Știri
Știri din categoria Securitate cibernetică
Pwn2Own Berlin arată că inclusiv sisteme „la zi” rămân vulnerabile, după ce cercetători au exploatat, într-o singură zi, 15 breșe necunoscute anterior în produse folosite pe scară largă în companii, inclusiv Microsoft Exchange și Windows 11, potrivit WinFuture. Organizatorii au plătit în total 385.750 de dolari (aprox. 1,77 milioane lei) în premii în ziua a doua a competiției, un semnal că suprafața de atac rămâne relevantă chiar și pe sisteme complet actualizate.
Competiția impune ca toate țintele să ruleze cele mai noi versiuni de sistem de operare, iar fiecare demonstrație să includă un exploit real care ajunge până la execuție de cod arbitrar. După validare, producătorii au la dispoziție 90 de zile pentru a remedia problemele înainte ca detaliile tehnice să devină publice.
Pentru organizații, această fereastră este critică: riscul operațional nu vine doar din existența vulnerabilităților, ci din faptul că, după publicare, tehnicile pot fi replicate mai ușor și pot alimenta valuri de atacuri.
Momentul central al zilei a fost un atac de tip „remote code execution” (execuție de cod de la distanță) în Microsoft Exchange, obținut prin combinarea a trei vulnerabilități, cu drepturi de sistem. Potrivit materialului, autorul a fost Cheng-Da Tsai (Orange Tsai) de la DEVCORE, iar recompensa pentru această „cascadă” a fost de 200.000 de dolari (aprox. 920.000 lei).
Alte demonstrații menționate:
În zona de inteligență artificială, cercetătorii au demonstrat că asistenți moderni de programare precum Cursor AI sau motorul OpenAI Codex pot avea, la rândul lor, vulnerabilități de tip „zero-day” (breșe necunoscute public și fără patch la momentul descoperirii). Premiile pentru aceste exploatări au fost între 15.000 și 30.000 de dolari (aprox. 69.000–138.000 lei).
WinFuture notează că, încă din prima zi, Windows 11 și Microsoft Edge au fost compromise de mai multe ori, inclusiv printr-un „sandbox escape” (ieșire din mediul izolat de securitate) în Edge, care i-a adus lui Orange Tsai încă 175.000 de dolari (aprox. 805.000 lei). Au existat însă și încercări eșuate, inclusiv pe SharePoint și Mozilla Firefox, din cauza limitelor de timp ale competiției.
Pentru mediul enterprise, concluzia practică este că „patch-uitul” rămâne necesar, dar nu suficient: competiția evidențiază cât de repede pot fi găsite lanțuri de exploatare chiar și pe configurații actualizate, iar următoarele 90 de zile vor fi esențiale pentru ritmul cu care furnizorii livrează remedieri și pentru viteza cu care organizațiile le aplică.
Recomandate
Microsoft accelerează trecerea la autentificarea fără parole , pe fondul creșterii eficienței atacurilor de tip phishing asistate de inteligență artificială, care pot ajunge la rate de accesare de până la 54%, potrivit WinFuture . Miza operațională este reducerea suprafeței de atac prin standardizarea „passkeys” (chei de acces) și eliminarea treptată a metodelor considerate vulnerabile, inclusiv întrebările de securitate. De ce contează: phishing-ul „cu IA” face parola tot mai ușor de compromis Microsoft argumentează că parolele au rămas una dintre cele mai slabe verigi ale securității online, iar atacatorii folosesc tot mai des campanii de phishing generate sau optimizate cu ajutorul inteligenței artificiale. În acest context, compania își poziționează strategia „passwordless” (fără parolă) ca răspuns direct la un risc operațional în creștere: compromiterea conturilor prin pagini de autentificare false și tehnici de inginerie socială mai convingătoare. Ce schimbă Microsoft în practică Din perspectiva utilizatorilor și a organizațiilor, schimbările descrise de publicație se traduc în câteva măsuri concrete: Conturile noi Microsoft sunt create, de la începutul lui 2026, fără parolă , autentificarea fiind făcută prin passkeys, metode biometrice sau chei de securitate (dispozitive hardware). Utilizatorii existenți își pot elimina manual parola din cont, dacă doresc să treacă complet pe passkeys. Windows 11 a extins integrarea passkeys , inclusiv suport nativ pentru chei de acces din administratori de parole terți, precum 1Password și Bitwarden. Microsoft a dezvoltat împreună cu acești furnizori o interfață de programare (API) dedicată passkeys , pentru integrare mai simplă. Sincronizarea passkeys din Microsoft Password Manager este posibilă prin browserul Edge cu iOS și Android. Ce sunt passkeys și de ce sunt mai greu de „furat” Passkeys sunt credențiale legate de dispozitiv și de o verificare locală (amprentă, recunoaștere facială sau PIN). Spre deosebire de parole, ele sunt concepute să fie rezistente la phishing , deoarece nu pot fi capturate printr-o pagină falsă de autentificare în același mod în care este „smulsă” o parolă introdusă de utilizator. Context de piață și adopție: miliarde de passkeys, sute de milioane la Microsoft Trecerea nu este doar o inițiativă izolată, arată WinFuture . Membrii FIDO Alliance împing adopția la nivel de industrie, iar alianța estimează că există cinci miliarde de passkeys în uz la nivel global. Conform unei „studii recente” citate în material, 90% dintre oameni cunosc passkeys, iar 75% au activat cel puțin una. La Microsoft, compania susține că „sute de milioane de utilizatori” folosesc zilnic passkeys pentru servicii precum OneDrive, Xbox și Copilot. Totodată, Microsoft afirmă că a eliminat intern metode mai slabe de autentificare și a implementat proceduri rezistente la phishing care acoperă 99,6% dintre utilizatorii și dispozitivele din mediul său. Următorul pas: dispar întrebările de securitate din Entra ID, din 2027 O schimbare cu impact direct pentru administrarea identităților în companii este planul Microsoft de a elimina o „portiță” folosită frecvent în atacuri: începând din ianuarie 2027, întrebările de securitate nu vor mai putea fi folosite pentru resetarea parolelor în Microsoft Entra ID . Compania motivează decizia prin reducerea riscurilor asociate recuperării conturilor, zonă exploatată adesea ca rută alternativă de compromitere. [...]
OpenAI a început rotația certificatelor de semnare a codului după ce două dispozitive ale unor angajați au fost compromise în atacul asupra lanțului de aprovizionare TanStack , o măsură care poate obliga utilizatorii de macOS să își actualizeze aplicațiile înainte de 12 iunie 2026 pentru a evita blocaje la pornire sau la actualizări, potrivit Bleeping Computer . OpenAI spune că incidentul nu a afectat datele clienților, sistemele de producție, proprietatea intelectuală sau software-ul deja livrat. Compania leagă breșa de campania „Mini Shai-Hulud”, atribuită grupării de extorcare TeamPCP, care a vizat dezvoltatori prin actualizări malițioase introduse în pachete software populare și de încredere. Ce s-a întâmplat în OpenAI și ce măsuri a luat compania Într-un buletin de securitate publicat astăzi, OpenAI afirmă că a observat activitate compatibilă cu comportamentul public descris al malware-ului, inclusiv acces neautorizat și exfiltrare orientată pe credențiale, într-un subset limitat de depozite interne de cod sursă la care aveau acces cei doi angajați afectați. „Am observat activitate în linie cu comportamentul descris public al malware-ului, inclusiv acces neautorizat și exfiltrare orientată pe credențiale, într-un subset limitat de depozite interne de cod sursă la care aveau acces cei doi angajați afectați.” OpenAI susține că au fost furate doar credențiale limitate din aceste depozite și că nu există dovezi că ele au fost folosite în atacuri suplimentare. Ca răspuns, compania a izolat sistemele și conturile afectate, a revocat sesiunile, a rotit credențiale în depozitele vizate, a restricționat temporar fluxurile de implementare și a derulat o investigație criminalistică împreună cu o firmă terță de răspuns la incidente. Impact operațional: actualizări obligatorii pe macOS până la 12 iunie 2026 Un element cu impact direct pentru utilizatori este expunerea certificatelor de semnare a codului folosite pentru produse OpenAI pe macOS, Windows, iOS și Android. Deși compania spune că nu a detectat abuzarea acestor certificate pentru semnarea de software malițios, le rotește „din precauție”. Consecința practică: utilizatorii de macOS trebuie să își actualizeze aplicațiile desktop OpenAI înainte de 12 iunie 2026 , deoarece aplicațiile semnate cu certificatele vechi ar putea să nu mai pornească sau să nu mai primească actualizări, din cauza procesului de notarizare Apple (mecanismul prin care Apple verifică și autorizează aplicațiile distribuite în afara App Store). OpenAI precizează că utilizatorii de Windows și iOS nu sunt afectați și nu trebuie să facă nimic. Context: atacul TanStack și campania „Mini Shai-Hulud” Breșa OpenAI este prezentată ca parte a unei campanii mai ample care a compromis „sute” de pachete din ecosistemele npm și PyPI. Atacul a vizat inițial pachete TanStack și Mistral AI, apoi s-a extins către alte proiecte, inclusiv UiPath, Guardrails AI și OpenSearch, prin credențiale CI/CD (integrare și livrare continuă) furate și fluxuri legitime. Cercetători de la Socket și Aikido au urmărit ulterior distribuția a sute de pachete compromise prin depozite legitime. Potrivit post-mortem-ului TanStack, atacatorii au exploatat slăbiciuni în fluxurile GitHub Actions și în configurația CI/CD pentru a executa cod malițios, a extrage tokenuri din memorie și a publica pachete malițioase prin conducta normală de lansare, făcând versiunile compromise să pară legitime. Malware-ul din campanie a vizat furtul de credențiale de dezvoltare și cloud (tokenuri GitHub, tokenuri de publicare npm, credențiale AWS, secrete Kubernetes, chei SSH și fișiere.env). Cercetătorii mai spun că a încercat să își asigure persistența pe sistemele dezvoltatorilor prin modificarea unor mecanisme de automatizare din Claude Code și VS Code. Microsoft Threat Intelligence a raportat, la rândul său, că a fost lansat și un instrument de furt de informații pentru Linux, care a vizat sisteme ce rulează software în limba rusă, iar malware-ul ar fi inclus și o componentă distructivă care executa aleator o comandă de ștergere recursivă pe unele sisteme din Israel sau Iran. OpenAI încadrează incidentul într-o tendință mai largă: atacatorii vizează tot mai des lanțul de aprovizionare software pentru a obține impact extins, în loc să atace companii individuale. Pentru utilizatori, efectul imediat rămâne calendarul de actualizare pe macOS, iar pentru organizații, semnalul de risc este dependența de biblioteci open-source și de infrastructura CI/CD, unde o compromitere „în amonte” se poate propaga rapid. [...]
Un nou tip de exploit de escaladare a privilegiilor pe macOS, identificat cu ajutorul modelului AI Mythos , a ajuns pe masa Apple și este în curs de verificare , potrivit 9to5Mac . Miza pentru companii și utilizatori este operațională: ocolirea unor mecanisme „de ultimă generație” de securitate poate deschide calea către preluarea controlului unui Mac, dacă este combinată cu alte atacuri. Ce au găsit cercetătorii și de ce contează Conform informațiilor publicate de The Wall Street Journal (citat de 9to5Mac), o echipă de cercetători a testat în aprilie o versiune timpurie a Mythos, modelul AI al Anthropic, și a folosit tehnicile rezultate pentru a „lega” două erori și „o mână de tehnici” care permit coruperea memoriei unui Mac și accesarea unor zone care ar trebui să fie inaccesibile. Acest tip de atac este descris ca un „exploit de escaladare a privilegiilor” — adică o metodă prin care un atacator poate obține drepturi mai mari în sistem decât ar trebui. În lanț cu alte vulnerabilități, ar putea fi folosit pentru a prelua controlul asupra computerului, potrivit aceleiași relatări. Cine este implicat și în ce stadiu e răspunsul Apple Cercetarea este atribuită unei companii de securitate din Palo Alto, Calif. Publicația notează că Apple „revizuiește” raportul primit de la Calif pentru a valida concluziile. Un purtător de cuvânt al Apple a declarat pentru The Wall Street Journal: „Securitatea este prioritatea noastră principală și tratăm foarte serios rapoartele privind potențiale vulnerabilități.” Echipa Calif ar fi întocmit un raport de 55 de pagini, livrat personal către Apple, în Cupertino, cu detaliile tehnice ale constatărilor. Ce urmează: publicarea detaliilor, după remediere Directorul executiv al Calif, Thai Dong, a spus că atacul „nu ar fi putut fi realizat doar de Mythos” și că a folosit expertiza umană a unor hackeri din echipă. Detaliile despre vulnerabilități ar urma să fie făcute publice după ce Apple rezolvă problemele de bază; în același context, Dong a estimat că erorile „probabil vor fi reparate destul de repede”. În acest moment, articolul nu indică dacă vulnerabilitățile afectează versiuni specifice de macOS sau dacă există exploatare activă în mediul real; informația disponibilă este că Apple investighează raportul și validează constatările. [...]
Proiectul UE de revizuire a Legii privind securitatea cibernetică ar putea împinge companiile spre costuri masive de înlocuire a furnizorilor , cu un „preț” estimat la aproape 367,8 miliarde euro (aprox. 1.840 miliarde lei), dacă ar forța înlocuirea furnizorilor chinezi în 18 sectoare critice, potrivit Global Times , care citează o poziție transmisă de Camera de Comerț a Chinei pe lângă UE (CCCEU) . CCCEU spune că a trimis feedback către planul UE și avertizează că unele elemente din propunerea CSA2 (revizuirea Cybersecurity Act) ar introduce măsuri restrictive „prea largi”, fără o metodologie de evaluare a riscurilor transparentă și bazată pe dovezi. În mod special, camera critică ideea unor politici obligatorii, cuprinzătoare și limitate în timp de „excludere” a furnizorilor din mai multe sectoare considerate critice. Costuri, operațiuni și efecte economice: miza pentru piața unică În evaluarea camerei chineze, astfel de excluderi ar putea avea efecte directe asupra funcționării pieței: ar perturba operațiunile normale ale pieței; ar crește costurile de conformare pentru companii; ar avea efecte adverse mai largi asupra tranzițiilor verde și digitală ale Europei, asupra competitivității industriale și asupra relațiilor economice cu parteneri comerciali importanți. Raportul menționat de CCCEU, transmis publicației pe 6 mai, estimează costul total la aproape 367,8 miliarde euro (aprox. 1.840 miliarde lei) în scenariul înlocuirii furnizorilor chinezi în 18 sectoare critice. Ce propune Comisia Europeană și de ce e contestat Potrivit articolului, în ianuarie Comisia Europeană a propus un nou pachet de securitate cibernetică, inclusiv o „Propunere de regulament privind Legea UE a securității cibernetice”, care urmărește eliminarea treptată a componentelor și echipamentelor de la „furnizori cu risc ridicat” din infrastructura critică. Demersul este descris ca fiind perceput pe scară largă drept țintind companii chineze și parte dintr-un set mai amplu de instrumente protecționiste ale UE orientate către China. În ultimele zile, notează materialul, și alte camere de afaceri chineze din Europa (inclusiv din Polonia, Spania și Italia) au exprimat îngrijorări similare. Reacția Beijingului: avertisment privind contramăsuri Ministerul de Externe al Chinei a cerut UE să aibă o abordare „cuprinzătoare, obiectivă și pozitivă” asupra relațiilor economice și comerciale China–UE, să respecte regulile Organizației Mondiale a Comerțului și principiile de piață și să înceteze acțiunile considerate dăunătoare. Purtătorul de cuvânt Lin Jian a declarat pe 8 mai că, dacă UE transformă propunerea în lege și discriminează companii chineze, China va lua măsuri pentru a proteja drepturile și interesele legitime ale firmelor sale. Și Ministerul Comerțului din China a avertizat anterior că revizuirea ar putea afecta substanțial relațiile economice și comerciale China–UE, ar perturba lanțurile industriale și de aprovizionare globale și ar submina chiar tranzițiile digitală și verde ale UE, adăugând că Beijingul ar putea răspunde cu „contramăsuri” dacă proiectul devine lege în forma criticată. [...]
Android va începe să închidă automat apelurile care se dau drept bănci , o schimbare cu impact direct asupra fraudelor telefonice, potrivit Android Police . Măsura vizează în special apelurile în care escrocii „clonează” (spoof) numărul sau numele unei instituții financiare pentru a părea legitimi. Cum funcționează protecția și de ce contează Noua funcție urmărește să reducă pierderile generate de escrocherii care se prezintă ca fiind din partea băncilor. Publicația notează că această metodă de fraudă a devenit frecventă și că, la nivel global, escrocii ajung să fure aproape 1 miliard de dolari pe an (aprox. 4,6 miliarde lei) prin astfel de scheme. Mecanismul descris are două componente: Android va verifica activ, împreună cu aplicația băncii, dacă apelul este unul oficial. Dacă aplicația raportează că nu inițiază un apel către utilizator, telefonul va închide automat convorbirea. Sistemul va respinge automat apelurile de la numere pe care banca le-a desemnat „doar pentru apeluri primite” (inbound-only), adică numere de la care, în mod normal, nu ar trebui să te sune nimeni. Condiții, compatibilitate și calendar de lansare Protecția nu este „infailibilă”: utilizatorul trebuie să aibă instalată aplicația băncii respective pentru ca verificarea să funcționeze. Google spune că funcția va fi disponibilă pe dispozitive cu Android 11 și versiuni mai noi și va începe să fie distribuită „în următoarele săptămâni”. La lansare, suportul este menționat pentru Revolut , Itaú și Nubank, iar extinderea către alte aplicații bancare ar urma să vină în cursul anului următor. Context: pachet mai larg de măsuri anti-fraudă și anti-furt În același anunț, Google a prezentat și alte măsuri de securitate pentru Android, inclusiv controale suplimentare pentru situațiile de furt (de exemplu, opțiuni mai stricte în „Mark as Lost” din Find Hub) și monitorizare „dinamică” a comportamentului aplicațiilor pentru a semnala posibile tentative de furt de date, cu opțiunea de dezinstalare. [...]
Google își extinde apărarea anti-fraudă cu filtre bazate pe inteligență artificială și schimb de date între companii și autorități , mizând pe blocarea la scară mare a tentativelor de înșelăciune înainte să ajungă la utilizatori, potrivit Google Blog . Mesajul vine în contextul în care compania descrie atât măsuri tehnice integrate în produse (Gmail, Chrome, Search, Android), cât și colaborări cu instituții publice și inițiative educaționale. În centrul strategiei este folosirea inteligenței artificiale ca „primă linie” de apărare, cu rezultate prezentate ca volum și rată de blocare: Google spune că oprește peste 99,9% din spam, phishing și programe malițioase înainte să ajungă în Gmail și că blochează aproape 15 miliarde de e-mailuri nedorite pe zi. În Chrome, compania afirmă că anticipează și blochează în timp real site-uri periculoase, iar în Search filtrează „sute de milioane” de pagini de tip spam zilnic, pentru a menține rezultatele „99% fără spam”. Filtrare la scară mare în publicitate și detecție pe dispozitiv Pe zona de publicitate, Google indică faptul că în 2025 sistemele sale au identificat peste 99% dintre reclamele care încălcau politicile înainte să fie văzute de utilizatori și că a blocat sau eliminat peste 8,3 miliarde de reclame, dintre care 602 milioane asociate cu escrocherii. Tot pe linia protecțiilor automate, compania menționează „Scam Detection” în aplicația Phone by Google, unde inteligența artificială rulează pe dispozitiv și alertează utilizatorii în timp real atunci când detectează tipare conversaționale specifice escrocilor. Instrumente pentru utilizatori: verificare rapidă și semnale în timp real Google pune accent și pe instrumente prin care utilizatorii își pot întări securitatea conturilor și pot verifica suspiciuni „în momentul în care apar”: Security Checkup , pentru consolidarea setărilor de securitate ale contului, inclusiv activarea „Passkeys” (chei de acces) și verificarea în doi pași (2-Step Verification); Circle to Search pe Android, care permite selectarea unui mesaj suspect pentru o evaluare bazată pe inteligență artificială și recomandări; alternativ, aceeași verificare se poate face prin captură de ecran și Google Lens . Educație și finanțare: program interactiv și ținte de acoperire Pe componenta de prevenție, Google descrie inițiativa „Be Scam Ready”, un program interactiv, de tip joc, care simulează în siguranță scenarii de fraudă. Compania susține că abordarea „învățare prin practică” are rezultate mai bune decât campaniile tradiționale de conștientizare. Programul este disponibil în engleză, portugheză, thailandeză și chineză tradițională și ar urma să fie lansat în mai multe limbi „mai târziu în acest an”, inclusiv franceză, spaniolă și arabă. În plus, Google reamintește un angajament de 5 milioane de dolari (aprox. 23 milioane lei) prin Google.org, anunțat la summitul de anul trecut, pentru combaterea escrocheriilor în Europa și Orientul Mijlociu. Beneficiarii menționați, Internet Society (ISOC) și Oxford Information Labs (OXIL), derulează programe de instruire „la firul ierbii”, cu obiectivul de a proteja peste 7 milioane de persoane vulnerabile și de a echipa mii de lucrători din prima linie cu instrumente de „reziliență” la fraude. Schimb de date și acțiuni împotriva rețelelor: GSE, poliție și litigii Pentru a opri fraudele care operează pe mai multe platforme și în mai multe țări, Google indică rolul Global Signal Exchange (GSE), descris ca un „clearinghouse” global pentru date despre amenințări. Platforma ar stoca peste 1,2 miliarde de „semnale”, iar Google, ca partener fondator, atât consumă, cât și furnizează informații, în timp ce modelele sale de inteligență artificială analizează semnalele pentru a identifica tipare care pot sprijini investigații și acțiuni de aplicare a legii. Pe partea de intervenție, compania spune că lucrează cu agenții de aplicare a legii, inclusiv cu National Crime Agency (NCA) din Marea Britanie, și că, pe baza semnalelor partajate prin GSE, echipele sale au identificat și perturbat o rețea de fraudă din Africa de Vest. Google mai menționează că este semnatar al „Industry Accord Against Online Scams and Fraud” și că a inițiat acțiuni legale împotriva unor operațiuni, inclusiv „Lighthouse” (o rețea de tip „phishing-as-a-service”, adică furnizare de infrastructură pentru atacuri de tip phishing) și operatorii botnetului BadBox. În ansamblu, mesajul companiei este că lupta anti-fraudă se mută tot mai mult în zona de automatizare prin inteligență artificială și cooperare interinstituțională, cu efect direct asupra modului în care sunt filtrate e-mailurile, reclamele și accesul la site-uri, dar și asupra instrumentelor de verificare pe care utilizatorii le au la îndemână. [...]
