Aresztowania za atak na Tesle
Obywatel Rosji, który próbował przekonać pracownika Tesli do umieszczenia złośliwego oprogramowania na komputerach firmy, przyznał się do winy – ogłosił w czwartek Departament Sprawiedliwości Stanów Zjednoczonych. Egor Igorevich Kriuchkov, 27 lat, przyznał się do „spisku mającego na celu celowe uszkodzenie chronionego komputera”. Początkowo groziło mu do pięciu lat więzienia, ale prawdopodobnie otrzyma lżejszy wyrok w wyniku zgody na ugodę.
Kriuczkow jest oskarżony o spiskowanie z innymi osobami w celu przekonania pracownika Tesli do umieszczenia złośliwego oprogramowania w sieci producenta samochodów elektrycznych w ramach ataku ransomware. Grupa planowała również przeprowadzić atak DDoS, aby odwrócić uwagę firmy, podczas gdy złośliwe oprogramowanie pozwoliło im ukraść cenne dane.
Rosjanin przybył się do USA w lipcu 2020 roku na podstawie wizy turystycznej i wkrótce potem skontaktował się z pracownikiem Tesli, który przebywał w Nevadzie.
Pracownikowi zaproponowano początkowo 500 000 dolarów za pomoc, ale później oferta została podwojona. Mimo to pracownik zdecydował się poinformować Teslę o planie cyberprzestępców, a firma powiadomiła FBI, które zorganizowało śledztwo i aresztowania.
Kriuczkow został aresztowany w sierpniu 2020 roku. Zostanie skazany 10 maja.
Haker czy haktywista?
Akt oskarżenia przeciwko 21-letniemu Tillowi Kottmannowi został ogłoszony w czwartek w zachodnim dystrykcie Waszyngtonu z siedzibą w Seattle. Departament Sprawiedliwości oskarżył szwajcarskiego hakera o włamanie do komputera i kradzież tożsamości, nieco ponad tydzień po tym, jak haker przyjął wynagrodzenie za pomoc we włamaniu do systemów online amerykańskiej kamery bezpieczeństwa.
Prokuratorzy federalni poinformowali w czwartek, że Kottmann z Lucerny w Szwajcarii został początkowo oskarżony we wrześniu. Zakres zarzutów sięga 2019 roku i dotyczy kradzieży danych uwierzytelniających oraz publikowania kodu źródłowego i informacji zastrzeżonych ponad 100 podmiotów, w tym firm i agencji rządowych.
Kottmann opisał najnowsze włamanie i wyciek materiału z kamery od klientów Verkady, dostawcy kamer bezpieczeństwa z Kalifornii, jako część „haktywistycznej” akcji ujawniania niebezpieczeństw masowej inwigilacji.
Władze szwajcarskie poinformowały, że pod koniec zeszłego tygodnia dokonały „nalotu” na dom Kottmanna w Lucernie na wniosek władz USA. Nie jest jasne, czy prokuratorzy USA zamierzają dokonać ekstradycji Kottmanna, który pozostaje w Lucernie i został powiadomiony o toczących się zarzutach. Prokuratorzy twierdzą, że FBI niedawno przejęło domenę internetową, której Kottmann używał do publikowania zhakowanych danych w Internecie.
Akt oskarżenia wiąże szereg włamań z Kottmannem, w tym jeden wymierzony w nienazwanego producenta urządzeń zabezpieczających z siedzibą w regionie Seattle, a drugi dotyczący producenta sprzętu taktycznego.
W kilku przypadkach prokuratorzy stwierdzili, że Kottmann niewłaściwie wykorzystał ważne dane uwierzytelniające pracowników, aby uzyskać dostęp do baz danych kodu źródłowego. Akt oskarżenia mówi, że Kottmann włamał się również do Departamentu Transportu stanu Waszyngton, producenta samochodów i firmy zajmującej się inwestycjami finansowymi.
Akt oskarżenia nie wspomina konkretnie o głośnym włamaniu do Verkady z zeszłego tygodnia, który zwrócił uwagę, ponieważ ujawnił transmisje z kamer na żywo i archiwalne nagrania wideo ze szkół, więzień, fabryk, siłowni i biur korporacji.
Kottmann, jest osobą transpłciową, do opisywania siebie używa zaimków oni/ich. W zeszłym tygodniu powiedział The Associated Press, że należą do grupy o pseudonimie APT-69420 Arson Cats, niewielkiego kolektywu „głównie queerowych hakerów, nie popieranych przez żadne narody ani kapitał, ale zamiast tego wspieranych przez pragnienie zabawy, bycie gejem i nadziei na lepszy świat”.
Kottmann wcześniej publikował informacje o wyciekach zhakowanych materiałów w celu ujawnienia luk w zabezpieczeniach, w tym od amerykańskiego producenta chipów Intel w zeszłym roku.
50 000 dolarów za odkrycie luk w Facebooku?
Badacz twierdzi, że zarobił ponad 50 000 dolarów po odkryciu luk w zabezpieczeniach na Facebooku, które mogły zostać wykorzystane do uzyskania dostępu do niektórych wewnętrznych systemów giganta mediów społecznościowych.
Inżynier ds.cyberbezpieczeństwa i łowca nagród „bug bounty” Alaa Abdulridha ujawnił w grudniu 2020 r., że zarobił 7500 USD za odkrycie luki w usłudze Facebooka, z której najwyraźniej korzysta dział prawny firmy. Badacz powiedział, że dziura w zabezpieczeniach mogła zostać wykorzystana do zresetowania hasła dowolnego konta aplikacji internetowej używanej wewnętrznie przez pracowników Facebooka.
W opublikowanym w czwartek wpisie na blogu badacz powiedział, że kontynuował analizę tej samej aplikacji i po raz kolejny udało mu się uzyskać do niej dostęp. Stamtąd podobno był w stanie przeprowadzić atak polegający na fałszowaniu żądań po stronie serwera (SSRF) i uzyskać dostęp do wewnętrznej sieci Facebooka. Facebook opisał to jako możliwość wysyłania przez atakującego żądań HTTP do systemów wewnętrznych i odczytywania ich odpowiedzi.
„Udało mi się przeskanować porty lokalnych serwerów i przeglądać lokalne aplikacje / aplikacje internetowe, których firma używa w swojej infrastrukturze” – powiedział badaczowi SecurityWeek. „Jestem pewien, że taka luka w niepowołanych rękach może zostać przekazana do RCE i może stanowić ogromne zagrożenie dla firmy i jej klientów”.
Gigant mediów społecznościowych przyznał mu prawie 50 000 dolarów za ten drugi łańcuch exploitów.
Abdulridha twierdził również, że atak przejęcia konta mógł pozwolić hakerowi na dostęp do kont innych wewnętrznych aplikacji Facebooka, ale ten ostatni twierdzi, że nie znalazł żadnych dowodów sugerujących, że wada mogłaby zostać eskalowana w celu uzyskania dostępu do innych wewnętrznych kont.
Facebook wyjaśnił, że luki w zabezpieczeniach zgłoszone przez Abdulridhę w rzeczywistości wpłynęły na usługę strony trzeciej przeznaczoną do podpisywania dokumentów i wpłynęły na każdego, kto korzysta z tej usługi, nie tylko na Facebooka. Firma twierdzi, że współpracowała z zewnętrznym dostawcą, aby szybko naprawić błędy, i powiedziała, że nie znalazła dowodów złośliwej eksploatacji, zauważając, że wykorzystanie słabych punktów było złożonym zadaniem.
Podczas gdy badacz twierdził, że naprawienie drugiej rundy luk zajęło Facebookowi prawie 6 miesięcy, firma twierdziła, że chociaż raport został zamknięty dopiero w lutym, błędy zostały w rzeczywistości całkowicie naprawione – zarówno przez Facebooka, jak i przez zewnętrznego dostawcę – w ciągu kilku dni.
Facebook powiedział również, że chociaż wypłacił nagrodę za błędy w oparciu o maksymalny możliwy wpływ, jaki mógł określić, nie zgadzał się z przekonaniem badacza, że luki w zabezpieczeniach SSRF mogły zostać eskalowane do zdalnego wykonania kodu.