Zestawienie tygodniowe 3 – 10 sierpnia
Zespół chińskich naukowców opisał działania, które doprowadziły do odkrycia 19 luk w zabezpieczeniach Mercedesa-Benz Klasy E, w tym usterek, które można wykorzystać do zdalnego włamania do samochodu.
Badania były prowadzone od 2018 roku przez Sky-Go, jednostkę ds. Cyberbezpieczeństwa pojazdów chińskiego dostawcy rozwiązań bezpieczeństwa Qihoo 360. Wyniki ujawniono firmie Daimler, która jest właścicielem marki Mercedes-Benz, w sierpniu ubiegłego roku. Producent samochodów załatał dziury w zabezpieczeniach i w grudniu 2019 roku ogłosił, że połączył siły z zespołem Sky-Go w celu poprawy bezpieczeństwa swoich pojazdów.
Przedstawiciele Sky-Go i Daimler ujawnili wyniki w tym tygodniu na konferencji Black Hat i opublikowali artykuł badawczy. Jednak niektóre informacje nie zostały upublicznione, aby chronić własność intelektualną Daimlera i zapobiec złośliwemu wykorzystaniu.
Badacze przeprowadzili analizę na prawdziwym Mercedesie Klasy E i zademonstrowali, w jaki sposób haker mógł zdalnie odblokować drzwi samochodu i uruchomić silnik. Eksperci oszacowali, że luki mogły mieć wpływ na 2 miliony pojazdów w Chinach.
Sky-Go powiedział, że jego celem była Klasa E, którą Mercedes opisuje jako najbardziej inteligentną limuzynę biznesową, ze względu na system informacyjno-rozrywkowy, który ma najwięcej funkcji.
Haker mógł wykorzystać tę lukę, aby zdalnie zablokować i odblokować drzwi, otworzyć i zamknąć dach, włączyć klakson i światła, a w niektórych przypadkach nawet uruchomić silnik. Naukowcy powiedzieli, że nie udało im się zhakować żadnych krytycznych funkcji bezpieczeństwa.
80 milionów grzywny za nieostrożne praktyki w zakresie bezpieczeństwa sieci
Departament Skarbu USA nałożył na Capital One 80 milionów dolarów grzywny za nieostrożne praktyki w zakresie bezpieczeństwa sieci, które umożliwiły włamanie do danych osobowych 106 milionów posiadaczy kart kredytowych banku.
Przyczyną było to, że Capital One nie zdołał w 2015 roku ustanowić skutecznego zarządzania ryzykiem, kiedy dokonał migracji operacji informatycznych do usługi w chmurze.
Stwierdził, że wewnętrzny audyt banku nie zidentyfikował „licznych słabych punktów” w zarządzaniu środowiskiem chmury i „zaangażował się w niebezpieczne lub nieuczciwe praktyki, które były częścią wzorca niewłaściwego postępowania”.
Krótko o mBanku
Kiedyś był taki program interwencyjny w telewizji – Reporter pytał niezamożnego i wyraźnie pociągniętego przez czas i litry etanolu właściciela dopiero co spalonego poddasza.
„Czy Pan rozumie co się stało, spalił się Panu cały dobytek?” Na to pytany odparł niefrasobliwie kołysząc się stylówce składającej się z spodni z dresu i siateczkowej koszulki na ramiączkach „Wielkie mi mecyje”.
Przypomniało mi się to na przestrzeni ostatniego tygodnia, który minął pod znakiem „ęśąćż” czyli komunikatów z mBanku. O ile dzień pierwszy i artykuły na ten temat były zrozumiałe i uzasadnione, o ile dzień drugi zainteresowania tematem można wytłumaczyć sezonem ogórkowym, o tyle dzień trzeci wałkowania tego na profilach zaczął powodować stan niefrasobliwego zdziwienia zbliżony do stanu bohatera z początku tej informacji. Co się takiego stało? Poszły trzy komunikaty, bank wydajnościowo przetestował serwery. Przecież strych się nie spalił. Jest strata wizerunkowa, ale na serio taka duża? Chociaż jedna osoba zrezygnowała z konta w mBanku z tego powodu? I jeszcze po co mieszać do tego testowanie na produkcji? Wielkie mi mecyje!
Popularne
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Kolejny poważny zero-day. Nowe luki omijają BitLockera i pozwalają przejąć uprawnienia SYSTEM
PowerShell bez powershell.exe. Dlaczego klasyczne detekcje coraz częściej zawodzą
Jeszcze o Mythos!
