Știri
Știri din categoria Securitate cibernetică
Un atac printr-un furnizor terț a dus la confirmarea unui scurt „data leak” la Rockstar Games, după ce gruparea ShinyHunters a cerut răscumpărare și a amenințat cu publicarea unor fișiere până la 14 aprilie 2026, potrivit WinFuture. Miza pentru companie nu este doar reputațională: incidentul indică un risc operațional tipic infrastructurilor cloud, în care accesul obținut prin „chei” digitale (token-uri) poate ocoli controale precum autentificarea în doi pași.
ShinyHunters susține că a compromis rețeaua dezvoltatorului GTA 6 și cere o plată până la 14 aprilie 2026, amenințând că va publica documentele obținute dacă nu primește banii. Publicația notează că atacul se abate de la scenariul clasic „intrăm direct în sistemele companiei”, fiind descris ca o compromitere printr-un lanț de furnizori.
Conform informațiilor din articol, atacatorii ar fi exploatat o vulnerabilitate la Anodot, un furnizor folosit de Rockstar pentru monitorizarea costurilor. De acolo, ar fi obținut chei de acces digitale (token-uri) și s-ar fi autentificat în mediul de baze de date Snowflake utilizat de Rockstar, „ca și cum” ar fi fost un serviciu intern legitim.
WinFuture menționează că, potrivit CybersecGuru, metoda ar fi permis ocolirea autentificării standard cu doi factori (2FA), iar accesul a arătat inițial ca un proces normal de sistem, astfel că nu ar fi declanșat imediat alerte.
Un purtător de cuvânt al Rockstar Games a confirmat un abuz de acces și un scurt flux de date, precizând că persoane neautorizate ar fi văzut, printr-un furnizor terț, o cantitate limitată de informații interne considerate „neesențiale”. Compania susține că incidentul nu ar afecta organizația sau jucătorii.
Totuși, în material se arată că datele obținute ar include, „probabil”, documente precum:
Nu este clar dacă Rockstar intenționează să plătească răscumpărarea, iar compania-mamă Take-Two Interactive nu ar fi oferit detalii despre circumstanțe.
Cazul scoate în evidență o vulnerabilitate operațională: atunci când un furnizor extern primește permisiuni extinse, compromiterea lui poate deveni o poartă de acces către datele clientului. Într-un astfel de scenariu, „automatizarea” și interconectarea sistemelor — un avantaj în exploatare — se poate transforma într-un risc dacă token-urile sau integrările sunt deturnate.
Următorul reper este 14 aprilie 2026, când ar putea deveni mai limpede ce anume a fost extras și dacă amenințarea cu publicarea se materializează, în funcție de reacția companiei.
Recomandate
Comisia Europeană a confirmat o breșă care a afectat site-ul UE și a dus la scurgeri de date . Instituția a anunțat că, pe 24 martie, a constatat compromiterea unui cont Amazon Web Services (AWS) folosit în cadrul Comisiei, incident care a avut impact asupra infrastructurii asociate site-ului Uniunii Europene. Publicația notează că, potrivit BleepingComputer , gruparea de criminalitate cibernetică ShinyHunters a actualizat informațiile publicate pe darknet și susține că a obținut date sensibile din mediile Comisiei Europene. Printre acestea ar fi servere de e-mail, baze de date, documente confidențiale și contracte, cu un volum total de peste 350 GB. Pentru a-și susține afirmațiile, ShinyHunters ar fi făcut public un eșantion de peste 90 GB de date. În paralel, Comisia Europeană a transmis că echipele de securitate au intervenit rapid după detectarea atacului și au reușit să oprească activitatea atacatorilor fără a afecta funcționarea normală a site-ului UE. Conform reacției oficiale citate, o evaluare preliminară indică faptul că datele publicate de ShinyHunters provin într-adevăr din sistemele asociate site-ului UE, iar analiza privind amploarea și consecințele incidentului este în desfășurare. Incidentul vine după un alt eveniment de securitate recent, menționat de IT之家: în urmă cu aproximativ două luni, infrastructura platformei de administrare a dispozitivelor mobile (MDM, soluții folosite pentru gestionarea centralizată a telefoanelor și tabletelor de serviciu) ar fi fost atacată, existând riscul ca nume și numere de telefon ale unor angajați să fi fost expuse. [...]
OpenAI își schimbă rapid fluxul de semnare pentru aplicațiile macOS, după ce a depistat o vulnerabilitate într-un instrument terț folosit în lanțul său de dezvoltare , într-un caz care arată cât de expuse pot fi companiile la atacuri de tip „supply chain” (compromiterea furnizorilor/depedențelor software), potrivit economedia.ro . Compania spune că nu a găsit dovezi că datele utilizatorilor au fost accesate și nici că sistemele, proprietatea intelectuală sau software-ul său au fost modificate. Incidentul este legat de Axios, o bibliotecă de dezvoltare terță parte utilizată pe scară largă, pe care OpenAI afirmă că a fost compromisă pe 31 martie, într-un atac mai amplu asupra lanțului de aprovizionare software, atribuit unor actori despre care se crede că au legături cu Coreea de Nord. În urma compromiterii, un flux de lucru GitHub Actions folosit de OpenAI ar fi descărcat și executat o versiune malițioasă a Axios. Ce a fost expus și ce spune OpenAI că nu s-a întâmplat Potrivit companiei, fluxul de lucru afectat avea acces la un certificat și la materiale de autentificare folosite pentru semnarea aplicațiilor macOS (procesul prin care sistemul de operare poate verifica dacă aplicația provine de la un dezvoltator legitim). Sunt menționate explicit aplicațiile ChatGPT Desktop, Codex, Codex-cli și Atlas. OpenAI afirmă că analiza internă a concluzionat că certificatul de semnare prezent în acel flux de lucru „probabil” nu a fost exfiltrat (extras) cu succes de încărcătura malițioasă. Totodată, compania spune că parolele și cheile API (chei de acces pentru integrarea serviciilor) nu au fost afectate. Măsuri operaționale: actualizări obligatorii și suport tăiat pentru versiunile vechi OpenAI anunță că își actualizează certificările de securitate și le cere tuturor utilizatorilor de macOS să își actualizeze aplicațiile OpenAI la cele mai recente versiuni, pentru a reduce riscul distribuirii unor aplicații false. O consecință concretă pentru utilizatori și organizații: începând cu 8 mai, versiunile mai vechi ale aplicațiilor desktop macOS ale OpenAI nu vor mai primi actualizări sau asistență și „s-ar putea să nu mai fie funcționale”, conform companiei. OpenAI mai precizează că incidentul a avut drept cauză principală o configurare greșită în fluxul de lucru GitHub Actions, care a fost remediată. [...]
Infectarea a peste 2,3 milioane de dispozitive prin Google Play ridică riscul de fraudă și costuri operaționale pentru utilizatori și companii , după ce aplicații aparent legitime au livrat malware-ul „NoVoice” direct din magazinul oficial, potrivit antena3.ro . Miza practică: compromiterea poate ajunge până la accesarea datelor sensibile, inclusiv din aplicații bancare, iar în unele cazuri eliminarea completă a infecției poate fi dificilă. Malware-ul a fost identificat de cercetătorii McAfee, iar aplicațiile afectate au fost ulterior raportate și eliminate de Google. Autorii nu au fost identificați oficial, însă comportamentul este descris ca fiind similar cu cel al unor grupuri cunoscute, ceea ce a generat avertismente suplimentare pentru utilizatorii Android. De ce contează: atac „din interior” și control extins asupra telefonului Spre deosebire de scenariile obișnuite, în care infectarea vine din instalări din surse externe, de această dată aplicațiile au ajuns în Google Play ca jocuri, aplicații de „curățare” sau galerii foto și funcționau normal la prima vedere. Codul malițios era ascuns și se activa după instalare, ceea ce i-a permis să treacă de verificările inițiale. După deschidere, malware-ul rula în fundal și încerca să exploateze vulnerabilități mai vechi din Android, corectate în intervalul 2016–2021. Dacă obținea acces complet, își ascundea componentele în pachete care păreau legitime și încărca în memorie cod malițios mascat în fișiere aparent inofensive. Ce poate face „NoVoice” pe un dispozitiv compromis Odată activ, malware-ul colectează date despre dispozitiv (detalii hardware, versiunea Android, aplicațiile instalate și statutul de securitate) și le trimite către un server de comandă și control, repetând procesul la fiecare 60 de secunde, împreună cu primirea de instrucțiuni noi. După compromitere, capabilitățile descrise includ: instalarea și ștergerea de aplicații fără știrea utilizatorului; repornirea telefonului pentru reactivarea componentelor; furt de date din aplicații precum WhatsApp și acces la informații sensibile, inclusiv din aplicații bancare; în cazul WhatsApp, extragerea de date suficiente pentru clonarea contului pe alt dispozitiv. Publicația notează și un element operațional important: pentru persistență, malware-ul poate instala scripturi în zone greu accesibile ale sistemului, iar în unele situații nici resetarea la setările din fabrică nu îl elimină complet. Cine este cel mai expus și ce semne pot apărea Potrivit Google, dispozitivele actualizate după mai 2021 sunt protejate, deoarece vulnerabilitățile exploatate au fost corectate. Cele mai expuse rămân telefoanele mai vechi, care nu mai primesc actualizări de securitate. Printre semnele menționate că un telefon ar putea fi infectat: consum neobișnuit de baterie; reporniri neașteptate; aplicații care dispar și reapar singure. În astfel de cazuri, recomandarea este ca dispozitivul să fie deconectat de la internet și verificat de un specialist. [...]
O setare de notificări din Signal poate lăsa urme accesibile anchetatorilor chiar și după ștergerea aplicației , iar utilizatorii de iPhone care mizează pe confidențialitate sunt îndemnați să o modifice, potrivit techradar.com . Miza practică: criptarea „cap la cap” (end-to-end) protejează conținutul în tranzit, dar nu garantează că fragmente ale mesajelor nu ajung în alte zone ale sistemului, precum notificările. FBI a reușit să recupereze mesaje Signal primite de pe un iPhone, deși aplicația fusese ștearsă. Conform articolului, accesul nu s-a făcut prin compromiterea contului Signal, ci prin baza de date a notificărilor „push” a iPhone-ului, care a continuat să primească mesaje de intrare. Publicația notează că autoritățile nu au putut accesa mesajele trimise de inculpat, dar au putut vedea cealaltă parte a conversațiilor (mesajele primite). Ce setare recomandă Signal și care e compromisul Soluția indicată este o opțiune din Signal care împiedică afișarea conținutului în notificări. Pașii menționați în articol: Signal → Settings → Notifications → Notification Content alegi: „No Name or Content” (confidențialitate maximă), sau „No Content” (dacă accepți ca numele expeditorului să poată fi vizibil) Costul operațional este evident: notificările Signal nu vor mai arăta conținutul mesajelor și, în funcție de opțiune, nici numele expeditorului, ceea ce poate fi incomod în utilizarea de zi cu zi. De ce contează și dincolo de Signal Articolul avertizează că problema „probabil” nu este exclusivă Signal, ceea ce sugerează un risc mai larg legat de modul în care iOS gestionează notificările pentru aplicații de mesagerie. Consecința pentru utilizatori și organizații care folosesc mesageria în contexte sensibile este că setările de notificări devin parte din „suprafața de expunere” și ar trebui revizuite, nu tratate ca un detaliu cosmetic. Context: acuzații privind WhatsApp, negate de companie În același material este menționată și o dispută separată: fondatorul Telegram, Pavel Durov, a susținut pe X că „criptarea” WhatsApp ar fi „cea mai mare fraudă pentru consumatori din istorie”, invocând un proces care ar acuza existența unei „uși din spate” ce ar permite ocolirea criptării. WhatsApp respinge acuzația, numind-o „categoric falsă și absurdă”, iar concluzia rămâne incertă pe baza informațiilor prezentate. [...]
OpenAI cere utilizatorilor să-și actualizeze aplicațiile Mac, altfel versiunile vechi ar putea înceta să funcționeze după 8 mai , pe fondul unei probleme de securitate legate de un instrument terț folosit în dezvoltare, potrivit 9to5mac.com . Miza este una operațională și de securitate: compania spune că își actualizează „certificările de securitate” (mecanismele prin care aplicațiile macOS sunt validate ca fiind legitime) și, ca urmare, toți utilizatorii de macOS trebuie să treacă la cele mai noi versiuni ale aplicațiilor OpenAI. Ce a declanșat măsura OpenAI leagă decizia de o problemă de securitate care implică Axios, un instrument de dezvoltare terț, descris ca parte a unui „incident mai amplu” raportat la nivelul industriei. Compania spune că acționează „din exces de precauție” pentru a proteja procesul prin care certifică faptul că aplicațiile macOS sunt aplicații OpenAI autentice. Ce spune OpenAI despre impact OpenAI afirmă că nu a găsit dovezi că datele utilizatorilor ar fi fost accesate și nici că sistemele, proprietatea intelectuală sau software-ul companiei ar fi fost compromise ori modificate. În același timp, compania explică motivul practic al actualizărilor: reducerea riscului – „oricât de improbabil” – ca cineva să distribuie o aplicație falsă care să pară că provine de la OpenAI. Ce aplicații sunt vizate și ce urmează Sunt menționate patru aplicații pentru Mac: ChatGPT Codex Atlas Codex CLI (interfață în linie de comandă) După 8 mai, versiunile mai vechi ale acestor aplicații „ar putea să nu mai funcționeze”, ceea ce face actualizarea relevantă nu doar ca măsură de securitate, ci și pentru continuitatea utilizării. OpenAI indică faptul că detalii suplimentare sunt disponibile într-o postare de anunț dedicată. [...]
Google leagă cookie-urile de sesiune de dispozitiv în Chrome, reducând riscul de furt de conturi : potrivit techradar.com , Chrome 146 pentru Windows introduce „Device Bound Session Credentials” (DBSC), o funcție care face mult mai dificilă folosirea cookie-urilor de sesiune furate în atacuri cu malware de tip infostealer. DBSC „leagă” criptografic sesiunea de autentificare de dispozitivul fizic folosit la logare, prin module de securitate susținute de hardware (de exemplu, Trusted Platform Module pe Windows). Practic, browserul generează o pereche de chei publică/privată care nu poate fi exportată de pe mașină, iar serverul emite cookie-uri de sesiune cu durată scurtă doar dacă Chrome poate dovedi că deține cheia privată asociată. De ce contează pentru securitatea operațională Miza este reducerea furtului de sesiuni, o metodă prin care atacatorii pot ocoli autentificarea cu mai mulți factori (MFA). Cookie-urile de sesiune sunt create după autentificare, iar dacă sunt exfiltrate, pot permite accesul la conturi fără a mai trece prin MFA. Google susține că, în modelul DBSC, chiar dacă un atacator reușește să fure cookie-urile, acestea „expiră rapid” și devin inutile, deoarece cheia privată necesară nu poate fi sustrasă. Ce trebuie să facă site-urile ca să beneficieze Dincolo de schimbarea din browser, funcția cere și adaptări pe partea de server. Conform descrierii, site-urile pot trece la „sesiuni securizate” prin adăugarea unor puncte dedicate (endpoints) de înregistrare și reîmprospătare în backend, păstrând compatibilitatea cu interfața existentă. Chrome se ocupă de criptografie și rotația cookie-urilor, iar aplicația web continuă să folosească cookie-uri standard pentru acces, ca până acum. Disponibilitate și ce urmează Funcția este disponibilă acum în Chrome 146 pe Windows. Varianta pentru macOS este așteptată „în săptămânile următoare”. Google mai spune că o versiune timpurie a protocolului a fost lansată în 2025 și că, pentru sesiunile protejate de DBSC, a observat o „reducere semnificativă” a furtului de sesiuni, fără a oferi însă cifre în materialul citat. În context, techradar.com amintește că infostealerele folosite frecvent pentru furtul de date includ familii precum Lumma, Vidar, StealC și AMOS, capabile să extragă nu doar cookie-uri, ci și parole stocate, date din portofele cripto și conținutul clipboard-ului. [...]
