Hlavní navigace

Postřehy z bezpečnosti: prý uniklo 7 miliónů účtů Dropboxu

Lukáš Malý

Účty a hesla populární cloudové služby Dropbox se prý objevily ke stažení na internetu. K DDoS útokům se dle Akamai používá protokol UPnP. Android distribuce CyanogenMod podléhá MitM útoku. Microsoft, Adobe a Oracle opravily mnoho chyb. V protokolu SSLv3 byla objevena chyba v šifrování CBC.

Zprávou týdne je bezesporu informace o údajném úniku 7 milionů účtů Dropboxu. Podrobnosti o této kauze již proběhly ve zprávičkách. Společnost Dropbox uvedla, že hesla a uživatelská jména pocházejí ze zcela jiné webové služby. Někteří uživatelé nicméně stejnou kombinaci jména a hesla používali i na Dropboxu, a proto byla tato hesla zablokována.

Útočníci zneužívají UPnP zařízení v DDoS útocích, varuje společnost Akamai. Analytici společnosti Akamai Technologies vydali varování před sérií DDoS útoků spouštěných ze zařízení s podporou Universal Plug and Play (UPnP). Útočníci na tato zařízení mohou posílat požadavky s falešnou IP adresou. K cíli útoku je pak využíván protokol Simple Service Discovery Protocol (SSDP). Tento protokol je prý hojně používán k útokům.

Uživatelé používající CyanogenMod jsou náchylní k Man-in-the-Middle útokům. Uživatelé Androidu používající oblíbenou ROM třetí strany – CyanogenMod – se mohou stát obětí Man-in-the-Middle (MitM) útoků, patrně kvůli znovu použitému deset let starému Java kódu.

Bezpečnostní opravy od Microsoftu, Adobe a Oracle. Microsoft vydal v úterý opray osmi zranitelností, tří z toho kritických. Adobe vydal opravy FlasheCold Fusion a Oracle vydal opravu 154 zranitelností svých produktů.

POODLE útok je nový útok na SSL 3.0 ohrožující Internet. Umožňuje útočníkům rozšifrovat data přenášená přes zabezpečený kanál. Chyba je v šifrování CBC využívaném ve verzi SSL 3.0. Tento protokol je starý už patnáct let a většina prohlížečů a serverů ho stále podporuje. V případě, že se nepodaří navázat zabezpečené spojení pomocí některého z novějších protokolů TLS 1.0 může spojení spadnout až do protokolu SSL 3.0. Rychlým řešením je vypnout SSLv3 v konfiguraci webserveru.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
20. 10. 2014 9:07
cyano (neregistrovaný)

Udaj o moznosti man-in-the-middle utoku v cyanogenmod je nespravny, viz: http://www.cyanogenmod.org/blog/in-response-to-the-register-mitm-article. Prosim poupravte clanek nez zacnete sirit neoverene informace.