Știri
Știri din categoria Securitate cibernetică
Microsoft avertizează că routerele din case și birouri mici au devenit o verigă operațională pentru spionaj la scară largă, după ce un grup cu legături militare rusești le-ar fi folosit pentru a deturna trafic de internet și a obține vizibilitate în rețele mai bine protejate, potrivit Economedia.
Miza pentru companii este una practică: atacatorii nu ar mai avea nevoie să „spargă” direct rețeaua corporativă pentru a colecta date sau a pregăti pași ulteriori, ci pot folosi infrastructura periferică neadministrată (routere SOHO – „small office/home office”, adică echipamente din locuințe și birouri mici) ca punct de sprijin.
Echipa de informații despre amenințări cibernetice a Microsoft arată că grupul Forest Blizzard a transformat routere nesigure în platforme de supraveghere „la nivel de stat”. Cel puțin din august 2025, grupul ar exploata dispozitive SOHO vulnerabile pentru a deturna traficul DNS (sistemul care „traduce” numele site-urilor în adrese tehnice), ceea ce permite colectarea pasivă a datelor de rețea și mascarea operațiunilor ulterioare în spatele unei infrastructuri legitime.
Publicația notează că această abordare ar oferi actorului „vizibilitate” în medii mai mari și mai bine protejate, fără compromiterea directă a rețelelor corporative.
Microsoft susține că, deși infiltrarea dispozitivelor SOHO nu este o noutate, este pentru prima dată când observă deturnarea DNS folosită la scară largă pentru a susține direct atacuri de tip „adversar-în-mijloc” (AiTM), adică situații în care atacatorul se interpune între utilizator și serviciul accesat, vizând conexiuni TLS (standardul care securizează traficul web).
Microsoft a identificat peste 200 de organizații și 5.000 de dispozitive afectate de infiltrarea Forest Blizzard. Compania precizează că nu a observat compromiterea activelor deținute de Microsoft, însă cercetătorii consideră operațiunea o escaladare a modului în care actorii statali pot transforma dispozitive periferice neadministrate în instrumente de atac și că ar putea permite interceptare activă la scară mai largă în viitor.
Recomandate
O vulnerabilitate dintr-un SDK terț a pus în risc datele a circa 50 de milioane de utilizatori Android , după ce Microsoft a identificat o breșă care permitea ocolirea „sandbox”-ului (izolarea de securitate dintre aplicații), potrivit techradar.com . Miza pentru utilizatori și companii este una operațională: problema nu ține de o singură aplicație, ci de un component reutilizat pe scară largă, ceea ce amplifică riscul în lanțul de aprovizionare software (supply chain). Vulnerabilitatea a fost găsită în EngageLab SDK, un kit de dezvoltare folosit pentru funcții de „engagement” precum notificări push sau mesaje în aplicație. Cercetătorii Microsoft au descris-o drept o „vulnerabilitate de redirecționare a intent-urilor” (mesaje interne Android folosite pentru comunicarea între aplicații sau componente), care putea permite unei aplicații de pe același dispozitiv să acceseze neautorizat date private. De ce contează: efect de scară prin dependențe „invizibile” Potrivit Microsoft, aproximativ 50 de milioane de dispozitive Android rulau aplicații care includeau versiuni vulnerabile ale SDK-ului. Compania nu a numit aplicațiile afectate, dar a precizat că cel puțin 30 de milioane dintre instalări erau în zona aplicațiilor de criptomonede, ceea ce ridică miza prin natura datelor și a tranzacțiilor asociate. Microsoft a sintetizat riscul astfel: „Acest caz arată cum slăbiciunile din SDK-uri terțe pot avea implicații de securitate la scară largă, mai ales în sectoare cu valoare ridicată precum administrarea activelor digitale.” Cronologie și remediere Breșa a fost descoperită în aprilie 2025, în versiunea 4.5.4 a SDK-ului, și a fost remediată în noiembrie 2025, în versiunea 5.2.1. În plus, toate aplicațiile construite cu SDK-ul vulnerabil au fost eliminate din Google Play Store, conform informațiilor din articol. Microsoft a mai spus că nu a găsit dovezi că vulnerabilitatea ar fi fost exploatată anterior ca „zero-day” (adică înainte de a exista un patch), însă recomandarea pentru dezvoltatori rămâne actualizarea rapidă la cea mai nouă versiune a SDK-ului. Ce urmează pentru utilizatori și dezvoltatori Pentru utilizatori, articolul nu indică pași concreți de verificare a aplicațiilor afectate (Microsoft nu a publicat o listă), ceea ce limitează capacitatea de evaluare individuală a riscului. Pentru dezvoltatori, mesajul este direct: actualizarea EngageLab SDK la o versiune reparată și reevaluarea integrărilor terțe care expun componente „exportate” sau se bazează pe presupuneri de încredere nevalidate între aplicații. [...]
O nouă platformă de phishing numită „VENOM” vizează conturile Microsoft ale executivilor de top , potrivit BleepingComputer . Atacurile urmăresc furtul de credențiale pentru persoane din conducerea companiilor (CEO, CFO, vicepreședinți) din mai multe industrii, iar operațiunea ar fi activă cel puțin din noiembrie anul trecut. Platforma este descrisă ca un serviciu de tip „phishing-as-a-service” (PhaaS), adică o infrastructură „la cheie” pe care infractorii o pot folosi pentru a derula campanii de furt de date de autentificare. Cercetătorii citați de publicație spun că VENOM pare să fie cu acces restricționat, nefiind promovat pe canale publice sau pe forumuri clandestine, ceea ce îi reduce vizibilitatea pentru comunitatea de securitate. Cum arată lanțul de atac: de la e-mail la furtul sesiunii Cercetătorii companiei de securitate Abnormal au observat e-mailuri care imitau notificări Microsoft SharePoint privind partajarea de documente, prezentate ca parte a comunicării interne. Mesajele sunt personalizate și includ „zgomot” în codul HTML (de exemplu clase CSS false și comentarii), plus fire de conversație fabricate, adaptate țintei, pentru a crește credibilitatea. Un element central este folosirea unui cod QR redat în Unicode, pe care victima este îndemnată să îl scaneze pentru „acces”. Scopul este ocolirea unor mecanisme automate de analiză a linkurilor și mutarea interacțiunii pe dispozitive mobile, unde controalele pot fi diferite față de cele de pe stațiile de lucru din companie. „Fragmentele nu sunt niciodată transmise în cererile HTTP, făcând e-mailul țintei invizibil pentru jurnalele de pe server și pentru fluxurile de reputație ale URL-urilor”, explică cercetătorii Abnormal. Tehnici folosite: AiTM și „device code”, cu impact asupra MFA După scanarea codului QR, victima ajunge pe o pagină intermediară care filtrează cercetătorii și mediile de analiză (sandbox), astfel încât doar țintele „reale” să fie redirecționate către pagina de phishing. Utilizatorii care nu sunt de interes sunt trimiși către site-uri legitime, pentru a reduce suspiciunile. Pentru colectarea datelor, VENOM folosește o metodă de tip „adversary-in-the-middle” (AiTM), în care atacatorul intermediază în timp real fluxul de autentificare Microsoft, retransmițând credențialele și codurile de autentificare multifactor (MFA) către interfețele Microsoft și capturând „tokenul de sesiune” (cheia care poate menține accesul fără reintroducerea parolei). Separat, Abnormal a observat și o tactică de tip „device-code phishing”, în care victima este păcălită să aprobe accesul la cont pentru un dispozitiv controlat de atacator. În ambele scenarii, obiectivul este obținerea rapidă a accesului persistent în timpul autentificării: fie prin înregistrarea unui dispozitiv nou în contul victimei (în fluxul AiTM), fie prin obținerea unui token care oferă acces (în fluxul „device code”). Cercetătorii avertizează că MFA, de una singură, nu mai este suficientă și recomandă autentificare FIDO2 (chei de securitate sau metode rezistente la phishing), dezactivarea fluxului „device code” când nu este necesar și politici mai stricte de acces condiționat pentru a limita abuzul de tokenuri. [...]
Publicarea a 78,6 milioane de înregistrări interne ale Rockstar arată cât de scump poate deveni un atac „din lanțul de furnizori” , pentru că expune date operaționale și financiare folosite la monitorizarea serviciilor online, chiar dacă nu pare să afecteze direct jucătorii, potrivit TechRadar . Gruparea ShinyHunters , asociată cu atacul recent asupra Rockstar Games, a publicat fișierele cu o zi înainte de termenul-limită pe care îl comunicase companiei. Deși fanii așteptau eventuale informații despre GTA VI, setul de date divulgat pare să fie preponderent „business și financiar”, nu materiale din joc. Ce conțin datele și de ce contează pentru companie Conform publicației, ShinyHunters a spus pentru BleepingComputer că datele pot fi descărcate de pe un site al grupării din dark web și ar reprezenta în principal „analize interne folosite pentru a monitoriza serviciile online ale Rockstar și tichetele de suport”. În mod specific, ar include: date despre „economia” din joc pentru Grand Theft Auto Online și Red Dead Online, inclusiv cât ar câștiga fiecare titlu zilnic și săptămânal; indicatori de venituri și achiziții în joc, plus urmărirea comportamentului jucătorilor; analize de suport clienți, inclusiv pentru instanța Zendesk a companiei (potrivit BleepingComputer). Chiar dacă nu sunt „secrete” de produs, astfel de date pot avea valoare economică: oferă o imagine asupra performanței serviciilor online și a veniturilor recurente din jocuri, precum și asupra modului în care sunt gestionate problemele raportate de utilizatori. Contextul tehnic: atac printr-un furnizor și acces la conturi Snowflake TechRadar plasează incidentul în seria de atacuri de tip „supply chain” (lanț de furnizori) legate de Anodot, despre care se afirmă că a afectat „zeci de companii”. Atacatorii ar fi găsit tokenuri de autentificare care le-au permis să acceseze conturi de clienți Snowflake. Ar fi încercat și accesarea unor conturi Salesforce, însă „ar fi fost blocați” înainte să reușească. Poziția Rockstar: „fără impact” asupra organizației sau jucătorilor După apariția inițială a informațiilor despre atac, Rockstar a confirmat breșa și a transmis că datele sustrase nu erau importante, adăugând că „acest incident nu are impact asupra organizației noastre sau asupra jucătorilor noștri”. Compania a mai precizat că „o cantitate limitată de informații ne-materiale” a fost accesată în legătură cu o breșă la un terț. Pentru companii, cazul rămâne un semnal despre riscul operațional și financiar al dependenței de furnizori și servicii terțe: chiar și când nu există o compromitere directă a utilizatorilor, scurgerile de date interne pot expune indicatori sensibili despre venituri, operațiuni și suport. [...]
Adobe a lansat un patch de urgență pentru o vulnerabilitate „zero-day” din Acrobat Reader exploatată din decembrie 2025 , iar pentru companii miza este una operațională: actualizarea rapidă a stațiilor și controlul expunerii la fișiere PDF malițioase, potrivit TechRadar . Vulnerabilitatea, urmărită ca CVE-2026-34621 , este descrisă drept un bug de tip „modificare necontrolată a atributelor prototipului obiectului” și permite execuție de cod la distanță (RCE) în contextul utilizatorului curent, dacă victima deschide un PDF malițios. Scorul de severitate menționat este 8,6/10 (ridicat) . Cine este afectat și ce versiuni trebuie actualizate Problema lovește mai multe linii de produs, iar Adobe indică explicit pragurile de versiune și versiunile în care a fost remediată: Acrobat DC : versiunile 26.001.21367 și anterioare (remediat în 26.001.21411 ) Acrobat Reader DC : versiunile 26.001.21367 și anterioare (remediat în 26.001.21411 ) Acrobat 2024 : versiunile 24.001.30356 și anterioare (remediat în 24.001.30362 pe Windows și 24.001.30360 pe Mac) Impact operațional: fără soluții temporare, doar actualizare Adobe afirmă că nu există soluții alternative sau măsuri de atenuare ; singura opțiune este actualizarea aplicației. Actualizarea se poate face din aplicație (meniul Help – Check for Updates ) sau prin descărcarea installerului de pe site-ul oficial Adobe. În paralel, cercetătorul în securitate Haifei Li a descris un exploit PDF „foarte sofisticat”, de tip „fingerprinting” (identificare a mediului victimei), care ar funcționa pe cea mai recentă versiune de Adobe Reader și nu ar necesita altceva decât deschiderea fișierului PDF. Potrivit acestuia, atacul ar permite colectarea de informații locale și ar putea deschide calea către atacuri ulterioare, inclusiv RCE. Ce pot face echipele de securitate în rețea Deși Adobe spune că nu există mitigări, BleepingComputer (citat de TechRadar) notează că apărătorii din rețea ar putea reduce riscul prin monitorizarea și blocarea traficului HTTP/HTTPS care include șirul „Adobe Synchronizer” în antetul User-Agent. Separat, un analist cu aliasul Gi7w0rm susține că momeala PDF folosită în atacuri ar face referire la evenimente curente din industria petrolului și gazelor din Rusia și ar fi scrisă în rusă, ceea ce poate sugera profilul țintelor, fără ca articolul să indice o confirmare independentă a acestui detaliu. [...]
Scurgerea integrală a filmului animat „Avatar: Aang, The Last Airbender” forțează Paramount să accelereze măsurile antipiraterie , după ce pe 4chan și X au apărut imagini și detalii de scenariu din producție, înaintea debutului programat pentru 9 octombrie 2026, potrivit Notebookcheck . Compania nu a comentat public informațiile. Materialele scurse ar fi oferit „prima privire” asupra personajelor originale în ipostaza de adulți tineri și ar include atât secvențe video, cât și fișiere interne. O parte din conținut fusese deja eliminată la momentul publicării articolului, dar discuțiile și descrierile scenelor rămâneau ușor de găsit. Ce arată scurgerea și de ce contează operațional Conform articolului, secvențele indică o reuniune a personajelor Aang, Katara, Sokka, Toph și Zuko, în căutarea unui personaj nou, Tagah, descris ca un „vechi Airbender” prins în gheață. Totodată, scurgerea ar confirma o reconfigurare completă a distribuției vocale pentru rolurile principale. Notebookcheck notează că Tagah ar fi dublat de Dave Bautista, iar Aang de Eric Nam și Zuko de Steven Yeun, restul echipei fiind dublată de Jessica Matten, Román Zaragoza și Dionne Quan. Schimbare de strategie: de la cinema la streaming Un alt element cu impact direct asupra planificării comerciale este schimbarea strategiei de lansare: fișierele interne citate ar arăta că filmul ar fi trecut de la o lansare în cinematografe la un debut exclusiv pe Paramount+ , programat pentru 9 octombrie 2026. Paramount nu a confirmat oficial această modificare și nici nu a anunțat un calendar actualizat, potrivit aceleiași surse. Reacția companiei și ce urmează Notebookcheck scrie că Paramount a început să depună reclamații de încălcare a drepturilor de autor pentru a elimina clipurile de pe rețelele sociale. În paralel, Avatar Studios nu ar fi emis încă o declarație oficială despre incident. Publicația menționează și reacții timpurii ale unor persoane care susțin că au văzut filmul scurs: aprecieri pentru stilul animației (apropiat de serialul original), dar nemulțumiri legate de înlocuirea distribuției vocale și îngrijorări privind anumite alegeri de scenariu, despre care unii fani afirmă că ar contrazice istoria stabilită în benzi desenate și în „The Legend of Korra”. [...]
Booking.com a confirmat o breșă de securitate care a expus date de rezervare și contact ale unor clienți , fără ca informațiile financiare să fi fost accesate, potrivit The Guardian . Compania spune că a detectat „activitate suspectă” ce a permis unor terți neautorizați să vadă o parte din informațiile asociate rezervărilor. Platforma a precizat că a acționat pentru a „limita” incidentul, inclusiv prin actualizarea codului PIN pentru rezervările vizate și prin informarea clienților afectați. Booking.com nu a comunicat câte persoane au fost impactate. Ce date ar fi putut fi accesate Într-un e-mail trimis clienților vizați, compania arată că atacatorii ar fi putut obține „anumite informații de rezervare” legate de o rezervare anterioară. Conform investigației de până acum, datele accesate ar putea include: detalii de rezervare; nume; e-mail; adresă; număr de telefon asociat rezervării; orice informație pe care clientul ar fi împărtășit-o cu unitatea de cazare. Un purtător de cuvânt a declarat că „informațiile financiare nu au fost accesate” în cadrul breșei. Context: presiune operațională din valul de fraude online Incidentul vine pe fondul unei serii de tentative de criminalitate cibernetică ce vizează Booking.com. Publicația notează că platforma s-a confruntat recent cu o creștere a înșelătoriilor online, în care fraudatorii cer detalii de plată sub pretextul „preautorizării” sau „verificării” înaintea unei călătorii, apoi fac debitări mari. În 2018, infractori au folosit tehnici de tip phishing (mesaje înșelătoare menite să fure credențiale) pentru a obține date de autentificare ale angajaților unor hoteluri din Emiratele Arabe Unite, ceea ce le-a permis să acceseze datele de rezervare a peste 4.000 de persoane. Tot atunci, Booking.com a raportat cu 22 de zile întârziere breșa către autoritatea olandeză pentru protecția datelor, ceea ce a dus la o amendă de 475.000 de euro (aprox. 2,4 milioane lei). De ce contează Pentru utilizatori, expunerea datelor de contact și a detaliilor de rezervare crește riscul de fraude țintite (de exemplu, mesaje care imită comunicări ale hotelului sau ale platformei). Pentru companie, incidentul adaugă presiune operațională și de conformare, într-un moment în care industria rezervărilor online este criticată pentru proliferarea listărilor false și a tentativelor de înșelăciune. Booking.com este deținută de Booking Holdings , grup american care mai deține OpenTable, Agoda și Kayak și are sediul în Norwalk, Connecticut, cu peste 24.000 de angajați la nivel global. [...]
