lækage

Nyheder

Lækage: Data fra Trello ligger offentligt tilgængelige

3. februar 2020 Lars Bennetzen
Trello er en onlinetjenster, der bruges af millioner til at håndtere opgaver, ved at organisere dem i to-do-lister og som teams kan bruge til at holde styr på opgaverne. Men der er et problem, for sikkerhedsmediet, Naked Security, har fundet ud af, at de boards, hvor opgaver organiseres i, ikke nødvendigvis holdes indenfor Trellos univers. Boards er som udgangspunkt markerede som private, og her er data godt gemt, både for andre Trellobrugere og for folk udenfor Trellos univers. Men hvis den indstilling ændres til ’public’, så er sagen noget helt andet. Meningen med den indstilling er, at andre Trellobrugere skal kunne opdage de boards, men det viser sig, at søgetjenester som f.eks. Google, let kan få adgang til indholdet og dermed indeksere dem. Det betyder så også, at alle der har en browser kan få adgang til at se dem – i teorien, og hvis du ved, hvad du søger efter. De data der er adgang til, er navne, adresser, træningsvideoer og meget mere, hvis der bliver brugt en søgerutine der kaldes for en ’dork’. Præcis hvordan en ’dork’ fungerer skal vi ikke komme nærmer ind på her, og vi kan da håbe at Trello får lukket det sikkerhedshul så hurtigt som muligt. Og indtil det sker, så kan jeg kun opfordre til, at hvis du bruger Trello, så sørg for at alle dine boards er sat til privat.
Business

Datalækage: Over 267 millioner Facebook-brugere har fået lækket deres personlige detaljer

20. december 2019 Lars Bennetzen
I går kunne sikkerhedsforskere fortælle at mere end 267 millioner Facebook-brugere har fået lækket deres data til en offentlig tilgængelig database, hvor deres navne, Facebook ID og telefonnumre stod. Ikke alene var databasen offentlig tilgængelig, den var også helt åben, så der skulle ikke en gang et kodeord til for at se indholdet af den. Og for at gøre ting værre, så har den været tilgængelig i omkring to uger. Det er sikkerhedssitet Comparitech og sikkerhedsforskeren Bob Diachenko der har oplyst det til Business Insider. For ikke-amerikanere er der dog lidt godt nyt, for ifølge Bob Diachenko er det mest folk der bor i USA der har fået deres data offentliggjort. Men der er altså en del der kommer fra andre steder i verden, men det præciserer Bob Diachenko dog ikke. Sikkerhedsbristen betyder at folk kan rammes af spam og scam, fordi der har været stort set fri adgang til deres data. Men hvis du husker Cambridge Analytica-skandalen i 2018, så ved du måske også at Facebook fjernede telefonnumre fra deres API lige derefter. Så de telefonnumre der står i databasen er mere end 18 måneder gammel. Men så er spørgsmålet bare – har du skiftet password til Facebook inden for de sidste 18 måneder? Databasen er ikke længere online, men det har den været i over to uger, og der er gode chancer for, at databasen er blevet kopieret. Så hvis du vil være helt sikker, og hvis du ikke har skiftet dit kodeord for nyligt, så er det …. (læs mere her)
Nyheder

Facebook høster 1,5 millioner brugers mailadresser uden samtykke

25. april 2019 Lars Bennetzen
I sidste uge kom det frem, at Facebook har haft deres datahøstemaskine lidt langt fremme. De har nemlig indsamlet mailadresser fra ikke mindre end 1,5 millioner brugere, og de har ikke bedt om lov til det. Til Business Insider fortæller eksperter at Facebook derved muligvis har brudt både amerikansk og europæisk lov. Datahøsten har fundet sted siden maj 2016 når nogle, ikke alle, brugere blev bedt om deres email for at bekræfte deres konti. Facebook selv har udtalt til Business Insider at det ikke var meningen at indsamle disse data, og at de nu sletter dem. Nu er det ikke første gang i år, at det viser sig at Facebook har haft en lidt lemfældig omgang med brugerdata, og de har da også været ret meget i medierne over det. Men her er der så mulighed for, at der rejses sigtelser om Facebook, hvilket virkelig vil øge problemerne for det sociale netværk. Der har allerede været amerikanske senatorer ude og kommentere på sagen, og ikke mindst kaldt dem for foruroligende, og peget på, at Facebooks udviklere måske har brudt føderal lov på denne måde. Facebook selv har kaldt sagen for et uheld, og nægter i øvrigt at kommentere på den. Det skyldes måske at Facebook siden 2011 er blevet undersøgt af den amerikanske myndighed, FTC.
Nyheder

Millioner af Instagram passwords lækket

23. april 2019 Lars Bennetzen
Facebook har været plaget af datatab, og i sidste måned kom det frem, at de havde en lækage der ramte Instagrambrugere. Men hvor de først sagde at det var i området af ”ti-tusindvis” der var ramt, så har de nu været ude og melde, at det nærmere er millionvis af Instragrambrugere der er ramt. Det er Facebook selv der i en blog-post skriver: ”We discovered additional logs of Instagram  passwords being stored in a readable format,” the company said. “We now estimate that this issue impacted millions of Instagram users. We will be notifying these users as we did the others.” Som jeg skrev her på Tech-Test, så har Facebook i årevis gemt millionvis af passwords i klartekst, nogle dateret helt tilbage til 2012. Data som Facebook hævder aldrig været lækket udenfor Facebooks firewalls, en fejl som de ikke vil forklare nærmere. Det er næppe sidste gang vi ser Facebook i en historie om tabte data. Hvad mener du? Kan vi stole på at Facebook og Instagram passer på vores data?
Nyheder

Kæmpe datalækage – tjek om du er ramt

18. januar 2019 Lars Bennetzen
Wired har lige kunnet rapportere, at ikke mindre end 772.904.991 unikke emailsadresser og mere end 21 millioner unikke kodeord er blevet lagt online på et hackerforum. Oprindeligt blev lækagen først rapoprteret af Troy Hunt fra Have I Been Pwned, et hack-sikkerhedssite, hvor du kan tjekke om din mail og password er blevet kompromitteret, og hvorfra dine informationer er blevet lækket. Denne gang er det ikke fra et enkelt sted at lækagen stammer, men det er en samling af ikke mindre end 2.000 lækkede databaser. Lækket har fået navnet ”Collection #1”, og i modsætning til andre tidligere hacks, så blev det ikke sat til salg, men blev først lagt online på et cloud hosting site – Mega – der dog blev taget ned, og derefter på et offentligt hacker site, hvor det altså kunne hentes gratis. Det er et af de største hacks i historien, der kun er overgået af det gigantiske hack af Yahoo, hvor næsten 3 milliarder brugere blev berørt. Hvis du vil tjekke om du er ramt af lækagen, så smut over på Have I Been Pwned, og her indtaster du så din mail-adresse. Hvis du er ramt af denne eller en tidligere læk, så falder dommen med det samme. Du kan også tjekke om dit password er lækket. Vælg ”passwords” i toppen af siden og indtast et af dine passwords. Hvis det er lækket, så får du dommen med det samme, og kan du så ellers komme i gang med at skifte det alle de steder du …. (læs mere her)