This posting is here to collect cyber security news in February 2025.
I post links to security vulnerability news to comments of this article.
You are also free to post related links to comments.
This posting is here to collect cyber security news in February 2025.
I post links to security vulnerability news to comments of this article.
You are also free to post related links to comments.
145 Comments
Tomi Engdahl says:
UK armed forces fast-tracking cyber warriors to defend digital front lines
High starting salaries promised after public sector infosec pay criticized
https://www.theregister.com/2025/02/10/uk_armed_forces_cyber_hires/
Tomi Engdahl says:
https://m.economictimes.com/tech/artificial-intelligence/government-may-warn-against-deepseek-over-chinas-data-tracking-risks/articleshow/118125124.cms
Tomi Engdahl says:
Experts Dismayed at UK’s Apple Decryption Demands
https://www.infosecurity-magazine.com/news/experts-dismayed-uk-apple/?fbclid=IwY2xjawIYjxRleHRuA2FlbQIxMQABHQnVVqcuute-Nzp6lptMYycXOvVw_FKMVi986cnCpEuGQzpmxC_Ajc-v1A_aem_0M–ONi_JnMLSR1Sn3kocw
Privacy rights groups and security experts have slammed a reported demand from the British government to access end-to-end encrypted (E2EE) data stored in Apple’s iCloud service.
The Home Office demand, which by law cannot be publicized, is most likely to have been made under the Investigatory Powers Act (IPA) – a controversial “Snooper’s Charter” which gives the government the right to force tech firms to unmask users suspected of serious crimes.
The UK has, until now, not sought to invoke the power – no doubt aware that tech giants like Apple have consistently stood up to similar government demands in the US.
Their argument, echoed by cryptology experts, is that tech providers can’t provide a “backdoor” to access encrypted data without it undermining security and privacy for all users. Eventually, it is argued, the backdoor would be leaked, shared and/or otherwise abused by nefarious actors.
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5051987-and-kb5051989-cumulative-updates-released/
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/legal/sky-ecc-encrypted-service-distributors-arrested-in-spain-netherlands/
Tomi Engdahl says:
High-Severity OpenSSL Vulnerability Found by Apple Allows MitM Attacks
https://www.securityweek.com/high-severity-openssl-vulnerability-found-by-apple-allows-mitm-attacks/
OpenSSL has patched CVE-2024-12797, a high-severity vulnerability found by Apple that can allow man-in-the-middle attacks.
The OpenSSL Project on Tuesday announced patches for the first high-severity vulnerability seen in the secure communications library in two years.
The vulnerability, tracked as CVE-2024-12797, was reported to OpenSSL developers by Apple in mid-December 2024.
The issue is related to clients using RFC7250 raw public keys (RPKs) to authenticate a server. CVE-2024-12797 was introduced in OpenSSL 3.2 with the implementation of RPK support.
Because handshakes don’t abort as expected when the ‘SSL_VERIFY_PEER’ verification mode is set, impacted clients could fail to notice that the server has not been authenticated.
If the authentication failure is not identified by the client, man-in-the-middle (MitM) attacks may be possible against TLS and DTLS connections that use RPKs.
“RPKs are disabled by default in both TLS clients and TLS servers. The issue only arises when TLS clients explicitly enable RPK use by the server, and the server, likewise, enables sending of an RPK instead of an X.509 certificate chain. The affected clients are those that then rely on the handshake to fail when the server’s RPK fails to match one of the expected public keys, by setting the verification mode to SSL_VERIFY_PEER,” the OpenSSL Project explained in its advisory.
OpenSSL 3.4, 3.3 and 3.2 are vulnerable. CVE-2024-12797 has been patched with the release of versions 3.4.1, 3.3.2 and 3.2.4.
The security of OpenSSL has evolved a great deal since the disclosure of the notorious Heartbleed vulnerability back in 2014.
In 2023 and 2024, a majority of the vulnerabilities found and patched in the project were low-severity issues. Two moderate and one high-severity flaws were fixed in 2023, and one moderate-severity bug was fixed in 2024 — the rest were low-severity bugs. The high-severity issue was addressed in February 2023, almost exactly two years ago.
Tomi Engdahl says:
A use-after-free flaw was found in the Linux kernel’s TCP protocol in how a local user triggers a complex race condition during connection to the socket. This flaw allows a local user to crash or potentially escalate their privileges on the system.
https://access.redhat.com/security/cve/CVE-2024-36904
https://nvd.nist.gov/vuln/detail/cve-2024-36904
https://cybersecuritynews.com/seven-years-old-linux-kernel-flaw/
The exploitability of this vulnerability remains complex due to its reliance on precise timing and specific execution flows.
Tomi Engdahl says:
Nordnetilla on 72 tuntia aikaa raportoida – ”Mitään tämmöistä ei saisi päästää tapahtumaan”
Nordnet ilmoittaa tietosuojaloukkauksista ensisijaisesti Ruotsin viranomaisille.
https://www.iltalehti.fi/digiuutiset/a/72a0b300-4f98-4aa5-bf5f-a53dd644ee03
Tietosuoja- ja pankkivalvontaviranomaiset pitävät verkkopankki Nordnetin tietoturvaongelmia erittäin vakavina.
Nordnet joutui tiistaina sulkemaan verkko- ja mobiilipalvelunsa, kun osa pankkipalvelujen käyttäjistä oli päässyt käsiksi muiden omistuksiin ja tileihin.
– Ovathan nämä aina vakavia tapauksia. Jo pelkästään se, että on nähnyt toisten ihmisten tietoja, on erittäin vakavaa, mutta jos on vielä voinut suorittaa joitain toimia, niin se on todella vakava loukkaus, apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa tietosuojavaltuutetun toimistosta sanoo.
– Yksittäisen valvottavan asiaa en kommentoi, mutta yleisellä tasolla se näyttää pahalta. Mitään tämmöistä ei saisi päästää tapahtumaan, sanoo puolestaan toimistopäällikkö Jussi Terho Finanssivalvonnasta.
Pihamaan mukaan asian selvitys käynnistyy ripeästi.
– Nordnetilla on 72 tuntia aikaa siitä hetkestä kun tämä tapahtuma on tullut heille tietoon tehdä ilmoitus viranomaisille.
Ruotsin viranomainen valvoo
Asian selvittämistä mutkistaa suomalaisviranomaisten osalta se, että Nordnet on Suomessa ruotsalaisen toimijan sivuliike.
Vetovastuu asian selvittämisessä kuuluu Ruotsin tietosuojaviranomaisille. Pihamaan mukaan tietosuojavaltuutettu tekee tiivistä yhteistyötä Ruotsin viranomaisten kanssa.
Tietosuojavaltuutetulla on työkalupakissa useita seuraamusvaihtoehtoja, jos pankin toiminnasta paljastuu laiminlyöntejä.
– Vaihtoehtoina ovat huomautus, määräys muuttaa toimintatapoja, kieltomääräys, mutta yksi vaihtoehto on myös hallinnollinen seuraamusmaksu, Pihamaa sanoo.
Tomi Engdahl says:
KKV: Lakia ei puhelinmyynnissä juuri noudateta
KKV kertoo tutkimuksessaan, että vain noin puolessa puhelinmyynnistä noudatetaan lakia.
https://www.iltalehti.fi/kotimaa/a/69a37caa-3d36-4f73-82e7-0a1a629fdd8a
Tomi Engdahl says:
https://www.kkv.fi/blogit/kkv-blogi/kuinka-monta-ei-sanaa-tarvitaan-puhelinmyyjan-hiljentamiseen/
Tomi Engdahl says:
Nordnetin jättihäiriön syy selvisi
https://www.is.fi/digitoday/art-2000011028826.html
Nordnet ilmoitti tiistaina, että häiriön vuoksi osa asiakkaista näki palveluun kirjautuessaan jonkin toisen asiakkaan omistukset.
Osake- ja rahastovälittäjä Nordnetin tiistain häiriö johtui ohjelmistokomponentin viasta, yhtiö kertoo verkkosivullaan. Kirjautumiseen liittyvä ohjelmistokomponentti on nyt poistettu Nordnetin mukaan käytöstä.
Nordnet ilmoitti tiistaina, että häiriön vuoksi osa asiakkaista näki palveluun kirjautuessaan jonkin toisen asiakkaan omistukset.
Yhtiön verkkopalvelu ja sovellus vedettiin vian havaitsemisen jälkeen alas varotoimena, ja ne olivat poissa käytöstä useamman tunnin.
Tietoa teknisistä ongelmista 11.2.2025
https://www.nordnet.fi/faq/muut-aiheet/ongelmatilanteet/tietoa-teknisista-ongelmista-11-2-2025
Tiistaina 11.2. Nordnetillä ilmeni sisäinen tekninen ongelma, jonka vuoksi verkkopalvelumme ja sovelluksemme eivät olleet käytössä Suomen aikaa klo 12.20–16.30.
Mistä oli kyse?
Ensimmäiset viestit asiakkailta teknisistä ongelmista vastaanotettiin klo 12.00. Heti ongelman havaittuamme poistimme kirjautumismahdollisuuden verkkopalveluun ja sovellukseen. Tämä oli Nordnetin itse käynnistämä varotoimenpide.
Aloitimme välittömästi vianmäärityksen ja muodostimme käsityksen ongelman syystä, mutta halusimme varmistaa asian ennen kuin avasimme kirjautumisen uudelleen.
Ongelman aiheutti kirjautumiseen liittyvä ohjelmistokomponentti. Komponentti ei toiminut oikein, minkä vuoksi osalle kirjautuneista asiakkaista näkyi hetkellisesti väärää tietoa.
Asiakkaamme voivat nostaa rahaa vain omille ennakkoon vahvistetuille tileilleen, eikä vastatiliä voi muuttaa ilman salkunomistajan tunnistautumista.
Kun ongelman aiheuttanut komponentti oli tunnistettu, poistimme sen välittömästi käytöstä.
Häiriön aikana asiakkailla oli mahdollisuus tehdä toimeksiantoja ja hallinnoida tilejään puhelimitse ottamalla yhteyttä Nordnetin asiakaspalveluun.
Kyseessä ei ollut hakkerihyökkäys tai muu ulkoinen vaikutus.
16.30 alkaen Nordnetin digitaaliset palvelut toimivat jälleen normaalisti.
Tomi Engdahl says:
Asiantuntija: Nordnetin häiriö ainutlaatuinen – jopa miljoonasakot mahdollisia
Nordnetin maine koki tiistain tapahtumien myötä suuren kolauksen, arvioi asiantuntija.
https://www.is.fi/digitoday/art-2000011027623.html
Tietoturva-asiantuntija Petteri Järvinen pitää Nordnet-pankin tietoturvaongelmaa ainutlaatuisena.
– En muista, että maailmalla olisi ollut vastaavaa pitkään aikaan.
Nordnetillä oli tiistaina vakava tietoturvaongelma, jonka vuoksi osa sen asiakkaista pystyi näkemään pankin muiden tilinomistajien tietoja.
Julkisuudessa liikkuneiden tietojen mukaan osa asiakkaista olisi halutessaan voinut tehdä vieraalla tilillä osakeostoja ja -myyntejä.
Järvisen mukaan nämä tiedot saattavat hyvin pitää paikkansa.
– Koska jos osto- ja myyntipainike näkyy ja niitä pystyy painamaan, niin Nordnetin sisällähän ei enää ole sitten mitään todennusta. Ja jos asiakas on todennettu ikään kuin väärin, niin sitten hän pystyy sen palvelun sisällä tekemään transaktioita, kuten ostamaan ja myymään.
Nordnetin mukaan tiistaina ilmennyt tietoturvaongelma, johtui kirjautumiseen liittyvästä ohjelmistokomponentista.
Komponentti ei toiminut oikein, minkä vuoksi osalle kirjautuneista asiakkaista näkyi hetkellisesti virheellistä tietoa.
Minkälaisia seurauksia Nordnetille voi tietoturvaongelman vuoksi koitua?
Järvisen mukaan suurin ja välittömin seurauksista pankille on mainehaitta.
– Kakkosena tulee varmaan ne vahingonkorvaukset, mitä asiakkailta saattaa tulla, jos on jäänyt kauppoja häiriön takia kesken. Esimerkiksi, jos asiakas on aamulla myynyt osakkeita lyhyeksi ja ei ole päässyt sulkemaan myyntiä häiriön vuoksi.
Nordnetin mahdolliset vahingonkorvausmaksut saattavat Järvisen mukaan joutua pahimmassa tapauksessa juridisen väännön kohteeksi.
– Koska kyseessä ei ole varsinaista rahaa, vaan epäsuoraa rahaa, mitä asiakkaat ovat saattaneet menettää. Vaikea sanoa, miten tällaiset kanteet sitten menestyy, mutta joka tapauksessa iso lasku tulee juristeilta.
Kolmas todennäköinen seuraus Nordnetille on Järvisen mukaan tietosuojaan liittyvä hallinnollinen seuraamusmaksu, joka saattaa tarkoittaa yhtiölle miljoonien eurojen maksua.
Lisäksi Nordnetin on annettava 72 tunnin sisällä selvitys tiistain tapahtumista myös Suomen tietosuojaviranomaisille Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) mukaisesti.
Järvinen arvioi, että Nordnet tulee todennäköisesti suoriutumaan selvityksen antamisesta määräaikaan mennessä.
– Koska hehän itse ilmoittivat, että he ovat paikallistaneet vian ohjelmistonsa kirjautumiskomponenttiin.
– Lopputulos kuitenkin näyttää olevan se, että keneltäkään ei ole hävinnyt osakkeita, eikä ilmeisesti kaupankäyntiäkään toisten nimissä ole merkittävässä määrin käyty.
Tomi Engdahl says:
Nordnetin palvelun epäonninen tunnuslause huvittaa
Musta huumori on tapa selvitä kamalistakin koettelemuksista. Myös siitä, kun joku muu voi teknisen vian takia nähdä sijoitussalkkusi sisällön.
https://www.iltalehti.fi/digiuutiset/a/f9539200-dd5d-4136-9c9b-91b4acba8727
Osaa käyttäjistä oli huvittanut Nordnetin Shareville-keskustelufoorumin slogan: ”Keskustele osakkeista ja näe muiden salkut”.
Tomi Engdahl says:
KL: Suomalaisen Nordnet-asiakkaan tilillä luvatonta toimintaa
Yhden suomalaisasiakkaan tilillä on havaittu luvatonta toimintaa, kertoo Kauppalehti.
https://www.iltalehti.fi/digiuutiset/a/5dd15e84-db86-4978-8da0-eddbd6637086
Nordnetin viestintäjohtaja Johan Tidestad vahvistaa Kauppalehdelle, että ainakin yhden suomalaisasiakkaan tilillä oli tiistaina tehty transaktioita väärän henkilön toimesta.
– Transaktiot on peruttu, eikä hänelle koitunut asiasta taloudellista vahinkoa, Tidestad sanoo Kauppalehden haastattelussa.
Tidestadin mukaan kyseessä on toistaiseksi ainoa varmistettu tapaus.
Paniikkinappula pohjaan
Nordnetin verkkopalvelu ja mobiilisovellus ajettiin tiistaina alas Suomessa, Ruotsissa, Norjassa ja Tanskassa heti sen jälkeen, kun yhtiölle selvisi, että osa asiakkaista oli kirjautumisen yhteydessä päätynyt tuntemattoman henkilön tilille.
Ongelma havaittiin tiistaina puolenpäivän jälkeen, ja palvelut palautettiin takaisin käyttöön noin kello 16.30.
Iltalehteen yhteyttä ottanut Nordnetin asiakas kertoi olleensa yksi heistä, jotka päätyivät vahingossa väärälle tilille. Hän sanoi nähneensä tuntemattoman henkilön salkkujen sisällön. Hän kertoi myös ostojen ja myyntien tekemisen olleen mahdollista.
Nordnet ilmoitti keskiviikkona, että ongelman aiheutti kirjautumiseen liittyvä ohjelmistokomponentti, joka ei toiminut suunnitellulla tavalla.
Nordnet vahvistaa: Ainakin yhden suomalaisasiakkaan tilillä tehty luvattomia transaktioita
https://www.kauppalehti.fi/uutiset/nordnet-vahvistaa-ainakin-yhden-suomalaisasiakkaan-tililla-tehty-luvattomia-transaktioita/373b8c8a-139d-4f07-8f8d-f40d451a6a41?_gl=1*btslil*_ga*MTEwNTMzOTcxOC4xNzA3OTE5NDkx*_ga_3L539PMN3X*MTczOTM1NzU0My44NjIuMS4xNzM5MzU5MDI1LjAuMC4w
Nordnetin sijoituspalvelun eilistä it-ongelmaa selvitetään nyt tietosuojaviranomaisten ja finanssivalvonnan kanssa.
Verkkovälittäjä Nordnetin asiakkaat pääsivät eilen it-virheen vuoksi hetkellisesti käsiksi toisten asiakkaiden tileihin. Nordnetin viestintäjohtaja Johan Tidestad kertoo Kauppalehdelle, että yhtiöllä on tiedossa tähän mennessä yksi varmistettu tapaus, jossa tilillä oli tehty transaktioita väärän asiakkaan toimesta.
”Se oli suomalainen asiakas. Transaktiot on peruttu, eikä hänelle koitunut asiasta taloudellista vahinkoa”, Tidestad sanoo.
Hän kertoo, että Nordnet selvittää nyt, keitä asiakkaita ongelmatilanne koski ja on sen jälkeen yhteydessä henkilökohtaisesti näihin asiakkaisiin.
Yhtiö kertoi jo eilen, että ongelman aiheutti viallinen ohjelmistokomponentti, joka liittyy palveluun sisäänkirjautumiseen. Kyseessä ei siis ollut tietomurto tai muu ulkoinen tekijä. Nordnet sulki palvelunsa asiakkailta kello 12.20 Suomen aikaa ja otti viallisen komponentin pois käytöstä. Verkkopalvelu saatiin takaisin käyttöön kello 16.30.
Tidestadin mukaan Nordnet tekee tapahtuneesta ilmoituksen Ruotsin tietosuojaviranomaiselle Integritetsskyddsmyndighetenille sääntöjen mukaisesti 72 tunnissa eli viimeistään perjantaina aamupäivällä.
”Olemme olleet myös finanssivalvontaan yhteydessä ja antaneet ensimmäisen tilannepäivityksen. Seuraavaksi keskustelemme heidän kanssaan yksityiskohtaisemmin siitä, mitä on tapahtunut.”
Pihamaan mukaan tietosuojavaltuutettu tekee tiivistä yhteistyötä Ruotsin viranomaisten kanssa.
Tietosuojavaltuutetulla on työkalupakissa useita seuraamusvaihtoehtoja, jos pankin toiminnasta paljastuu laiminlyöntejä.
”Vaihtoehtoina ovat huomautus, määräys muuttaa toimintatapoja, kieltomääräys, mutta yksi vaihtoehto on myös hallinnollinen seuraamusmaksu”, Pihamaa sanoi tiistaina.
Tomi Engdahl says:
Nordnet hit by security problem – customers could see others’ accounts
https://swedenherald.com/article/nordnet-hit-by-security-problem-customers-could-see-others-accounts
Online bank Nordnet has been affected by a serious technical problem, allowing some customers to access other people’s accounts when logging in. As a result, Nordnet has shut down its platform, making its website and app unavailable for login.
Nordnet could face penalty payment of millions over technical incident
https://swedenherald.com/article/nordnet-hit-by-security-problem-customers-could-see-others-accounts
Tomi Engdahl says:
Ainakin yhden Nordnetin asiakkaan tilillä joku muu yritti tehdä kauppaa
https://yle.fi/a/74-20143195
Toisten tilitietojen näkemisen ja mahdollisen toisen käyttäjän osakkeiden myynnin aiheutti ohjelmistokomponentti. Tiedossa on ainakin yksi aloitettu toimeksianto.
Osake- ja rahastovälittäjä Nordnetin mobiilisovelluksen ja verkkosivujen tiistaisten ongelmien syy selvisi.
Ongelman aiheutti kirjautumiseen liittyvä ohjelmistokomponentti. Kyseessä ei siis ollut hakkerihyökkäys tai muu ulkoinen vaikutus.
– Komponentti ei toiminut oikein, minkä vuoksi osalle kirjautuneista asiakkaista näkyi hetkellisesti virheellistä tietoa, kerrotaan Nordnetin tiedotteessa.
Kun ongelman aiheuttanut komponentti oli tunnistettu, Nordnet kertoi poistaneensa sen välittömästi käytöstä.
Yksi aloitettu toimeksianto tiedossa
Nordnet sulki tiistaina päivällä useiksi tunneiksi verkkopalvelunsa ja sovelluksensa, kun asiakkaat olivat nähneet palvelussa toisten tilitietoja.
Käyttäjät ovat myös voineet käydä kauppaa muiden käyttäjien arvopapereilla, kuten osakkeilla tai rahastoilla. Toisten käyttäjien rahoja ei ole kuitenkaan voinut siirtää omalle tilille.
Nordnet tiedottaa keskittyvänsä nyt selvittämään missä laajudessa ja keihin yksittäisiin asiakkaisiin ongelma on vaikuttanut. Asiakkaisiin luvataan ottaa suoraan yhteyttä.
– Tietojemme mukaan ongelma vaikutti vain pieneen osaan asiakkaistamme, jotka olivat kirjautuneena sisään lyhyen aikaa puolen päivän aikaan 11. helmikuuta.
– Meillä on tiedossa yksi tapaus, jossa henkilö aloitti osaketoimeksiannon tekemisen toisen asiakkaan salkussa. Toimeksianto on peruutettu, joten asiakkaalle ei koitunut taloudellisia vaikutuksia, tiedotteessa kerrotaan.
Nordnet on myös varautunut mahdollisiin korvauspyyntöihin ja avannut sitä varten lomakkeen nettisivullaan.
Tomi Engdahl says:
KL: Joku myi suomalaisen Nordnet-asiakkaan osakkeita isolla summalla ilman lupaa
Yhden suomalaisasiakkaan Nordnet-tilillä on havaittu luvatonta toimintaa, kertoo Kauppalehti. Joku myi toisen henkilön salkusta osakkeita tuhansien eurojen edestä.
https://www.iltalehti.fi/digiuutiset/a/5dd15e84-db86-4978-8da0-eddbd6637086
Nordnetin viestintäjohtaja Johan Tidestad vahvistaa Kauppalehdelle, että yhden suomalaisasiakkaan tilillä oli tiistaina tehty transaktioita väärän henkilön toimesta. Kyse on toistaiseksi ainoasta varmistetusta tapauksesta.
– Transaktiot on peruttu, eikä hänelle koitunut asiasta taloudellista vahinkoa, Tidestad sanoo Kauppalehden haastattelussa.
Nordnet Suomen maajohtaja Suvi Tuppurainen kertoi Kauppalehdelle myöhemmin keskiviikkona, että luvaton transaktio oli noin 7 400 euron osakeomistusten myynti, joka onnistuttiin perumaan.
Paniikkinappula pohjaan
Nordnetin verkkopalvelu ja mobiilisovellus ajettiin tiistaina alas Suomessa, Ruotsissa, Norjassa ja Tanskassa heti sen jälkeen, kun yhtiölle selvisi, että osa asiakkaista oli kirjautumisen yhteydessä päätynyt tuntemattoman henkilön tilille.
Ongelma havaittiin tiistaina puolenpäivän jälkeen, ja palvelut palautettiin takaisin käyttöön noin kello 16.30.
Iltalehteen yhteyttä ottanut Nordnetin asiakas kertoi olleensa yksi heistä, jotka päätyivät vahingossa väärälle tilille. Hän sanoi nähneensä tuntemattoman henkilön salkkujen sisällön. Hän kertoi myös ostojen ja myyntien tekemisen olleen mahdollista.
Nordnet ilmoitti keskiviikkona, että ongelman aiheutti kirjautumiseen liittyvä ohjelmistokomponentti, joka ei toiminut suunnitellulla tavalla.
– Tällaista ei ole koskaan tapahtunut aikaisemmin.
Tomi Engdahl says:
https://blog.cloudflare.com/mitigating-broadcast-address-attack/
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/security/chinese-cyberspies-use-new-ssh-backdoor-in-network-device-hacks/
Tomi Engdahl says:
https://www.familyhandyman.com/article/how-to-destroy-a-hard-drive/
Tomi Engdahl says:
https://etn.fi/index.php/13-news/17146-telia-estaeae-kymmeniae-huijauspuheluita-joka-minuutti
Tomi Engdahl says:
Nation-State
Russian Seashell Blizzard Hackers Have Access to Critical Infrastructure: Microsoft
A subgroup of the Russia-linked Seashell Blizzard is tasked with broad initial access operations to sustain long-term persistence.
https://www.securityweek.com/russian-seashell-blizzard-hackers-gain-maintain-access-to-high-value-targets-microsoft/
Tomi Engdahl says:
Vulnerabilities
Ivanti, Fortinet Patch Remote Code Execution Vulnerabilities
Ivanti and Fortinet on Tuesday released patches for multiple critical- and high-severity vulnerabilities in their products.
https://www.securityweek.com/ivanti-fortinet-patch-remote-code-execution-vulnerabilities/
Tomi Engdahl says:
Andy Greenberg / Wired:
Recorded Future: Salt Typhoon breached five more telcos and ISPs, including two US telcos, and 12+ universities in December-January by exploiting Cisco routers — Despite high-profile attention and even US sanctions, the group hasn’t stopped or even slowed its operation, including the breach of two more US telecoms.
China’s Salt Typhoon Spies Are Still Hacking Telecoms—Now by Exploiting Cisco Routers
Despite high-profile attention and even US sanctions, the group hasn’t stopped or even slowed its operation, including the breach of two more US telecoms.
https://www.wired.com/story/chinas-salt-typhoon-spies-are-still-hacking-telecoms-now-by-exploiting-cisco-routers/
Tomi Engdahl says:
Andy Greenberg / Wired:
Microsoft details BadPilot, an “initial access operation” team in the Russian hacking group Sandworm that targeted the US, the UK, Canada, and Australia in 2024
A Hacker Group Within Russia’s Notorious Sandworm Unit Is Breaching Western Networks
A team Microsoft calls BadPilot is acting as Sandworm’s “initial access operation,” the company says. And over the last year it’s trained its sights on the US, the UK, Canada, and Australia.
https://www.wired.com/story/russia-sandworm-badpilot-cyberattacks-western-countries/
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/?fbclid=IwZXh0bgNhZW0CMTEAAR1muykB409wR_F2N0zrerGdNN-IqTk1KuX0H3kQIBsEs0xirPrETmKiFyk_aem_BLHtOH2gDyft6p1t1AxDmA
Tomi Engdahl says:
Termi “komponenttivika” on hauska yritys keksiä substantiivi, joka saisi vakavan tietoturvaongelman kuulostamaan harmittomalta. Uskoisin oikeaa sanaa mietityn viestintätoimistossa koko yön.
Nordnetin 1 500 asiakkaan tiedot näkyivät muille – suomalaisia joukossa 500
Nordnet kertoo olleensa yhteydessä asiakkaisiin, joiden tietoja on ollut näkyvissä
https://yle.fi/a/74-20143500?origin=rss&fbclid=IwY2xjawIbT1NleHRuA2FlbQIxMQABHYhMT4x55dgXDLEOLHsWst06ryrWvOlV-RI8eg0fJ894dBX5uRKo9PNuYw_aem_aUiALzMZLs8qg7seQ-01LA
Yhdessä tapauksessa Nordnetin ruotsalainen asiakas oli myynyt 7 400 euron edestä suomalaisen Nordnet-asiakkaan osakeomistuksia.
– Henkilö oli vahingossa tehnyt myyntitoimeksiannon, joka myös toteutui pörssissä. Se toimenpide on jo kokonaan poistettu eikä suomalaisasiakkaalle koitunut tästä mitään veroseuraamuksia tai muutakaan taloudellista menetystä, Tuppurainen sanoo.
Muita vastaavia tapauksia ei ole tullut esiin eikä tileiltä ole nostettu rahaa luvattomasti.
Yhteyttä ovat ottaneet myös asiakkaat. Nettisivulla avatun korvaus- ja valituslomakkeen oli keskiviikkoiltaan mennessä täyttänyt noin 60 asiakasta eri Pohjoismaista.
Esimerkiksi tietosuoja-asetuksen rikkomisesta voi saada seuraamusmaksun, joka voi enimmillään olla neljä prosenttia yhtiön liikevaihdosta – Nordnetin tapauksessa tämä tarkottaisi on pariakymmentä miljoonaa euroa.
Suomen maajohtaja Tuppurainen uskoo, että vaikka tilitietojen näkyminen on vakava asia, nopea reagointi voi auttaa heitä pääsemään vähemmällä.
– Reilussa kymmennessä minuutissa siitä, kun ongelma tuli tietoomme, verkkopalvelu ja mobiilisovellus suljettiin. Tiedämme myös, miten pitkään toisten salkkunäkymiä on nähty. Valtaosa reagoi vääriin tilitietoihin kirjautumalla välittömästi ulos palvelusta.
– Meillä on ollut sisäänkirjautumisessa virheellinen ohjelmistokomponentti. Tekninen selvitys tulee viranomaisraportteihin yksityiskohtaisesti. He arvioivat kokonaisuutta, ja että onko ollut huolimattomuutta tai ollaanko jätetty jotain asioita hoitamatta, Tuppurainen sanoo ja muistuttaa, että vastuu raportoinnista on Ruotsissa.
Tomi Engdahl says:
Artificial Intelligence
DeepSeek Exposes Major Cybersecurity Blind Spot
Millions of uninformed users have flocked to DeepSeek and share personal information without considering security or privacy risks.
https://www.securityweek.com/deepseek-exposes-major-cybersecurity-blind-spot/
The buzzword of this month is DeepSeek. The emergence of this Chinese AI company, which reportedly developed its R1 chatbot at a fraction of the cost of competitors like OpenAI’s ChatGPT and Google’s Gemini, sent ripples through the U.S. tech stock market and sparked discussions on AI infrastructure costs and competitiveness. However, a more alarming issue emerged, as millions of uninformed users, including government employees, flocked to DeepSeek’s website, registering and sharing personal information without considering security or privacy risks. This lack of caution is common when it comes to social media and Internet apps. Despite security awareness training, users often drop their guard when engaging with these platforms, making them prime targets for cyber adversaries. Attackers exploit the data harvested from these applications to lay the foundation for sophisticated cyberattacks.
Many users are blinded by the immediate benefits of new platforms like DeepSeek, disregarding privacy policies upon signing up. If they did review these policies, they would realize DeepSeek collects a vast array of data—far surpassing even TikTok, a known national security concern. In addition to user input (text, audio, chat history, and uploaded files), DeepSeek automatically collects IP addresses, unique device identifiers, device model and operating system, keystroke patterns or rhythms, system language, as well as user IDs and cookies. Much of this data is unnecessary for AI query purposes, raising significant privacy concerns.
Tomi Engdahl says:
Ransomware
Chinese Cyberspy Possibly Launching Ransomware Attacks as Side Job
A toolset associated with China-linked espionage intrusions was employed in a ransomware attack, likely by a single individual.
https://www.securityweek.com/chinese-cyberspy-possibly-launching-ransomware-attacks-as-side-job/
Tomi Engdahl says:
Ransomware
Circuit Board Maker Unimicron Targeted in Ransomware Attack
The Sarcoma ransomware group is threatening to leak data stolen from Taiwanese printed circuit board manufacturer Unimicron.
https://www.securityweek.com/circuit-board-maker-unimicron-targeted-in-ransomware-attack/
Tomi Engdahl says:
Nation-State
Rapid7 Flags New PostgreSQL Zero-Day Connected to BeyondTrust Exploitation
Rapid7 finds a new zero-day vulnerability in PostgreSQL and links it to chain of attacks against a BeyondTrust Remote Support product.
https://www.securityweek.com/rapid7-flags-new-postgresql-zero-day-connected-to-beyondtrust-exploitation/
Security researchers at Rapid7 on Thursday flagged the discovery of a new zero-day vulnerability in PostgreSQL that appears to have been a critical component in a chain of attacks against a BeyondTrust Remote Support product.
The vulnerability, tagged as CVE-2025-1094, affects the PostgreSQL interactive terminal psql and allows SQL statements containing untrusted but correctly escaped input to trigger SQL injection.
In an interesting twist, Rapid7 is directly connecting the exploitation of the PostgreSQL bug to remote code execution attacks against BeyondTrust Remote Support systems. The hacks have successfully compromised machines at the US Treasury Department.
In every scenario examined, Rapid7 researchers say the BeyondTrust exploit (CVE-2024-12356) required leveraging this PostgreSQL flaw. Although BeyondTrust had issued patches for its vulnerabilities, including CVE-2024-12356 and a separate bug (CVE-2024-12686), the underlying flaw in PostgreSQL remains a concerning pivot point for attackers.
According to Rapid7 public documentation, the bug exists the way psql handles invalid byte sequences from malformed UTF-8 characters. In testing, Rapid7 researchers found that crafted invalid sequences can prematurely terminate a SQL command, allowing attackers to inject additional statements and even trigger shell execution via psql’s meta-command.
In controlled tests, the Rapid7 researchers say they were able to inject a command that executed the id command on the system, confirming the potential for full system compromise.
The PostgreSQL team released an urgent patch and warned that versions before PostgreSQL 17.3, 16.7, 15.11, 14.16, and 13.19 are affected. The project did not acknowledge the zero-day exploitation even as it credited Rapid7 with the discovery.
Rapid7 has also released a Metasploit module that fingerprints vulnerable BeyondTrust systems and automates payload delive
Tomi Engdahl says:
Treasury officials learned of the exposed key on the same day BeyondTrust publicly disclosed the compromise. A week later, BeyondTrust revealed CVE-2024-12356 — a command injection vulnerability with a CVSS score of 9.8 — that affected Remote Support and Privileged Remote Access versions 24.3.1 and earlier.
https://www.securityweek.com/rapid7-flags-new-postgresql-zero-day-connected-to-beyondtrust-exploitation/
Tomi Engdahl says:
Compliance
DORA’s Deadline Looms: Navigating the EU’s Mandate for Threat Led Penetration Testing
With DORA’s January 2025 compliance deadline approaching, financial institutions must embrace rigorous testing, tailored threat profiles, and continuous vigilance to safeguard against cyber threats.
https://www.securityweek.com/doras-deadline-looms-navigating-the-eus-mandate-for-threat-led-penetration-testing/
Tomi Engdahl says:
Jason Koebler / 404 Media:
The doge.gov website tracking Elon Musk’s cuts to the federal government pulls from a database editable by anyone, say two sources who found the vulnerability
Anyone Can Push Updates to the DOGE.gov Website
Jason Koebler Jason Koebler
·
Feb 14, 2025 at 1:42 AM
“THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN.”
https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
The doge.gov website that was spun up to track Elon Musk’s cuts to the federal government is insecure and pulls from a database that can be edited by anyone, according to two separate people who found the vulnerability and shared it with 404 Media. One coder added at least two database entries that are visible on the live site and say “this is a joke of a .gov site” and “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro.”
Doge.gov was hastily deployed after Elon Musk told reporters Tuesday that his Department of Government Efficiency is “trying to be as transparent as possible. In fact, our actions—we post our actions to the DOGE handle on X, and to the DOGE website.” At the time, DOGE was an essentially blank webpage.
Tomi Engdahl says:
Elon Musk’s DOGE website gets hacked due to major ‘errors’ as classified information is reportedly posted on site
Elon Musk only took over and launched the site earlier this week
https://www.unilad.com/celebrity/news/elon-musk-doge-website-hacked-279713-20250215
Tomi Engdahl says:
Government Fires Specialists Without Realizing They Were in Charge of Nuclear Bombs, Then Panics and Tries to Rehire Them
Everyone makes mistakes.
https://futurism.com/government-fires-nuclear-specialists-hires-back
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/security/chinese-hackers-breach-more-us-telecoms-via-unpatched-cisco-routers/
Tomi Engdahl says:
https://www.globalnerdy.com/2025/02/14/doges-government-org-chart-page-seems-to-be-hacked/
Tomi Engdahl says:
https://dailyboulder.com/doge-website-hacked-and-defaced-internet-laughs-at-musk-these-experts-left-their-database-open/
Tomi Engdahl says:
https://www.globalnerdy.com/2025/02/14/doges-government-org-chart-page-seems-to-be-hacked/#google_vignette
Tomi Engdahl says:
https://futurism.com/trump-mass-firings-nuclear-bombs
Tomi Engdahl says:
Elon Musk’s DOGE Posts Classified Data On Its New Website
“People are scrambling” to see if their sensitive information has been accessed by Musk’s programmers, said one federal intelligence employee.
https://www.huffpost.com/entry/elon-musk-doge-posts-classified-data_n_67ae646de4b0513a8d767112
Tomi Engdahl says:
https://www.theverge.com/policy/612136/uk-icloud-investigatory-powers-act-war-on-encryption
Tomi Engdahl says:
The Feds Push for WebAssembly Security Over eBPF
According to the federal government, WebAssembly could and should be integrated across the cloud native service mesh sphere to enhance security.
https://thenewstack.io/the-feds-push-for-webassembly-security-over-ebpf/
Tomi Engdahl says:
https://cyberintel.substack.com/p/doge-exposes-once-secret-government
Tomi Engdahl says:
https://www.helpnetsecurity.com/2025/02/14/microsoft-device-code-authentication-phishing-m365-account-compromise/
Tomi Engdahl says:
Google Confirms Enhanced Attack Protection For 1 Billion Chrome Users
https://www.forbes.com/sites/daveywinder/2025/02/11/google-confirms-enhanced-attack-protection-for-1-billion-chrome-users/
Google gets it in the neck concerning security issues more than most, and for good reason: the attacks just keep coming. From the most sophisticated ever AI-driven threat campaigns targeting Gmail users, to drive-by download threats to Chrome users. But, credit where credit is due, Google is fighting back. From the use of AI to change compromised passwords in Chrome, to the regular discovery and patching of critical browser security vulnerabilities. Now Google has confirmed perhaps the most important piece of security news so far this year, a billion Chrome users getting enhanced protection from attackers.
Tomi Engdahl says:
https://cybersecuritynews.com/usb-army-knife/
Tomi Engdahl says:
https://www.freecodecamp.org/news/ssh-authentication-with-github-under-the-hood/
Tomi Engdahl says:
https://futurism.com/doge-boy-website?fbclid=IwY2xjawIfqH9leHRuA2FlbQIxMQABHd2vZwh_QiAUvI2E73hAnIukmRtXLJyZUWxzuhNeY6GMNjrcusF411ji_Q_aem_Mx9Fln_NohgmlndaZBtt_A