Cyber security news May 2024

This posting is here to collect cyber security news in May 2024.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

257 Comments

  1. Tomi Engdahl says:

    Government
    EPA Issues Alert After Finding Critical Vulnerabilities in Drinking Water Systems

    The EPA has issued an enforcement alert, outlining the steps needed to comply with the Safe Drinking Water Act.

    https://www.securityweek.com/epa-issues-alert-after-finding-critical-vulnerabilities-in-drinking-water-systems/

    The US Environmental Protection Agency (EPA) on Monday issued an enforcement alert to outline the measures needed to protect drinking water systems against cyber threats.

    Inspections conducted by the EPA since September 2023 found that more than 70% of water systems do not fully comply with the Safe Drinking Water Act. The inspections found that some systems have critical cyber vulnerabilities, including ones introduced by the use of default passwords and authentication systems that can be easily compromised.

    The agency has outlined the steps drinking water system operators need to take to secure their assets.

    The top recommendations include reducing the internet exposure of systems, conducting regular assessments, changing default passwords, making inventories of IT and OT assets, developing and exercising incident response and recovery plans, backing up systems, addressing vulnerabilities, and conducting awareness training.

    “The agency will increase the number of planned inspections and, where appropriate, will take civil and criminal enforcement actions, including in response to a situation that may present an imminent and substantial endangerment,” the EPA said. “Inspections will ensure that water systems are meeting their requirements to regularly assess resilience vulnerabilities, including cybersecurity, and to develop emergency response plans.”

    Reply
  2. Tomi Engdahl says:

    Isoin vedätys koskaan? Deepfake-huijarit veivät brittifirmalta 23 miljoonaa euroa ovelalla videopuhelulla
    https://tekniikanmaailma.fi/isoin-vedatys-koskaan-deepfake-huijarit-veivat-brittifirmalta-23-miljoonaa-euroa-ovelalla-videopuhelulla/

    Tunnettu brittifirma on menettänyt kymmeniä miljoonia ovelan deepfake-huijauksen myötä.

    Tapahtuma sai alkunsa, kun insinööritoimisto Arupin Hongkongin toimiston työntekijä osallistui videopuheluun, jossa keskustelukumppanit näyttivät ja kuulostivat yrityksen johtajilta.

    Reply
  3. Tomi Engdahl says:

    Critical Bug Allows DoS, RCE, Data Leaks in All Major Cloud Platforms
    https://www.darkreading.com/cloud-security/critical-bug-dos-rce-data-leaks-in-all-major-cloud-platforms

    An on-by-default endpoint in ubiquitous logging service Fluent Bit contains an oversight that hackers can toy with to rattle most any cloud environment.

    Researchers have discovered a severe memory corruption vulnerability inside of a cloud logging utility used across major cloud platforms.

    The service, Fluent Bit, is an open source tool for collecting, processing, and forwarding logs and other types of application data. It’s one of the more popular pieces of software out there, with more than 3 billion downloads as of 2022, and a new 10 million or so deployments with each passing day. It’s used by major organizations such as VMware, Cisco, Adobe, Walmart, and LinkedIn, and nearly every major cloud service provider, including AWS, Microsoft, and Google Cloud.

    The issue with Fluent Bit, dubbed “Linguistic Lumberjack” in a new report from Tenable, lies in how the service’s embedded HTTP server parses trace requests. Manipulated in one way or another, it can cause denial of service (DoS), data leakage, or remote code execution (RCE) in a cloud environment.

    “Everyone gets hyped about a vulnerability in Azure, AWS, GCP, but nobody’s really looking at the technologies that make up all of these major cloud services — common, core pieces of software that now affect every major cloud provider,”

    Reply
  4. Tomi Engdahl says:

    AI Companies Make Fresh Safety Promise at Seoul Summit, Nations Agree to Align Work on Risks

    Leading artificial intelligence companies made pledge to develop AI safely, while world leaders agreed to build a network of publicly backed safety institutes to advance research and testing of the technology.

    https://www.securityweek.com/ai-companies-make-fresh-safety-promise-at-seoul-summit-nations-agree-to-align-work-on-risks/

    Reply
  5. Tomi Engdahl says:

    Government
    CISA Warns of Attacks Exploiting NextGen Healthcare Mirth Connect Flaw

    CISA has added CVE-2023-43208, an unauthenticated remote code execution vulnerability, to its KEV catalog.

    https://www.securityweek.com/cisa-warns-of-attacks-exploiting-nextgen-healthcare-mirth-connect-flaw/

    Reply
  6. Tomi Engdahl says:

    Data Protection
    Zoom Adding Post-Quantum End-to-End Encryption to Products

    Zoom is announcing post-quantum end-to-end encryption on Meetings, with Phone and Rooms coming soo

    https://www.securityweek.com/zoom-adding-post-quantum-end-to-end-encryption-to-products/

    Video communications giant Zoom announced on Tuesday that post-quantum end-to-end encryption (E2EE) has been added to Zoom Workplace.

    The feature, which leverages the Kyber 768 key encapsulation method, is currently available worldwide in Zoom Meetings, with Zoom Phone and Zoom Rooms coming soon.

    Zoom claims it is the first unified communications-as-a-service company to offer a post-quantum E2EE solution for video conferencing.

    “Since we launched end-to-end encryption for Zoom Meetings in 2020 and Zoom Phone in 2022, we have seen customers increasingly use the feature, which demonstrates how important it is for us to offer our customers a secure platform that meets their unique needs,” said Michael Adams, CISO at Zoom.

    Reply
  7. Tomi Engdahl says:

    Norjalaisille pysäyttävä kehotus viranomaisilta
    Etätyöt mahdollistava suosittu SSL VPN -teknologia voi olla Norjan kyberturvallisuuskeskuksen mukaan tietoturvariski.
    https://www.iltalehti.fi/digiuutiset/a/7cefcb8f-67f6-48d5-86be-19408954ba69

    Norjan kansallinen kyberturvallisuuskeskus suosittelee maassa kaikkia organisaatioita luopumaan SSL VPN-/web VPN-pohjaisista etäkäyttöratkaisuista vuoteen 2025 mennessä.

    Käytännössä kyse on teknologiasta, joka mahdollistaa organisaatioiden työntekijöille yhteyden yrityksen sisäverkkoon ja järjestelmiin mistä vain julkisen internetin kautta.

    Turvallisuuskriittisten toimijoiden tai maan kansallisen tietoturvalain piiriin kuuluvien organisaatioiden tulee siirtyä turvallisempiin vaihtoehtoihin vuoden 2024 loppuun mennessä. Asiasta uutisoi tietoturvaan keskittynyt sivusto Bleeping Computer.

    Norjan kyberturvallisuuskeskus suosittelee organisaatioita siirtymään ipsec-pohjaisiin ratkaisuihin, joissa hyödynnetään salausavainten vaihtoa hallinnoivaa ikev2-teknologiaa. Vaikka tämäkään ratkaisu ei ole vedenpitävä, sen käyttöönotto voi merkittävästi vähentää hyökkäyspinta-alaa.

    Norway recommends replacing SSL VPN to prevent breaches
    https://www.bleepingcomputer.com/news/security/norway-recommends-replacing-ssl-vpn-to-prevent-breaches/

    Reply
  8. Tomi Engdahl says:

    Nyt pitää varoa pdf-liitteitä
    https://etn.fi/index.php/13-news/16233-nyt-pitaeae-varoa-pdf-liitteitae

    Tietoturvayritys Check Point Researchin tilastojen mukaan haitallisia sähköposteja tulee kaikenlaisissa muodoissa, mutta suuri määrä sisältää haitallisia tiedostoja tai liitteitä. Kaikista haitallisista tiedostoista PDF-tiedostot näyttävät olevan vaarallisimpia. Niistä on tullut hallitseva väline haitaohjelmien levittämiseen.

    Tilastot ovat ajatuksia herättäviä. Yksi jokaisesta 246 sähköpostin liitteestä ja yksi jokaisesta 287 linkistä on haitallisia. Lisäksi 62 prosenttia kaikista haitallisista tiedostoista on jaettu sähköpostitse viimeisen kuukauden aikana.

    Itse asiassa viimeisen kuukauden aikana Check Point Research on havainnut, että pdf-tiedostot muodostavat 69,1 prosenttia kaikista haitallisista tiedostoista maailmanlaajuisesti. Seuraavaksi lähin on exe eli ajettava ohjelma, niiden osuus on 15,7 prosenttia.

    Reply
  9. Tomi Engdahl says:

    Rockwell Automation warns admins to take ICS devices offline
    https://www.bleepingcomputer.com/news/security/rockwell-automation-warns-admins-to-take-ics-devices-offline/

    Rockwell Automation warned customers to disconnect all industrial control systems (ICSs) not designed for online exposure from the Internet due to increasing malicious activity worldwide.

    Network defenders should never configure such devices to allow remote connections from systems outside the local network. By taking them offline, they can drastically reduce their organizations’ attack surface.

    This ensures that threat actors will no longer have direct access to systems that may not yet be patched against security vulnerabilities, allowing attackers to gain access to their targets’ internal networks.

    “Due to heightened geopolitical tensions and adversarial cyber activity globally, Rockwell Automation is issuing this notice urging all customers to take IMMEDIATE action to assess whether they have devices facing the public internet and, if so, urgently remove that connectivity for devices not specifically designed for public internet connectivity,” Rockwell said.

    “Removing that connectivity as a proactive step reduces attack surface and can immediately reduce exposure to unauthorized and malicious cyber activity from external threat actors.”

    SD1672 | IMPORTANT NOTICE: Rockwell Automation Reiterates Customer Guidance to Disconnect Devices from the Internet to Protect from Cyber Threats
    https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1672.html

    Reply
  10. Tomi Engdahl says:

    KRP: Helsingin tieto­murto on Suomen kaikkien aikojen suurin
    Kiristyksestä tai tietojen päätymisestä pimeään verkkoon ei ole tietoa.
    https://www.is.fi/digitoday/tietoturva/art-2000010444970.html

    Helsingin kaupungin kasvatuksen ja koulutuksen toimialaan huhtikuussa kohdistunut tietomurto on Suomen suurin tietovuoto.

    Tutkinnan yleisjohtaja, Keskusrikospoliisin (KRP) rikosylikomisario Marko Leponen vahvistaa, että Suomessa ei ole tiedossa suurempaa tietovuotoa. Vastaamon tietomurrossa varastettiin noin 30 000 ihmisen tiedot.

    Helsinkiin kohdistuneessa murrossa ovat vaarantuneet 150 000 nykyisen ja entisen oppijan tiedot. Sama koskee Helsingin kaupungin 38 000 hengen henkilökuntaa. Vaarantua ovat voineet myös oppilaiden huoltajien tiedot.

    Näiden tietojen uskotaan vuotaneen

    Lapsen ja huoltajan henkilötunnukset

    Lapsen ja huoltajan osoitetiedot (ei puhelinnumeroita, ei sähköpostiosoitteita). Turvakiellon alaisista henkilöistä ei osoitetietoja, puhelinnumeroita tai sähköpostiosoitteita

    Lapsen äidinkieli

    Lapsen kansalaisuus

    Lapsen uskontokunta (tarkkuudella ev.lut. / ortodoksi / rekisteröity uskonnollinen yhdyskunta / uskontokuntaan kuulumaton)

    Murto voi koskea myös yksityistä varhaiskasvatusta, yksityisiä kouluja ja lukioita sekä yksityisiä ammattioppilaitoksia, Stadin ammatti- ja aikuisopiston opiskelijoita ja oppisopimusopiskelijoita, ruotsinkielisen työväenopiston Arbiksen asiakkaita ja varhaiskasvatuksen kerhotoimintaan osallistuneita perheitä sekä Santahaminassa vierailleiden kulkulupatietoja

    Lähde: Helsingin kaupunki

    Poliisilla ei ole tietoa siitä, että varastettuja tietoja olisi päätynyt pimeään verkkoon. Helsinki ei ole myöskään saanut lunnasvaatimusta. Mitä muita vaihtoehtoja jää jäljelle?

    – Niitä on hankala arvioida. Tuossa [yllä] ovat ne yleisimmät motiivit. On kovin varhaista sanoa tässä vaiheessa.

    – Tällä hetkellä tutkinta keskittyy siihen, mitä tietoa järjestelmien ulkorajapinnasta saadaan. Jos siitä saadaan lähtöjä, niin esitämme palveluntarjoajille tiedonsaantipyyntöjä, Leponen sanoo.

    Jos aineistoa saadaan riittävästi, tutkinnan seuraavassa vaiheessa siirrytään rakentamaan murtajan käyttämää yhteysketjua ja kokonaisnäkymää.

    Poliisi tutkii tapausta törkeänä tietomurtona. Tutkinnassa ei toistaiseksi ole tietosuojarikosta. Tutkinta sellaisesta voidaan kuitenkin käynnistää poliisin omasta aloitteesta, jos murtotutkinnassa tulee esiin tähän viittaavia seikkoja.

    Helsingin tieto­murtovyyhti laajenee – uhrien määrässä räjähdysmäinen kasvu
    Tekijä on selvityksen perusteella saattanut saada haltuunsa aiemmin arvioitua enemmän tietoja.
    https://www.is.fi/digitoday/art-2000010442588.html

    Tietomurron tekijä on saattanut saada haltuunsa tietoja kaikista helsinkiläisistä oppivelvollisista. On mahdollista, että tietomurto koskee noin 150 000 oppijaa ja lisäksi heidän huoltajiaan.

    Lisäksi koko kaupungin henkilöstö, noin 38 000 työntekijää, on tietomurron piirissä.

    Kaupungin mukaan tietomurrossa on vuotanut seuraavia tietoja vuosina 2005–2018 syntyneistä helsinkiläisistä oppijoista ja heidän huoltajistaan:

    Lapsen ja huoltajan henkilötunnukset

    Lapsen ja huoltajan osoitetiedot (ei puhelinnumeroita, ei sähköpostiosoitteita). Turvakiellon alaisista henkilöistä ei osoitetietoja, puhelinnumeroita tai sähköpostiosoitteita

    Lapsen äidinkieli

    Lapsen kansalaisuus

    Lapsen uskontokunta (tarkkuudella ev.lut. / ortodoksi / rekisteröity uskonnollinen yhdyskunta / uskontokuntaan kuulumaton)

    Kaupunki epäilee, että tietomurto voi koskea myös yksityistä varhaiskasvatusta, yksityisiä kouluja ja lukioita sekä yksityisiä ammattioppilaitoksia.

    Reply
  11. Tomi Engdahl says:

    Helsinki säilytti samalla verkkolevyllä 10 miljoonaa asiakirjaa ja vetoaa nyt ”normaaliin käytäntöön”
    Helsingin tietomurto|Kaupunkiin kohdistunut tietomurto on herättänyt runsaasti kysymyksiä siitä, miksi näin kävi. Näin Helsinki vastaa.

    https://www.hs.fi/helsinki/art-2000010442841.html?utm_source=upday&utm_medium=referral

    Lähetyskanava @updayFI

    Kaupungin verkkolevylle päässyt murtautuja on saattanut päästä käsiksi jopa 150 000 lapsen ja heidän huoltajiensa sekä kaupungin noin 38 000 työntekijän tietoihin, kuten osoitteisiin, henkilötunnuksiin ja jopa passinumeroihin.

    Murron kohteena olleella verkkolevyllä oli yli 10 miljoonaa asiakirjaa, jotka ovat sisältäneet hyvin monenkirjavasti erilaista tietoa: levyllä on ollut samassa sekamelskassa sekä arkisia muistioita että satunnaisesti jopa sairauslomatodistuksia tai erityisen tuen päätöksiä.

    Nyt verkkolevy on suljettu, eivätkä kaupungin työntekijät pääse käymään verkkolevyn sisältöä läpi.

    Heti alkuvaiheessa tiedotettiin, että kyseisellä verkkolevyllä on saattanut olla myös arkaluontoista tietoa, kuten oppilaiden terveydentilaa käsitteleviä asiakirjoja tai henkilöstön sairauspoissaoloja. Onko tilannekuva tarkentunut näiden osalta?

    ”On mahdollista, että verkkolevyllä on ollut esimerkiksi erityisen tuen päätökseen liittyviä asiakirjoja, jotka liittyvät luokkajakojen valmisteluun, jolloin tietoja säilytetään väliaikaisesti levyllä. Tämä verkkolevy ei ole ollut sairauslomatodistusten säilytyspaikka, mutta niitä on saattanut olla siellä”, Järvenkallas toteaa.

    Hän korostaa, että kyseessä on ollut kaupungin ohjeistuksen mukaisesti turvallisena työtilana käytetty verkkolevy, jossa suurin osa aineistosta on erilaisia toimialan muistioita ja valmistelumateriaaleja

    Miksi yhdellä verkkolevyllä on ollut näin paljon aineistoa? Miksi tällaisia tietoja ei ole säilytetty järjestelmissä?

    ”On normaali käytäntö säilyttää tällaisia asiakirjoja verkkolevyllä. Kyseessä on työssä tarvittavia tiedostoja, eikä niitä ole mahdollista pitää järjestelmissä”, Heikkinen vastaa.

    ”Tiedostot ovat olleet toimialan verkkolevyllä tiedostokansioissa. Normaalisti työntekijöillä on oikeudet oman työyksikkönsä tiedostoihin, mutta nyt murtautuja on pystynyt korottamaan käyttäjäoikeutensa korkeimmalle pääkäyttäjätasolle”, Heikkinen kertoo.

    Normaalioloissa tällaiset oikeudet on Heikkisen mukaan vain järjestelmän ylläpitotehtävissä työskentelevillä ihmisillä.

    Koska kyseessä on verkkolevy, jolla on tiedostoja, näiden asiakirjojen tarkastelusta ei Heikkisen mukaan jää jälkeä toisin kuin esimerkiksi potilastietojärjestelmissä.

    Tietoturvariskit on tuotu esiin useissa eri yhteyksissä, esimerkiksi vuoden 2021 tarkastuskertomuksessa. Miksi niitä ei ole otettu vakavasti?

    ”Me olemme tehneet paljon tietosuojan ja tietoturvan eteen. Asiaa on käsitelty johdossa, on järjestetty koulutuksia sekä vahdittu, että henkilöstö tekee DigiABC-koulutuksen. Vielä ei voi sanoa, että ohjeita ei olisi noudatettu eikä mielestäni ketään pidä lähteä tuomitsemaan, ennen kuin asia on käyty läpi”, Järvenkallas sanoo.

    Kenen vastuulla nämä tietoturvakäytännöt loppujen lopuksi ovat?

    ”Tietoturvaan liittyvät ohjeistukset tulevat kaupunginkansliasta, eli ne ovat kaupungin johdon sekä kansliapäällikön päättämiä. Toimialat, tietoturva-asiantuntijat sekä tietoturvapäälliköt sitten toteuttavat näitä ohjeistuksia”, Heikkinen toteaa.

    Reply
  12. Tomi Engdahl says:

    Jos autossasi on tällainen rekisterinumero, tietosi on luultavasti viety – Poliisi epäilee törkeää tietomurtoa
    https://www.iltalehti.fi/autouutiset/a/329f6ce8-c848-48d1-94c1-3c497d477ab0

    Poliisi tutkii törkeänä tietomurtona tapausta, jossa Traficomin ajoneuvorekisteristä on saatu 65 000 ajoneuvon omistajan ja haltijan tiedot.

    Poliisi tutkii liikenne- ja viestintäviraston Traficomin ajoneuvorekisteriin kohdistunutta tietomurtoa törkeänä tietomurtona.

    – Poliisi epäilee, että Traficomin ajoneuvorekisterin Helsingissä sijaitsevan asiakasorganisaation kautta on päästy ajoneuvorekisteriin ja tehty perusteettomia kyselyitä, joilla epäillään saadun noin 65 000 ajoneuvon omistajan ja haltijan tiedot Traficomin aikaisemmin tiedottamalla tavalla, Helsingin poliisilaitoksen rikosylikomisario Lauri Huittinen sanoo tiedotteessa.

    Tietomurrossa saadut tiedot koskevat ajoneuvoja rekisteritunnusvälillä AAA-xxx – ALJ-xxx.

    Tunkeutujan on poliisin mukaan saanut haltuunsa sekä ajoneuvon ensimmäisen omistajan tai haltijan että toisen omistajan tai haltijan koko nimen, osoitetiedot sekä henkilötunnuksen.

    Reply
  13. Tomi Engdahl says:

    Näin suosikki­palvelussa huijataan – vain uskomaton tuuri pelasti turkulais­naisen

    Huijarit vedättävät Vintedissä tavaraa myyviä ihmisiä. Yksi uhri välttyi kalliilta vahingolta sattuman kautta.

    https://www.is.fi/digitoday/tietoturva/art-2000010444584.html

    Reply
  14. Tomi Engdahl says:

    Viranomainen varoittaa: näistä vpn-ratkaisuista olisi parempi luopua
    20.5.2024 21:01
    Etätyöt mahdollistava suosittu ssl vpn -teknologia voi olla Norjan kyberturvallisuuskeskuksen mukaan tietoturvariski.
    https://www.mikrobitti.fi/uutiset/mb/4737fd86-daff-4be7-b493-1333b8710944?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook#Echobox=1716261692

    Reply
  15. Tomi Engdahl says:

    Norway recommends replacing SSL VPN to prevent breaches
    https://www.bleepingcomputer.com/news/security/norway-recommends-replacing-ssl-vpn-to-prevent-breaches/
    The Norwegian National Cyber Security Centre (NCSC) recommends replacing SSLVPN/WebVPN solutions with alternatives due to the repeated exploitation of related vulnerabilities in edge network devices to breach corporate networks.
    The organization recommends that the transition be completed by 2025, while organizations subject to the ‘Safety Act’ or those in critical infrastructure should adopt safer alternatives by the end of 2024.
    NCSC’s official recommendation for users of Secure Socket Layer Virtual Private Network (SSL VPN/WebVPN) products is to switch to Internet Protocol Security (IPsec) with Internet Key Exchange (IKEv2).
    IPsec with IKEv2 secures communications by encrypting and authenticating each packet using a set of periodically refreshed ke
    “The severity of the vulnerabilities and the repeated exploitation of this type of vulnerability by actors means that the NCSC recommends replacing solutions for secure remote access that use SSL/TLS with more secure alternatives. NCSC recommends Internet Protocol Security (IPsec) with Internet Key Exchange (IKEv2),” reads the NCSC announcement.
    While the cybersecurity organization admits IPsec with IKEv2 isn’t free of flaws, it believes switching to it would significantly reduce the attack surface for secure remote access incidents due to having reduced tolerance for configuration errors compared to SSLVPN.
    The proposed implementation measures include:
    Reconfiguring existing VPN solutions or replacing them
    Migrating all users and systems to the new protocol
    Disabling SSLVPN functionality and blocking incoming TLS traffic
    Using certificate-based authentication
    Where IPsec connections are not possible, the NCSC suggests using 5G broadband instead.
    Meanwhile, NCSC has also shared interim measures for organizations whose VPN solutions do not offer the IPsec with IKEv2 option and need time to plan and execute the migration.
    Unlike IPsec, which is an open standard that most companies follow, SSLVPN does not have a standard, causing network device manufacturers to create their own implementation of the protocol.

    However, this has led to numerous bugs discovered over the years in SSL VPN implementations from Cisco, Fortinet, and SonicWall that hackers actively exploit to breach networks.
    As an example, Fortinet revealed in February that the Chinese Volt Typhoon hacking group exploited two FortiOS SSL VPN flaws to breach organizations, including a Dutch military network.
    NCSC’s recommendations come after the organization recently alerted about an advanced threat actor exploiting multiple zero-day vulnerabilities in Cisco ASA VPNs used in critical infrastructure since November 2023.
    Although Cisco fixed the two vulnerabilities on April 24, the cybersecurity and networking equipment firm couldn’t identify how the threat actors initially gained access to the device.

    https://www.bleepingcomputer.com/news/security/ivanti-fixes-vpn-gateway-vulnerability-allowing-rce-dos-attacks/

    Reply
  16. Tomi Engdahl says:

    Bing and Copilot fall from the clouds
    https://www.theregister.com/2024/05/23/bing_and_copilot_fall_from/?fbclid=IwZXh0bgNhZW0CMTEAAR2uYwhADg3boBGSVTtsw6wlM5rtk-2HPyhv0IK7nRnO2uMOGnQjoUc55yM_aem_ZmFrZWR1bW15MTZieXRlcw

    Parts of Microsoft’s Bing are still offline in Europe after it fell over earlier this morning, taking down Copilot and anything else that depends on the search service’s API.

    At the time of writing, Search was back and Bing Maps still offline. Microsoft confirmed that there were problems with a Xeet at 0846 UTC, noting “an issue where users may be unable to access the Microsoft Copilot service.”

    By our reckoning, large parts of the service have been down for a few hours at the time of publication, and not many people seem to have noticed. Bing’s market share has remained infamously low despite Microsoft throwing fistfuls of dollars at it and adding AI smarts to the service. The main effect of today’s problem may be an exodus of existing users to alternative platforms, something Microsoft can ill afford.

    The failure does, however, highlight the interdependency of services. For example, Bing’s downtime meant that DuckDuckGo, which uses Bing as a search results source, was also down, as were web search services from ChatGPT Plus.

    Bing might not have gained much traction with consumers, but its API is clearly becoming an important part of the web’s underlying infrastructure, and a failure can, therefore, have far-reaching consequences.

    At the time of writing, attempting to use Copilot – we wanted to ask it if VBScript was dead but found that Microsoft’s new shiny had also turned its toes skywards – resulted in a page with nothing but a Bing search box and, subsequently, an error.

    Reply
  17. Tomi Engdahl says:

    Reed Abelson / New York Times:
    US hospital operator Ascension, which has ~140 hospitals, remains down indefinitely after a May 8 cyberattack, an eerily similar hack to Change Healthcare — For two weeks at the 140-hospital system, doctors and nurses have had little access to digital records for patient histories, resorting to paper and faxes to treat people.
    More: NPR

    Fallout From Cyberattack at Ascension Hospitals Persists, Causing Delays in Patient Care
    https://www.nytimes.com/2024/05/23/health/cyberattack-ascension-hospitals-patient-data.html

    For two weeks at the 140-hospital system, doctors and nurses have had little access to digital records for patient histories, resorting to paper and faxes to treat people.

    Reply
  18. Tomi Engdahl says:

    Martin Zugec / Bitdefender Blog:
    A look at China-aligned hacking group Unfading Sea Haze, which has targeted government and military organizations in South China Sea countries since 2018 — In a recent investigation by Bitdefender Labs, a series of cyberattacks targeting high-level organizations in South China Sea countries revealed a previously unknown threat actor.

    Deep Dive Into Unfading Sea Haze: A New Threat Actor in the South China Sea
    https://www.bitdefender.com/blog/businessinsights/deep-dive-into-unfading-sea-haze-a-new-threat-actor-in-the-south-china-sea/

    In a recent investigation by Bitdefender Labs, a series of cyberattacks targeting high-level organizations in South China Sea countries revealed a previously unknown threat actor. We’ve designated this group “Unfading Sea Haze” based on their persistence and focus on the region. The targets and nature of the attacks suggest alignment with Chinese interests.

    This wasn’t just about uncovering the present activities of Unfading Sea Haze. It was a journey through time, a digital archaeology of sorts. Our investigation, spanning at least eight victims – primarily military and government targets – stretched back to 2018. We documented Unfading Sea Haze’s current tactics, techniques, and procedures (TTPs), but also the tools they developed in the past.

    Analyzing multiple generations of their tools was like exploring a museum exposition of cyberespionage relics. We found multiple iterations based on the well-known Gh0st RAT framework, alongside various .NET payloads.

    Reply
  19. Tomi Engdahl says:

    Nation-State
    Newly Detected Chinese Group Targeting Military, Government Entities

    Unfading Sea Haze has been targeting military and government entities in South China Sea countries since 2018.

    https://www.securityweek.com/newly-detected-chinese-group-targeting-military-government-entities/

    Reply
  20. Tomi Engdahl says:

    400,000 Impacted by CentroMed Data Breach

    The personal information of 400,000 individuals was compromised in a data breach at El Centro Del Barrio (CentroMed).
    https://www.securityweek.com/400000-impacted-by-centromed-data-breach/

    Reply
  21. Tomi Engdahl says:

    55,000 Impacted by Cyberattack on California School Association

    The Association of California School Administrators (ACSA) is informing nearly 55,000 individuals that they have been impacted by a ransomware attack.

    https://www.securityweek.com/55000-impacted-by-cyberattack-on-california-school-association/

    Reply
  22. Tomi Engdahl says:

    Beware – Your Customer Chatbot is Almost Certainly Insecure: Report

    As chatbots become more adventurous, the dangers will increase.

    https://www.securityweek.com/beware-your-customer-chatbot-is-almost-certainly-insecure-report/

    Reply
  23. Tomi Engdahl says:

    Supply Chain Security
    Zero-Day Attacks and Supply Chain Compromises Surge, MFA Remains Underutilized: Rapid7 Report

    Attackers are getting more sophisticated, better armed, and faster. Nothing in Rapid7’s 2024 Attack Intelligence Report suggests that this will change.

    https://www.securityweek.com/zero-day-attacks-and-supply-chain-compromises-surge-mfa-remains-underutilized-rapid7-report/

    Reply
  24. Tomi Engdahl says:

    Yhden ihmisen havainto paljasti mittavan tietovuodon
    Poliisi kuvailee Traficomin ja Verohallinnon tietoihin tehtyä murtoa laajaksi ja monimutkaiseksi kokonaisuudeksi.
    https://www.iltalehti.fi/kotimaa/a/3e91ec12-6eb8-4cca-b9b3-24cb94a8bbb1

    Liikenne- ja viestintävirasto Traficomin ja Verohallinnon tietojen väärinkäyttämiseen johtanut tietomurto paljastui yksityishenkilön tekemästä havainnosta, kertoo poliisi.

    Ihminen sai luottotietorekisteristä ilmoituksen, että hänen henkilötunnuksellaan oli tehty rahoituskyselypäätös. Hän epäili, että hänen henkilötunnuksensa on päätynyt vääriin käsiin.
    Törkeä tietomurto

    Traficom kertoi torstaina 16. toukokuuta sen ajoneuvorekisterin asiakasorganisaation palveluun kohdistuneesta väärinkäytöstä.

    Poliisi kertoi perjantaina, että varsinainen tietomurto kohdistui poliisin mukaan helsinkiläisen yrityksen ohjelmistoon, jota on käyttänyt kaksi Liikenne- ja viestintävirasto Traficomin ajoneuvorekisterin asiakasorganisaatiota.

    Kahta asiakasorganisaatiota hyödyntämällä murtautuja pystyi hakemaan väärin perustein suuria määriä tietoja Traficomin ajoneuvorekisteristä ja Verohallinnon positiivisesta luottorekisteristä.

    Poliisin mukaan murtautuja on saanut perusteettomien kyselyiden kautta haltuunsa noin 65 000 ajoneuvon omistajan ja haltijan tiedot. Saadut tiedot koskevat ajoneuvoja, joiden rekisteritunnus alkaa A-kirjaimella rekisteritunnusvälillä AAA-XXX – ALJ-XXX.

    Lisäksi samojen organisaatioiden kautta on kyselty väärin perustein luottotietorekisteriotteita 1 800 henkilöstä.

    Poliisi tutkii tapausta törkeänä tietomurtona.

    Seikkaperäiset ja ajantasaiset ohjeet omien henkilötietojen suojaamiseen ovat löydettävissä Suomi.fi-sivustolta.

    https://www.suomi.fi/oppaat/tietovuoto

    Reply
  25. Tomi Engdahl says:

    Vulnerabilities
    Google Patches Fourth Chrome Zero-Day in Two Weeks

    Exploited in the wild, Chrome vulnerability CVE-2024-5274 is a high-severity flaw described as a type confusion in the V8 JavaScript and WebAssembly engine.

    https://www.securityweek.com/google-patches-fourth-chrome-zero-day-in-two-weeks/

    Reply
  26. Tomi Engdahl says:

    ICS/OT
    Rockwell Automation Urges Customers to Disconnect ICS From Internet

    Rockwell Automation is concerned about internet-exposed ICS due to heightened geopolitical tensions and adversarial cyber activity globally.

    https://www.securityweek.com/rockwell-automation-urges-customers-to-disconnect-ics-from-internet/

    Reply
  27. Tomi Engdahl says:

    Murtautujat pääsivät käsiksi kaikkien lasten tietoihin – ”Tämä on kohtuutonta”
    https://www.hs.fi/helsinki/art-2000010446930.html

    Helsingin tieto­murto|Lapsiasiavaltuutettu Elina Pekkarinen perää laajempaa keskustelua lasten yksityisyyden suojasta, sillä se on aina myös tiedon kerääjän vastuulla.

    Reply
  28. Tomi Engdahl says:

    TANGO DOWN — A software maker serving more than 10,000 courtrooms throughout the world hosted an application update containing a hidden backdoor that maintained persistent communication with a malicious website, researchers reported Thursday, in the latest episode of a supply-chain attack.

    The software, known as the JAVS Viewer 8, is a component of the JAVS Suite 8, an application package courtrooms use to record, play back, and manage audio and video from proceedings. Its maker, Louisville, Kentucky-based Justice AV Solutions, says its products are used in more than 10,000 courtrooms throughout the US and 11 other countries. The company has been in business for 35 years.

    Via https://arstechnica.com/security/2024/05/crooks-plant-backdoor-in-software-used-by-courtrooms-around-the-world/

    Reply
  29. Tomi Engdahl says:

    Microsoft Copilot fixed worldwide after 24 hour outage

    Microsoft Copilot fixed worldwide after 24 hour outage
    https://www.bleepingcomputer.com/news/microsoft/microsoft-copilot-fixed-worldwide-after-24-hour-outage/?fbclid=IwZXh0bgNhZW0CMTEAAR30A1kpVmQLHCW2dVzQ4uWFoDWQHe4WEgvQiAzPSiiPXJeeCCbeREJrbL0_aem_ZmFrZWR1bW15MTZieXRlcw

    After over a 24-hour outage, Microsoft’s Bing, Copilot, and Copilot in Windows services are back online worldwide, with no information released as to what caused the problem.

    The massive outage began around 3 AM EST on Thursday and mainly affected users in Asia and Europe, making it impossible for many to access these services.

    During the outage, Bing.com showed either a blank page or a 429 HTTP code error, though direct Bing search still worked.

    ChatGPT’s internet search features, which Bing powers, were also down, as confirmed by OpenAI.

    Microsoft shared updates throughout the day, initially stating, “We’re working to find the cause of the issue. More information can be found in the admin center under CP795190.”

    Reply
  30. Tomi Engdahl says:

    The world’s largest chipmaker could flip a kill switch and remotely disable its machines in the event of an invasion
    News
    By Jacob Ridley published 21 May 2024
    That’s one helluva kill switch.
    https://www.pcgamer.com/hardware/the-worlds-largest-chipmaker-could-flip-a-kill-switch-and-remotely-disable-all-its-machines-in-the-event-of-an-invasion/

    TSMC is the world’s largest chipmaker, and it produces a massive percentage of the world’s advanced computer chips—by some estimates over the past few years, even around 90%. What happens if something were to happen in that part of the world to disturb this chipmaking ability? It’d be catastrophic, of course, but TSMC and its main machine supplier, Dutch company ASML, say the machines wouldn’t fall into hostile hands.

    Citing people close to the matter, Bloomberg reports both TSMC and ASML have ways to disable the lithographic machines located in Taiwan. This kill switch would be able to be remotely activated, should such a drastic action ever be required.

    Officials from the US government have reportedly spoken to both companies about what might happen in the event of an invasion, with ASML reassuring officials it was able to stop the machines from falling into the wrong hands.

    The switch applies to the latest EUV machines out of ASML. These are also some of the most complicated, expensive, and sizable chip-making machines around today. The machines themselves have taken years to develop, and even longer to actually implement, though are now responsible for producing the most intricate and powerful computer chips today.

    Yet this is all planning for hypothetical situations, nothing is certain.

    Reply
  31. Tomi Engdahl says:

    City of Helsinki data breach may impact all learners from Helsinki within the scope of compulsory education
    https://yvkoulut.inschool.fi/news/8463

    City of Helsinki data breach may impact all learners from Helsinki within the scope of compulsory education

    The City of Helsinki was targeted with a serious data brach, which the City became aware of on 30 April 2024. The City has prepared press releases on the matter previously, on 2 May and 13 May 2024. As the investigation into the data breach proceeds, it has been discovered that the impact of the data breach may extend to all learners from Helsinki within the scope of compulsory education, as well as their guardians, i.e. also including private schools and educational institutions.

    Reply
  32. Tomi Engdahl says:

    A root-server at the Internet’s core lost touch with its peers. We still don’t know why.
    For 4 days, the c-root server maintained by Cogent lost touch with its 12 peers.
    https://arstechnica.com/security/2024/05/dns-glitch-that-threatened-internet-stability-fixed-cause-remains-unclear/

    Reply
  33. Tomi Engdahl says:

    Juuri nyt: Tälle alueelle trooppiset yöt voivat pian iskeä – ”Tukalat paikat tulee”
    IS ExtraNäin voisit saada 3 000 euroa kuukaudessa tekemättä töitä
    Tietoturva
    Näin puhelimen sormen­jälki­tunnistus aukeaa videolla – pitäisikö huolestua?

    Mikään suojaus ei ole aukoton. Ei myöskään puhelimen lukitus sormenjäljellä.
    https://www.is.fi/digitoday/tietoturva/art-2000010382958.html

    Reply
  34. Tomi Engdahl says:

    IoT Security
    Cybersecurity Labeling for Smart Devices Aims to Help People Choose Items Less Likely to be Hacked

    Under the new U.S. Cyber Trust Mark Initiative, manufacturers can affix the label on their products if they meet federal cybersecurity standards.

    https://www.securityweek.com/cybersecurity-labeling-for-smart-devices-aims-to-help-people-choose-items-less-likely-to-be-hacked/

    Reply
  35. Tomi Engdahl says:

    Cybercrime
    Shell Confirms MOVEit-Related Breach After Ransomware Group Leaks Data

    Shell confirms that employee personal information has been stolen after the Cl0p ransomware group leaked data allegedly stolen from the energy giant.

    https://www.securityweek.com/shell-confirms-moveit-related-breach-after-ransomware-group-leaks-data/

    Reply
  36. Tomi Engdahl says:

    Zack Whittaker / TechCrunch:
    Filings: US pharmaceutical company Cencora notified ~500K individuals since learning about a data breach in February 2024 that exposed health diagnoses and more

    US pharma giant Cencora says Americans’ health information stolen in data breach
    https://techcrunch.com/2024/05/24/cencora-americans-health-data-stolen-breach-cyberattack/

    U.S. pharmaceutical giant Cencora says it is notifying affected individuals that their personal and highly sensitive medical information was stolen during a cyberattack and data breach earlier this year.

    In letters to affected individuals sent out this week, Cencora said that the data from its systems includes patient names, their postal address and date of birth, as well as information about their health diagnosis and medications.

    The pharma giant said it had initially obtained patients’ data through partnerships with the drug makers it works with “in connection with its patient support programs.” That includes patients of Abbvie, Acadia, Bayer, Novartis, Regeneron, and other companies.

    Cencora has not yet described the nature of the cyberattack, which began on February 21 and was not publicly disclosed until the company filed notice with government regulators a week later on February 27. The company, known as AmerisourceBergen until 2023, handles around 20% of the pharmaceuticals sold and distributed throughout the United States.

    This is the latest security incident to hit the U.S. healthcare sector following a spate of cyberattacks in recent months, following the huge data breach and lasting outages at UnitedHealth-owned Change Healthcare and the recent and ongoing cyberattack that knocked much of Ascension’s hospital network offline.

    Cencora’s spokesperson said there is “no connection” between the incident at Cencora and the cyberattacks at Change and Ascension.

    Reply
  37. Tomi Engdahl says:

    Työntekijä poisti puhelimestaan tietoja – KKV esittää Attendolle 4,4 miljoonan seuraamusmaksua
    Kilpailu- ja kuluttajaviraston mukaan Attendo Suomi Oy:tä epäillään kilpailurikkomuksesta.
    https://www.iltalehti.fi/kotimaa/a/2bc6f783-1f82-4563-9d13-6e4deec08809

    Kilpailu- ja kuluttajavirasto (KKV) esittää Attendo Suomi Oy:lle määrättäväksi liki 4,4 miljoonan euron seuraamusmaksua.

    Hoiva-alan yrityksissä ja alan toimialajärjestöissä suoritettiin ennalta ilmoittamattomia tarkastuksia 12. tammikuuta 2023 alkaen.

    Attendolle suoritetussa tarkastuksessa selvisi, että työntekijä poisti jo käytyä tiedonvaihtoa työpuhelimestaan tarkastuksen alettua.

    – Tammikuun 2023 tarkastuksen aikana Attendon työntekijä, jonka viestienvaihtoa tarkastuksella oli määrä tutkia, poisti puhelimestaan työhön liittyviä WhatsApp-keskusteluja sekä puhelulokin, KKV:n tiedotteessa kerrotaan.

    Elinkeinonharjoittajalle on kesäkuusta 2021 lähtien voitu esittää seuraamusmaksua KKV:n toimesta säännösten rikkomisesta.

    – Tarkastuksen vastustaminen tietoja poistamalla on moitittava ja vakava rikkomus. Kun yritykselle voidaan kilpailulain nojalla määrätä kilpailunrajoituksesta jopa 10 prosenttiin liikevaihdosta nouseva seuraamusmaksu, yritykselle ei saa olla houkuttelevaa pyrkiä välttämään mahdollista seuraamusmaksua hävittämällä tietoja tarkastuksen alettua, ylijohtaja Timo Mattila kertoo tiedotteessa.

    Reply
  38. Tomi Engdahl says:

    Washington Post:
    A look at “prebunking”, exposing people to low doses of misinfo with explanations to develop “mental antibodies” against disinfo, amid AI’s threat to elections
    https://www.washingtonpost.com/technology/2024/05/26/us-election-misinformation-prebunking/

    Reply

Leave a Reply to Tomi Engdahl Cancel reply

Your email address will not be published. Required fields are marked *

*

*