Natürlich sind generative KI-Tools in diesem Jahr das Gesprächsthema in der Sicherheitsbranche. Und Microsoft ist keine Ausnahme. Tatsächlich verfügt das Unternehmen seit 2018 über ein KI-Red-Team, das KI-Tools angreift, um Schwachstellen zu finden und zu verhindern, dass sie sich schlecht verhalten.
Außerhalb der Black Hat- und Defcon-Berichterstattung haben wir die Einzelheiten des Datenschutzes, den HIPPA den Menschen in den USA bietet, detailliert beschrieben und erklärt, wie Sie mit dem neuen Google-Tool „Results About You“ Ihre persönlichen Daten aus den Suchergebnissen entfernen können.
Aber das ist nicht alles. Jede Woche fassen wir die Sicherheitsnachrichten zusammen, über die wir selbst nicht ausführlich berichtet haben. Klicken Sie auf die Schlagzeilen, um die vollständigen Geschichten zu lesen. Und bleiben Sie da draußen in Sicherheit.
Möglicherweise gibt Ihre Tastatur Ihre Geheimnisse preis, ohne dass Sie es überhaupt merken. Forscher im Vereinigten Königreich haben einen Deep-Learning-Algorithmus entwickelt, der allein durch Abhören der Tastenanschläge herausfinden kann, was eine Person tippt. Im besten Fall (also für einen Angreifer) ist der Algorithmus zu 95 Prozent genau. Die Forscher haben es sogar über Zoom getestet und festgestellt, dass die Genauigkeit bei 93 Prozent liegt.
Wenn Sie nun glauben, dass die Forscher den Angriff an der lautesten mechanischen Tastatur getestet haben, die sie finden konnten, liegen Sie falsch. Sie führten ihre Tests auf einem MacBook Pro durch. Und für den Angriff ist nicht einmal eine aufwändige Aufnahmeausrüstung erforderlich – das Mikrofon eines Telefons funktioniert einwandfrei. Jemand, der den Angriff erfolgreich durchführt, könnte damit die Passwörter eines Ziels in Erfahrung bringen oder dessen Gespräche ausspionieren. Diese Art von akustischen Angriffen ist nicht neu, aber diese Forschung zeigt, dass sie erschreckend präzise und in freier Wildbahn einfacher durchzuführen sind.
Eine Reihe von Datenschutzverletzungen erschütterte diese Woche das Vereinigte Königreich. Am 8. August enthüllte die Wahlkommission, das unabhängige Gremium, das für die Überwachung von Wahlen und die Regulierung der politischen Finanzen zuständig ist, einen Cyberangriff Hackern wurden die Daten von 40 Millionen Wählern zugänglich gemacht. Die Organisation konnte nicht feststellen, ob Daten erfasst wurden; allerdings heißt es dass vollständige Namen, E-Mail-Adressen, Telefonnummern, Privatadressen und Daten, die während des Kontakts mit der Leiche angegeben wurden, beeinträchtigt sein könnten. „Der Angriff hatte keine Auswirkungen auf den Wahlprozess“, sagte die Kommission. (Die Wahlen werden von den Gemeinderäten durchgeführt.)
Die Kommission hat jedoch kritisiert worden zur Art und Weise, wie der Cyberangriff kommuniziert wurde: Der Vorfall ereignete sich im August 2021, wurde jedoch erst im Oktober 2022 entdeckt und schließlich neun Monate später der Öffentlichkeit mitgeteilt. Es wurde auch berichtet, dass es sich möglicherweise um einen Verstoß handelt mit einem ungepatchten Microsoft Exchange Zero-Day verknüpft.
Aber das war noch nicht alles. Am selben Tag meldete der Polizeidienst von Nordirland (PSNI) veröffentlichte versehentlich die Namen und Rollen von 10.000 Offizieren und Mitarbeitern als Antwort auf eine Anfrage zur Informationsfreiheit. Der Verstoß hat wohl weitreichendere Auswirkungen als der Verstoß gegen die Wahlkommission. Beteiligt an der Sicherheitsverletzung waren Beamte von Geheimdiensten und Sicherheitsdiensten, die drei Stunden lang online blieben. Das PSNI machte „menschliches Versagen“ für den Verstoß verantwortlich, und die britische Datenaufsichtsbehörde Information Commissioner’s Office hat eine Untersuchung eingeleitet. (Zuvor hat die Regulierungsbehörde Leitlinien herausgegeben, um sicherzustellen, dass dies bei Informationen nicht der Fall ist versehentlich über Tabellenkalkulationen offengelegt.) Seit dem Verstoß haben die Beamten äußerte Bedenken über ihre Sicherheit, und die Polizei hat die Versetzung von Personen aus Sicherheitsgründen in andere Rollen geprüft.
Nordkoreanische Hacker stehlen nicht nur Kryptowährungen, sie könnten auch Russlands Raketengeheimnisse gestohlen haben. Laut Reuters hat die staatsnahe Hackergruppe Lazarus Ende 2021 in die Netzwerke der NPO Mashinostroyeniya, einem großen russischen Raketenhersteller, eingedrungen. Der Verstoß wurde erst im Mai 2022 entdeckt. Das sagte ein Forscher des Cybersicherheitsunternehmens SentinelOne, der den Verstoß entdeckt hatte dass die Hacker „die Fähigkeit gehabt hätten, den E-Mail-Verkehr zu lesen, zwischen Netzwerken zu wechseln und Daten zu extrahieren“, berichtet Reuters.
Es ist unklar, was genau die Lazarus-Hacker im NPO-Netzwerk gestohlen haben, obwohl Nordkorea nach dem Verstoß mehrere Aktualisierungen seines Raketenprogramms angekündigt hat, sodass die beiden möglicherweise miteinander verbunden sind.
Letzten Monat enthüllte Microsoft verheerende Neuigkeiten: In China ansässige Hacker haben einen digitalen Schlüssel gestohlen, mit dem das Unternehmen Token kryptografisch signiert, die Benutzern zugewiesen werden, wenn sie sich bei ihren Outlook-E-Mail-Konten anmelden. Die Hacker nutzten diesen erstaunlichen Zugriff, um in die Outlook-Konten von mindestens 25 Organisationen, darunter auch Regierungsbehörden, einzudringen. Doch das ist erst der Anfang der Probleme für Microsoft.
US-Senator Ron Wyden, ein Demokrat aus Oregon, schickte diese Woche einen Brief, in dem er drei bundesstaatliche Untersuchungen zu Microsofts „fahrlässigen Cybersicherheitspraktiken“ forderte. Das Wall Street Journal Berichte. Wyden forderte außerdem, dass das Cyber Safety Review Board, das die Biden-Regierung zur Untersuchung von Cybersicherheitsvorfällen eingerichtet hat, den Vorfall ebenfalls untersuchen soll. Und gem Bloomberg-Nachrichtendas Prüfungsgremium plant bereits, genau das zu tun.
Wydens BriefDas Dokument vom 27. Juli fordert, dass das Justizministerium, die Federal Trade Commission und die Cybersecurity and Infrastructure Security Agency Ermittlungen einleiten. Microsoft seinerseits teilt dem mit Tagebuch dass es plant, bei allen Untersuchungen des Bundes zu dem Hack uneingeschränkt zu kooperieren.