Știri
Știri din categoria Securitate cibernetică
Comisia Europeană a confirmat o breșă care a afectat site-ul UE și a dus la scurgeri de date. Instituția a anunțat că, pe 24 martie, a constatat compromiterea unui cont Amazon Web Services (AWS) folosit în cadrul Comisiei, incident care a avut impact asupra infrastructurii asociate site-ului Uniunii Europene.
Publicația notează că, potrivit BleepingComputer, gruparea de criminalitate cibernetică ShinyHunters a actualizat informațiile publicate pe darknet și susține că a obținut date sensibile din mediile Comisiei Europene. Printre acestea ar fi servere de e-mail, baze de date, documente confidențiale și contracte, cu un volum total de peste 350 GB.
Pentru a-și susține afirmațiile, ShinyHunters ar fi făcut public un eșantion de peste 90 GB de date. În paralel, Comisia Europeană a transmis că echipele de securitate au intervenit rapid după detectarea atacului și au reușit să oprească activitatea atacatorilor fără a afecta funcționarea normală a site-ului UE.
Conform reacției oficiale citate, o evaluare preliminară indică faptul că datele publicate de ShinyHunters provin într-adevăr din sistemele asociate site-ului UE, iar analiza privind amploarea și consecințele incidentului este în desfășurare.
Incidentul vine după un alt eveniment de securitate recent, menționat de IT之家: în urmă cu aproximativ două luni, infrastructura platformei de administrare a dispozitivelor mobile (MDM, soluții folosite pentru gestionarea centralizată a telefoanelor și tabletelor de serviciu) ar fi fost atacată, existând riscul ca nume și numere de telefon ale unor angajați să fi fost expuse.
Recomandate
O vulnerabilitate „zero-day” din echipamente Huawei a scos din funcțiune rețeaua operatorului de stat din Luxemburg timp de circa trei ore , un incident care ridică semne de întrebare despre cât de expuși sunt operatorii care folosesc aceeași infrastructură și despre lipsa de transparență în raportarea breșelor, potrivit WinFuture . În urma investigațiilor de după întreruperea din 2025, operatorul de stat POST (Post Luxembourg) a concluzionat că atacatori au exploatat o problemă de securitate „nedocumentată” din hardware de rețea Huawei, pentru a declanșa căderea rețelelor fixe și a celor mobile 4G și 5G. Ce s-a întâmplat tehnic și de ce a căzut rețeaua Publicația germană relatează, citând informații apărute în The Record, că atacatorii ar fi introdus în rețeaua POST date special pregătite, care au declanșat comportamentul vulnerabil în anumite sisteme de tip router enterprise (echipamente de rutare folosite în infrastructuri mari). Efectul ar fi fost trimiterea unor componente ale infrastructurii într-un „restart-loop” (reporniri repetate), ceea ce a dus la indisponibilitatea unor părți importante din rețeaua mobilă. Șeful de comunicare al Post Luxembourg a confirmat că incidentul a fost cauzat de exploatarea unei „comportări nepublice, nedocumentate” a routerelor și că, la momentul respectiv, nu exista niciun patch (actualizare de securitate) disponibil — ceea ce încadrează cazul ca atac de tip „zero-day” (exploatarea unei vulnerabilități necunoscute public și fără remediere). Implicația pentru operatori: risc sistemic și vizibilitate redusă asupra breșelor Miza, dincolo de incidentul punctual din Luxemburg, este că „numeroși operatori” la nivel global ar putea fi vulnerabili la întreruperi similare dacă folosesc hardware Huawei afectat de aceeași problemă, notează WinFuture. În plus, rămân neclare două aspecte esențiale pentru industrie: Huawei nu ar fi oferit până acum o poziție publică pe acest subiect și nu a publicat detalii despre problema care a stat la baza incidentului; nu este cunoscut dacă vulnerabilitatea a fost între timp remediată. Totuși, conform materialului, nu sunt cunoscute alte cazuri în care aceeași breșă să fi fost exploatată. Context european: raportarea către parteneri vs. obligația furnizorului Autoritățile din Luxemburg și-ar fi informat ulterior partenerii din Europa și din alte țări despre cauzele probabile ale întreruperii totale din iulie 2025, însă, în practică, informarea completă despre problemele din echipamente rămâne la latitudinea furnizorului, subliniază publicația. WinFuture mai arată că Huawei ar furniza în ultimii ani mai rar notificări standardizate la nivel internațional despre vulnerabilități (CVE — identificatori publici folosiți pentru a urmări și gestiona breșele), ceea ce complică evaluarea riscului și reacția coordonată a operatorilor. În Germania, tehnologia Huawei este folosită pe scară largă, inclusiv de Deutsche Telekom și Telefonica/O2, iar unele companii au început să reducă utilizarea echipamentelor Huawei, în special în zone considerate critice ale infrastructurii, pe fondul preocupărilor legate de securitate. [...]
Microsoft avertizează că o campanie țintită folosește resetarea parolei ca să preia conturi , iar riscul operațional pentru companii este că atacatorii pot scoate rapid date din Microsoft 365 și pot ajunge în medii de producție din Azure, potrivit TechRadar . Gruparea numită Storm-2949 abuzează fluxul de „ Self‑Service Password Reset” (SSPR) din ecosistemul Microsoft, susține un raport al Microsoft Defender Security Research Team. În mod normal, când un angajat apasă „Forgot my password”, sistemul trimite o solicitare de autentificare multifactor (MFA) pe un dispozitiv secundar înregistrat; după aprobare, utilizatorul își poate seta o parolă nouă. În atacurile descrise, actorii identifică ținta, obțin numărul de telefon și adresa de e-mail folosită la autentificare, inițiază resetarea parolei și, în paralel, sună victima. Se prezintă drept tehnicieni IT și o conving să aprobe solicitarea MFA, ceea ce le permite să seteze o parolă nouă, să scoată utilizatorul din cont și să exfiltreze date. Microsoft Threat Intelligence caracterizează campania drept „metodică, sofisticată și multistrat”, cu ținte în aplicații Microsoft 365, servicii de găzduire de fișiere și medii de producție găzduite în Azure. „Într-un caz, Storm-2949 a folosit interfața web OneDrive pentru a descărca mii de fișiere într-o singură acțiune către propria infrastructură”, a transmis Microsoft. „Acest tipar de furt de date s-a repetat în toate conturile compromise, probabil deoarece identități diferite aveau acces la foldere și directoare partajate diferite.” Ce recomandă Microsoft pentru a reduce riscul în Azure și Microsoft 365 Recomandările vizează în principal limitarea privilegiilor și creșterea capacității de audit/monitorizare în Azure: limitarea permisiunilor Azure RBAC (control al accesului pe bază de roluri); păstrarea logurilor din Azure Key Vault timp de un an; reducerea accesului la Key Vault și restricționarea accesului public la „vault”-uri; folosirea opțiunilor de protecție a datelor în Azure Storage; monitorizarea operațiunilor de administrare Azure cu risc ridicat. Pentru organizații, mesajul practic este că resetarea parolei și aprobarea MFA pot deveni o „poartă” de intrare dacă procesele de suport IT și controalele de acces nu sunt suficient de stricte, iar logarea și monitorizarea nu permit detectarea rapidă a descărcărilor masive sau a operațiunilor sensibile. (Detalii suplimentare despre incident și indicatori tehnici apar în raportul Microsoft, dar TechRadar nu publică în material o listă completă de astfel de indicatori.) [...]
Atacul asupra sistemelor de monitorizare din benzinării arată cât de expusă rămâne infrastructura critică atunci când echipamente industriale sunt lăsate online fără parole , potrivit Biziday , care citează informații obținute de CNN de la oficiali apropiați anchetei din SUA. Ținta au fost sistemele automate de măsurare a rezervoarelor (ATG – echipamente care monitorizează nivelul de combustibil), folosite la mai multe benzinării. Hackerii au exploatat faptul că aceste sisteme erau conectate la internet fără protecție prin parolă și, în unele cazuri, au reușit să modifice afișajele digitale vizibile. Oficialii spun însă că atacatorii nu au putut modifica efectiv cantitatea de combustibil din rezervoare. De ce contează: risc de siguranță și potențial de perturbare Deși incidentele nu au produs pagube fizice, întreruperi majore sau panică, autoritățile americane avertizează că accesul neautorizat la astfel de sisteme poate deveni un risc serios de siguranță, în condițiile în care sunt considerate parte din infrastructura critică. Specialiștii citați arată că, teoretic, compromiterea unui ATG ar putea: să mascheze o scurgere de combustibil; să genereze alarme false privind o posibilă penurie, cu efecte operaționale și de percepție publică. Atribuire încă neconfirmată și context geopolitic Principalii suspecți sunt hackeri posibil afiliați Iranului, pe fondul istoricului de atacuri asupra infrastructurii energetice americane, dar oficialii precizează că nu pot lega deocamdată atacurile direct de Iran , invocând lipsa unor dovezi digitale clare. Dacă implicarea ar fi confirmată, ar putea urma o escaladare a tensiunilor dintre cele două părți. În același context, Biziday notează că țintele ar putea fi alese și pentru efectul social: amplificarea nemulțumirii publice pe fondul creșterii prețurilor la combustibil, asociată situației din Orientul Mijlociu. Publicația menționează un sondaj CNN potrivit căruia 75% dintre adulții americani spun că războiul din Iran le-a afectat negativ situația financiară. Un semnal vechi, repetat: sisteme industriale expuse direct pe internet Cazul readuce în discuție avertismentele vechi ale experților privind riscurile echipamentelor industriale conectate direct la internet fără măsuri adecvate de protecție. În plus, specialiștii susțin că activitatea cibernetică iraniană s-a intensificat în ultimele luni, vizând în special sisteme online din zona petrol, gaze și apă, iar SUA au mai atribuit în trecut atacuri similare unor grupări apropiate Gărzilor Revoluționare iraniene. [...]
Un incident de concediere s-a transformat într-un atac intern care a șters 96 de baze de date guvernamentale , după ce doi foști specialiști IT au folosit accesul de administrator rămas activ, iar o înregistrare uitată din Microsoft Teams a devenit proba-cheie a anchetei, potrivit Focus . Cazul îi vizează pe frații gemeni Muneeb și Sohaib Akhter, ambii în vârstă de 34 de ani, care lucrau pentru furnizorul federal Opexus . Ei au fost concediați pe 18 februarie 2025, în cadrul unei ședințe pe Microsoft Teams cu departamentul de resurse umane, relatează publicația, citând Ars Technica . În timpul apelului, unul dintre frați a pornit înregistrarea videoconferinței la ora 16:48 (ora locală). După ce reprezentanții HR au părăsit convorbirea, funcția de înregistrare ar fi rămas activă fără să fie observată, timp de aproximativ o oră. În acest interval, cei doi ar fi șters, folosind drepturile lor de administrator, 96 de baze de date ale guvernului SUA. Proba centrală: o înregistrare Teams rămasă pornită Compania ar fi securizat ulterior fișierele întâlnirii, care ar oferi anchetatorilor un „protocol audio” complet al discuțiilor și acțiunilor celor doi. Focus menționează și existența unui document depus la instanță („United States’ Response in Opposition to Defendant’s Motion to Revoke the Detention Order”), care descrie în detaliu desfășurarea evenimentelor și baza probatorie. De ce contează pentru companii: riscul operațional al accesului neînchis la timp Dincolo de componenta penală, cazul indică o vulnerabilitate operațională majoră: în situații sensibile (precum concedieri), o întârziere în retragerea privilegiilor de administrator poate permite sabotaj rapid, cu efecte directe asupra continuității activității și a recuperării datelor. Focus mai notează că frații Akhter aveau condamnări anterioare pentru cazuri de fraudă cibernetică, iar Opexus ar fi aflat despre acest istoric abia cu puțin timp înainte de concediere. [...]
O presupus „mega-leak” OnlyFans cu 340 de milioane de înregistrări pare, deocamdată, mai degrabă o compilație de date vechi, dar riscurile de phishing și hărțuire rămân reale , potrivit TechRadar , care citează analiza cercetătorilor de la Cybernews . Pe un forum de pe dark web a apărut un anunț care pretinde că vinde „340 de milioane” de înregistrări despre creatori și utilizatori OnlyFans, incluzând date personale (PII – informații de identificare personală) și indicatori de activitate ai conturilor. În descriere, vânzătorii susțin că ar fi vorba despre un „dump” (copie) dintr-o bază de date internă OnlyFans, cu „aproximativ 350 de milioane” de înregistrări. De ce contează pentru securitate: chiar și fără breșă, datele pot alimenta atacuri țintite OnlyFans neagă că ar fi fost compromisă, iar un purtător de cuvânt a transmis către Cybernews, „pe surse”, că „aceste raportări sunt false”. În plus, analiza Cybernews asupra eșantionului publicat de presupusii atacatori a fost „dezamăgitoare”, iar cercetătorii spun că nu pot confirma autenticitatea sau dimensiunea reală a arhivei doar pe baza acelui sample. Totuși, chiar și în scenariul în care setul de date nu provine dintr-o intruziune în serverele companiei, expunerea unor elemente precum adresele de e-mail și metadatele asociate poate avea consecințe directe: identificare, profilare și atacuri de tip phishing (mesaje frauduloase care urmăresc să fure parole sau bani). Ce ar conține arhiva, potrivit anunțului de pe dark web Conform descrierii din listare, datele ar include, între altele: nume de utilizator și data înscrierii; adrese de e-mail; număr de urmăritori și aprecieri; număr de fotografii, videoclipuri, transmisii; informații despre datele cardului de plată (formularea din sursă indică „payment card data information”, fără detalii suplimentare); profiluri asociate. Ipoteza principală a cercetătorilor: agregare din scurgeri mai vechi și surse publice Potrivit aceleiași analize, autorii anunțului nu afirmă explicit că au spart OnlyFans, ci că ar fi compilat informații din scurgeri anterioare legate de OnlyFans, corelate cu surse publice, alte breșe și date disponibile public. Cybernews indică faptul că această variantă ar putea fi plauzibilă și avertizează că, și ca „simplă” compilație, arhiva poate fi periculoasă: atacatorii pot verifica reutilizarea adreselor de e-mail pe mai multe site-uri, pot corela identități și pot direcționa spam, tentative de fraudă sau hărțuire către creatori și utilizatori. [...]
Rusia poate bruia și falsifica semnalul GPS pe o rază de până la 450 km de Kaliningrad , ceea ce ridică riscuri operaționale directe pentru aviație și pentru infrastructurile care depind de poziționare și sincronizare, potrivit Mediafax , care citează declarațiile unui oficial lituanian pentru Reuters. Darius Kuliesius , șef adjunct al autorității de reglementare în domeniul comunicațiilor din Lituania, spune că Moscova și-a extins semnificativ capacitățile de interferență și a mărit numărul de antene de „spoofing” GPS (falsificarea semnalului pentru a induce în eroare sistemele de localizare). Antenele ar fi amplasate în Kaliningrad, regiune puternic militarizată între Lituania și Polonia. „Interferențele ocazionale au început odată cu summitul NATO din 2023 de la Vilnius. Acum au construit infrastructura, iar interferențele au devenit o provocare rusă sistemică, permanentă și nesfârșită la adresa securității europene.” Ce zone ar putea fi afectate Potrivit unei hărți prezentate de oficialul lituanian, semnalele GPS falsificate ar putea afecta: statele baltice; cea mai mare parte a Poloniei; parțial Finlanda, Suedia și Belarus. Kuliesius a mai afirmat că nivelurile de spoofing și bruiaj ating maxime în timpul atacurilor cu drone ucrainene asupra Rusiei. Exemple recente: avioane afectate și proceduri de rezervă Materialul amintește două episoade din toamna lui 2025, când semnalul GPS a fost bruiat, inclusiv un caz în care un avion militar spaniol cu ministrul apărării la bord ar fi avut semnalul perturbat în apropierea Kaliningradului. Tot în septembrie, Financial Times relata că aeronava care o transporta pe Ursula von der Leyen spre Plovdiv (Bulgaria) ar fi rămas fără mijloace electronice de navigație la apropierea de aeroport, iar piloții au aterizat folosind hărți pe hârtie; Bruxelles-ul a confirmat atunci că a existat bruiaj GPS, dar zborul s-a încheiat în siguranță. Separat, Estonia și Finlanda au acuzat Rusia că a bruiat dispozitivele de navigație GPS în spațiul aerian al regiunii. Într-un exemplu mai recent, ministrul interimar al Apărării, Radu Miruță, a declarat la TVR Info că avionul cu care a călătorit în Lituania a fost vizat de sisteme care bruiază GPS, precizând că aeronava militară avea dispozitive anti-bruiaj și că piloții au trecut pe un sistem militar de navigație. „A fost bruiat semnalul, dar nu neapărat pentru avionul nostru, ci pentru zonă. Avionul fiind militar, are dispozitive anti-bruiaj. Am verificat și am avut un bruiaj foarte puternic. Au activat (piloții – n.red.) sistemul militar de navigație, și-au luat măsuri de protecție pentru a face un zbor către destinație în funcție de coordonatele pe care le au ca variantă adițională.” [...]
