Zurück im Jahr 2018, mein ehemaliger Kollege bei VICE Motherboard Joseph Cox und ich begannen, eine Liste der besten Cybersicherheitsgeschichten zu veröffentlichen, die anderswo veröffentlicht wurden. Es war nicht nur eine Möglichkeit, unseren Hut vor unseren freundlichen Konkurrenten zu ziehen; Indem wir auf die Geschichten anderer Publikationen verwiesen, vermittelten wir unseren Lesern ein umfassenderes Bild davon, was in der Welt der Cybersicherheit, Privatsphäre und Überwachung im gerade zu Ende gegangenen Jahr passiert war.
Unsere ursprüngliche Inspiration war Die Eifersuchtsliste von Bloomberg Businessweekein fortlaufendes Kompendium der besten Geschichten, die in anderen Medien veröffentlicht wurden, ausgewählt von Bloomberg-Reportern und -Redakteuren.
Nachdem sowohl Cox als auch ich Motherboard verlassen haben, greifen wir bei Tech die Cyber-Eifersuchtsliste auf, um noch einmal die besten Cybersicherheitsgeschichten des Jahres aufzulisten – und diejenigen, auf die wir am meisten neidisch waren. — Lorenzo Franceschi-Bicchierai.
Wenn Sie im Oktober 2016 im Internet waren und an der Ostküste der USA lebten, erinnern Sie sich wahrscheinlich an den Tag, als große Websites wie Twitter, Spotify, Netflix, PayPal, Slack und Hunderte andere für ein paar Stunden nicht mehr funktionierten. Wie sich herausstellte, war dies das Werk dreier unternehmungslustiger junger Hacker, die eines der effektivsten verteilten Denial-of-Service-Tools aller Zeiten entwickelt hatten.
In diesem langen Stück Andy Greenberg stellt die drei jungen Hacker vor und erzählt die unerzählte Geschichte ihres Lebens, von jugendlichen Computer-Nerds über versierte Cyberkriminelle – und schließlich zu reformierten Cybersicherheitsprofis. Setzen Sie sich auf einen bequemen Stuhl und vertiefen Sie sich in diese Pflichtlektüre.
Im September soll eine unheilige Allianz aus russischen Cyberkriminellen und westlichen Teenagern mit außergewöhnlichen Social-Engineering-Fähigkeiten die MGM-Casinos in Las Vegas gehackt und lahmgelegt haben, was zu weitreichenden Störungen geführt hat. Dies war einer der am meisten diskutierten Cyberangriffe des Jahres und mehrere Veröffentlichungen befassten sich weiterhin mit der Geschichte. Jason Koeblerehemaliger Chefredakteur von VICE Motherboard und jetzt einer der Mitbegründer des arbeitereigenen Outlets 404 Medien hatte die kluge Idee, nach Las Vegas zu fliegen und das Chaos mit eigenen Augen zu sehen. Das Ergebnis seiner Reise war ein Artikel, der zeigte, wie schlimm MGM getroffen wurde, was zu einem „Albtraum“ für die Casino-Mitarbeiter führte, wie Koebler es ausdrückte.
Die Cybersicherheitskorrespondentin von NPR, Jenna McLaughlin, berichtete aus Kiew und dokumentierte eine Reihe hervorragender Nachrichten und Audiogeschichten über das Leben in der Ukraine während des Krieges diejenigen, die das Land nach der Invasion Russlands verteidigten. Cyberwarfare hat im Krieg eine bedeutende Rolle gespielt Cyberangriffe auf den Energiesektor der Ukraine Und seine militärischen Operationen. McLaughlins Meldungen gingen über Treffen mit Top-Cyber-Verteidigern bis hin zur Berichterstattung über die defensiven (und offensiven) Operationen der Ukraine gegen ihre russischen Aggressoren, verbunden mit Höhepunkte des normalen ukrainischen Alltagslebens Natürlich mit Fußball.
In einer erstaunlichen Kehrtwende gab der Elektronikhersteller Anker zu, dass seine angeblich immer verschlüsselten Kameras nicht immer verschlüsselt waren. Kurz gesagt, ein Sicherheitsforscher hat einen Fehler gefunden, der zeigte, dass dies der Fall war Zugriff auf unverschlüsselte Streams von Kundenvideos möglich, trotz Ankers Behauptungen, dass seine Eufy-Kameras Ende-zu-Ende-verschlüsselt seien. The Verge verifizierte und reproduzierte die Ergebnisse des Sicherheitsforschers und von Anker gab schließlich zu, dass seine Kameras nicht Ende-zu-Ende-verschlüsselt waren wie es behauptete und tatsächlich unverschlüsselte Streams erzeugt hatte. Hut ab vor The Verge für die beeindruckende und hartnäckige Berichterstattung, die dem Thema auf den Grund geht Ankers falsche Darstellungen und sein verpatzter Versuch, es zu vertuschen.
Im Jahr 2020 haben Hacker der russischen Regierung Schadcode in die Lieferkette der Software von SolarWinds eingeschleust, einem Technologieunternehmen, dessen Kunden von Großkonzernen bis hin zu Bundesbehörden reichen. Der Hack war heimlich und unglaublich effektiv und gab den Russen die Möglichkeit, Geheimnisse aus ihrem Rivalenland zu stehlen. Erfahrener Cybersicherheitsreporter Kim Zetter Wir haben mit den Leuten gesprochen, die dabei geholfen haben, den Vorfall zu untersuchen, und den heimlichen Hack in einer unglaublich detaillierten und tiefgreifenden Untersuchung fast Stück für Stück rekonstruiert. Zetter veröffentlichte auch eine praktische und ausführliche Zeitleiste der Ereignisse auf ihrem Substack, das ist Abonnieren lohnt sich falls Sie es noch nicht getan haben.
Jahrelang wussten nur sehr wenige Menschen von der Existenz einer indischen Firma namens Appin. Aber dank einer Untersuchung, die auf „Interviews mit Hunderten von Menschen, Tausenden von Dokumenten und Recherchen mehrerer Cybersicherheitsfirmen“ basierte, wie Reuters es ausdrückte, berichtete und veröffentlichte das Journalistenteam Beweise, die zeigen, dass es sich bei Appin um eine von Hackern angeheuerte Firma handelt Dies half dabei, Informationen über Führungskräfte, Politiker, Militärbeamte und wohlhabende Menschen auf der ganzen Welt zu erhalten. Dies ist einer der detailliertesten und umfassendsten Einblicke in die Schattenwelt von Hacking-for-Hire-Unternehmen, die nicht für Regierungen wie Hacking Team oder NSO Group, sondern für vermögende Privatkunden arbeiten. Die Geschichte selbst machte Schlagzeilen, als Reuters war gezwungen, die Geschichte zu entfernen, um einem Gerichtsbeschluss in Neu-Delhi nachzukommen. Reuters sagte in eine Anmerkung des Herausgebers es steht zur Berichterstattung.
Trickbot ist eines der aktivsten und schädlichsten russischen Cyberkriminalitätssyndikate und hat in den letzten Jahren Tausende von Unternehmen, Krankenhäusern und Regierungen angegriffen. Diese Untersuchung basiert auf Interviews mit Cybersicherheitsexperten sowie einer Analyse einer Fülle von Daten der Ransomware-Bande, die online durchgesickert sind, WIRED’s Matt Burgess Und Lily Hay Newman Entlarven Sie eine der „Schlüsselpersonen“ von Trickbot. Die Journalisten identifizieren ihn als einen Russen, der sagt, er sei „verdammt süchtig“ nach Metallica und mag den Filmklassiker Hacker. Eine Woche später, nachdem die Reporter veröffentlicht hatten, Die Regierungen der USA und Großbritanniens kündigten Sanktionen gegen elf Personen an für ihre angebliche Beteiligung an Trickbot – einschließlich des Mannes, der in der ursprünglichen WIRED-Geschichte identifiziert wurde.
„Ich war verblüfft darüber, wie leicht jemand mein Telefon stehlen konnte“, schrieb Business Insider Avery Hartmans, deren Telefonnummer von jemandem gekapert wurde, der ihren Mobilfunkanbieter Verizon dazu verleitete, zu glauben, es handele sich um sie. Unsere Telefonnummern sind mit unseren Bankkonten, dem Zurücksetzen von Passwörtern und vielem mehr verknüpft, sodass ein SIM-Austausch zu einem erschreckend schädlichen Zugriff auf das Leben einer Person führen kann. In diesem Fall konnte der Hacker durch die Ausnutzung dieses einzigen Fehlerpunkts Tausende von Dollar durch betrügerische Einkäufe im Namen von Hartmans anhäufen. Hartmans‘ atemberaubend detaillierter Bericht aus erster Hand, wie sie ihren SIM-Swapper mit unerschütterlicher Entschlossenheit – und dabei auch mit Hilfe – aufgespürt hat, war eine unglaubliche Möglichkeit, das Bewusstsein für diese Art gezielter SIM-Swapping-Hacks zu schärfen und nicht zuletzt zu zeigen, wie nutzlos die meisten Unternehmen sein können sein, um zu helfen.
Daten, die fast ein Jahr lang Gesichtserkennungsanfragen enthalten, die ein Politico-Reporter erhalten hat Alfred Ng zeigen, dass die Praxis im Jahr, nachdem die Polizei in New Orleans mit der Gesichtserkennung begonnen hatte, die meisten Verdächtigen nicht identifizieren konnte und fast ausschließlich gegen Schwarze eingesetzt wurde. Der Einsatz der Gesichtserkennung durch Polizei, Strafverfolgungsbehörden und Regierungsbehörden bleibt bestehen eine höchst umstrittene Praxis in den Vereinigten Staaten. Während Kritiker sagen, dass die Gesichtserkennung auf technischer Ebene erhebliche Mängel aufweist, da sie fast immer auf weiße Gesichter trainiert wird, bestätigt Ngs Bericht, was auch Bürgerrechtsaktivisten seit Jahren argumentieren: dass die Gesichtserkennung die menschlichen Vorurteile der Behörden, die diese Technologie nutzen, verstärkt. Oder um es mit den Worten eines Stadtratsmitglieds von New Orleans auszudrücken, das gegen die Gesichtserkennung gestimmt hat: Der Einsatz der Gesichtserkennung in New Orleans sei „völlig wirkungslos und ziemlich offensichtlich rassistisch“.
Gerade als das letzte Jahr zu Ende ging, bestätigte der Passwort-Manager LastPass, dass Cyberkriminelle die verschlüsselten Passwort-Tresore seiner Kunden gestohlen haben, in denen die Passwörter und andere Geheimnisse seiner Kunden während eines früheren Datenverstoßes gespeichert waren. Die vollständigen Auswirkungen dieses Diebstahls blieben bis September 2023 unbekannt Cybersicherheitsreporter Brian Krebs berichtete, dass mehrere Forscher eine „höchst zuverlässige Reihe von Hinweisen“ identifiziert hätten, die offenbar mehr als 150 Opfer von Kryptodiebstählen im Zusammenhang mit gestohlenen LastPass-Passwort-Tresoren in Verbindung brachten. Laut Krebs umfangreicher Berichterstattung wurden bisher Kryptowährungen im Wert von über 35 Millionen US-Dollar gestohlen. Eines der Opfer, das LastPass seit mehr als einem Jahrzehnt nutzte, sagte Krebs, dass ihnen verschiedene Kryptowährungen im Wert von etwa 3,4 Millionen US-Dollar gestohlen wurden.