CVE-2022-22805 and CVE-2022-22806 are in the implementation of the TLS (Transport Layer Security) protocol that connects the Smart-UPS devices with the “SmartConnect” feature to the Schneider Electric management cloud.
The third one, identified as CVE-2022-0715, relates to the firmware of “almost all APC Smart-UPS devices,” which is not cryptographically signed and its authenticity cannot be verified when installed on the system.
While the firmware is encrypted (symmetric), it lacks a cryptographic signature, allowing threat actors to create a malicious version of it and deliver it as an update to target UPS devices to achieve remote code execution (RCE).

 

[escalibur]

Varoitus liittyen erillisen virustorjunnan lataamisesta eri paikoista:

Malwarea Bitdefenderin nimissä:

Bitdefenderin LinkedIn-postaus

CERT-UA

Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.

cert-gov-ua.translate.goog

Kannattaa siis tupla-varmistaa mistä ohjelmistoa ladataan. Oma suositukseni on että vendorin omat sivut ovat se ainut paikka johon kannattaa luottaa.

Joidenkin lähteiden mukaan myös teboil[.]fi triggeröi Colbat Strike Backdoor-malwarea.

 

[Infy]

Lähtökohtaisesti kaikki internetistä ladatut tiedostot kannattaa skannata VirusTotalilla VirusTotal

VirusTotal on Googlen ylläpitämä palvelu, mikä skannaa ladatun tiedoston 70:lla eri virus skannerilla.

Tietysti mitään arkaluontoisia, esim henkilötietoja sisältäviä tietoja, tuonne ei pidä ladata. Vaan esimerkiksi kaikki ohjelmat mitä meinaa omalle koneelle asentaa.

Sen sijaan että lataa tiedoston tuonne, voi itse muodostaa tiedostosta SHA2-tiivisteen ja tarkistaa sen tuolta sivun yläosan hakukentästä.

 

[escalibur]

TP-Linkillä päätettiin että liikenteen kierrättäminen ulkopuolisen palvelun kautta on oletettavasti "OK".

Reddit - The heart of the internet

www.reddit.com

TP-Link Deco X68 Review: A good mesh router ruined by bizarre software

TP-Link makes decent home networking gear, and its Deco X68 is a good mesh router with great Wi-Fi performance, but there are some issues.

www.xda-developers.com

Avira - Wikipedia

en.wikipedia.org

 

[A Lake Elk]

Intelin ja ARM prossuissa aukko:

Intel Alder Lake, ARM CPUs Affected by New Spectre Vulnerability

Branch History Injection

www.tomshardware.com

VUSec security research group and Intel on Tuesday disclosed a yet another Spectre-class speculative execution vulnerability called branch history injection (BHI). The new exploit affects all of Intel processors released in the recent years, including the latest Alder Lake CPUs, and select Arm cores. By contrast, AMD's chips are believed to be unaffected.

BHI is a proof-of-concept attack that affects CPUs already vulnerable to Spectre V2 exploits, but with all kinds of mitigations already in place. The new exploit bypasses Intel's eIBRS and Arm's CSV2 mitigations, reports Phoronix. BHI re-enables cross-privilege Spectre-v2 exploits, allows kernel-to-kernel (so-called intra-mode BTI) exploits, and allows perpetrators to inject predictor entries into the global branch prediction history to make kernel leak data, reports VUSec. As a result, arbitrary kernel memory on select CPUs can be leaked and potentially reveal confidential information, including passwords. An example of how such a leak can happen was published here.

 

[Infy]

AMD:n Spectre V2 haavoittuvuuden korjaus on todettu riittämättömäksi. Linuxin kernelin uudessa versiossa 5.17 korjaus vaihtuu, AMD-spesifisestä LFENCE/JMP-toteutuksesta, geneeriseen Retpoline-toteutukseen, jota Intelin prosessoreilla on käytetty jo aikaisemmin. Tällä on pieni suorituskykyvaikutus jossain tilanteissa. Sama muutos tulee Windowsiin jollain aikataululla.

The Performance Impact Of AMD Changing Their Retpoline Method For Spectre V2

 

[leripe]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

 

[Desgorr]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

Voi kyllä olla, että Venäjällä ja Valkovenäjällä alkavat hieman paremmin tutkimaan mitä koodia projekteissaan käyttävät. Tässä tuo tärkein uutisesta:
"Interestingly, the malicious code, committed as early as March 7th by the dev, would read the system's external IP address and only delete data by overwriting files for users based in Russia and Belarus."

 

[escalibur]

Siellä "koputellaan" Asuksen purkkejakin: ASUS warns of Cyclops Blink malware attacks targeting routers

 

[Desgorr]

Siellä "koputellaan" Asuksen purkkejakin: ASUS warns of Cyclops Blink malware attacks targeting routers

Eli nähtävästi käyttää Asuksen etähallintaa (Remote management) hyödyksi tuossa hyökkäyksessä? Onneksi tuon pitäisi olla oletuksena pois päältä Asuksen purkeissa. Päällehän tuota ei missään nimessä kannata laittaa.

 

[user9999]

Tuosta Asus haavoittuvuudesta tuli NCSC-FI tiedote

NCSC-FI VULNERABILITIES SUMMARY 2022-03-17

Tämä on Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen
päivittäinen haavoittuvuuskooste.

CRITICAL VULNERABILITIES
ASUS Product Security Advisory for Cyclops Blink

ASUS Product Security Advisory｜ASUS Global

www.asus.com

Classification: Critical, Solution: Mitigation, Exploit: Wild
ASUS is investigating and working for a remediation for Cyclops Blink
and will continue to post software update.

 

[Kautium]

Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

BIG sabotage: Famous npm package deletes files to protest Ukraine war

This week, the developer of the popular npm package 'node-ipc' released sabotaged versions of the library in protest of the ongoing Russo-Ukrainian War. The 'node-ipc' package, which gets downloaded over a million times weekly, began deleting files on developer's machines, in addition to...

www.bleepingcomputer.com

Tivin uutinen aiheesta:

Koodaaja teki koodistaan pommin – ”rauhan viesti” tuo venäläisille täydellisen tuhon

Suositun koodipaketin kehittäjä sabotoi itse oman tuotteensa.

www.tivi.fi

 

[Special Once]

Vähän kaksipiippuinen juttu tuo. Toisaalta Venäjällä ja Valko-Venäjällä on semmoisiakin jotka oikeasti ovat sotaa vastaan ja tuo koodi varmasti koskettaa heitäkin. Toisaalta se on ihan oma syy jos varmuuskopiot eivät ole kunnossa.

 

[=JP=]

Vaikka mitään varmistusta ei vielä ole, mutta huhuja (ja screenshot joka poistettiin) liikkuu, että Lapsus$ olis korkannu jossain muodossa Microsoftin, eli päässyt käsiksi jonkun kehittäjän Azuren dashboardiin ja siellä näkyy kaikenlaista mielenkiintoista. Pistän kuvan spoilereihin, yllättäen reilusti pakattu, ettei kovin selkeästi näe onko kenties feikki, mutta odotellaan, eiköhän asiasta tule isompi juttu, jos totta...

Spoileri: Kuva

 

[Desgorr]

Aiheeseen kovasti liittyy niin täytyy vaihteesta mainostaa paria erinomaista tietoturvaan liittyvää Suomalaista podcastia:

Home

WithSecure™ on kotimainen ja strateginen kumppani yrityksille, jotka haluavat liiketoimintalähtöistä ja tuloksellista tietoturvaa.

www.f-secure.com

https://turvakarajat.fi/

Herrasmieshakkereiden podcast ilmestyy hieman harvemmin, mutta jaksot onkin sitten täyttä rautaa. Yleensä ovat hieman eri aiheista, joissa on mukana haastattelussa asiaa tunteva amattilainen. Uutisia käydään myös jonkun verran läpi.
Turvakäräjiltä taas tulee joka viikko maanantaisin uusi podcasti, jossa käydään mm. viikon isoimmat tietoturvauutiset analysoiden läpi.

 

[user9999]

Vaikka mitään varmistusta ei vielä ole, mutta huhuja (ja screenshot joka poistettiin) liikkuu, että Lapsus$ olis korkannu jossain muodossa Microsoftin, eli päässyt käsiksi jonkun kehittäjän Azuren dashboardiin ja siellä näkyy kaikenlaista mielenkiintoista. Pistän kuvan spoilereihin, yllättäen reilusti pakattu, ettei kovin selkeästi näe onko kenties feikki, mutta odotellaan, eiköhän asiasta tule isompi juttu, jos totta...

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Microsoft may have been hit by the same hackers who went after NVIDIA

Microsoft is looking into claims that Lapsus$ has gained access to the company's internal systems.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

 

[mikajh]

7,500+ MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours?

Ei mitään uutta auringon alla Trickbot is using MikroTik routers to ply its trade. Now we know why

Jos olet asenna-ja-unohda -hakuinen käyttäjä, niin huono juttu - oli palomuurisi mikä hyvänsä, paitsi 100% ISP:n hallinnoima, jonne sinulla ei ole asiaa, jos ei kyvyt eikä mielenkiinto riitä

 

[Agent_007]

LAPSUS$ on nähtävästi iskenyt myös Oktaan (kuvankaappauksien perusteella luvaton pääsy olisi ollut mahdollista jo ainakin parin kuukauden ajan)

https://www.usnews.com/news/technology/articles/2022-03-22/authentication-services-firm-okta-says-it-is-investigating-report-of-breach

 

[aleveksi]

Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Messages, Dialer apps sent text, call info to Google

Hashed text, phone call logs collected without opt-out nor specific notice

www.theregister.com

Taitaa olla nuo androidin tiedonkeruu toggle switchit on vaan hämäystä, tuskin edes koodattu tekemään mitään

 

[user9999]

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Microsoft may have been hit by the same hackers who went after NVIDIA

Microsoft is looking into claims that Lapsus$ has gained access to the company's internal systems.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

Mahdollisesti saaneet paljon dataa.
Monday night, the hacking group posted a torrent for a 9 GB 7zip archive containing the source code of over 250 projects that they say belong to Microsoft.
When posting the torrent, Lapsus$ said it contained 90% of the source code for Bing and approximately 45% of the code for Bing Maps and Cortana.

Lapsus$ hackers leak 37GB of Microsoft's alleged source code

The Lapsus$ hacking group claims to have leaked the source code for Bing, Cortana, and other projects stolen from Microsoft's internal Azure DevOps server.

www.bleepingcomputer.com

Hakkeriryhmä iski Microsoftiin – paljastivat 37 gigatavua palveluiden lähdekoodeja

Tunnettu hakkeriryhmä Lapsus$ väittää murtautuneensa Microsoftin palvelimille. Saaliiksi saatiin peräti 37 gigatavua koodia, Bleeping Computer -sivusto

mobiili.fi

 

[aleveksi]

LAPSUS$ on nähtävästi iskenyt myös Oktaan (kuvankaappauksien perusteella luvaton pääsy olisi ollut mahdollista jo ainakin parin kuukauden ajan)

https://www.usnews.com/news/technology/articles/2022-03-22/authentication-services-firm-okta-says-it-is-investigating-report-of-breach

Jotain uutisia löytynee.

Microsoft investigating claims of hacked source code repositories

Microsoft says they are investigating claims that the Lapsus$ data extortion hacking group breached their internal Azure DevOps source code repositories and stolen data.

www.bleepingcomputer.com

Lapsus group claims to have breached several Microsoft DevOps accounts

Microsoft's DevOps accounts have allegedly been breached by the same hacker group responsible for hacking Samsung, and threatening to dump Vodafone proprietary data earlier this year.

www.neowin.net

Microsoft may have been hit by the same hackers who went after NVIDIA

Microsoft is looking into claims that Lapsus$ has gained access to the company's internal systems.

www.windowscentral.com

Microsoft Investigating Claim of Breach by Extortion Gang

The LAPSUS$ group has previously compromised Nvidia and Samsung. Over the weekend the group published a screenshot that appeared to show access to internal Microsoft systems.

www.vice.com

Mahdollisesti saaneet paljon dataa.
Monday night, the hacking group posted a torrent for a 9 GB 7zip archive containing the source code of over 250 projects that they say belong to Microsoft.
When posting the torrent, Lapsus$ said it contained 90% of the source code for Bing and approximately 45% of the code for Bing Maps and Cortana.

Lapsus$ hackers leak 37GB of Microsoft's alleged source code

The Lapsus$ hacking group claims to have leaked the source code for Bing, Cortana, and other projects stolen from Microsoft's internal Azure DevOps server.

www.bleepingcomputer.com

Hakkeriryhmä iski Microsoftiin – paljastivat 37 gigatavua palveluiden lähdekoodeja

Tunnettu hakkeriryhmä Lapsus$ väittää murtautuneensa Microsoftin palvelimille. Saaliiksi saatiin peräti 37 gigatavua koodia, Bleeping Computer -sivusto

mobiili.fi

Twitter @LawrenceAbrams
"Lapsus$ is now claiming to have breached Okta. They state it wasn't for Okta's databases but to get access to its customers.
If true, this is a big mess. Could also explain how they have breached so many large enterprises."

Ilmeisesti oktaan on päästy ja se on mahdollistanut kaikki nämä tietomurrot

 

[user9999]

Twitter @LawrenceAbrams
"Lapsus$ is now claiming to have breached Okta. They state it wasn't for Okta's databases but to get access to its customers.
If true, this is a big mess. Could also explain how they have breached so many large enterprises."

Ilmeisesti oktaan on päästy ja se on mahdollistanut kaikki nämä tietomurrot

Microsoftin mahdollinen korkkaus on outo koska Microsoft on Oktan kilpailija. Luulisi, että Microsoft käyttää omia ratkaisuja eikä Oktaa.

2025 Gartner® Magic Quadrant™ for Access Management | Okta

Gartner recognized Okta as a leader in the Magic Quadrant for Access Management for the 9th year.

www.okta.com

 

[jarhu]

Kuulostaa tosiaan epäilyttävältä, että Microsoft olisi saatu korkattua Oktan kautta. Se ei kyllä myöskään sulje pois sitä, että muihin palveluihin olisi voitu päästä Oktan kautta. Microsoftiin on voitu saada tunnukset insiderilta tai ostettu access brokerilta.

 

[aleveksi]

Microsoftin mahdollinen korkkaus on outo koska Microsoft on Oktan kilpailija. Luulisi, että Microsoft käyttää omia ratkaisuja eikä Oktaa.

2025 Gartner® Magic Quadrant™ for Access Management | Okta

Gartner recognized Okta as a leader in the Magic Quadrant for Access Management for the 9th year.

www.okta.com

Kuulostaa tosiaan epäilyttävältä, että Microsoft olisi saatu korkattua Oktan kautta. Se ei kyllä myöskään sulje pois sitä, että muihin palveluihin olisi voitu päästä Oktan kautta. Microsoftiin on voitu saada tunnukset insiderilta tai ostettu access brokerilta.

Oktahan tukee myös microsoftia: Why customers choose Okta for Microsoft technologies

 

[jarhu]

Oktahan tukee myös microsoftia: Why customers choose Okta for Microsoft technologies

Totta kai, mutta se ei tarkoita, että Microsoft käyttäisi itse kolmannen osapuolen ratkaisua omansa sijaan.

Oktalta tullut ulostulo: "The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers. " Updated Okta Statement on LAPSUS$
Ilmeisesti siis jonkun kolmannen osapuolen palveluntuottajan työntekijän työkoneelle on päästy käsiksi ja sieltä ladattu tietoja, jotka koostuu lähinnä jira-tiketeistä ja niihin liittyvistä käyttäjätiedoista.

 

[aleveksi]

Oktalta tullut ulostulo: "The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers. " Updated Okta Statement on LAPSUS$
Ilmeisesti siis jonkun kolmannen osapuolen palveluntuottajan työntekijän työkoneelle on päästy käsiksi ja sieltä ladattu tietoja, jotka koostuu lähinnä jira-tiketeistä ja niihin liittyvistä käyttäjätiedoista.

"The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data - for example, Jira tickets and lists of users - that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords."

Lista käyttäjistä sekä passun ja kaksi vaiheisen tunnistautumisen resetointi. Kai tuolta listalta käyttäjiä löytynyt millä päästy kirjautumaan ja lataamaan firmojen dataa

 

[jarhu]

"The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data - for example, Jira tickets and lists of users - that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords."

Lista käyttäjistä sekä passun ja kaksi vaiheisen tunnistautumisen resetointi. Kai tuolta listalta käyttäjiä löytynyt millä päästy kirjautumaan ja lataamaan firmojen dataa

Siltä se kuulostaa, että tämän toistaiseksi vielä tuntemattoman palveluntarjoajan työntekijän tunnuksien avulla on voitu päästä resetoimaan tämän palveluntarjoajan asiakasyritysten käyttäjien tunnuksia. Nyt en tunne Oktan toimintaa riittävästi, että voisi sanoa mitään tuohon miten Oktan mfa ja password reset toimii eli onko mahdollisuutta kaapata tiliä. Mikäli nuo Support Engineerit pääsee vaikkapa vaihtamaan puhelinnumeron, niin siinähän on selkeä mahdollisuus.

 

[user9999]

Microsoft on vahvistanut tietomurron.
Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

Microsoft confirms they were hacked by Lapsus$ extortion group

Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

www.bleepingcomputer.com

 

[escalibur]

Microsoft on vahvistanut tietomurron.
Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

Microsoft confirms they were hacked by Lapsus$ extortion group

Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.

www.bleepingcomputer.com

Tässä on vielä virallinen blogipostaus aiheesta: DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog

Multifactor authentication (MFA) is one of the primary lines of defense against DEV-0537.

Jälleen yksi muistutus MFA:n tärkeydestä.

 

[escalibur]

Päivän tietoturvauutinen:

HP:n sadat eri tulostimet ovat alttiaite RCE-hyökkäyksille. Ratkaisuna on firmispäivitys (jos laite on firmispäivitysten tuen piirissä):

Certain HP Print products and Digital Sending products may be vulnerable to potential remote code execution and buffer overflow with use of Link-Local Multicast Name Resolution or LLMNR.

Certain HP Print Products, Digital Sending Products - Potential remote code execution and buffer overflow | HP® Customer Support

Certain HP Print products and Digital Sending products may be vulnerable to potential remote code execution and buffer overflow with use of Link-Local Multicast Name Resolution or LLMNR.

support.hp.com

Ottaen huomioon millaista aikaa eletään parhaiten, on melko todennäköistä että koputtelijoita tulee riittämään.

 

[Infy]

Nyt Okta myöntää, että kyllä asiakkaiden tietoihin on päästy käsiksi.

Identity management as-a-service platform Okta now admits the Lapsus$ extortion gang have in fact have managed to see its customers' data.

Okta now says: Lapsus$ may have accessed customer info

Plus: Microsoft reveals gang pulled off limited source code heist after single account compromised

www.theregister.com

 

[user9999]

Lapsus$ juttuun liittyen niin nuoria henkilöitä pidätetty.

Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal

Police say they've arrested seven teenagers as part of their investigation into a hacking group.

www.bbc.com

Teen Suspected by Cyber Researchers of Being Lapsus$ Mastermind

Cybersecurity researchers investigating a string of hacks against technology companies, including Microsoft Corp. and Nvidia Corp., have traced the attacks to a 16-year-old living at his mother’s house near Oxford, England.

www.bloomberg.com

 

[JiiPee]

Lapsus$ juttuun liittyen niin nuoria henkilöitä pidätetty.

Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal

Police say they've arrested seven teenagers as part of their investigation into a hacking group.

www.bbc.com

Teen Suspected by Cyber Researchers of Being Lapsus$ Mastermind

Cybersecurity researchers investigating a string of hacks against technology companies, including Microsoft Corp. and Nvidia Corp., have traced the attacks to a 16-year-old living at his mother’s house near Oxford, England.

www.bloomberg.com

Monestihan nää on junnuja jotka vetää kaasu pohjassa godmode päällä kuvitellen ettei mitään voi tapahtua.

 

[Agent_007]

Monestihan nää on junnuja jotka vetää kaasu pohjassa godmode päällä kuvitellen ettei mitään voi tapahtua.

Alaikäisellä taitaa olla tässä tapauksessa se etu, ettei häntä voida luovuttaa Jenkkeihin oikeudenkäyntiä varten. Lisäksi jos tuo uutisjutussa mainittu "special educational school" viittaa autismin kirjoon niin sillä voi Briteissä saada lyhennystä tuomioon.

 

[Agent_007]

Nyt Okta myöntää, että kyllä asiakkaiden tietoihin on päästy käsiksi.

Identity management as-a-service platform Okta now admits the Lapsus$ extortion gang have in fact have managed to see its customers' data.

Okta now says: Lapsus$ may have accessed customer info

Plus: Microsoft reveals gang pulled off limited source code heist after single account compromised

www.theregister.com

Ja nyt Okta on julkaissut tarkempia tietoja, eli yritys oli jo tammikuussa tietoinen mahdollisesta hyökkäyksestä yhteistyökumppani Sitel:in järjestelmään. Asiaa kuitenkin tutkittiin monta viikkoa , eikä asiakkaille tiedotettu mitään tänä aikana. Vasta tuo kuvankaappaus sai Oktaan vähän liikettä

Okta: "We made a mistake" delaying the Lapsus$ hack disclosure

Okta has admitted that it made a mistake delaying the disclosure of hack from the Lapsus$ data extortion group that took place in January. Additionally, the company has provided a detailed timeline of the incident and its investigation activities.

www.bleepingcomputer.com

 

[=JP=]

Chrome käyttäjät (ja Chrome engine käyttävien selaimien), päivittäkääs selaimet, sen verta paha 0-päivä reikä löytynyt...

Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability

Google has rolled out an urgent out-of-band update to the Chrome browser for millions of Windows, macOS and Linux users to patch a zero-day flaw.

thehackernews.com

Google Chrome users are highly recommended to update to the latest version 99.0.4844.84 for Windows, Mac, and Linux to mitigate any potential threats. Users of Chromium-based browsers such as Microsoft Edge, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.