Amazon Alexa: gravissima violazione della Privacy

Un utente di Amazon Alexa (l'altoparlante "intelligente" di Amazon che riceve comandi vocali e registra suoni, rumori e voci della casa, inviandoli ad Amazon), facendo una legittima richiesta dei propri dati ad Amazon, è venuto in possesso di registrazioni di conversazioni di altre persone, che con tutta probabilità non avevano nemmeno installato Alexa a casa loro.

His request not only gave him access to his own Amazon search data, but also to around 1,700 Alexa voice files recorded in a stranger’s living room, bedroom, and shower.

(fonte: Heise.de https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html )

La sua richiesta non solo gli ha permesso di accedere ai propri dati di ricerca su Amazon, ma anche a circa 1.700 file vocali di Alexa registrati nel soggiorno, nella camera da letto e nella doccia di uno sconosciuto.

(trad. Google Translate - sottolineatura mia)

Consiglio:  non mettete la vostra vita nelle mani di Amazon e dei potenziali hacker o società autorizzate "a vostra insaputa" che potrebbero venire in possesso delle vostre conversazioni private.

Diffidate dei vicini di casa che detengono questi oggetti, magari a stretto contatto con la parete della vostra camera da letto o della vostra doccia.

 

Nuovo Problema Internet Explorer

Un nuovo problema (vulnerabilità grave) è stato scoperto in IE.

Microsoft sta distribuendo un aggiornamento straordinario, perché si ha notizia che questo problema è già stato sfruttato da agenti malevoli in rete.

"Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nel modo in cui il motore di scripting gestisce gli oggetti in memoria in Internet Explorer. La vulnerabilità potrebbe danneggiare la memoria in modo tale da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente. "

Fonte: Microsoft https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653

Si consiglia vivamente di eseguire l'aggiornamento di IE appena possibile.

Altri dettagli qui: https://securityaffairs.co/wordpress/79020/hacking/emergency-patch-zero-day.html

Magellan: un nuovo bug in Chrome/Chromium 70 e SQLite

In questi giorni è stato segnalato un nuovo problema (Bug) nel Browser Chrome (o Chromium) vers. 70 e nel software SQLite per la gestione di Database.

Il problema in Chrome/Chromium è stato corretto con la versione 71.0.3578.80.
Il problema in SQLite è stato corretto con la versione 3.26.0.

Dettagli sul sito Tencent Blade: https://blade.tencent.com/magellan/index_en.html
e sul Sito: https://worthdoingbadly.com/sqlitebug/

Aggiornate il vostro software se usate questi componenti. Il problema potrebbe essere sfruttato da remoto, visitando una pagina web costruita ad-hoc.

Tencent afferma che finora non si sono verificati incidenti in conseguenza di questi problemi, e aggiunge di non aver rivelato i dettagli in pubblico, limitandosi a comunicarli a Google che ha approntato le correzioni.

London Blue - Una truffa ai danni della finanza aziendale

Un gruppo di hacker con sede in Nigeria sta cercando di ingannare migliaia di top manager in tutto il mondo per farsi inviare denaro da fondi aziendali.

Lo schema ambizioso, che si rivolge principalmente ai dirigenti finanziari via e-mail, è descritto in una nuova relazione dell'agenzia di sicurezza informatica Agari, che ha indagato sul gruppo dopo essere stato attaccato a sua volta.

"Gli obiettivi includevano aziende in una vasta gamma di settori, dalle piccole imprese alle più grandi multinazionali", avverte il rapporto. Più della metà di loro sono negli Stati Uniti.

Gli aggressori stanno portando avanti una truffa sempre più comune nota come "compromissione della posta elettronica aziendale" in cui cercano di rappresentare un insider aziendale, come l'amministratore delegato, richiedendo un trasferimento di denaro su un conto esterno.

L'FBI stima che le aziende di tutto il mondo abbiano perso più di $ 12 miliardi attraverso questo tipo di truffa via email tra ottobre 2013 e maggio 2018.

Agari ha detto che il gruppo nigeriano, che chiama "London Blue", ha sviluppato un'operazione altamente sofisticata per ottenere con la truffa il denaro dai dirigenti finanziari.

"London Blue opera come una moderna società", afferma il rapporto. Il gruppo ha persone che lavorano su business intelligence, vendite, email marketing, operazioni finanziarie e risorse umane, secondo Agari. Effettua attacchi in più lingue e ha almeno 17 collaboratori negli Stati Uniti, nel Regno Unito e in altri paesi dell'Europa occidentale che sono principalmente coinvolti nel trasferimento di denaro rubato, ha aggiunto Agari.

Sempre più pressante diventa la diffusione di consapevolezza di questi rischi presso il top management e l'adozione di opportune misure aziendali per la protezione delle proprie risorse finanziarie.