Știri
Știri din categoria Securitate cibernetică
Un posibil furt al bazei de date a clienților Seiko USA ridică riscuri directe de fraudă și costuri de răspuns la incident, după ce site-ul companiei a fost vandalizat, iar atacatorii au susținut că au accesat infrastructura de comerț electronic. Informațiile sunt prezentate de TechRadar.
În weekend, secțiunea „Press Lounge” a site-ului Seiko USA a afișat o pagină intitulată „HACKED”, în care actori neidentificați au afirmat că au compromis „backend-ul” (zona de administrare) al magazinului Shopify al companiei și au descărcat „întreaga bază de date a clienților”. Potrivit relatării, atacatorii nu au publicat o mostră de fișiere care să susțină afirmația.
Atacatorii au susținut că ar fi obținut o gamă largă de informații despre clienți, inclusiv:
Dacă aceste date au fost într-adevăr exfiltrate, ele pot fi folosite pentru tentative de fraudă și atacuri de tip „phishing” (mesaje înșelătoare care urmăresc furtul de date sau bani), inclusiv prin personalizarea mesajelor pe baza istoricului de cumpărare și a datelor de contact.
Conform TechRadar, atacatorii au cerut companiei să îi contacteze în 72 de ore pentru negocierea unei răscumpărări, amenințând că, în caz contrar, vor publica datele pe „dark web” (zona greu accesibilă a internetului, folosită frecvent pentru tranzacții ilegale). Ei ar fi indicat și un cont de client specific din panoul de administrare Shopify (ID 8069776801871) și au cerut folosirea e-mailului asociat acelui cont pentru inițierea discuțiilor.
Până la momentul relatării, datele nu apăruseră pe dark web și niciun grup nu își asumase public atacul. Publicația notează că acest lucru poate însemna fie că Seiko a ajuns la o înțelegere, fie că atacatorii au blufat și nu au avut, de fapt, datele.
Seiko nu emisese încă o declarație oficială despre incident, însă site-ul a fost restaurat, potrivit aceleiași surse.
TechRadar amintește că Seiko a mai fost lovită de un atac de tip ransomware în iulie 2023, atribuit grupării BlackCat, când compania a raportat pierderea a 60.000 de „elemente de date personale” din trei departamente (Group, Watch și Instruments), incluzând nume, numere de telefon, e-mailuri și adrese poștale.
Informațiile despre incidentul curent sunt atribuite și publicației BleepingComputer, citată de TechRadar.
Recomandate
Vercel confirmă o breșă cu acces neautorizat la sisteme interne , iar incidentul ridică riscuri operaționale pentru clienți prin posibila expunere a „secretelor” folosite în aplicații (chei și tokenuri), potrivit Bleeping Computer . Platforma de dezvoltare și găzduire în cloud, cunoscută inclusiv pentru Next.js, spune într-un buletin de securitate că a identificat „un incident de securitate care a implicat acces neautorizat la anumite sisteme interne Vercel” și că a fost afectat „un subset limitat” de clienți. Compania afirmă că investighează, a angajat experți în răspuns la incidente, a notificat autoritățile și va actualiza informațiile pe măsură ce ancheta avansează. Vercel susține că serviciile sale „nu au fost afectate” și că lucrează direct cu clienții impactați. Ca măsuri de protecție, compania recomandă clienților să își revizuiască variabilele de mediu (configurări care pot include parole, chei și alte date sensibile), să folosească funcția de „variabile de mediu sensibile ” și să rotească secretele dacă este necesar. Buletinul de securitate al companiei este disponibil aici: Vercel , iar documentația pentru funcția menționată: Vercel . Ce susțin atacatorii și ce rămâne neconfirmat Dezvăluirea vine după ce un actor de amenințare care pretinde că este „ShinyHunters” a postat pe un forum că ar fi compromis Vercel și că ar vinde acces la date ale companiei. Totuși, aceeași sursă notează că actori asociați unor atacuri recente atribuite grupării ShinyHunters au negat că ar fi implicați în acest incident. Atacatorul a afirmat că ar vinde, între altele, chei de acces, cod sursă și date din baze de date, precum și acces la implementări interne și chei API. În postare apare și un fragment prezentat drept „dovadă”, care menționează tokenuri NPM și GitHub. Atacatorul a mai distribuit un fișier text cu informații despre angajați Vercel, descris ca având 580 de înregistrări (nume, adrese de e-mail Vercel, status de cont și marcaje temporale de activitate), plus o captură de ecran care ar părea să provină dintr-un tablou de bord intern Vercel Enterprise. Publicația precizează că nu a putut confirma independent autenticitatea datelor sau a capturii. Miza pentru clienți: rotația „secretelor” și controlul accesului Din perspectiva impactului operațional, recomandarea de a revizui variabilele de mediu și de a roti secretele indică un risc tipic în astfel de incidente: dacă tokenurile sau cheile au fost expuse, ele pot fi folosite pentru acces neautorizat la servicii și fluxuri de livrare software (de exemplu, publicare de pachete, acces la depozite de cod sau la API-uri). În mesaje distribuite pe Telegram, atacatorul a mai susținut că ar fi discutat cu Vercel despre o presupusă cerere de răscumpărare de 2 milioane de dolari (aprox. 9 milioane lei). Bleeping Computer spune că a cerut companiei clarificări, inclusiv dacă au fost expuse date sensibile sau credențiale și dacă există negocieri cu atacatorii, urmând să actualizeze informațiile dacă primește un răspuns. [...]
Microsoft își extinde instrumentele interne de securitate cu modele AI ale Anthropic , într-o mișcare care mută inteligența artificială mai aproape de „linia de producție” a software-ului, acolo unde sunt depistate și corectate vulnerabilitățile înainte ca produsele să ajungă la utilizatori, potrivit Profit . Compania a anunțat că va integra modele avansate de inteligență artificială, inclusiv Claude Mythos Preview , dezvoltat de Anthropic, în propriul program de dezvoltare securizată a software-ului. Ce se schimbă operațional: AI intră în Security Development Lifecycle Modelele vor fi incluse în Security Development Lifecycle (SDL) – sistemul intern al Microsoft folosit pentru identificarea vulnerabilităților și remedierea lor încă din fazele incipiente ale dezvoltării produselor. În practică, integrarea vizează întărirea proceselor de securitate „din proiectare”, nu doar reacția după apariția incidentelor. Profit nu oferă detalii suplimentare despre calendarul implementării, aria exactă de produse vizată sau modul în care vor fi folosite modelele în fluxurile de lucru ale echipelor de dezvoltare. [...]
Compromiterea contului Signal al președintei Bundestagului ridică riscuri directe pentru securitatea comunicațiilor interne ale conducerii CDU , în condițiile în care aplicația este folosită pentru coordonare politică, potrivit Adevărul . Julia Klöckner ar fi fost vizată într-un atac cibernetic atribuit Rusiei de serviciile de informații germane, pe fondul intensificării „războiului hibrid” în Europa. Informația apare într-o anchetă Der Spiegel , care susține că atacul a vizat utilizatori ai aplicației Signal, iar contul Juliei Klöckner ar fi fost compromis. Klöckner este membru important al CDU și apropiată a cancelarului Friedrich Merz; sursele citate indică faptul că membrii executivului CDU, inclusiv cancelarul, folosesc un grup de discuții pe Signal pentru comunicare internă. Ce spun autoritățile și ce s-a verificat Contactat de AFP, un purtător de cuvânt al Juliei Klöckner nu a confirmat și nici nu a infirmat incidentul, invocând practica Parlamentului german de a nu oferi, de regulă, informații despre „infrastructura critică de securitate”. Între timp, BfV (serviciul de informații interne al Germaniei) l-a informat pe Friedrich Merz despre situație, iar în urma verificărilor telefonul cancelarului nu ar fi prezentat semne de compromitere. De ce contează: val de phishing și risc de acces „aproape nedetectat” Avertismentul autorităților vine în contextul unui val de atacuri de tip phishing (tentative de înșelăciune prin care atacatorii se dau drept entități de încredere pentru a obține date sensibile sau a determina accesarea unor linkuri malițioase). În aceeași săptămână, BfV a avertizat parlamentarii germani cu privire la amploarea acestor atacuri. „Trebuie să presupunem că un număr mare de grupuri Signal din sfera parlamentară sunt citite de atacatori aproape nedetectați”, au transmis reprezentanții agenției, citați de Der Spiegel. Context regional: ținte în Ucraina și în țări NATO, inclusiv România În material este menționat și un caz recent în care procurori, anchetatori și instituții anticorupție din Ucraina ar fi fost ținte ale unei operațiuni de hacking atribuite Rusiei, atac care ar fi vizat și țări NATO, inclusiv România. Potrivit informațiilor citate, în România ar fi fost sparte zeci de conturi administrate de Forțele Aeriene și de baze NATO, iar în Ucraina ar fi fost compromise peste 170 de conturi ale unor instituții implicate în lupta anticorupție și în identificarea colaboratorilor ruși. [...]
Autoritățile chineze cer companiilor să-și întărească rapid controalele pe hardware, software, date și personal , după ce au prezentat cazuri de scurgeri interne și furt de date care, în viziunea Beijingului, pot afecta direct securitatea economică și dezvoltarea industrială. Potrivit Global Times , Ministerul Securității de Stat (MSS) a făcut publice mai multe incidente și a cerut construirea unui „sistem științific și eficient” de protecție a lanțurilor industriale și de aprovizionare. MSS susține că resursele, progresul tehnologic și fluxurile de date sunt integrate în infrastructura de bază a acestor lanțuri, iar vulnerabilitățile punctuale sau reacțiile doar după producerea incidentelor „nu mai sunt suficiente” într-un mediu de securitate pe care îl descrie drept tot mai sever și complex. Cazurile prezentate: pământuri rare , semiconductori și furt masiv de date Într-un caz, o companie străină din sectorul metalelor neferoase ar fi folosit un angajat chinez (cu numele de familie Ye) pentru a mitui un director adjunct al unei companii locale de pământuri rare (cu numele de familie Cheng). MSS afirmă că acesta din urmă a încălcat reglementările și a furnizat ilegal „șapte elemente” de secrete de stat clasificate, inclusiv informații despre categorii, cantități și prețuri ale rezervelor de pământuri rare ale Chinei. Cei doi au fost sancționați conform legii, potrivit ministerului. Un al doilea caz vizează un fost inginer al unei companii chineze de semiconductori (cu numele de familie Zhang), care ar fi încălcat obligațiile de confidențialitate după plecarea din firmă și ar fi furnizat ilegal unei organizații străine procese de producție esențiale și alte secrete comerciale. Al treilea caz descrie o companie internă care ar fi folosit mijloace tehnice pentru a se „încorpora” în sistemul unei platforme de comerț electronic, furând peste un milion de înregistrări de date de afaceri pe zi și obținând ilegal profituri de „zeci de milioane de yuani”. MSS afirmă că persoanele implicate au fost pedepsite sever conform legii. Ce măsuri cere MSS: control mai strict pe furnizori, acces și date Pe baza acestor exemple, ministerul cere companiilor să ridice nivelul de protecție pe patru direcții, cu accent pe prevenție și trasabilitate: Hardware : control mai strict al accesului la cipuri, servere și echipamente de control industrial; verificarea furnizorilor și trasabilitate; inspecții pentru eliminarea echipamentelor considerate cu risc; mecanisme dinamice de administrare a accesului furnizorilor, pentru a preveni instalarea de dispozitive de supraveghere sau firmware (software de bază al echipamentului) preinstalat cu funcții malițioase ori de spionaj. Software : supraveghere mai puternică a software-ului, a componentelor „open-source” (cod sursă deschis) și a serviciilor cloud; audit de cod și verificări de vulnerabilități pentru a preveni cod malițios și „uși din spate” (backdoor). Date, tehnologii și secrete comerciale : administrare pe întreg ciclul de viață; acces pe principiul „celui mai mic privilegiu” (fiecare utilizator primește strict drepturile necesare); criptare de la un capăt la altul; evaluări de securitate pentru transferuri transfrontaliere de date, pentru a preveni furtul, alterarea sau transferul ilegal în afara țării. Personal și colaborări : atribuirea explicită a responsabilităților de contraspionaj; verificări de antecedente și instruire de confidențialitate pentru posturi-cheie; interdicția de a gestiona informații clasificate pe dispozitive neclasificate; reguli mai stricte pentru cooperări cu componentă externă, externalizări și subcontractări. De ce contează pentru companii: securitatea devine cerință operațională, nu doar IT Mesajul MSS mută accentul de la incidente izolate la riscuri sistemice în lanțurile industriale și de aprovizionare , tratând hardware-ul, software-ul, datele și personalul ca părți ale aceleiași suprafețe de atac. În practică, recomandările indică așteptări de controale mai dure asupra furnizorilor, accesului la infrastructură și guvernanței datelor, mai ales în domenii sensibile precum mineralele critice și semiconductori. MSS mai afirmă că agenții străine de spionaj și informații și-ar fi intensificat în ultimii ani eforturile „ascunse, specializate și sistematice” de infiltrare, perturbare și furt de informații sensibile din lanțurile industriale și de aprovizionare ale Chinei, ceea ce ar reprezenta o amenințare serioasă pentru securitatea economică, tehnologică și a datelor. [...]
Accesul la spyware comercial s-a extins la circa 100 de state , ceea ce reduce pragul de intrare pentru supraveghere și crește riscul ca cetățeni și companii să fie ținte, potrivit TechCrunch , care citează evaluări ale serviciilor britanice de informații și un raport ce urmează să fie prezentat de Centrul Național de Securitate Cibernetică (NCSC) din Regatul Unit . NCSC intenționează să își facă publice concluziile miercuri, conform Politico (menționat de TechCrunch). Evaluarea indică faptul că accesul la această tehnologie de supraveghere a devenit mai ușor, ceea ce ar putea facilita atacuri cu spyware asupra cetățenilor britanici, companiilor și infrastructurii critice. Un element cheie este creșterea numărului de țări cu acces la astfel de instrumente: la 100, de la 80, cât estima Regatul Unit în 2023. De ce contează pentru companii: țintele nu mai sunt doar „suspecți de top” Spyware-ul comercial, dezvoltat de companii private (exemplele menționate sunt Pegasus al NSO Group și Graphite al Paragon), se bazează frecvent pe exploatarea unor vulnerabilități din software-ul telefoanelor și calculatoarelor pentru a pătrunde în dispozitive și a extrage date. Deși guvernele susțin că folosesc spyware doar împotriva unor suspecți importanți de criminalitate și terorism, cercetători în securitate și apărători ai drepturilor omului au avertizat de mult timp că aceste instrumente au fost folosite abuziv, inclusiv împotriva criticilor și adversarilor politici, precum jurnaliștii. Potrivit informațiilor citate, serviciile britanice spun acum că „tipologia victimelor” s-a extins în ultimii ani și include bancheri și oameni de afaceri bogați , un semnal de risc direct pentru mediul corporativ (expunere de date sensibile, șantaj, spionaj economic). Mesajul NCSC: atacurile semnificative vin mai ales de la state Richard Horne , șeful NCSC, a declarat într-un discurs la conferința CYBERUK din Glasgow că firmele britanice „nu reușesc să înțeleagă realitatea lumii de astăzi”, potrivit unei copii a discursului văzute de TechCrunch. În același context, Horne a spus că majoritatea atacurilor cibernetice „semnificative la nivel național” care vizează Regatul Unit au provenit de la state ostile , nu de la grupări de criminalitate cibernetică. Riscul operațional: instrumentele de hacking pot ajunge și la infractori Materialul notează că amenințarea nu vine doar de la guverne. Un exemplu invocat este scurgerea online, la începutul acestui an, a unui set de instrumente numit DarkSword, care ar conține mai multe exploatări capabile să compromită iPhone-uri și iPad-uri moderne. Acestea ar fi permis oricui să creeze site-uri care să atace utilizatori Apple care nu își actualizaseră sistemul de operare la cea mai recentă versiune. Concluzia implicită a acestui episod: chiar și instrumente dezvoltate „la comandă” pentru guverne pot scăpa de sub control și se pot răspândi, crescând suprafața de risc pentru un număr mare de utilizatori. [...]
Acuzațiile Iranului privind „backdoor”-uri în echipamente de rețea ridică un risc operațional major pentru companii: în scenariul descris, infrastructura poate cădea chiar și în condiții de izolare de Internet , potrivit Tom's Hardware . Presa de stat iraniană susține că echipamente de la Cisco, Juniper, Fortinet și MikroTik ar fi eșuat în timpul operațiunilor militare ale SUA și Israelului împotriva Iranului, prin reporniri sau ieșiri din funcțiune, deși țara ar fi fost deja deconectată de la Internetul global. Iranul afirmă că incidentul ar indica „un sabotaj profund” și invocă posibilitatea existenței unui firmware ascuns (software-ul de bază al echipamentului) sau a unor „backdoor”-uri (mecanisme ascunse de acces) care ar fi permis sabotajul de la distanță, inclusiv prin declanșare via satelit sau la un moment prestabilit. Aceste afirmații nu au fost verificate independent, iar faptul că provin din presa de stat impune prudență în interpretare. Ce spune partea americană: operațiuni cibernetice, dar fără răspuns la acuzația de „backdoor” SUA nu au răspuns punctual acuzațiilor Iranului despre exploatarea unor „backdoor”-uri în echipamente de rețea. Totuși, Washingtonul a confirmat public că a desfășurat operațiuni cibernetice împotriva infrastructurii de comunicații a Iranului. Într-un briefing la Pentagon din 2 martie, șeful Statului Major Interarme al SUA, generalul Dan Caine, a declarat că U.S. Cyber Command și U.S. Space Command au fost „primii care au acționat” în cadrul așa-numitei Operațiuni Epic Fury , campanie militară lansată la finalul lunii februarie. Potrivit lui Caine, operațiuni coordonate în spațiu și în mediul cibernetic au perturbat comunicațiile iraniene și rețelele de senzori înainte de începerea loviturilor. De ce contează pentru mediul de afaceri: continuitatea rețelei și încrederea în lanțul de aprovizionare Dincolo de disputa geopolitică, miza practică pentru organizații este riscul ca echipamentele de rețea să poată fi afectate în mod țintit, inclusiv în contexte în care conectivitatea externă este limitată sau întreruptă. În varianta descrisă de Iran, „căderea” unor dispozitive în „momentul zero” ar sugera un mecanism de declanșare care nu depinde de accesul clasic la Internet, ceea ce complică planurile de reziliență și continuitate operațională. Ecouri și război informațional: China folosește acuzațiile ca argument Tom's Hardware notează că presa de stat chineză a amplificat acuzațiile Iranului. Centrul Național pentru Răspuns de Urgență la Viruși Informatici din China a promovat aceste afirmații ca „dovezi” suplimentare privind existența unor „backdoor”-uri americane în hardware de rețea. În același context, publicația amintește că instituția chineză a susținut în repetate rânduri că SUA ar fi „fabricat” campania Volt Typhoon pentru a distrage atenția de la propriile operațiuni cibernetice, în timp ce agențiile de informații din alianța Five Eyes au atribuit Volt Typhoon unor actori susținuți de statul chinez, care ar fi vizat infrastructură critică occidentală. [...]
