Sikkerhedsoverblik uge 46

Datalæk:

Conventus –  Den danske IT-virksomhed Conventus, der leverer løsninger til danske foreninger, blev i slutningen af juli ramt af et hackerangreb, hvor over 12.000 e-mailadresser på kunder blev lækket, det skriver Version2 tirsdag d. 13. November.

HSBC USA – Et endnu ukendt antal at kunder i banken HSBC data, blev i Oktober kompromitteret. Hvilken metode hackerne har benyttet er ikke oplyst, men ifølge HSBC er der tale om at der har været adgang til: Navn, adresse, telefonnummer, mailadresse, ‘social security numbers’ (Amerikanernes svar på CPR), konto numre, beløb på konti, konti typer samt komplet transaktionshistorik. Læs mere.

InfoWars – 1.600 kunder har fået deres kortdata stjålet på det højreekstremistiske Amerikanske medies webshop, på blot 24 timer. En skimming-malware blev aktiveret på siden, der til sammenligning minder meget om den fysiske card skimming/kloning der sker, når credit card type folk modificerer dankort automater og lignene. Fuld artikel.

Så umiddelbart knapt så mange lækkede konti, som I sidste uge, men det kan først rigtigt gøres op, når HSBC kommer med flere oplysninger omkring deres læk.

Stort flertal oplever angreb på skyen hver måned

»Hvis vi ikke kontrollerer adgangen i passende grad og beskytter vores data mod trusler, så bringer vi vores virksomheder i fare.«

Det skriver sikkerhedsfirmaet McAfee i en ny rapport, der har analyseret et stort, anonymiseret datasæt fra virksomheder, der bruger skyen. Læs mere på: Version2

Mogens Nørgaard: Danske politikere er bange for digitalisering

“Jeg tør slet ikke tænke på, hvor frygteligt det må være for unge mennesker at høre på den nuværende debat, hvor politikerne foretrækker at tale om vildsvinehegn og burkaer, fordi de tror, alle er uinteresserede i it og digitalisering”, siger Mogens Nørgaard, CEO i CIMA Technologies i en artikel på Samfundsdesign.dk. Læs hele artiklen her.

Etisk hacker: Sådan får jeg adgang til virksomheders netværk

Den etiske hacker Mikkel Brøndum, CGI gør ikke brug af automatiserede værktøjer til at finde sårbarheder hos en virksomhed. Han går langt mere manuelt til værks, fortæller han i en artikel på ComputerWorld.

Manden bag “Have I Been Pwned” uddyber multi faktor godkendelse

A good example of this is the two-step authentication required by Gmail. After providing the password you’ve memorized, you’re required to also provide the one-time password displayed on your phone. While the phone may appear to be “something you have”, from a security perspective it’s still “something you know”. This is because the key to the authentication isn’t the device itself, but rather information stored on the device which could in theory be copied by an attacker. So, by copying both your memorized password and the OTP configuration, an attacker could successfully impersonate you without actually stealing anything physical.

Troy Hunt, som har hjemmesiden haveibeenpwned.com – et opslagsværk for lækkede konti og adgangskoder, har lavet et blogindlæg, hvor han fortæller om de forskellige lag af sikkerhed, man kan tilføje på sine konti. Om det er 2 faktor via SMS, hardware key-generator, biometrisk sikkerhed, så går han deres fordele og ulemper igennem. Læs hans blogindlæg