Czy konto Microsoftu na GitHubie zostało zhakowane?


Microsoft twierdzi, że bada doniesienia, jakoby jego konto firmowe na GitHub zostało zhakowane. Niektórzy twierdzą, że jest źródłem wycieków plików, co wydaje się być uzasadnione. Jest jednak mało prawdopodobne, aby te wycieki zawierały poufne informacje.

W czwartek haker twierdził, że uzyskał 500 GB kodu źródłowego z prywatnych repozytoriów GitHub Microsoftu. Opublikowane zrzuty ekranowe sugerują, że pliki zostały prawdopodobnie uzyskane 28 marca. Na hackerskich forach pojawił się post oferujący niektóre pliki za darmo oraz informacja, że dane są skompresowane do 54 GB, a nieskompresowane mają rozmiar 500 GB. Inżynier oprogramowania Rafael Rivera, który to sprawdził, potwierdził, że pliki wydają się być prawdziwe.

Podobno wyciekły dane, które obejmują kod źródłowy dla platformy Azure, pakietu Office oraz niektóre pliki środowiska uruchomieniowego Windows i interfejsy API. Mimo to, że pliki nie zawierają niczego wrażliwego, mogą przechowywać klucze i hasła pozostawione przez pomyłkę w kodzie. Dustin Metzgar, inżynier oprogramowania, który w przeszłości pracował dla Microsoftu przez prawie dekadę, powiedział, że jest mało prawdopodobne, aby kod zawierał takie dane, ponieważ Microsoft wkłada wiele wysiłku w zapewnienie usunięcia tajemnic z kodu źródłowego. „Mają bramki i rutynowe skanowanie kodu w poszukiwaniu czegokolwiek, co wygląda jak sekret. Wszystkie certyfikaty i tajemnice są również zmieniane. Nic nie jest niezawodne, ale naprawdę się starają” – powiedział Metzgar na Twitterze.

Warto przypomnieć, że Microsoft jest właścicielem GitHuba.


Masowe ataki na strony w WordPress


Hackerzy aktywnie atakują lukę we wtyczce Elementor Pro dla WordPress, aby przejmować strony internetowe, ostrzega w tym tygodniu firma ochroniarska WordPress Defiant.

Przy szacowanej ilości instalacji na ponad 1 milion stron internetowych, Elementor Pro to płatna wersja bezpłatnej wtyczki Elementor (która ma ponad 4 miliony użytkowników). Jest to narzędzie do tworzenia stron metodą przeciągnij i upuść. Luka dotyczy tylko elementu Elementor Pro, który jest dostępny jako osobny plik do pobrania.

Luka może zostać wykorzystana przez uwierzytelnionych atakujących w celu przesyłania dowolnych plików i zdalnego wykonywania kodu na zaatakowanych stronach internetowych. Kiedy ataki zostały wykryte 6 maja, była to luka zero-day, ponieważ osoby atakujące już aktywnie wykorzystywały tę usterkę, a łata nie była dostępna dla użytkowników Elementor Pro.

„Osoba atakująca, która może zdalnie wykonać kod w witrynie, może zainstalować backdoora lub przeglądarkę internetową, aby zachować dostęp, uzyskać pełny dostęp administracyjny do WordPress, a nawet całkowicie usunąć witrynę”, wyjaśnia Defiant.

Elementor opublikował łatę dla luki 7 maja. Wersja 2.9.4 Elementor Pro rozwiązuje ten problem i zaleca się użytkownikom natychmiastową aktualizację.

W ramach zaobserwowanych akcji hacker bezpośrednio atakuje lukę w witrynach internetowych przy otwartej rejestracji użytkownika. Jeśli witryna nie ma włączonej rejestracji użytkowników, osoby atakujące próbują wykorzystać niedawno załataną lukę we wtyczce Ultimate Addons for Elementor, która pozwala im ominąć rejestrację i utworzyć konta subskrybentów. Następnie, wykorzystując nowo utworzone konta, osoby atakujące wykorzystują lukę w zabezpieczeniach Elementor Pro, aby uzyskać zdalne wykonanie kodu.

Ultimate Addons dla Elementora w wersji 1.24.2 rozwiązuje problem błędu rejestracji, a użytkownikom zaleca się jak najszybszą aktualizację, szczególnie jeśli używają wtyczki obok Elementor Pro.

Administratorzy powinni również sprawdzić swoje witryny pod kątem nieznanych użytkowników na poziomie subskrybentów i wyszukać w swoich instalacjach pliki o nazwie „wp-xmlrpc.php”. Ponadto Defiant zaleca usunięcie wszelkich nieznanych plików lub folderów w katalogu / wp-content / uploads / elementor / custom-icons /, zwłaszcza jeśli utworzono również nieznane konto na poziomie subskrybenta.


Nowe funkcje w uwierzytelnianiu Googla


W tym tygodniu Google ogłosiło, że użytkownicy Google Authenticator mogą teraz przenosić weryfikacje dwuetapową (2SV) między urządzeniami. Nowa funkcja ma ułatwić użytkownikom zarządzanie kodami 2SV Google Authenticator na wielu urządzeniach. Google chwali się, że dzięki nowej funkcji użytkownicy mogą przesyłać dane na nowe urządzenie podczas aktualizacji.

Oczekiwana funkcja jest teraz dostępna w najnowszej wersji Google Authenticator na Androida (wersja 5.10).

„Korzystanie z uwierzytelniania 2SV, 2-Factor Authentication (2FA) lub Multi-Factor Authentication (MFA) ma kluczowe znaczenie dla ochrony kont przed nieautoryzowanym dostępem. Dzięki tym mechanizmom użytkownicy weryfikują swoją tożsamość za pomocą hasła i dodatkowego dowodu tożsamości, takiego jak klucz bezpieczeństwa lub hasło”, powiedział Google.

Google Authenticator ma na celu nie tylko zapewnienie łatwego sposobu używania 2SV na kontach, ale także poprawę bezpieczeństwa procesu logowania, w porównaniu do opcji takich jak odbieranie kodów za pomocą wiadomości tekstowych. Aby zapewnić użytkownikom bezpieczeństwo kont, Google podjęło również szereg działań w celu zminimalizowania możliwości ataku. Żadne dane nie są wysyłane na serwery Google, gdy użytkownik przenosi 2SV, ponieważ komunikacja odbywa się tylko między dwoma urządzeniami. Ponadto zaimplementowano mechanizmy ostrzegania i dzienniki w aplikacji, aby użytkownicy byli w pełni świadomi, że użyto funkcji przesyłania.

Podziel się z innymi tym artykułem!