... ... SaaS Security Blogg | SuperUser Account

SaaS Security Blogg

rss

SaaS Security Blogg

"There are known knowns. These are things we know that we know. There are known unknowns. That is to say, there are things that we know we don't know. But there are also unknown unknowns. There are things we don't know we don't know." Donald Rumsfeld


SuperUser Account
SuperUser Account
SuperUser Account's Blog

500 million Marriot Hotell kundedata stjålet over 4 år

Hotellkjeden Marriott sitt Starwood reservasjonssystem  har blitt tappet over  4 år. der hackere har stjålet 500 millioner gjestedata inkludert navn, betalingskort, passnummer og annen PII data. Nå kan selskapet forvente seg en heftig GDPR bot.

Foruten kredittkortinformasjon har hackerne også fått tilgang til data som bolig- og epostdresser, samt telefon- og passnumre til gjester som har booket opphold på hotellene fra 2014 og fram til 10. september i år.

– Dette har rammet opptil 500 millioner gjester som har gjort reservasjoner for opphold på Starwoods hoteller, opplyser kjeden.

En gransking tidligere i høst har avdekket at hackere hadde kopiert og kryptert opplysninger som rundt 327 millioner gjester oppga da de booket hotellrom, men omfanget kan vise seg å være større enn dette.

Statsadvokaten i New York har innledet etterforskning av saken, blir det opplyst fredag.

Mariott Starwood er verdens største hotellkjede og består i dag av rundt 6.500 hoteller med 1,2 millioner rom i 127 land. Sheraton, Westin, Le Meridien, St. Regis, Four Points og W Hotels er alle eid av Mariott Starwood, som har rundt 180.000 ansatte.

– Vi beklager dypt at dette har skjedd. Vi har ikke levd opp til det våre gjester fortjener og det vi forventer av oss selv, sier hotellkjedens direktør Arne Sorenson.

Verdien av Mariott-aksjen falt med 6 prosent da Wall Street åpnet fredag.

Svak sikkerhet
I en uttalelse som digi.no har mottatt fra Ilia Kolochenko, CEO sikkerhetsselskapet High-Tech Bridge, omtaler han hendelsen som ett av de større datainnbruddene relatert til usikre webapplikasjoner. Han mener at mange store selskaper har utdaterte, kunderettede appliaksjoner og dessuten unnlater å utføre kontinuerlig sikkerhetsovervåkning og inkrementell testing. 

– Det prøver ulike sikkerhetsløsninger uten noen konsistent og sammenhengende strategi for applikasjonssikkerheten. En slik tilnærming vil nødvendigvis feile en dag, mener Kolochenko.

Kan få store, økonomiske konsekvenser
Han mener at de rettslike konsekvensene for Marriott og datterselskapene kan bli enorme, både ved at tilsynsmyndighetene i mange land vil kunne gi selskapene store bøter, og ved at det vil kunne komme både individuelle søksmål og massesøksmål fra berørte kunder. 
Enza Iannopollo, i analyseselskapet Forrester, uttaler: "The Marriott breach has the potential to trigger the first hefty GDPR fine. The ingredients are all here: the volume of personal data exfiltrated, more than 500 million customers, the sensitivity of the data, potentially including customers' passport details, name, address, and even encryption keys, and the length of the breach which started in 2014"

Samtidig kommer antydes det at ved å kryptere data omgår angriperen selskapets sikkerhet og DLP systemer. Å ha et sikkerhetssystem som ser på adferd i stedet for å prøve å inspisere data ville ha gitt en mulighet for til å håndtere en slik trussel. SaaS Security anbefaler SECEON aiSIEM.

Les mer på SC Magazine UK

Britisk riksadvokat mener visse dataangrep må sidestilles med væpnede angrep

Storbritannias riksadvokat mener at dataangrep mot kritisk infrastruktur bør sidestilles med væpnede angrep i internasjonal rett.

Riksadvokat Jeremy Wright begrunner dette med at noen former for dataangrep, for eksempel mot kontrolltårn på flyplasser, kan være like dødelige som et bombeangrep.

Dermed mener han at dataangrep også bør kunne utløse retten til selvforsvar, slik væpnede angrep mot et land gjør.

I en tale onsdag framholdt Wright at land også bør kunne gjengjelde dataangrep som har som mål å manipulere og endre valgresultater i fredstid. Han tok til orde for at gjengjeldelsen må være «nødvendig og passende», og at det også skal kunne brukes makt.

I februar anklaget Storbritannia Russland for å stå bak et dataangrep som i fjor rammet selskaper over hele Europa.

Tidligere har Nord-Korea blitt anklaget for et dataangrep som rammet britisk helsevesen og en rekke andre organisasjoner og selskaper over hele verden i 2017.

Les mer på The Telegraph UK

Google lot svindlere publisere en perfekt forfalsket Amazon annonse i søkeresultatene

Google lot svindlere publisere en perfekt forfalsket Amazon annonse i søkeresultatene 

Alle som brukte Google-søk for å søke etter Amazon, ble onsdag trolig servert en ondsinnet annonse - og var ikke engang klar over det.

Den gode nyheten er at i motsetning til andre fake annonser, ble maskinen din ikke er infisert eller servert malware på noen måte.

Men alle som klikket på den ble ikke sendt til Amazon.com som de hadde håpet på, men i stedet ble rutet til en falsk windows svindel side som varselt om system problemer man kunne få hjelp til å rette.

Derfra ville svindlere har forsøkt å lure brukeren til å ringe et nummer for frykt for at deres datamaskin var faktisk infisert med malware.

SaaS Security leverer markedets ledende IT-sikkerhetsprodukter og tjenester gjennom et landsdekkende forhandlernettverk. For websikkerhet leveres wesikkerhetstjenetse med sandbox som beskytter mot zerodays og webtrusler uten kjent signatur. 

Les mer på ZDNET

Mange norske bedrifter har samme problem som Yahoo

Denne uken ble det kjent at den amerikanske nettjenesten Yahoo har hatt hackere på innsiden i over tre år og at en milliard brukerkontoer er stjålet.

Nasjonal sikkerhetsmyndighet (NSM) sier Norge hittil har unngått de store skandalene.

– Så langt har vi i Norge vært skånet for de store hackerskandalene. Det tror jeg dessverre skyldes mer flaks enn dyktighet, sier Hans Christian Pretorius, avdelingsdirektør for IKT-sikkerhet i NSM.

Hos CCIS tror de det er få slike skandaler som kommer ut i offentligheten.

– I sikkerhetsbransjen vet man at dette er ganske utbredt, men det er klart mange ikke ønsker å gå ut med informasjon om storstilt hacking offentlig. Det er jo både skamfullt og dårlig for virksomhetens omdømme, sier Nystrøm.

NSM sier man alltid må tenke sikkerhet ut fra at man allerede er hacket. Hans Christian Pretorius. Hans Christian Pretorius er avdelingsdirektør for IKT-sikkerhet i Nasjonal sikkerhetsmyndighet (NSM).

– Når man bygger sine nettverk må man gjøre det ut fra tanken om at man allerede er hacket og at noen sitter på innsiden og følger med. Derfor må man jobbe for å gjøre jobben til dem på innsiden vanskeligst mulig og sørge for gode verktøy som kan oppdage dem som allerede er innenfor, sier Pretorius.

Han sier blant annet at man bør sjekke logger og lignende for å se om det er noen mistenkelige strømmer av data ut av nettverket.

SaaS Security distribuerer verdens ledende sikkerhetsprodukter og tjenster til hele Norden.

Les mer på DN.no

Yahoo: En milliard brukere kan være hacket

Den stjålne informasjonen fra de berørte kontoene kan inneholde navn, e-postadresser, telefonnumre, bursdagsdatoer, samt sikkerhetsspørsmål og svar. 

Selskapet tror ikke informasjon om bankkontoer skal være hacket, men det er fare for at passord er stjålet.

Selskapet opplyser at datatyveriet ikke stammer fra hackingen selskapet opplyste om i september, hvor 500 millioner brukere ble berørt.

– Yahoo mener en uautorisert tredjepart i august 2013 stjal informasjon knyttet til mer enn en milliard brukerkontoer, heter det i en uttalelse fra selskapet.

SaaS Security distribuerer ledende IT-sikkerhetssystemer i Norge og Sverige.

Les mere på Techcrunch og Nettavisen.

Tidligere spionsjef er bekymret for hodeflukt i NSA

USAs etterretningstjeneste National Security Agency (NSA) sliter i økende grad med å holde på kompetansen.

Etaten er rammet av en tiltakende hodeflukt. Store mengder ansatte velger i økende grad å søke lykken i næringslivet, der lønningene er langt høyere.

– De tjener så klart tonnevis av mer penger på utsiden. Det er likevel overraskende at folk med kybererfaring ved noen av de store selskapene har syvsifrede lønninger (i dollar, red.anm). Det er fem ganger mer enn forsvarssjefen tjener. Og dette er folk som er 32 år gamle.

Ingen ringere enn Keith Alexander – NSAs toppsjef fra 2010 til 2014 – fortalte dette til en gruppe journaliststudenter, reportere og militære ved University of Maryland i forrige uke.

Dette ifølge den amerikanske avisa Capital Gazette i Annapolis, samt nettavisen Cyberscoop.

Alexander er pensjonert firestjerners general. Etter en lang karriere i det amerikanske forsvaret gikk han over til sivil sektor som administrerende direktør i sikkerhetsfirmaet IronNet Cybersecurity.

SaaS Security distribuerer ledende IT-sikkerhetssystemer til forhandlere i Norge og Sverige.

Les mer på digi.no

Kun ni prosent anmelder IT-angrep til politiet

Over en fjerdedel av norske virksomheter – 412 av 1.500, eller 27 prosent – har opplevd uønskede sikkerhetshendelser det siste året. Virksomhetene forteller at dette fører til produktivitetstap i fire av 10 tilfeller (i form av tapte arbeidstimer), men kun to av 10 oppgir at de har hatt kostnader som følge av slike hendelser. Dette viser at virksomhetene mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer disse kostnadene. Kun ni prosent av virksomhetene som utsettes for angrep tar saken videre til politiet. Det tilsier at det skjuler seg betydelige mørketall, og for de kriminelle nettverk er denne typen angrep mot norske virksomheter i praksis straffefrie.

SaaS Security distribuerer markededest ledende IT-sikkerhetsprodukter i Norge og Sverige. 

Les mer om saken på Aktuell Sikkerhet

10 tips hvordan du avdekker nettfiske e-post

In October, most people look forward to pumpkin carving, changing weather and, if you’re Canadian, Thanksgiving. But for us in the security world, one of the most exciting things about October is the fact that it’s National Cybersecurity Awareness Month. To help spread awareness, below are 10 tips to help everyone fight one of the worst cyber threats facing organizations today: email phishing attacks.

Business email compromise (BEC) has cost companies $3.1 billion since January 2015 and consumer email phishing is at an all-time high. Most people don’t question the “from” field in the emails they get day in and day out—and without the right tools, there’s no reason to trust the “from” field.

For organizations, it’s critical that the company’s first line of defense against email fraud is always advanced security technology. Secure email gateway and email authentication defenses like DMARC (Domain-based Authentication Reporting and Conformance) are the best way to protect your employees and customers.

Unfortunately, no matter how sophisticated your company’s email strategy is, some phishing emails will make it to the inbox. And those messages are extremely effective. Verizon found that 30 percent of targeted recipients open phishing messages and 12 percent click on malicious email attachments.

A critical piece of your email security strategy must be education. Here are our top ten tips for identifying a phishing email--we encourage you to share them with your employees and your customers.

Tip 1: Don’t trust the display name

A favorite phishing tactic among cybercriminals is to spoof the display name of an email. Here’s how it works: If a fraudster wanted to impersonate the hypothetical brand “My Bank,” the email may look something like:

fig-1_3.png

Since My Bank doesn’t own the domain “secure.com,” email authentication defenses will not block this email on My Bank’s behalf.

Once delivered, the email appears legitimate because most user inboxes and mobile phones will only present the display name. Always check the email address in the header from—if looks suspicious, flag the email.

Tip 2: Look but don’t click

Cybercriminals love to embed malicious links in legitimate-sounding copy. Hover your mouse over any links you find embedded in the body of your email. If the link address looks weird, don’t click on it. If you have any reservations about the link, send the email directly to your security team.

Tip 3: Check for spelling mistakes

Brands are pretty serious about email. Legitimate messages usually do not have major spelling mistakes or poor grammar. Read your emails carefully and report anything that seems suspicious.

Tip 4: Analyze the salutation

Is the email addressed to a vague “Valued Customer?” If so, watch out—legitimate businesses will often use a personal salutation with your first and last name.

Tip 5: Don’t give up personal or company confidential information

Most companies will never ask for personal credentials via email--especially banks. Likewise most companies will have policies in place preventing external communications of business IP. Stop yourself before revealing any confidential information over email.

Tip 6: Beware of urgent or threatening language in the subject line

Invoking a sense of urgency or fear is a common phishing tactic. Beware of subject lines that claim your “account has been suspended” or ask you to action an “urgent payment request.”

Tip 7: Review the signature

Lack of details about the signer or how you can contact a company strongly suggests a phish. Legitimate businesses always provide contact details. Check for them!

Tip 8: Don’t click on attachments

Including malicious attachments that contain viruses and malware is a common phishing tactic. Malware can damage files on your computer, steal your passwords or spy on you without your knowledge. Don’t open any email attachments you weren’t expecting.

Tip 9: Don’t trust the header from email address

Fraudsters not only spoof brands in the display name, but also spoof brands in the header from email address, including the domain name. Keep in mind that just because the sender’s email address looks legitimate (e.g sendername@yourcompany.com), it may not be. A familiar name in your inbox isn’t always who you think it is!

Tip 10: Don’t believe everything you see

Phishers are extremely good at what they do. Many malicious emails include convincing brand logos, language, and a seemingly valid email address. Be skeptical when it comes to your email messages—if it looks even remotely suspicious, do not open it.

Engage in the security conversation by sharing these tips on Twitter using the hashtag #CyberAware. And if you want to learn more about impostor email threats, check out our latest whitepaper.