חדשות הסייבר לשבוע האחרון
יוזמה תמימה של אלפי עובדי גוגל קיבלה תפנית מפתיעה. 12 אלף מעובדי גוגל בארה"ב שיתפו את השכר שלהם לשנת 2022 ומילאו לצורך כך גיליון גוגל שיטס, ששותף בין עובדי החברה. אבל המסמך דלף, יצא החוצה מהחברה והגיע לידי אתר החדשות Insider. בין העובדים שהשכר שלכם דלף נמצאים מהנדסי תוכנה, אנליסטים, אנשי דאטה ואנשי מכירות.
אם תהיתם כמה גדולה יכולה להיות ההשפעה של המתקפה על MOVEit בחודש שעבר, מומחי אבטחה מאמינים שקבוצת הכוּפרה Cl0p יכולה להרוויח עד 100 מיליון דולר בזמן שמספר הגופים הנפגעים המאושרים עולה על 400. בדיקה של תקרית האבטחה שנחשפה על ידי מיקרוסופט ו-CISA ומיוחסת לשחקן האיומים הסיני Storm-0558, גילתה שנראה שלאירוע הזה יש היקף רחב יותר ממה שהניחו במקור. לארגונים המשתמשים בשירותי Microsoft ו-Azure כדאי לנקוט בצעדים כדי להעריך השפעה אפשרית.
פרצת אבטחה חמורה אפשרה גישה ליותר מ-1,000 מצלמות עירוניות הפרוסות ברחבי ירושלים וצפייה בחומרים שהן מתעדות. בין היתר מדובר במצלמת אבטחה הממוקמת במרחק של עשרות מטרים בודדים מביתו של ראש הממשלה ברחוב עזה.הפרצה התגלתה על ידי אדם שנכנס לאתר חברת "מוריה", על מנת לצפות בתוכניות בנייה. אותן תכניות הובילו גם לעמוד המספק גישה ישירה לאתר המוצפן שאליו מחוברות מצלמות האבטחה הפזורות ברחבי הבירה. מאז הגילוי הגישה נחסמה.
הגנה מפני הדלפת מידע מאתרי היכרויות
לאחרונה דווח על דליפת מידע אישי מאתר היכרויות בעולם. להלן המלצות של מערך הסייבר הלאומי לאפשר הגנה ממקרים דומים בישראל:
1. עדכון עיתי של מערכת ההפעלה, שרת ה-Web וכל הרכיבים בשרת והסרת כלים ורכיבים שאין בהם שימוש בסביבת ייצור.
2. בחינת הפגיעויות הנפוצות המדווחות למערך ווידוא כי האתר אינו פגיע להן.
3. ניהול האתר מכתובות ארגוניות מורשות בלבד. דרישת הזדהות חזקה למנהלנים. גישת מנהלנים מרשת האינטרנט רק באמצעות שירות כגון VPN עם הצפנה והזדהות חזקה מתאימה.
4. הקשחה והוספת מנגנוני אבטחה לעמודים וכלים המאפשרים העלאת קבצים לאתר.
5. בחינת האפשרות להגבלת קצב וכמות הקבצים/הדפים שניתן לצפות ו/או להוריד מהאתר, עבור מידע רגיש (תמונות, פרופילים של משתמשים וכד').
6. וידוא כי כלל רכיבי האבטחה מעודכנים באופן עיתי, וישנן סריקות עיתיות לזיהוי אנומליות בשרת.
7. שמירת גיבויים ומסדי נתונים בצורה מאובטחת ומוצפנת, כאשר לפחות עותק גיבוי אחד נשמר באופן שאינו מקוון בכל עת.
8. בעת רישום וגישה של משתמשים לאתר – ביצוע בדיקות אימות. אם ניתן לאפיין הזדהות חזקה למשתמשים, מומלץ לאפשר זאת. מומלץ לוודא קיומה של מדיניות הגדרת סיסמאות המחייבת שימוש בסיסמה ארוכה ומורכבת.
9. שמירת לוגים לתקופה ארוכה ככל האפשר, בהתאם למגבלות אחסון. את הלוג מומלץ לשמור מחוץ לשרת ולהגביל הגישה אליו למנהלנים בלבד.
10 התקנת מערכות נגד מתקפות מניעת שירות (DDoS).
11. פיתוח האתר ויישומונים המשמשים לגישה אליו על פי שיטות וטכניקות פיתוח מאובטח מוכרות. לפרטים ראו אתר OWASP .
12. עמידה בהנחיות הרשות להגנת הפרטיות הרלוונטיים לאתרים השומרים מידע רגיש ואישי של משתמשים.
למידע נוסף: הגנה על אתרי הכרויות – מערך הסייבר הלאומי
עדכון Chrome 115 עבור פגיעויות בחומרה גבוהה
גוגל פרסמה את Chrome 115, ותיקנה 20 פרצות, כולל 11 שגילו חוקרים חיצוניים. הפגמים המשמעותיים ביותר שזוהו הם CVE-2023-3727 ו-CVE-2023-3728, שהם בעיות קריטיות "לאחר שימוש" שמשפיעות על רכיב ה-WebRTC CVE-2023-3730, חולשה בעלת חוּמרה גבוהה ב-Tab Groups.
העדכון גם מתקן שש נקודות תורפה בדרגת חוּמרה בינונית שדווחו חיצונית, כולל היטמעות לא הולמות של רכיבים כמו Picture in Picture, Custom Tabs, התראות, מילוי אוטומטי, התקנות WebApp ו-Web API Permission Prompts. משתמשים יכולים לקבוע את הגרסה המותקנת של Chrome על ידי בחירה ב-תפריט > עזרה > אודות Google Chrome או הקלדת chrome://settings/help. כדי להגן מפני התקפות אפשריות, מומלץ להחיל את העדכון בהקדם האפשרי.
