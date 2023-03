Nejméně pět ekvádorských novinářů pracujících pro různé zpravodajské organizace dostalo v posledních týdnech dle místních policejních orgánů a organizace pro ochranu svobody slova a práv novinářů Fundamedios balíčky s bombami ukrytými do USB flash disků. Ty měly explodovat po připojení disků k počítači, k čemuž minimálně v jednom případě skutečně došlo. Novináři, který flash disk připojil ke svému počítači, naštěstí způsobil pouze drobná zranění.

Ekvádorský ministr vnitra potvrdil, že ve všech pěti případech byly novinářům dodány stejné typy USB disků, a že incidenty, které označil za snahu o umlčení tisku, jsou aktuálně vyšetřovány jako teroristické útoky.

V uplynulém týdnu se ukázalo, že chyba/zranitelnost postihující nástroj pro úpravu obrázků Markup, instalovaný na telefonech Pixel od společnosti Google, která byla publikována v předminulém týdnu, a která si vysloužila neformální označení aCropalypse, postihuje i nástroj Snipping Tool (Výstřižky) ve Windows.

Zranitelnost způsobuje, že po oříznutí obrázku s pomocí jmenovaných nástrojů nedojde ve vybraných případech ke změně velikosti původního souboru, ale pouze k přepisu jeho začátku. Některé části původního obrázku, které měly být odstraněny, tak může být možné obnovit.

Dopady zranitelnosti mohou být relativně citelné, zejména v oblasti ochrany citlivých informací a soukromí, a pro uživatele výše jmenovaných nástrojů tak může být na místě zhodnotit, zda díky zranitelnosti nemohlo dojít k úniku jakýchkoli jejich citlivých dat.

Pro Pixel i Windows 11 jsou již k dispozici záplaty pro diskutovanou zranitelnost, za zmínku však stojí, že totéž se v době psaní tohoto článku ještě netýkalo nástroje Snipping Tool ve Windows 10.

Aplikace ChatGPT začala v pondělí zobrazovat některým uživatelům v seznamu jejich předchozích požadavků dotazy, které daní uživatelé nikdy nezadali a které patřily jiným uživatelům jmenované platformy. Uživatelé placené verze služby ChatGPT Plus pak mohli na stránkách svého účtu vidět i vybrané osobní (a v omezené míře platební) údaje jiných uživatelů.

Jak se později ukázalo, na vině byla chyba v komponentě sytému Redis, kterou ChatGPT využívá.

CEO společnosti OpenAI, která platformu provozuje, se za situaci omluvil a společnost již začala kontaktovat uživatele, jejichž data mohla v důsledku výše uvedené chyby uniknout – dle analýzy OpenAI by se mělo jednat o cca 1,2 % uživatelů služby ChatGPT Plus.

V návaznosti na zatčení provozovatele BreachForums, online tržiště s nelegálně získanými daty, v předminulém týdnu, se řízení platformy ujal její druhý administrátor, který posléze informoval, že má v plánu tržiště dále provozovat.

Počátkem tohoto týdne však své rozhodnutí změnil a rozhodl se fungování platformy ukončit. Dle vlastního vyjádření tak učinil v návaznosti na zjištění úspěšného přístupu k serverové infrastruktuře tržiště s využitím účtu původního provozovatele v průběhu víkendu, přičemž tento přístup připisoval policejním orgánům.

FBI později potvrdila, že se jí skutečně podařilo získat databázi obsahující data (včetně těch o uživatelích) z platformy BreachForums a lze tak předpokládat, že v souvislosti s touto platformou dojde v nadcházejících měsících i k dalším zatčením.

V uplynulém týdnu proběhla každoroční konference/soutěž Pwn2Own zaměřená na identifikaci zranitelností v široce užívaných systémech.

Účastníci akce si letos odnesli přes milion dolarů, přičemž pět nejhodnotnějších zranitelnosti oceněných částkami v rozmezí od 75 000 do 150 000 dolarů se týkalo automobilů Tesla (dvě zranitelnosti), platformy Microsoft Sharepoint, hypervisoru Oracle VirtualBox a komunikační platformy Microsoft Teams.

Provozovatelé platformy GitHub ve čtvrtek vyměnili RSA SSH klíče užívané pro zabezpečení komunikace s verzovacím systémem Git. K uvedenému kroku se odhodlali poté, co bylo zjištěno, že soukromý RSA klíč užívaný platformou byl v průběhu týdne krátce volně dostupný ve veřejném repozitáři.

Dle oficiálního vyjádření organizace nebylo zpřístupnění klíče spojeno s kompromitací systémů GitHubu a nejsou známy ani žádné případy jeho zneužití. Přesto je dobrý nápad u klientů vyměnit klíče bezpečným způsobem.

