Știri
Știri din categoria Securitate cibernetică
O vulnerabilitate dintr-un SDK terț a pus în risc datele a circa 50 de milioane de utilizatori Android, după ce Microsoft a identificat o breșă care permitea ocolirea „sandbox”-ului (izolarea de securitate dintre aplicații), potrivit techradar.com. Miza pentru utilizatori și companii este una operațională: problema nu ține de o singură aplicație, ci de un component reutilizat pe scară largă, ceea ce amplifică riscul în lanțul de aprovizionare software (supply chain).
Vulnerabilitatea a fost găsită în EngageLab SDK, un kit de dezvoltare folosit pentru funcții de „engagement” precum notificări push sau mesaje în aplicație. Cercetătorii Microsoft au descris-o drept o „vulnerabilitate de redirecționare a intent-urilor” (mesaje interne Android folosite pentru comunicarea între aplicații sau componente), care putea permite unei aplicații de pe același dispozitiv să acceseze neautorizat date private.
Potrivit Microsoft, aproximativ 50 de milioane de dispozitive Android rulau aplicații care includeau versiuni vulnerabile ale SDK-ului. Compania nu a numit aplicațiile afectate, dar a precizat că cel puțin 30 de milioane dintre instalări erau în zona aplicațiilor de criptomonede, ceea ce ridică miza prin natura datelor și a tranzacțiilor asociate.
Microsoft a sintetizat riscul astfel:
„Acest caz arată cum slăbiciunile din SDK-uri terțe pot avea implicații de securitate la scară largă, mai ales în sectoare cu valoare ridicată precum administrarea activelor digitale.”
Breșa a fost descoperită în aprilie 2025, în versiunea 4.5.4 a SDK-ului, și a fost remediată în noiembrie 2025, în versiunea 5.2.1. În plus, toate aplicațiile construite cu SDK-ul vulnerabil au fost eliminate din Google Play Store, conform informațiilor din articol.
Microsoft a mai spus că nu a găsit dovezi că vulnerabilitatea ar fi fost exploatată anterior ca „zero-day” (adică înainte de a exista un patch), însă recomandarea pentru dezvoltatori rămâne actualizarea rapidă la cea mai nouă versiune a SDK-ului.
Pentru utilizatori, articolul nu indică pași concreți de verificare a aplicațiilor afectate (Microsoft nu a publicat o listă), ceea ce limitează capacitatea de evaluare individuală a riscului. Pentru dezvoltatori, mesajul este direct: actualizarea EngageLab SDK la o versiune reparată și reevaluarea integrărilor terțe care expun componente „exportate” sau se bazează pe presupuneri de încredere nevalidate între aplicații.
Recomandate
FBI a confiscat 13 site-uri folosite pentru recrutare și colectare de informații sensibile , într-o operațiune care, potrivit autorităților americane, ar avea legături cu serviciile de informații ale Chinei, relatează Adevărul . Miza pentru mediul public și privat este una de securitate operațională: schema ar fi vizat direct persoane cu acces la date clasificate, folosind „oferte de muncă” ca pretext. Potrivit autorităților, domeniile vizate făceau parte dintr-o campanie online orientată către actuali și foști angajați ai guvernului SUA, inclusiv persoane care au deținut sau dețin autorizații de securitate. Informațiile sunt atribuite de publicație agenției Anadolu. Cum ar fi funcționat schema: identități false și „joburi” de consultanță Site-urile ar fi folosit identități false sau furate și fotografii de profil generate cu ajutorul inteligenței artificiale, pentru a crea aparența unor entități legitime. În acest cadru, erau promovate oferte de muncă aparent inofensive, în special poziții de consultanță adresate foștilor sau actualilor angajați guvernamentali. Departamentul de Justiție susține că persoanele contactate erau încurajate să furnizeze rapoarte legate de activitatea profesională și alte informații sensibile, în schimbul unor plăți financiare. Plăți și încercări de a evita trasabilitatea Oficialii americani afirmă că organizatorii ar fi încercat să își ascundă identitatea și fluxurile financiare prin utilizarea criptomonedelor și a unor platforme de plată online, pentru a îngreuna trasabilitatea tranzacțiilor. În material este citată o declarație a procurorului general adjunct pentru securitate națională, John A. Eisenberg , care indică mecanismul de atragere folosit în astfel de operațiuni: „Aceste confiscări de domenii oferă o imagine asupra modului în care actorii străini pot folosi promisiunea unor câștiguri facile pentru a atrage cetățeni americani să divulge informații sensibile sau clasificate, pe care sunt obligați să le protejeze”. De ce contează pentru companii și instituții Dincolo de componenta de contraspionaj, cazul arată cum canalele uzuale de recrutare online pot fi folosite ca vector de colectare de informații: prin identități credibile (inclusiv generate cu inteligență artificială), „oferte” țintite și stimulente financiare. Pentru organizații, riscul se traduce în expunerea angajaților și colaboratorilor cu acces la date sensibile, inclusiv prin activități aparent banale, precum redactarea unor rapoarte sau consultanță. Adevărul nu precizează ce domenii au fost confiscate și nici dacă există persoane arestate în acest dosar; informațiile publicate se referă la acțiunea de blocare/confiscare a celor 13 site-uri și la modul de operare descris de autoritățile americane. [...]
GitHub a dezactivat temporar 73 de depozite Microsoft, iar oprirea a întrerupt fluxuri de integrare și livrare continuă (CI/CD) folosite de dezvoltatori , după ce au apărut suspiciuni că acestea distribuiau conținut potențial malițios, potrivit BleepingComputer . Incidentul a avut loc pe 5 iunie și, conform Microsoft, a fost „conținut” în 105 secunde, însă efectele operaționale au fost imediate pentru proiectele care depindeau de aceste resurse. Microsoft a eliminat depozitele din organizațiile sale de pe GitHub (inclusiv Azure, microsoft, Azure-Samples și MicrosoftDocs), ceea ce a dus la oprirea unor pipeline-uri de integrare continuă. După dezactivare, utilizatorii au văzut un mesaj care indica faptul că acțiunea a fost luată de „GitHub Staff” din cauza încălcării termenilor de utilizare ai platformei. Impact operațional: acțiuni GitHub indisponibile și fluxuri blocate Cel mai vizibil efect a fost indisponibilitatea „ Azure/functions-action ”, o acțiune GitHub (componentă reutilizabilă în fluxurile de automatizare) folosită de mulți dezvoltatori pentru a implementa Azure Functions. Fluxurile care făceau referire la această acțiune au încetat să funcționeze deoarece depozitul indicat nu mai putea fi accesat, ceea ce a generat întreruperi și confuzie în rândul utilizatorilor. La momentul redactării articolului, toate depozitele fuseseră restaurate și sunt considerate „curate” și sigure de utilizat. Ce a declanșat măsura și ce se investighează Microsoft a transmis publicației că depozitele au fost eliminate din cauza unor îngrijorări legate de distribuirea de „conținut potențial malițios”. Un reprezentant al companiei a mai spus, într-o discuție comunitară, că dezactivarea a fost cauzată de „o problemă internă de management” și că este în desfășurare o investigație. Mai mulți cercetători au indicat că depozitele ar fi fost retrase după un compromis asociat unei campanii de tip supply chain (atac asupra lanțului de aprovizionare software) Miasma/Shai-Hulud. Platforma OpenSourceMalware a susținut că un depozit numit „durabletask” din organizația Azure ar fi fost compromis în mai, sugerând că o curățare incompletă ar fi permis atacatorului să revină, însă acest aspect nu este confirmat. Separat, aceeași sursă notează că pachetul „durabletask” de pe Python Package Index (PyPI) ar fi fost compromis în mai, când atacatorul ar fi publicat trei versiuni malițioase: 1.4.1, 1.4.2 și 1.4.3. Ce urmează pentru utilizatori și companii Microsoft spune că a notificat „un număr mic” de clienți care ar fi putut descărca conținut din depozitele afectate și că va continua investigația. Dacă vor fi identificate acțiuni necesare din partea clienților, compania afirmă că îi va contacta direct prin canalele sale de suport. În paralel, articolul notează recomandări generale pentru dezvoltatori în contextul atacurilor asupra ecosistemelor open-source: blocarea dependențelor (pinning), introducerea unor întârzieri de câteva zile înainte de a prelua actualizări noi și testarea build-urilor în medii izolate. [...]
O campanie de atacuri cibernetice plătite în criptomonede vizează organizații europene pro-Ucraina , după ce gruparea pro-rusă NoName057(16) a lansat inițiativa „ Patriotic Online Games ”, potrivit TechRadar . Miza pentru companii și instituții este una operațională: extinderea „pieței” de atacatori voluntari, motivați financiar, crește probabilitatea și frecvența incidentelor de tip DDoS (blocarea serviciilor online prin supraîncărcarea traficului). Ce este „Patriotic Online Games” și cum funcționează Conform publicației, NoName057(16) ar fi folosit Telegram pentru a recruta „voluntari patrioți” cărora le-ar fi atribuit sarcini variate, de la atacuri DDoS la misiuni de colectare de informații și până la ransomware (blocarea sistemelor și cerere de răscumpărare). Organizatorii prezintă campania ca pe un „joc” pentru a atrage mai mulți participanți și pentru a masca natura infracțională a activității. Participanții care își duc la capăt „misiunile” ar fi recompensați în criptomonede, „direct în portofelele lor”, potrivit relatării citate de TechRadar din Cybersecurity Insiders. Cine sunt țintele și de ce contează pentru economie Țintele ar fi, „în primul rând”, organizații din țări europene care și-au exprimat sprijinul pentru Ucraina. Lista de categorii menționată include: agenții guvernamentale; instituții financiare; organizații din infrastructura critică. Pentru mediul de afaceri, riscul imediat este întreruperea serviciilor digitale (site-uri, portaluri pentru clienți, plăți, programări, comunicare), cu efecte în lanț: indisponibilitate, costuri de remediere, presiune pe echipele IT și de securitate, precum și potențiale pierderi comerciale din cauza opririi operațiunilor. Context: un actor activ, asociat cu atacuri disruptive TechRadar descrie NoName057(16) ca un actor „foarte activ”, asociat cu atacuri DDoS disruptive, inclusiv asupra unor firme din infrastructura critică din Taiwan și asupra unor aeroporturi din Italia. Publicația amintește și de un episod în care guvernul italian a susținut că a dejucat o serie de atacuri care ar fi vizat Jocurile Olimpice de iarnă din 2026 (Milano Cortina). În acel context, ministrul de externe Antonio Tajani a declarat că au fost lovite facilități conectate la eveniment, inclusiv hoteluri din Cortina d’Ampezzo. Atacul ar fi vizat „aproximativ 120 de ținte”, inclusiv birouri ale ministerului de externe în SUA și consulate în Sydney, Toronto și Paris, iar Universitatea La Sapienza din Roma ar fi fost afectată într-un incident separat atribuit, de asemenea, unor hackeri cu legături rusești. Într-un mesaj pe Telegram citat de TechRadar, gruparea a legat explicit selecția victimelor de poziția Italiei față de Ucraina: „Politica pro-ucraineană a guvernului italian înseamnă că sprijinul pentru teroriștii ucraineni este pedepsit cu atacurile noastre DDoS.” Publicația notează și că Rusia respinge, în general, astfel de acuzații, catalogându-le drept „rusofobie” sau evaluări nefondate și motivate politic. Ce urmează: presiune mai mare pe apărarea anti-DDoS Elementul nou, cu impact practic, este mecanismul de stimulare financiară: recompensele în criptomonede pot accelera recrutarea și pot crește volumul de atacuri, inclusiv asupra unor ținte „soft” (furnizori, instituții locale, organizații cu protecție limitată). În acest context, organizațiile vizate — mai ales din sectorul public, financiar și infrastructură critică — au un motiv în plus să trateze protecția anti-DDoS ca pe o măsură operațională de continuitate, nu doar ca pe o componentă „de securitate IT”. [...]
Google a deschis un proces împotriva unei rețele de escrocherii care ar fi folosit Gemini pentru a automatiza fraude financiare , într-un demers care combină presiunea juridică cu măsuri operaționale împreună cu operatori telecom și autorități, potrivit 9to5Google . Ținta acțiunii în instanță este „ Outsider Enterprise ”, o rețea de criminalitate cibernetică cu bază în China, despre care The New York Times relatează că ar fi folosit Gemini pentru a „trimite în masă escrocherii financiare către sute de mii de americani”. Conform informațiilor prezentate, gruparea ar fi generat site-uri false care imitau servicii și branduri cunoscute, inclusiv Google și YouTube, dar și instituții/servicii publice precum US Postal Service și E‑ZPass (New York). Dimensiunea operațiunii: site-uri false, URL-uri frauduloase și mesaje către utilizatori Android Într-o postare pe blogul oficial al companiei, The Keyword , Google descrie amploarea activității atribuite rețelei, cu impact direct asupra utilizatorilor: „Sute de mii” de victime ar fi fost păgubite, cu pierderi estimate „în milioane” (fără o sumă exactă). 9.000 de site-uri false și peste 1 milion de URL-uri frauduloase asociate grupării. 55.000 de mesaje spam semnalate de utilizatori Android în doar două săptămâni din luna mai (echivalentul a peste două plângeri pe minut). 2,5 milioane de mesaje trimise către utilizatori Android, în același interval de două săptămâni, conținând linkuri către site-uri generate de rețea. Deși postarea Google citată de 9to5Google nu menționează explicit că escrocii ar fi folosit modele Gemini, acțiunea în instanță și relatarea The New York Times leagă utilizarea Gemini de mecanismul de creare a infrastructurii de fraudă (site-uri și campanii de mesaje). De ce contează pentru companii și utilizatori: costuri de apărare și presiune pentru reguli mai dure Cazul indică o schimbare de accent: pe lângă măsurile tehnice, Google încearcă să folosească instanța pentru a descuraja rețelele care „industrializează” phishing-ul (fraude prin mesaje și site-uri care imită servicii legitime) cu ajutorul instrumentelor de inteligență artificială. În paralel cu procesul, compania spune că lucrează cu mari operatori telecom din SUA și cu FBI pentru a opri rețeaua, inclusiv prin blocarea mesajelor înainte să ajungă la clienți. Google menționează și că susține adoptarea unor legi mai stricte, adaptate „erei AI”, fără a detalia în material ce schimbări legislative ar urmări concret. Separat, Ars Technica notează că, potrivit documentelor depuse de Google, rețeaua ar fi operat prin Telegram și ar fi oferit „phishing-as-a-service” (servicii „la cheie” pentru fraudă), inclusiv șabloane pentru escrocherii. Aceeași sursă mai arată că mesajele trimise către utilizatori invocau frecvent „probleme de cont” sau „probleme de livrare”, pentru a împinge victimele către site-uri false unde li se cereau date personale și bancare. Ce urmează Procesul ar putea duce la măsuri judiciare care să îngreuneze funcționarea infrastructurii online a grupării (site-uri și domenii), însă efectul real depinde de aplicarea deciziilor și de cooperarea cu operatorii telecom și autoritățile. Pentru utilizatori, semnalul imediat rămâne același: mesajele cu linkuri către „verificări urgente” de cont sau livrare sunt un vector major de fraudă, iar atacatorii își pot scala rapid campaniile cu ajutorul instrumentelor AI. [...]
Google vizează în instanță o rețea de escrocherii cu mesaje și cere legi mai dure , într-o mișcare care combină apărarea tehnică cu presiunea juridică asupra infrastructurii folosite la phishing (furt de date prin imitarea unor branduri). Potrivit Google Blog , compania a depus un proces civil pentru a „dezafecta” o operațiune numită „ Outsider Enterprise ”, în paralel cu coordonare cu FBI și colaborare cu mari operatori telecom pentru blocarea mesajelor frauduloase înainte să ajungă la utilizatori. Ținta: „Outsider Enterprise”, o operațiune organizată cu infrastructură online masivă Google afirmă că procesul civil vizează o rețea de criminalitate cibernetică „organizată”, pe care o descrie ca fiind bazată în China și coordonată prin Telegram. Conform companiei, gruparea distribuie „kituri de phishing” (pachete de instrumente care permit lansarea rapidă a campaniilor de fraudă), folosite pentru a trimite în masă mesaje care par a veni de la Google și alte branduri cunoscute. Dimensiunea operațiunii, așa cum este prezentată de Google, include: aproximativ 9.000 de site-uri false și peste 1 milion de URL-uri frauduloase asociate grupului; 55.000 de mesaje spam semnalate de utilizatori Android în două săptămâni din luna mai (peste două sesizări pe minut); 2,5 milioane de mesaje trimise către utilizatori Android, în aceeași perioadă, cu linkuri către site-uri generate de rețea; „sute de mii” de victime, cu pierderi estimate „la milioane” (fără o valoare exactă). Răspunsul: proces, acțiuni de aplicare a legii și blocare la nivel de rețea Compania spune că demersul în instanță urmărește să „demonteze infrastructura” folosită de rețea, iar în paralel lucrează cu FBI , care „va întreprinde acțiuni de aplicare a legii”. În zona operațională, Google indică o cooperare continuă cu AT&T, T-Mobile și Verizon pentru a bloca mesajele frauduloase înainte de livrare. Într-o declarație inclusă de Google, FBI descrie operațiunea ca pe un „business” construit pe impersonarea brandurilor și notează că folosirea inteligenței artificiale face frauda „mai convingătoare și mai greu de detectat”. „Infractorii folosesc tot mai mult inteligența artificială pentru a face astfel de fraude mai convingătoare și mai greu de detectat.” — Brett Leatherman, FBI Cyber Division (citat reprodus de Google) Miza de reglementare: șapte proiecte de lege „bipartizane” pentru protecții permanente Google susține că „litigiul singur” nu va opri fenomenul și afirmă că promovează șapte proiecte de lege bipartizane la nivel federal în SUA pentru combaterea escrocheriilor, inclusiv a celor create cu ajutorul inteligenței artificiale. În text sunt menționate inițiative precum „ Stop SCAMS Act ”, prezentate prin declarații ale unor membri ai Congresului. Ce se schimbă pentru utilizatori: apărare automată în Android și filtrare masivă a mesajelor Pe partea de produse, Google spune că folosește instrumente bazate pe inteligență artificială pentru a contracara escrocheriile generate tot cu AI, inclusiv: funcții de detectare a escrocheriilor pe Android , care alertează utilizatorii în conversații și în timpul apelurilor; „apărări integrate” în mesagerie care ar intercepta peste 10 miliarde de mesaje malițioase lunar . Pentru funcția de detectare a apelurilor suspecte, compania indică separat un material dedicat despre „scam detection” pe Android, publicat pe blogul de securitate al Google: Google Security Blog . [...]
MAI avertizează că infractorii cibernetici folosesc campanii false de „prevenire a fraudelor” ca să obțină date de card și să fure bani , potrivit Digi24 . Miza pentru utilizatori este una direct financiară: mesajele sunt construite ca să împingă rapid victima spre o „plată” online, care în realitate duce la compromiterea datelor bancare. În mesajul publicat de Ministerul Afacerilor Interne pe Facebook, instituția arată că atacatorii se prezintă sub identitatea unor instituții ale statului și afișează utilizatorilor un mesaj fals conform căruia telefonul sau calculatorul a fost blocat. Pentru „deblocare”, victima este îndemnată să achite 2.480 de lei. Polițiștii avertizează că scopul real nu este deblocarea dispozitivului, ci furtul datelor cardului bancar. În acest context, recomandarea este să nu fie introduse datele cardului și să nu fie făcută nicio plată, deoarece nicio instituție a statului nu cere plata unei „amenzi” printr-o pagină de internet. Ce ar trebui să facă utilizatorii când văd mesajul MAI recomandă, potrivit News.ro , câteva măsuri imediate: să închidă imediat pagina și să nu interacționeze cu mesajul; să nu introducă datele cardului și să nu efectueze plăți; să distribuie avertizarea, pentru a reduce riscul ca alte persoane să devină victime. [...]
