Slack, Github Kod Deposunun İhlali İfşa Etti


O zamandan beri Elon Musk, Twitter’da 44 milyar dolar harcadı ve şirket personelinin büyük bir yüzdesini işten çıkardı, veri ihlalleriyle ilgili endişeler var. Şimdi, Musk’ın devralmasından önceki bir güvenlik olayı baş ağrısına neden oluyor gibi görünüyor. Bu hafta, bilgisayar korsanlarının büyük olasılıkla Haziran 2021 ile Ocak 2022 arasında toplanmış olan 200 milyon e-posta adresini ve bunların Twitter hesaplarına bağlantılarını açığa çıkardığı ortaya çıktı. Verilerin satışı, anonim Twitter hesaplarını risk altına sokabilir ve daha fazla düzenleyici incelemeye yol açabilir şirkette.

WhatsApp, İran’daki insanların mesajlaşma platformunda hükümetin uyguladığı engellemelerden kaçınmasına yardımcı olacağını umduğu yeni bir sansür önleme aracı başlattı. Şirket, insanların WhatsApp’a erişmek ve hükümet filtrelemesinden kaçınmak için proxy kullanmasını mümkün kıldı. Araç dünya çapında kullanılabilir. Domuz kesme dolandırıcılığının ne olduğunu ve bunların tuzaklarına düşmekten nasıl kaçınılacağını da açıkladık.

Yine bu hafta, siber güvenlik şirketi Mandiant, Rus siber casusluk grubu Turla’nın Ukrayna’da yenilikçi bilgisayar korsanlığı taktikleri kullandığını gördüğünü açıkladı. FSB istihbarat teşkilatına bağlı olduğuna inanılan grup, diğer bilgisayar korsanı gruplarının uykuda olan USB enfeksiyonlarına sırtını dayadığı tespit edildi. Turla, süresi dolmuş yıllık kötü amaçlı yazılım alanlarını kaydetti ve komuta ve kontrol sunucularını ele geçirmeyi başardı.

Ayrıca EncroChat hack’inin devam eden serpintilerini de bildirdik. Haziran 2020’de Avrupa çapında polis, şifreli EncroChat telefon ağına girdiklerini ve kullanıcılarından çoğu potansiyel olarak ciddi suçlular olan 100 milyondan fazla mesaj topladıklarını açıkladı. Şimdi toplanan istihbarata göre binlerce insan hapse atıldı, ancak baskın, kolluk kuvvetlerinin bilgisayar korsanlığı ve şifreli telefon ağlarının geleceği hakkında daha geniş soruları gündeme getiriyor.

Ama hepsi bu değil. Her hafta, derinlemesine ele almadığımız güvenlik hikayelerini bir araya getiriyoruz. Haberlerin tamamını okumak için başlıklara tıklayın. Ve orada güvende kalın.

31 Aralık’ta milyonlarca insan 2023’ün başlangıcına hazırlanırken Slack, blogunda yeni bir güvenlik güncellemesi yayınladı. Gönderide şirket, “Slack’in kod havuzlarının bir alt kümesine yetkisiz erişimi içeren bir güvenlik sorunu” tespit ettiğini söylüyor. 27 Aralık’tan itibaren, bilinmeyen bir tehdit aktörünün Slack çalışan jetonlarını çaldığını ve bunları harici GitHub deposuna erişmek ve şirketin kodlarından bazılarını indirmek için kullandığını tespit etti.

Saldırganın müşteri verilerine erişmediğini ve Slack kullanıcılarının herhangi bir şey yapmasına gerek olmadığını da sözlerine ekleyen Slack’in açıklaması, “Olaydan haberdar edildiğimizde, çalınan jetonları derhal geçersiz kıldık ve müşterilerimiz üzerindeki potansiyel etkisini araştırmaya başladık” diyor.

Siber güvenlik muhabiri Catalin Cimpanu’nun belirttiği gibi, olay, kimlik doğrulama firması Okta tarafından açıklanan 21 Aralık güvenlik olayına benziyor. Noel’den hemen önce Okta, kod havuzlarına erişildiğini ve kopyalandığını açıkladı.

Slack, olayı kısa sürede fark etti ve bildirdi. Ancak, Bleeping Computer tarafından tespit edildiği üzere, Slack’in güvenlik açıklaması her zamanki haber blogunda yer almıyordu. Ve dünyanın bazı yerlerinde şirket, arama motorlarını sonuçlarına dahil etmeyi durdurmak için kod ekledi. Ağustos 2022’de Slack, bir hatanın beş yıl boyunca hashlenmiş parolaları açığa çıkarmasından sonra zorunlu parola sıfırlamaları yaptı.

Georgia’da siyahi bir adam, polisin yanlış olan bir yüz tanıma eşleşmesine güvendiği bildirildikten sonra neredeyse bir hafta hapiste kaldı. Louisiana polisi, araştırmakta oldukları bir hırsızlık vakasında Randal Reid için tutuklama emri çıkarmak için bu teknolojiyi kullandı. “Hayatımda bir gün bile Louisiana’ya gitmedim. Sonra hırsızlıktan olduğunu söylediler. Reid yerel haber sitesi Nola’ya verdiği demeçte, Louisiana’ya gitmediğim gibi hırsızlık da yapmıyorum.

Yayın, bir dedektifin “bir izin belgesini güvence altına almak için algoritmayı göründüğü gibi kullandığını” söylüyor ve Louisiana’da polisin yüz tanıma teknolojisini kullanması hakkında çok az şey bilindiğini söylüyor. Kullanılan herhangi bir sistemin adı açıklanmadı. Ancak bu, haksız tutuklamalarda kullanılan yüz tanıma teknolojisinin en son örneğidir. Yüz tanıma teknolojisinin polis tarafından kullanılması ABD eyaletlerinde hızla yayılırken, araştırmalar bunun beyaz olmayan insanları ve kadınları beyaz erkeklerden daha sık yanlış tanımladığını defalarca göstermiştir.

Bu yılın ilk gününde Ukrayna, işgalci Rus birliklerine bugüne kadarki en ölümcül füze saldırısını başlattı. Rus işgali altındaki Donetsk bölgesindeki Makiivka’da geçici bir Rus kışlasına düzenlenen saldırıda 89 asker öldü. Ukraynalı yetkililer, yaklaşık 400 Rus askerinin öldürüldüğünü söylüyor. Sonrasında, Rusya savunma bakanlığı, cep telefonlarını izinsiz kullandıkları için birliklerin yerlerinin tespit edildiğini iddia etti.

Savaş sırasında her iki taraf da telefon görüşmelerini dinleyebileceklerini ve yerlerini tespit edebileceklerini söylediler. Rusya’nın son iddiasına ihtiyatla yaklaşılması gerekirken, çatışma, açık kaynak verilerinin askerleri hedef almak için nasıl kullanılabileceğinin altını çizdi. Ön saflardaki insanları izlemek için insansız hava araçları, uydu görüntüleri ve sosyal medya paylaşımları kullanıldı.

Louisiana’daki yeni bir yasa, porno sitelerinin 18 yaşından büyük olduklarını kanıtlamak için eyaletteki ziyaretçilerin yaşlarını doğrulamasını gerektiriyor. Yasa, bir web sitesinde yüzde 33,3 veya daha fazla pornografik içerik bulunduğunda yaş doğrulamasının kullanılması gerektiğini söylüyor. Yasaya cevaben, dünyanın en büyük porno sitesi olan PornHub artık insanlara ehliyetlerini veya devlet kimliklerini bağlama seçeneği yasal yetişkin olduklarını kanıtlamak için üçüncü taraf bir hizmet aracılığıyla. PornHub, kullanıcı verilerini toplamadığını söylüyor, ancak bu hareket gözetleme korkularını artırdı.

Dünyanın dört bir yanında ülkeler, porno sitesi ziyaretçilerinin müstehcen materyali görecek yaşta olduklarını kanıtlamalarını gerektiren yasalar çıkarıyor. Almanya ve Fransa’daki milletvekilleri, önlemleri uygulamamaları halinde porno sitelerini engellemekle tehdit ettiler. Bu arada, Şubat 2022’de Twitter, yaş doğrulama sistemleri yerinde olmadığı için Almanya’da yetişkinlere uygun içerik oluşturucuları engellemeye başladı. Birleşik Krallık, 2017 ile 2019 arasında benzer yaş kontrolü önlemleri uygulamaya çalıştı; ancak planlar, porno web sitesi yöneticilerinin kafa karışıklığı, tasarım kusurları ve veri ihlali korkuları nedeniyle çöktü.

Casusların dünyası, doğası gereği gizlilik içinde gizlidir. Milletler, istihbarat toplamak, diğer varlıkları işe almak ve olayları etkilemek için ülkelere ajanlar gönderir. Ancak ara sıra bu casuslar yakalanır. Rusya’nın Şubat 2022’de Ukrayna’yı tam ölçekli işgalinden bu yana, Avrupa’daki daha fazla Rus casusu tespit edildi ve ülkelerden sınır dışı edildi. Açık kaynak araştırmacısı @inteltakes’in yeni veritabanı, 2018’den bu yana Rusya’nın Avrupa’daki bilinen casus vakalarını bir araya getirdi. Veritabanı, ifşa edilen 41 casus kaydını listeliyor ve mümkünse her varlığın milliyetini, mesleğini ve işe aldıkları hizmeti ayrıntılarıyla açıklıyor. .





Source link