Heroku hacknuto. Útočník se dostal k GitHub OAUTH tokenům zákazníků a k heslům

Heroku hacknuto. Útočník se dostal k GitHub OAUTH tokenům zákazníků přes kompromitovaný OAUTH účet počítače společnosti. Došlo k tomu už 7. října, o den později začal získaná dostupná data na GitHubu zkoumat a o den později si stáhnul obsah privátních úložišť, včetně zdrojových kódu společnosti. Na hack se přišlo 12. dubna a o čtyři dny…

Ukradené OAuth tokeny umožnily přístup k desítkám organizací na GitHubu.

Ukradené OAuth tokeny umožnily přístup k desítkám organizací na GitHubu. Aktivita poprvé zjištěná 12. dubna využívají tokeny těch kdo používají Heroku a Travi-CI OAuth aplikace. Nemělo by tedy jít o napadení GitHubu jako takového. Detaily v Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators

Agenti ruské tajné služby si objednávali přes Yandex Food. Tomu unikla data

Agenti ruské tajné služby si objednávali přes Yandex Food. Tomu unikla data, která agenty a další zajímavé cíle umožnila identifikovat. Až tak jednoduše, že k objednávání používali “firemní” adresy a jídlo si nechávali doručovat na “pracoviště”. To je v uniklých atech identifikováno dokonce GPS souřadnicemi místa kde došlo k doručení. Detaily v Food Delivery Leak…

Lapsus$ hacknuli Globant a na Telegramu zveřejnili 70 GB dat.

Lapsus$ hacknuli Globant a na Telegramu zveřejnili 70 GB dat. Součástí mají být i firemní zdrojové kódy a přístupové údaje (zveřejnili i čitelná hesla) na firemní GitHub, Jira, Crucible a Confluence. U zveřejněných hesel ičebnicově platí,ž e jsou snadno uhádnutelná a navíc využívaná opakovaně. 

Microsoft potvrdil hack a únik zdrojových kódů

Microsoft potvrdil hack a únik zdrojových kódů. Lapsus$ se podařilo kompromitovat účet jednoho ze zaměstnanců. Užitečné čtení najdete v DEV-0537 criminal actor targeting organizations for data exfiltration and destruction

Lapsus$ nespíš za hackem Okta a Microsoftu

Lapsus$ nespíš za hackem Okta a Microsoftu, V prvním případě jde o poskytovatele autentizačních a identifikačních služeb a zasažena mají být data zákazníků. V druhém případě jde o 37 GB zdrojových kódů – Bing, Cortana a další projekty.  

Sennheiseru uniklo 55 GB dat o zákaznících

Sennheiseru uniklo 55 GB dat o zákaznících přes špatně nastavený AWS 3 bucket. Jsou možná staršího data, ale jde o informace o více než 28 tisících lidech.

Volvo potvrdilo hack a krádež dat z výzkumu a vývoje.

Volvo potvrdilo hack a krádež dat z výzkumu a vývoje. Předtím to ale nazývali “potenciální kyberútok” ač ukradená data byla od 30. listopadu dostupná online.  Vyjádření od Volvo v Notice of cyber security breach by third party