Știri
Știri din categoria Securitate cibernetică
Booking.com a confirmat o breșă de securitate care a expus date de rezervare și contact ale unor clienți, fără ca informațiile financiare să fi fost accesate, potrivit The Guardian. Compania spune că a detectat „activitate suspectă” ce a permis unor terți neautorizați să vadă o parte din informațiile asociate rezervărilor.
Platforma a precizat că a acționat pentru a „limita” incidentul, inclusiv prin actualizarea codului PIN pentru rezervările vizate și prin informarea clienților afectați. Booking.com nu a comunicat câte persoane au fost impactate.
Într-un e-mail trimis clienților vizați, compania arată că atacatorii ar fi putut obține „anumite informații de rezervare” legate de o rezervare anterioară. Conform investigației de până acum, datele accesate ar putea include:
Un purtător de cuvânt a declarat că „informațiile financiare nu au fost accesate” în cadrul breșei.
Incidentul vine pe fondul unei serii de tentative de criminalitate cibernetică ce vizează Booking.com. Publicația notează că platforma s-a confruntat recent cu o creștere a înșelătoriilor online, în care fraudatorii cer detalii de plată sub pretextul „preautorizării” sau „verificării” înaintea unei călătorii, apoi fac debitări mari.
În 2018, infractori au folosit tehnici de tip phishing (mesaje înșelătoare menite să fure credențiale) pentru a obține date de autentificare ale angajaților unor hoteluri din Emiratele Arabe Unite, ceea ce le-a permis să acceseze datele de rezervare a peste 4.000 de persoane.
Tot atunci, Booking.com a raportat cu 22 de zile întârziere breșa către autoritatea olandeză pentru protecția datelor, ceea ce a dus la o amendă de 475.000 de euro (aprox. 2,4 milioane lei).
Pentru utilizatori, expunerea datelor de contact și a detaliilor de rezervare crește riscul de fraude țintite (de exemplu, mesaje care imită comunicări ale hotelului sau ale platformei). Pentru companie, incidentul adaugă presiune operațională și de conformare, într-un moment în care industria rezervărilor online este criticată pentru proliferarea listărilor false și a tentativelor de înșelăciune.
Booking.com este deținută de Booking Holdings, grup american care mai deține OpenTable, Agoda și Kayak și are sediul în Norwalk, Connecticut, cu peste 24.000 de angajați la nivel global.
Recomandate
O vulnerabilitate dintr-un SDK terț a pus în risc datele a circa 50 de milioane de utilizatori Android , după ce Microsoft a identificat o breșă care permitea ocolirea „sandbox”-ului (izolarea de securitate dintre aplicații), potrivit techradar.com . Miza pentru utilizatori și companii este una operațională: problema nu ține de o singură aplicație, ci de un component reutilizat pe scară largă, ceea ce amplifică riscul în lanțul de aprovizionare software (supply chain). Vulnerabilitatea a fost găsită în EngageLab SDK, un kit de dezvoltare folosit pentru funcții de „engagement” precum notificări push sau mesaje în aplicație. Cercetătorii Microsoft au descris-o drept o „vulnerabilitate de redirecționare a intent-urilor” (mesaje interne Android folosite pentru comunicarea între aplicații sau componente), care putea permite unei aplicații de pe același dispozitiv să acceseze neautorizat date private. De ce contează: efect de scară prin dependențe „invizibile” Potrivit Microsoft, aproximativ 50 de milioane de dispozitive Android rulau aplicații care includeau versiuni vulnerabile ale SDK-ului. Compania nu a numit aplicațiile afectate, dar a precizat că cel puțin 30 de milioane dintre instalări erau în zona aplicațiilor de criptomonede, ceea ce ridică miza prin natura datelor și a tranzacțiilor asociate. Microsoft a sintetizat riscul astfel: „Acest caz arată cum slăbiciunile din SDK-uri terțe pot avea implicații de securitate la scară largă, mai ales în sectoare cu valoare ridicată precum administrarea activelor digitale.” Cronologie și remediere Breșa a fost descoperită în aprilie 2025, în versiunea 4.5.4 a SDK-ului, și a fost remediată în noiembrie 2025, în versiunea 5.2.1. În plus, toate aplicațiile construite cu SDK-ul vulnerabil au fost eliminate din Google Play Store, conform informațiilor din articol. Microsoft a mai spus că nu a găsit dovezi că vulnerabilitatea ar fi fost exploatată anterior ca „zero-day” (adică înainte de a exista un patch), însă recomandarea pentru dezvoltatori rămâne actualizarea rapidă la cea mai nouă versiune a SDK-ului. Ce urmează pentru utilizatori și dezvoltatori Pentru utilizatori, articolul nu indică pași concreți de verificare a aplicațiilor afectate (Microsoft nu a publicat o listă), ceea ce limitează capacitatea de evaluare individuală a riscului. Pentru dezvoltatori, mesajul este direct: actualizarea EngageLab SDK la o versiune reparată și reevaluarea integrărilor terțe care expun componente „exportate” sau se bazează pe presupuneri de încredere nevalidate între aplicații. [...]
O breșă care a expus zeci de conturi ale Forțelor Aeriene Române arată cât de vulnerabile rămân comunicațiile instituționale în fața spionajului cibernetic , după ce datele unei campanii atribuite unor hackeri cu legături în Rusia au ajuns online „din greșeală”, potrivit HotNews , care citează o analiză Reuters bazată pe date descoperite de cercetători. Datele au fost găsite de Ctrl-Alt-Intel , un colectiv de cercetători britanici și americani specializați în amenințări cibernetice, după ce hackerii ar fi expus din eroare pe internet informații rămase pe un server. Potrivit aceleiași analize, jurnalele operațiunilor și mii de e-mailuri furate indică faptul că au fost compromise cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026. România: cel puțin 67 de conturi ale Forțelor Aeriene, compromise În România, datele analizate arată compromiterea a cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv conturi asociate unor baze aeriene NATO și cel puțin contul unui ofițer militar de rang înalt. Ministerul Apărării Naționale nu a răspuns solicitărilor de declarații, potrivit Reuters. Cercetătorii de la Ctrl-Alt-Intel au descris expunerea accidentală a datelor drept o „greșeală operațională uriașă”, care a oferit o ocazie rară de a vedea cum funcționează o campanie de spionaj. „Au comis pur și simplu o greșeală operațională uriașă. Au lăsat ușa din față larg deschisă.” Ținte și în Grecia, Bulgaria și Serbia În afara Ucrainei, atacurile au vizat și țări NATO vecine cu Ucraina și state din Balcani, conform datelor: Grecia : 27 de căsuțe de e-mail gestionate de Statul Major General al Apărării Naționale Elene; între conturile compromise sunt menționați atașați militari greci din India și Bosnia, dar și o adresă de contact public a unui centru medical militar. Bulgaria : cel puțin patru căsuțe de e-mail ale unor oficiali locali din provincia Plovdiv. Serbia : conturi ale unor academicieni și oficiali militari; Ministerul Apărării din Serbia nu a răspuns solicitărilor de comentarii. Keir Giles, de la think-tank-ul londonez Chatham House, citat în material, afirmă că nici măcar o relație apropiată cu Moscova nu ar fi o garanție împotriva spionajului rus. Cine este suspectat și ce rămâne neconfirmat Ctrl-Alt-Intel a atribuit campania grupului „Fancy Bear”, una dintre etichetele folosite pentru o echipă militară rusă de hackeri. Totuși, doi cercetători care au analizat independent concluziile au nuanțat atribuirea: Matthieu Faou (ESET) a spus că nu a putut verifica implicarea „Fancy Bear”, iar Feike Hacquebord (TrendAI) a contestat această implicare, deși ambii au fost de acord că atacatorii au legături cu Moscova. În paralel, în anunțul de săptămâna trecută menționat în articol, Departamentul de Justiție al SUA și FBI au indicat că, cel puțin din 2024, actori cibernetici asociați Centrului 85 al GRU (cunoscuți și ca APT28/Fancy Bear/Forest Blizzard) ar fi colectat date de autentificare și ar fi exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea unor routere TP-Link folosind vulnerabilitatea CVE-2023-50224. Context: anchete și cooperare internațională Informațiile apar după ce președintele Nicușor Dan și Departamentul de Justiție al SUA au anunțat o operațiune în care FBI, împreună cu instituții din 15 state (inclusiv SRI), ar fi destructurat un atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale, potrivit unui material HotNews anterior: HotNews . Potrivit SRI, citat în articol, GRU ar fi compromis „o gamă largă de entități” la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental. De ce contează Dincolo de numărul de conturi, miza este operațională: compromiterea e-mailurilor asociate unei structuri militare poate afecta fluxuri de lucru, expune contacte și proceduri și poate crea puncte de plecare pentru atacuri ulterioare (de tip „phishing” – mesaje înșelătoare care urmăresc furtul de parole). În acest caz, vizibilitatea asupra campaniei a venit nu dintr-o detectare internă, ci dintr-o eroare a atacatorilor, ceea ce ridică întrebări despre capacitatea de identificare timpurie a unor astfel de intruziuni. [...]
OpenAI limitează accesul la GPT‑5.4‑Cyber la utilizatori verificați, pe fondul relaxării deliberate a restricțiilor modelului pentru scenarii de apărare cibernetică , potrivit 9to5Mac . Noua variantă, descrisă drept „cyber-permissive”, nu este destinată utilizării publice și este poziționată ca un pas pregătitor pentru modele „mai capabile” pe care compania spune că le va lansa în acest an. Modelul GPT‑5.4‑Cyber este o variantă a GPT‑5.4 „ajustată fin” pentru cazuri de utilizare defensive în securitate cibernetică. Miza operațională este că OpenAI reduce intenționat pragul de refuz („refusal boundary”) pentru activități legitime de securitate, ceea ce poate crește utilitatea pentru echipele de apărare, dar impune și un control mai strict al accesului. Ce se schimbă, concret, pentru utilizatorii din securitate OpenAI afirmă că GPT‑5.4‑Cyber este „antrenat” pentru capabilități suplimentare în zona cyber și are „mai puține restricții” decât variantele standard. În acest context, compania indică drept exemplu fluxuri defensive avansate, inclusiv: capabilități de inginerie inversă pe binare (analiza software-ului compilat) pentru evaluarea potențialului de malware, a vulnerabilităților și a robusteții de securitate, fără acces la codul sursă. Publicația notează că abordarea este similară cu cea a unui model concurent, Claude Mythos de la Anthropic, menționat în context ca reper de piață. Acces „ Trusted Access for Cyber ”: verificare și implementare graduală Accesul la GPT‑5.4‑Cyber este restricționat la „cel mai înalt nivel” de utilizatori care acceptă să colaboreze cu OpenAI pentru a se autentifica drept apărători în securitate cibernetică. Condiția de intrare este programul „Trusted Access for Cyber” (TAC), extins față de inițiativa lansată de OpenAI la începutul anului. Sunt descrise două căi de acces: utilizatorii individuali își pot verifica identitatea la chatgpt.com/cyber ; companiile pot solicita acces pentru echipe prin formularul OpenAI de „trusted access” ( OpenAI ). OpenAI justifică limitarea prin faptul că modelul este mai permisiv și, tocmai de aceea, implementarea începe „iterativ”, către furnizori de securitate, organizații și cercetători validați. De ce contează pentru companii Din perspectivă operațională, GPT‑5.4‑Cyber semnalează o direcție în care modelele devin mai utile în activități de apărare (de exemplu, analiză de malware și vulnerabilități), dar numai în regim controlat. Pentru companii, asta înseamnă că accesul la astfel de capabilități ar putea depinde tot mai mult de procese de verificare, relația contractuală cu furnizorul și eligibilitatea în programe de tip „trusted access”, nu doar de achiziția unui abonament standard. OpenAI spune că această variantă este menită să „pregătească terenul” pentru modele mai capabile care urmează în acest an; articolul nu oferă un calendar sau detalii despre ce modele ar urma să fie lansate. [...]
Microsoft a livrat actualizările de securitate din aprilie pentru Windows 10 și 11, iar pachetul aduce schimbări care pot reduce riscul de phishing prin fișiere Remote Desktop și poate limita trecerile neașteptate în modul de recuperare BitLocker după update-uri de Secure Boot , potrivit WinFuture . Actualizările sunt recomandate tuturor utilizatorilor și vizează atât închiderea de vulnerabilități, cât și corecții de fiabilitate. Update-urile sunt disponibile pentru versiunile încă suportate complet din Windows 11 și pentru utilizatorii Windows 10 aflați în programul ESU (Extended Security Updates – actualizări de securitate extinse, contra cost, după încheierea suportului standard). Pachetele pot fi instalate prin Windows Update, prin Microsoft Update Catalog sau prin Windows Server Update Services (WSUS), canalul folosit frecvent în companii pentru distribuția controlată a actualizărilor. Ce se schimbă operațional: Secure Boot, BitLocker și protecția Remote Desktop Un element comun în acest Patch Tuesday este zona Secure Boot (mecanismul care verifică integritatea procesului de pornire a sistemului). În Windows Security poate apărea statusul actualizărilor de certificate Secure Boot, însă îmbunătățirile sunt dezactivate implicit pe dispozitive comerciale și pe servere. Tot în această zonă, update-urile urmăresc să reducă situațiile în care un dispozitiv ajunge în modul de recuperare BitLocker după instalarea actualizărilor Secure Boot. În plus, pachetele de calitate includ „date de direcționare” mai fiabile pentru a extinde acoperirea dispozitivelor care pot primi automat noile certificate Secure Boot, dar într-un mod gradual, după ce sistemul „demonstrează” suficient de multe instalări reușite de update-uri. Pe partea de protecție împotriva phishing-ului, Remote Desktop primește un comportament mai strict la deschiderea fișierelor.rdp: înainte de conectare sunt afișate setările cerute, fiecare fiind dezactivată implicit, iar la prima deschidere pe un dispozitiv apare și o avertizare de securitate unică. Ce update-uri sunt vizate (KB-uri) și cum verifici versiunea instalată WinFuture listează actualizările pentru principalele ramuri: Windows 10 22H2 : KB5082200 Windows 11 26H1 : KB5083768 Windows 11 24H2 și 25H2 : KB5083769 Windows 11 23H2 : KB5082052 Pentru verificarea rapidă a build-ului instalat, publicația recomandă comanda „WinVer” (Windows + R → „winver”). Mai notează că, la începutul distribuției, articolele KB pot să nu fie imediat accesibile, dar update-urile apar în Microsoft Update Catalog . Corecții punctuale menționate: autentificare, rețea și resetarea PC-ului În Windows 10 22H2, una dintre corecțiile evidențiate vizează probleme de autentificare în aplicații cu cont Microsoft, unde putea apărea mesajul „No internet” chiar și cu conexiune funcțională, blocând accesul la servicii Microsoft și aplicații precum Teams. În Windows 11 24H2/25H2, update-ul include și îmbunătățiri de fiabilitate pentru SMB Compression peste QUIC (un protocol de transport bazat pe UDP), cu scopul de a reduce timeout-urile. Tot aici este menționată remedierea unui „known issue” care putea face să eșueze resetarea PC-ului („Păstrează fișierele mele” / „Elimină tot”) după un hotpatch de securitate din martie 2026. Separat, este menționat și un Servicing Stack Update pentru Windows 11 (SSU – componenta care instalează update-urile), care urmărește să mențină stabilitatea mecanismului de actualizare. Vulnerabilități: ce zone sunt atinse Materialul indică faptul că Microsoft a adresat vulnerabilități care includ, între altele, Applocker (filter driver),.NET Framework, GitHub Copilot și Visual Studio Code, Windows File Server, kernel-ul Windows, serviciul de mapare a dispozitivelor, precum și mai multe vulnerabilități în Office. Pentru detalii complete, trimiterea este către Security Update Guide . În practică, pentru organizații, combinația dintre întărirea fluxului Remote Desktop și ajustările din zona Secure Boot/BitLocker poate însemna mai puține incidente generate de fișiere.rdp malițioase și mai puține întreruperi operaționale după update-uri, însă efectul depinde de configurarea și politicile de administrare din fiecare mediu. [...]
Un model AI testat de guvernul britanic arată că atacurile autonome devin plauzibile pe sisteme slab apărate , iar implicația practică pentru companii este nevoia de a-și valida apărarea în scenarii în care atacatorul folosește AI, potrivit Ars Technica . Evaluările au fost realizate de AISI (AI Safety Institute), care a folosit teste standardizate pentru a separa riscul real de „hype”. Ce arată testele: progres măsurabil în „lanțul” unui atac În testul TLO, AISI spune că Mythos a depășit modelele anterioare, devenind „primul model” care a rezolvat scenariul de la început până la final. În comparație, un model nou de la Anthropic a reușit doar 3 din 10 încercări, iar „Mythos Preview” a avut, în medie, 22 din 32 de pași de infiltrare finalizați, față de media de 16 pași pentru Claude 4.6. Din perspectivă operațională, diferența contează deoarece testul măsoară execuția unei secvențe complete de acțiuni necesare pentru compromitere, nu doar „abilități” izolate (de exemplu, scriere de cod sau găsirea unei vulnerabilități). Limite și incertitudini: cât de aproape e de lumea reală AISI notează că Mythos Preview încă se lovește de limite în „Cooling Tower”, un test mai dificil, în 7 pași, care simulează o tentativă de perturbare a software-ului de control al unei centrale electrice. Institutul mai precizează că se așteaptă ca evaluările să se îmbunătățească dacă se depășește bugetul de 100 de milioane de tokeni impus în teste (tokenii fiind unități de text folosite de modele pentru a procesa și genera răspunsuri). În plus, AISI avertizează că „poligoanele” simulate de atac nu includ apărători activi și instrumente defensive de tipul celor întâlnite în sisteme critice. Testul TLO este construit și cu vulnerabilități specifice, care pot să nu existe în infrastructuri reale, iar modelul nu este penalizat pentru situații de „detecție” care, în practică, ar putea opri o infiltrare. De ce contează pentru companii: ținta probabilă sunt sistemele mici și slab apărate Concluzia AISI este că performanța Mythos în TLO sugerează că modelul „este cel puțin capabil” să atace autonom sisteme enterprise mici, vulnerabile și slab apărate, odată ce a fost obținut acces la rețea. În același timp, institutul spune că nu poate afirma cu certitudine că sisteme „bine apărate” ar cădea în fața unui astfel de atac automatizat. Avertismentul pentru cei care proiectează protecții este însă direct: pe măsură ce modelele viitoare egalează sau depășesc aceste capabilități, apărătorii ar trebui să folosească, la rândul lor, modele AI pentru a-și întări defensiva, inclusiv prin testare și simulare. Context suplimentar pe această direcție este menționat de AISI printr-un material al NCSC (Marea Britanie) despre necesitatea ca apărătorii să fie pregătiți pentru „frontier AI” (modele de vârf): https://www.ncsc.gov.uk/blogs/why-cyber-defenders-need-to-be-ready-for-frontier-ai . [...]
Microsoft avertizează că routerele din case și birouri mici au devenit o verigă operațională pentru spionaj la scară largă , după ce un grup cu legături militare rusești le-ar fi folosit pentru a deturna trafic de internet și a obține vizibilitate în rețele mai bine protejate, potrivit Economedia . Miza pentru companii este una practică: atacatorii nu ar mai avea nevoie să „spargă” direct rețeaua corporativă pentru a colecta date sau a pregăti pași ulteriori, ci pot folosi infrastructura periferică neadministrată ( routere SOHO – „small office/home office”, adică echipamente din locuințe și birouri mici) ca punct de sprijin. Cum funcționează metoda descrisă de Microsoft Echipa de informații despre amenințări cibernetice a Microsoft arată că grupul Forest Blizzard a transformat routere nesigure în platforme de supraveghere „la nivel de stat”. Cel puțin din august 2025, grupul ar exploata dispozitive SOHO vulnerabile pentru a deturna traficul DNS (sistemul care „traduce” numele site-urilor în adrese tehnice), ceea ce permite colectarea pasivă a datelor de rețea și mascarea operațiunilor ulterioare în spatele unei infrastructuri legitime. Publicația notează că această abordare ar oferi actorului „vizibilitate” în medii mai mari și mai bine protejate, fără compromiterea directă a rețelelor corporative. De ce contează: escaladare pe o zonă greu de controlat Microsoft susține că, deși infiltrarea dispozitivelor SOHO nu este o noutate, este pentru prima dată când observă deturnarea DNS folosită la scară largă pentru a susține direct atacuri de tip „adversar-în-mijloc” (AiTM), adică situații în care atacatorul se interpune între utilizator și serviciul accesat, vizând conexiuni TLS (standardul care securizează traficul web). Microsoft a identificat peste 200 de organizații și 5.000 de dispozitive afectate de infiltrarea Forest Blizzard. Compania precizează că nu a observat compromiterea activelor deținute de Microsoft, însă cercetătorii consideră operațiunea o escaladare a modului în care actorii statali pot transforma dispozitive periferice neadministrate în instrumente de atac și că ar putea permite interceptare activă la scară mai largă în viitor. [...]
