Știri
Știri din categoria Securitate cibernetică
Scheme confidențiale ale serverelor Apple au fost sustrase din Foxconn, iar riscul real ține mai puțin de documentele deja văzute și mai mult de posibilitatea ca atacatorii să publice ulterior materiale mai sensibile, potrivit AppleInsider. Publicația spune că a primit mostre suplimentare de fișiere după atacul de tip ransomware atribuit grupului Nitrogen și că acestea includ peste 30 de documente Apple care „par autentice”.
AppleInsider afirmă că Nitrogen a obținut scheme care descriu designul unor componente de server Apple (din martie 2026 și final de 2025), precum și specificații și manuale pentru rack-uri de server (din perioada 2020–2023). Documentele ar fi fost realizate în Siemens NX și includ dimensiuni pentru diverse elemente (brackeți, componente, distanțiere) și detalii despre șasiul unui server intern Apple.
Cel mai important document din eșantion ar fi o prezentare a proiectului „Matterhorn”, cu configurații de server Apple bazate pe platforme Intel (Whitley și Eagle Stream), inclusiv layout-ul plăcii și arhitectura.
Dincolo de Apple, materialul sugerează un risc operațional mai larg pentru companiile care folosesc Foxconn și entități asociate pentru proiectare, integrare sau producție de echipamente. În eșantionul descris apar documente legate de proiecte confidențiale ale mai multor jucători din zona de semiconductori și infrastructură de servere, inclusiv AMD, Broadcom, Google, Intel, Hewlett-Packard, Micron, Nvidia, Samsung și Seagate, plus o listă extinsă de furnizori de componente.
AppleInsider notează și prezența unor documente asociate Cloud Network Technology (deținută de Foxconn), cu sediul în Houston, Texas, inclusiv materiale logistice (de exemplu, o etichetă de expediere pentru echipamente Hewlett-Packard).
Potrivit analizei, documentele Apple din mostre nu ar fi „utile pentru mare lucru” în lipsa accesului la hardware-ul respectiv și nu includ informații despre cipurile care alimentează servere bazate pe Apple Silicon sau despre scopul serverelor. În această etapă, AppleInsider apreciază că schemele de șasiu și brackeți, singure, nu ar reprezenta o problemă majoră pentru Apple.
Riscul ar crește dacă grupul ar deține și ar publica detalii despre servere Apple Silicon (de exemplu layout de plăci de bază, configurații sau volume produse), caz în care competitori — inclusiv companii din zona AI — ar putea copia sau adapta designuri.
În fișierele descrise nu ar exista documente din facilitățile Foxconn din Guanlan și Zhengzhou (care asamblează și alte produse Apple), iar AppleInsider spune că nu a văzut materiale despre asamblarea iPhone, iPad, Mac sau Apple Vision Pro. Mostrele par să fie, în principal, legate de facilități Foxconn din America de Nord și de infrastructură de tip server.
Amploarea completă a incidentului rămâne nedeterminată: grupul Nitrogen susține că a sustras peste 11 milioane de fișiere, echivalentul a opt terabytes. În acest moment, concluzia publicației este că atacul nu pare să ducă la scurgeri semnificative de design Apple — însă avertizează că mostrele ar putea fi doar „vârful aisbergului”, dacă vor apărea documente mai sensibile ulterior.
Recomandate
Atacul ransomware asupra Foxconn riscă să expună proiecte și infrastructură ale altor giganți tech, chiar dacă Apple pare neafectată , potrivit AppleInsider . Gruparea Nitrogen susține că a furat peste 8 TB de date (peste 11 milioane de fișiere), iar eșantionul analizat indică documente sensibile legate de proiecte AMD, Google și Intel. Ce s-a întâmplat și ce date ar fi fost luate Foxconn a confirmat că unitatea sa din Mount Pleasant, Wisconsin , a fost afectată de un atac în mai 2026. Nitrogen afirmă că a extras un volum mare de date, incluzând „instrucțiuni confidențiale, proiecte și desene” asociate mai multor companii și inițiative. AppleInsider precizează că nu a publicat linkuri către fișierele presupus furate, dar a analizat setul de mostre pus la dispoziție de atacatori pentru a estima amploarea incidentului. Din eșantion ar reieși, între altele: documente financiare legate de unitatea Foxconn din Houston, Texas; documentație tehnică despre senzori de temperatură, circuite integrate, layout-uri de plăci și alte elemente de inginerie; documente de tip „topologie de rețea” (hărți ale infrastructurii) pentru proiecte AMD, Intel și Google, inclusiv fișiere despre procesoare de server, socket-uri și componente conexe. Publicația notează că setul de mostre pare să fie dominat de materiale ale echipei de inginerie electrică a Foxconn. De ce contează economic și operațional: riscul se mută spre infrastructură și clienți non-Apple Deși titlul incidentului gravitează în jurul lanțului de aprovizionare Apple, miza imediată pare să fie expunerea de informații care pot afecta operațional alte proiecte și clienți ai Foxconn. Analistul Mark Henderson susține că „specificațiile de topologie pentru Google și Intel sunt adevărata problemă”, descriindu-le drept „hărți arhitecturale ale infrastructurii active”, care ar putea fi folosite pentru identificarea vulnerabilităților în centre de date. Separat, atacul ar fi avut și efecte directe în fabrică. Conform publicației locale TMJ4, unitatea din Mount Pleasant a avut o întrerupere de rețea la începutul lunii mai 2026, iar producția ar fi fost întreruptă aproximativ o săptămână, după care a fost reluată. The Cybersec Guru relatează că problemele ar fi început pe 1 mai, cu oprirea Wi‑Fi la 7:00 (ora de Est) și perturbări ale infrastructurii principale până la 11:00 (ora de Est), iar activitatea ar fi rămas afectată până pe 12 mai 2026. „Ni s-a spus să ne oprim computerele și să nu ne mai logăm în niciun caz. Terminalele de pontaj erau moarte. Completam foi de pontaj pe hârtie doar ca să ne urmărim orele.” De ce Apple pare mai puțin expusă în acest caz AppleInsider arată că nu este clar dacă există fișiere legate direct de proiecte Apple existente sau viitoare. Un motiv invocat: unitatea Foxconn din Mount Pleasant produce în principal televizoare și servere de date, nu dispozitive Apple. Pe baza eșantionului analizat, publicația spune că nu pare ca Nitrogen să fi obținut scheme Apple, documentație a echipelor Foxconn implicate în dezvoltarea produselor Apple sau date de control al calității Apple. Totuși, articolul subliniază o limitare importantă: prezența unor documente legate de unitatea din Houston sugerează că atacatorii ar fi putut obține date și din alte locații, nu doar din Wisconsin, inclusiv prin e-mail sau servere de partajare de fișiere. Cine este Nitrogen și ce particularitate are atacul Nitrogen ar fi activă din 2023, cu posibile legături cu ecosistemul BlackHat/ALPHV, și folosește un model de „dublă extorcare” (criptează datele și amenință ulterior cu publicarea lor). În același timp, potrivit Coveware, instrumentul de criptare ESXi folosit de Nitrogen ar avea un defect critic: în timpul criptării, cheia publică a fișierelor se corupe, ceea ce ar face imposibilă decriptarea chiar și dacă se plătește răscumpărarea. Ce urmează Amploarea completă a incidentului rămâne neclară, în condițiile în care volumul revendicat este foarte mare, iar informațiile disponibile provin parțial din mostre publicate de atacatori. Pe datele analizate până acum, AppleInsider apreciază că este puțin probabil ca designurile produselor Apple să apară ca urmare a acestui atac, însă riscul de expunere pentru proiecte și infrastructuri ale altor companii rămâne o problemă majoră. [...]
Apple spune că a blocat în 2025 tranzacții potențial frauduloase de peste 2,2 miliarde de dolari (aprox. 10,1 miliarde lei), într-o încercare de a limita pierderile și abuzurile din ecosistemul App Store , potrivit Apple Newsroom . Compania afirmă că rezultatul din 2025 se adaugă unui total de peste 11,2 miliarde de dolari (aprox. 51,5 miliarde lei) în tranzacții „potențial frauduloase” prevenite în ultimii șase ani, pe fondul intensificării tentativelor de fraudă online și al creșterii volumelor de activitate din magazinele de aplicații. Apple indică drept mecanisme principale o combinație între evaluare umană și tehnologii de învățare automată (machine learning) pentru detectarea tiparelor suspecte. Fraudă de conturi: 1,1 miliarde de conturi respinse, 193.000 de conturi de dezvoltator închise În zona de „account fraud”, Apple susține că sistemele sale au respins 1,1 miliarde de încercări de creare a unor conturi de clienți considerate frauduloase și a dezactivat încă 40,4 milioane de conturi pentru fraudă și abuz. Pe partea de dezvoltatori, compania afirmă că a închis 193.000 de conturi de dezvoltator din motive de fraudă și a respins peste 138.000 de înscrieri în programul de dezvoltatori. Apple mai spune că a detectat și blocat 28.000 de aplicații „nelegitime” pe așa-numite „pirate storefronts” (magazine neoficiale), pe care le descrie ca incluzând malware, aplicații pornografice, de jocuri de noroc și copii piratate ale unor aplicații legitime. În plus, „în ultima lună”, compania afirmă că a prevenit 2,9 milioane de încercări de instalare sau lansare a unor aplicații distribuite ilegal în afara App Store sau a unor piețe alternative aprobate. Revizuirea aplicațiilor: 9,1 milioane de evaluări și 59.000 de eliminări pentru „bait-and-switch” Apple indică o creștere a volumului de aplicații trimise spre aprobare, pe care o leagă de instrumentele de dezvoltare bazate pe inteligență artificială. În 2025, echipa App Review ar fi evaluat peste 9,1 milioane de trimiteri și ar fi „primit” peste 306.000 de dezvoltatori noi. Tot în 2025, Apple afirmă că a respins peste 2 milioane de trimiteri problematice, dintre care peste 1,2 milioane au fost aplicații noi și aproape 800.000 actualizări. Compania mai spune că a eliminat aproape 59.000 de aplicații pentru practici de tip „bait-and-switch” (aplicații aprobate inițial ca jocuri/utilitare care ulterior își modifică funcționalitatea pentru fraudă financiară). Alte respingeri invocate de Apple includ: peste 22.000 de trimiteri pentru funcții ascunse sau nedocumentate; peste 371.000 de trimiteri pentru copiere, spam sau inducere în eroare; peste 443.000 de trimiteri pentru încălcări legate de confidențialitate. Separat, Apple afirmă că a blocat peste 2,5 milioane de trimiteri către TestFlight (platforma de testare) din motive de fraudă sau securitate. Manipularea descoperirii: 195 milioane de recenzii blocate, mii de aplicații scoase din căutări și topuri Pentru „discovery fraud” (fraudă care vizează vizibilitatea în magazin), Apple susține că în 2025 a procesat peste 1,3 miliarde de evaluări și recenzii și a blocat „aproape” 195 milioane de evaluări/recenzii frauduloase înainte să devină vizibile. Compania mai afirmă că a blocat aproape 7.800 de aplicații „înșelătoare” din rezultatele de căutare și încă 11.500 de aplicații din clasamentele App Store. Plăți și carduri: 5,4 milioane de carduri furate blocate În zona de plăți, Apple spune că peste 680.000 de aplicații folosesc tehnologiile sale de plată (Apple Pay sau StoreKit) și că, în 2025, a oprit: tranzacții frauduloase de peste 2,2 miliarde de dolari (aprox. 10,1 miliarde lei); peste 5,4 milioane de carduri de credit furate de la a fi folosite; aproape 2 milioane de conturi de utilizator, interzise ulterior de la a mai tranzacționa. De ce contează pentru piață Dincolo de mesajul de securitate, cifrele indică dimensiunea costurilor operaționale și a riscurilor economice pe care Apple le asociază cu administrarea App Store: de la verificarea la scară mare a aplicațiilor și conturilor, până la filtrarea tranzacțiilor și a recenziilor care pot influența vânzările. Apple nu detaliază metodologia de calcul pentru „potențial fraudulos”, astfel că amploarea exactă a prejudiciilor evitate nu poate fi verificată independent pe baza materialului publicat. [...]
Un nou tip de exploit de escaladare a privilegiilor pe macOS, identificat cu ajutorul modelului AI Mythos , a ajuns pe masa Apple și este în curs de verificare , potrivit 9to5Mac . Miza pentru companii și utilizatori este operațională: ocolirea unor mecanisme „de ultimă generație” de securitate poate deschide calea către preluarea controlului unui Mac, dacă este combinată cu alte atacuri. Ce au găsit cercetătorii și de ce contează Conform informațiilor publicate de The Wall Street Journal (citat de 9to5Mac), o echipă de cercetători a testat în aprilie o versiune timpurie a Mythos, modelul AI al Anthropic, și a folosit tehnicile rezultate pentru a „lega” două erori și „o mână de tehnici” care permit coruperea memoriei unui Mac și accesarea unor zone care ar trebui să fie inaccesibile. Acest tip de atac este descris ca un „exploit de escaladare a privilegiilor” — adică o metodă prin care un atacator poate obține drepturi mai mari în sistem decât ar trebui. În lanț cu alte vulnerabilități, ar putea fi folosit pentru a prelua controlul asupra computerului, potrivit aceleiași relatări. Cine este implicat și în ce stadiu e răspunsul Apple Cercetarea este atribuită unei companii de securitate din Palo Alto, Calif. Publicația notează că Apple „revizuiește” raportul primit de la Calif pentru a valida concluziile. Un purtător de cuvânt al Apple a declarat pentru The Wall Street Journal: „Securitatea este prioritatea noastră principală și tratăm foarte serios rapoartele privind potențiale vulnerabilități.” Echipa Calif ar fi întocmit un raport de 55 de pagini, livrat personal către Apple, în Cupertino, cu detaliile tehnice ale constatărilor. Ce urmează: publicarea detaliilor, după remediere Directorul executiv al Calif, Thai Dong, a spus că atacul „nu ar fi putut fi realizat doar de Mythos” și că a folosit expertiza umană a unor hackeri din echipă. Detaliile despre vulnerabilități ar urma să fie făcute publice după ce Apple rezolvă problemele de bază; în același context, Dong a estimat că erorile „probabil vor fi reparate destul de repede”. În acest moment, articolul nu indică dacă vulnerabilitățile afectează versiuni specifice de macOS sau dacă există exploatare activă în mediul real; informația disponibilă este că Apple investighează raportul și validează constatările. [...]
Microsoft avertizează că o campanie țintită folosește resetarea parolei ca să preia conturi , iar riscul operațional pentru companii este că atacatorii pot scoate rapid date din Microsoft 365 și pot ajunge în medii de producție din Azure, potrivit TechRadar . Gruparea numită Storm-2949 abuzează fluxul de „ Self‑Service Password Reset” (SSPR) din ecosistemul Microsoft, susține un raport al Microsoft Defender Security Research Team. În mod normal, când un angajat apasă „Forgot my password”, sistemul trimite o solicitare de autentificare multifactor (MFA) pe un dispozitiv secundar înregistrat; după aprobare, utilizatorul își poate seta o parolă nouă. În atacurile descrise, actorii identifică ținta, obțin numărul de telefon și adresa de e-mail folosită la autentificare, inițiază resetarea parolei și, în paralel, sună victima. Se prezintă drept tehnicieni IT și o conving să aprobe solicitarea MFA, ceea ce le permite să seteze o parolă nouă, să scoată utilizatorul din cont și să exfiltreze date. Microsoft Threat Intelligence caracterizează campania drept „metodică, sofisticată și multistrat”, cu ținte în aplicații Microsoft 365, servicii de găzduire de fișiere și medii de producție găzduite în Azure. „Într-un caz, Storm-2949 a folosit interfața web OneDrive pentru a descărca mii de fișiere într-o singură acțiune către propria infrastructură”, a transmis Microsoft. „Acest tipar de furt de date s-a repetat în toate conturile compromise, probabil deoarece identități diferite aveau acces la foldere și directoare partajate diferite.” Ce recomandă Microsoft pentru a reduce riscul în Azure și Microsoft 365 Recomandările vizează în principal limitarea privilegiilor și creșterea capacității de audit/monitorizare în Azure: limitarea permisiunilor Azure RBAC (control al accesului pe bază de roluri); păstrarea logurilor din Azure Key Vault timp de un an; reducerea accesului la Key Vault și restricționarea accesului public la „vault”-uri; folosirea opțiunilor de protecție a datelor în Azure Storage; monitorizarea operațiunilor de administrare Azure cu risc ridicat. Pentru organizații, mesajul practic este că resetarea parolei și aprobarea MFA pot deveni o „poartă” de intrare dacă procesele de suport IT și controalele de acces nu sunt suficient de stricte, iar logarea și monitorizarea nu permit detectarea rapidă a descărcărilor masive sau a operațiunilor sensibile. (Detalii suplimentare despre incident și indicatori tehnici apar în raportul Microsoft, dar TechRadar nu publică în material o listă completă de astfel de indicatori.) [...]
GitHub a confirmat compromiterea a circa 3.800 de depozite interne , după ce un angajat a instalat o extensie malițioasă pentru Visual Studio Code, potrivit BleepingComputer . Incidentul readuce în prim-plan riscul operațional al extensiilor din lanțul de aprovizionare software (supply chain), într-un context în care GitHub este infrastructură critică pentru dezvoltarea de aplicații în milioane de organizații. GitHub spune că a identificat și „izolat” compromiterea dispozitivului angajatului, a eliminat versiunea malițioasă a extensiei din marketplace și a început răspunsul la incident. Compania afirmă că evaluarea curentă indică „exfiltrarea doar a depozitelor interne GitHub”, iar afirmația atacatorului privind aproximativ 3.800 de depozite este „în linii mari” în acord cu investigația de până acum. Ce se știe despre impact și ce nu este confirmat Într-un update public, GitHub a transmis că nu are dovezi că datele clienților stocate în afara depozitelor afectate ar fi fost compromise, conform relatării. Compania nu a atribuit oficial atacul unui actor anume. Pe de altă parte, gruparea TeamPCP a revendicat acces la cod sursă GitHub și la „~4.000 de depozite de cod privat” pe un forum de criminalitate cibernetică, cerând cel puțin 50.000 de dolari (aprox. 230.000 lei) pentru datele furate, potrivit informațiilor din articol. De ce contează: extensiile VS Code, o suprafață de atac recurentă Extensiile VS Code sunt module instalabile din VS Code Marketplace (magazinul oficial de add-on-uri pentru editorul Microsoft) care adaugă funcții sau integrează instrumente în editor. Cazul de față nu este singular: în ultimii ani au fost identificate extensii troianizate folosite pentru furt de credențiale și date sensibile, iar unele au ajuns la milioane de instalări înainte de a fi eliminate, notează publicația. Pentru companii, miza este direct operațională: un singur endpoint compromis în echipele de inginerie poate deveni poartă de acces către cod intern, secrete (chei, tokenuri) și procese de build/deploy, cu efecte în cascadă asupra produselor și livrărilor. Context: amploarea platformei GitHub amplifică riscul GitHub este folosit de peste 4 milioane de organizații (inclusiv 90% dintre companiile din Fortune 100) și de peste 180 de milioane de dezvoltatori, care contribuie la peste 420 de milioane de depozite de cod. În acest context, orice incident care implică instrumente uzuale ale dezvoltatorilor – precum extensiile din editor – ridică întrebări despre controalele interne și despre igiena de securitate a mediilor de dezvoltare. [...]
Discord a activat criptarea end-to-end în mod implicit pentru toate apelurile vocale și video , o schimbare operațională care ridică nivelul de confidențialitate pentru utilizatori și reduce dependența de variante necriptate, potrivit Bleeping Computer . Implementarea a fost finalizată în martie, după care Discord a rulat testări „la scară” pentru a valida funcționarea înainte de anunțul oficial. În paralel, compania spune că începe să elimine din aplicații codul care permitea revenirea la apeluri fără criptare (fallback necriptat), ceea ce sugerează o tranziție către un model în care criptarea devine standard, nu opțiune. Ce acoperă criptarea și care este excepția Stratul de criptare end-to-end (E2EE) acoperă acum, conform informațiilor publicate, mai multe tipuri de comunicare din platformă: mesaje directe (DM) și mesaje directe de grup; canale vocale; apeluri vocale și video; transmisiuni „Go Live”. Singura excepție menționată sunt „stage channels” (canale de tip scenă), concepute pentru difuzări publice către audiențe mari, nu pentru conversații private. Discord rezumă schimbarea astfel: „Criptarea end-to-end este acum standard pentru fiecare apel vocal și video pe Discord, în afara canalelor de tip scenă. Nu este necesară activarea.” Cum a fost făcută migrarea: protocolul DAVE, extins pe toate platformele Migrarea la E2EE a fost realizată prin extinderea protocolului de criptare open-source DAVE, astfel încât să funcționeze pe toate platformele unde rulează clienții Discord: desktop, mobil, browser, PlayStation, Xbox și prin SDK-urile Discord (kituri pentru dezvoltatori). DAVE a fost introdus inițial în septembrie 2024 și a fost dezvoltat cu asistență și audit din partea Trail of Bits , pentru securizarea apelurilor audio/video, chat-urilor de grup, canalelor vocale și transmisiunilor Go Live. Din punct de vedere tehnic, protocolul folosește: WebRTC encoded transforms (mecanisme de criptare aplicate fluxurilor media în WebRTC); Messaging Layer Security (MLS), pentru schimburi de chei scalabile în grupuri; chei de identitate efemere, pentru protecție suplimentară a confidențialității. Discord afirmă că una dintre mizele principale a fost păstrarea latenței scăzute (întârzieri mici) și evitarea întreruperilor atunci când participanții intră sau ies din apel. Limitări: fără planuri pentru criptarea end-to-end a mesajelor text În ceea ce privește extinderea DAVE la comunicarea bazată pe text, Discord spune că nu are în prezent planuri pentru un astfel de pas. Motivul invocat este complexitatea tehnică: funcțiile de mesagerie text au fost construite „de la zero” pe presupuneri de funcționare fără criptare end-to-end, iar schimbarea ar implica obstacole majore de inginerie. Context de utilizare Platforma este folosită pentru chat text, apeluri, video, livestreaming și servere de comunitate, inclusiv de gameri, creatori și companii. Estimările citate indică 690 milioane de utilizatori înregistrați și peste 200 milioane de utilizatori activi lunar la nivel global. [...]
