cloud-sikkerhed

Hanwha Techwin lukker 10 huller i overvågningskameraer

Sikkerhedsforskere fra Kaspersky har fundet 13 sårbarheder i overvågningskameraet Hanwha SNH-V6410PN/PNW SmartCam fra firmaet Hanwha Techwin. Producenten har lukket 10 af sikkerhedshullerne og er i gang med at fjerne resten.

Sårbarhederne ligger blandt andet i det cloud-system, som kameraerne kommunikerer med. En angriber kan få adgang til alle kameraer ved at hacke sig ind på cloud-systemet.

Det er også muligt at afvikle programkode med privilegier som root.

Andre modeller af kameraer fra producenten kan også være sårbare.

Dansk

Over 4.000 åbne ElasticSearch-servere indgår i botnet

Sikkerhedsfirmaet Kromtech Security har fundet frem til tusindvis af servere, der kører ElasticSearch uden adgangskontrol. Omkring 4.000 af serverne fungerer som Command & Control-servere (C&C) i botnet.

Forskerne fandt software tilhørende to familier af skadelig software: AlinaPOS og JackPOS. Begge programmer inficerer kasseapparater, hvor de forsøger at finde frem til betalingskortoplysninger i arbejdslageret.

99 procent af serverne er virtuelle servere i Amazon Web Services.

Dansk

Oversættelsestjeneste lækker fortrolige data

Den norske Teknisk-naturvitenskapelig forening (Tekna) advarer om, at tjenesten Translate.com lægger resultater af nogle oversættelser ud på nettet. Dermed kan enhver finde fortrolige oplysninger med en søgning.

Tekna har med søgninger fundet virksomheders planer om fyringsrunder, passwords og kontrakter.

Olieselskabet Statoil har fundet interne dokumenter fra virksomheden via tjenesten.

Translate.com oplyser til den norske radio- og tv-station NRK, at virksomheden sletter oplysninger, hvis ejeren beder dem om det.

Dansk

Data om hotelkunder og vælgere er lækket via Amazon S3

Hotelbookingtjenesten Groupize lagrer data på Amazon Web Services, herunder datalagringssystemet S3. Som standard er data herpå beskyttet, så kun registrerede brugere kan tilgå dem. Men nogen har ændret på indstillingerne, så alle data var frit tilgængelige for alle, der prøvede at se dem.

Ifølge sikkerhedsfirmaet Kromtech lå der blandt andet knap 3.000 indscannede kontrakter og aftaler med betalingskortoplysninger. Groupize nægter, at der var fortrolige oplysninger i dataene.

Dansk

Over tusind apps savner serversikkerhed

Over 1.000 apps lækker personoplysninger, fordi deres kommunikation med cloud-servere ikke er ordentligt sikret. Det skriver sikkerhedsfirmaet Appthority i en rapport.

Firmaet oplyser, at sårbarheden ligger i kommunikationen mellem apps og de centrale servere, de lagrer data på.

De sårbare apps bruger blandt andet servere med software som Elasticsearch, Redis, MongoDB og MySQL. Appthority understreger, at platformene ikke i sig selv er usikre. De kan sikres ved at følge best practices, men det gør mange app-udviklere ikke.

Dansk

Adobe frigiver kontrolrammeværk som open source

Adobe udviklede Common Control Framework, fordi virksomhedens tjenester og produkter skal overholde en række standarder: ISO 27001, AICPA SOC Common Criteria, AICPA SOC Availability, HIPAA (Health Insurance Portability and Accountability Act) og flere andre.

I Common Control Framework har Adobe fundet frem til fællesnævnerne for de forskellige standarder. Ud fra dem er der udviklet foranstaltninger til at sikre, at kravene bliver overholdt.

Dansk

Cloudflare har lækket fortrolige data

En lang række websteder kører bag Cloudflare, der blandt andet beskytter mod DDoS-angreb. Tjenesten læser HTML-koden i webstederne og ændrer den, så links bliver omdirigeret.

I denne omskrivning af HTML er fejlen opstået, så data fra arbejdslageret blev sendt med ud til browserne.

Ifølge Cloudflare er det hovedsagelig sket mellem den 13. og 18. februar, hvor fejlen blev opdaget. Der skete lækage ved cirka en ud af 3,3 millioner HTTP-forespørgsler.

Dansk

Cloudtjenester

Har du lagret følsomme persondata på en cloudtjeneste?

Dette eksempel på it-sikkerhedsproblemer i en universitetsansats hverdag er taget fra en samlet video om emnet. Den er fremstillet i et samarbejde mellem DKCERT og de otte danske universiteter.

Formålet er at fremme bevidstheden om informationssikkerhed hos ansatte og studerende.

Dansk
Abonnér på RSS - cloud-sikkerhed