Sběr uživatelských dat v Duolingo
Po nedávném incidentu a úniku dat uživatelů platformy Duolingo provedla společnost Surfshark výzkum, jaká data aplikace vlastně sbírá. V rámci výzkumu bylo definováno 32 oblastí dat, které by mohly být aplikací sbírány. Duolingo pak provádělo sběr v 19 z těchto oblastí, což je nejvíce z testovaných aplikací pro výuku jazyků. Kromě jména, emailové adresy a telefonního čísla se jednalo o polohu nebo historii nákupů. Nejlépe si ve výzkumu vedla aplikace EWA, která prováděla sběr dat pouze v pěti z 32 definovaných oblastí.
Zdroj: https://cybernews.com/news/duolingo-champion-of-tracking/
Falešná doména Keepass
Společnost Google v rámci sponzorovaných odkazů, zobrazujících se jako první ve vyhledávání, směrovala uživatele na falešnou doménu Keepass. Webová stránka pak vypadala naprosto přesně, jako web aplikace pro správu hesel. Místo možnosti stáhnout aplikaci ovšem web obsahoval škodlivý kód. Útočníci využili možnosti používat v názvu domény znaky mimo anglickou abecedu. Doména vypadala na první pohled jako keepass[.]info, při bližším zkoumání si však bylo možné všimnout drobné mezery před písmenem „k“.
Zdroj: https://www.root.cz/zpravicky/falesna-domena-spravce-hesel-keepass-zneuziva-zameny-znaku-v-idn/
Google Play Protect
Společnost Google oznámila aktualizaci svojí služby Play Protect, která bude v reálném čase podporovat skenování aplikací před jejich stažením a instalací na zařízení Android. Důležité signály jsou z aplikace extrahovány a odeslány do backendové infrastruktury Play Protect pro vyhodnocení na úrovni kódu, aby se zjistilo, zda je instalace bezpečná, nebo zda má škodlivý charakter. Google uvedl, že tato funkce je zaváděna ve vybraných zemích, počínaje Indií.
Zdroj: https://thehackernews.com/2023/10/google-play-protect-introduces-real.html
Malware QakBot
Některé části infrastruktury malwaru QakBot zřejmě přežily srpnový, mezinárodní, policejní zásah proti C2 serverům využívaným pro řízení zmíněného botnetu. QakBot byl primárně distribuován pomocí malspamových kampaní a jeho šíření touto cestou po policejním zásahu ustalo. Podle zprávy výzkumného týmu Cisco Talos zřejmě část infrastruktury zůstala nedotčena a je pomocí ní nadále distribuován ransomware Ranson Knight.
Zdroj: https://thehackernews.com/2023/10/google-play-protect-introduces-real.html
Útok na infraštruktúru spoločnosti Okta
Spoločnosť Okta poskytuje Identity Provider API, ktoré umožňuje zákazníkom previazať ich aplikácie s autentizáciou pomocou účtov tretích strán (Google, Apple, Facebook, atď.). V priebehu októbra boli zverejnené podrobnosti o úspešnom útoku na túto spoločnosť. Hackerom sa podarilo získať prístup do support case managementu. Podľa zverejnených informácií nebola ovplyvnená žiadna ďalšia časť infraštruktúry, a nemali by preto byť zákazníci priamo ovplyvnení. Najväčším rizikom je skutočnosť, že hacknutý case management sa používa aj na zdieľanie HTTP archívov (HAR), ktoré slúžia na replikáciu užívateľských, a administrátorských problémov. Tieto súbory by mohli obsahovať cookie, ktoré by útočník mohol zneužiť k prístupu ku zákazníckym tenantom. Okta spolupracuje so všetkými potenciálne zasiahnutými zákazníkmi, a všetky prístupy, ktoré mohli byť odcudzené cez HAR archívy boli revokované. Jedným zo zákazníkov, ktorý Okta platformu využíva, je známy password manager 1Password. Po vyhodnotení bolo potvrdené, že žiadne dáta zákazníkov 1Password neboli zasiahnuté.
https://thehackernews.com/2023/10/oktas-support-system-breach-exposes.html