Hlavní navigace

Postřehy z bezpečnosti: prý uniklo 7 miliónů účtů Dropboxu

20. 10. 2014
Doba čtení: 2 minuty

Sdílet

Účty a hesla populární cloudové služby Dropbox se prý objevily ke stažení na internetu. K DDoS útokům se dle Akamai používá protokol UPnP. Android distribuce CyanogenMod podléhá MitM útoku. Microsoft, Adobe a Oracle opravily mnoho chyb. V protokolu SSLv3 byla objevena chyba v šifrování CBC.

Zprávou týdne je bezesporu informace o údajném úniku 7 milionů účtů Dropboxu. Podrobnosti o této kauze již proběhly ve zprávičkách. Společnost Dropbox uvedla, že hesla a uživatelská jména pocházejí ze zcela jiné webové služby. Někteří uživatelé nicméně stejnou kombinaci jména a hesla používali i na Dropboxu, a proto byla tato hesla zablokována.

Útočníci zneužívají UPnP zařízení v DDoS útocích, varuje společnost Akamai. Analytici společnosti Akamai Technologies vydali varování před sérií DDoS útoků spouštěných ze zařízení s podporou Universal Plug and Play (UPnP). Útočníci na tato zařízení mohou posílat požadavky s falešnou IP adresou. K cíli útoku je pak využíván protokol Simple Service Discovery Protocol (SSDP). Tento protokol je prý hojně používán k útokům.

Uživatelé používající CyanogenMod jsou náchylní k Man-in-the-Middle útokům. Uživatelé Androidu používající oblíbenou ROM třetí strany – CyanogenMod – se mohou stát obětí Man-in-the-Middle (MitM) útoků, patrně kvůli znovu použitému deset let starému Java kódu.

Bezpečnostní opravy od Microsoftu, Adobe a Oracle. Microsoft vydal v úterý opray osmi zranitelností, tří z toho kritických. Adobe vydal opravy FlasheCold Fusion a Oracle vydal opravu 154 zranitelností svých produktů.

POODLE útok je nový útok na SSL 3.0 ohrožující Internet. Umožňuje útočníkům rozšifrovat data přenášená přes zabezpečený kanál. Chyba je v šifrování CBC využívaném ve verzi SSL 3.0. Tento protokol je starý už patnáct let a většina prohlížečů a serverů ho stále podporuje. V případě, že se nepodaří navázat zabezpečené spojení pomocí některého z novějších protokolů TLS 1.0 může spojení spadnout až do protokolu SSL 3.0. Rychlým řešením je vypnout SSLv3 v konfiguraci webserveru.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Autor článku

Pracuje jako IT konzultant ve společnosti Datasys. Vystudoval VOŠ Liberec, obor Počítačové systémy. Ve svém oboru prosazuje otevřená řešení IT infrastruktury.