Únik dat z Alzy, který se nestal
V pátek večer se objevila zpráva, že hackeři nabízejí k prodeji databázi zákazníků největšího tuzemského e-shopu. Profil Dark Web Intelligence zveřejnil inzerát z darknetového fóra, podle kterého má jít o zhruba 437 tisíc záznamů pocházejících z Alza[.]cz. Balík měl podle popisu obsahovat jména, e-mailové adresy, telefonní čísla, data narození, doručovací adresy, údaje o věrnostním programu včetně zůstatků věrnostních bodů a také historii objednávek a informace ze zákaznické podpory. Takový soubor by byl ideálním materiálem pro cílený phishing, sociální inženýrství, podvody i pokusy o převzetí účtů.
Alza ale jakýkoli incident odmítla. „Naše dosavadní prověření nepotvrdilo, že by zveřejněná data byla autentická nebo že by pocházela ze systémů Alza[.]cz. Současně jsme nezaznamenali žádné indicie o neoprávněném přístupu do našich systémů v souvislosti s tímto případem," uvedla pro Lupa[.]cz mluvčí společnosti Eliška Čeřovská.
Při bližším pohledu inzerát budí spíš pochybnosti než obavy. Nabízený balík má podle popisu obsahovat položky, které Alza od zákazníků při nákupu vůbec nesbírá. Podezřelý je i rozsah. 437 tisíc záznamů je proti milionové klientské základně e-shopu nečekaně málo.
Podíval jsem se na tento problém pohledem našich platforem, které používáme na dohledání úniků dat. Když jsem výsledky propojil, dostal jsem 408 387 nálezů spojených s doménou alza[.]cz za období 2018–2026. Drtivá většina z tzv. combo listů (seznamy, které vznikají agregací a recyklací dat z různých starších úniků), některé z infostealer logů (data exfiltrovaná malwarem, který běží přímo na infikovaném zařízení oběti). Můj názor tedy je, že to jsou úniky dat, ale ne Alzy jako takové, ale z napadených počítačů jejich zákazníků a zaměstnanců.
::: info Víte, jestli jsou vaše systémy bezpečné? Každý týden přinášíme příklady útoků a zranitelností, které mohou zasáhnout kohokoliv. Pokud si nejste jistí, zda je vaše infrastruktura odolná, rádi vám pomůžeme to zjistit. V SysNetShield nabízíme sken zranitelností, penetrační testy, Red Teaming i simulace phishingových kampaní. Napište nám, první konzultace nebo scan zranitelností na jednu doménu/IP adresu je zdarma. :::
Tichý únos WhatsApp účtu
Existuje druh bezpečnostního incidentu, který se vysvětluje hůř než ostatní. Váš WhatsApp účet rozesílá kontaktům zprávy, které jste nikdy nenapsali, a žádá je o peníze. Když se ale podíváte do sekce Propojená zařízení, nevidíte tam nic podezřelého. Žádné neznámé relace, žádné cizí přihlášení. Přesně to se v posledních týdnech stalo několika uživatelům iPhonů v Itálii.
Italská forenzní firma Forenser, která případy analyzovala, dospěla k závěru, že jde o aktivní kampaň využívající takzvaný zero-click útok, tedy útok, který nevyžaduje od oběti žádnou akci.
Společným jmenovatelem všech hlášených případů byly starší iPhony s verzí systému iOS 16.
Útočníci získali přístup k nedávným konverzacím a z nich rozesílali žádosti o převod peněz, ke starším či archivovaným chatům se ale podle všeho nedostali. Žádná z obětí si přitom nevybavovala, že by oskenovala QR kód, sdílela ověřovací kód nebo dokončila párování nového zařízení.
Protože každý zdokumentovaný případ se týkal iOS 16, zaměřil se tým Forenseru na známé zranitelnosti této verze systému. Jako pravděpodobného viníka označil zranitelnost CVE-2025-43300, případně v kombinaci s CVE-2025-55177. CVE-2025-43300 je chyba typu „out-of-bounds write" (zápis mimo vyhrazenou oblast paměti) ve frameworku ImageIO, který Apple napříč systémem používá ke zpracování a náhledu obrázků. Při zpracování upraveného škodlivého obrázku ve formátu DNG může dojít k poškození paměti, což otevírá cestu útočníkovi. Apple tuto chybu opravil v srpnu 2025 poté, co potvrdil, že byla aktivně zneužívána jako zero-day napříč systémy.
Druhá zranitelnost, CVE-2025-55177, je chyba přímo ve WhatsAppu pro iOS a macOS, která kvůli nedostatečné autorizaci synchronizačních zpráv mezi propojenými zařízeními umožňovala zpracování obsahu z libovolných URL adres.
Nejúčinnějším opatřením je aktualizace systému iOS na nejnovější dostupnou verzi.
CIFSwitch: nová zranitelnost Linuxu, která útočníkovi vydá root na řadě distribucí
Bezpečnostní výzkumník Asim Manizada zveřejnil 28. května novou zranitelnost linuxového jádra, kterou pojmenoval CIFSwitch. Jde o chybu typu local privilege escalation, díky níž může neprivilegovaný uživatel na postiženém systému získat práva uživatele root. Slabina se nachází na rozhraní mezi CIFS klientem v jádře a uživatelským nástrojem cifs-utils. Protokol CIFS, známý také jako SMB, se běžně používá pro přístup k síťovým sdíleným složkám (typicky z Windows) a Linux jej využívá k připojování, čtení a zápisu dat ze vzdálených systémů. Manizada zveřejnil podrobný technický popis i funkční proof-of-concept exploit.
Podstata problému je v tom, jak CIFS pracuje s linuxovými klíčenkami (keyrings). Pokud sdílená síťová složka používá ověřování přes Kerberos, jádro si vyžádá klíč typu cifs[.]spnego a systémová konfigurace request-key spustí pomocný program cifs[.]upcall s právy roota, aby ověření Kerberos/SPNEGO obstaral.
Jádro ovšem dostatečně neodmítalo popisy klíčů, které nepocházely od jádrového CIFS klienta. Neprivilegovaný proces si tak může vyžádat podvržený popis klíče cifs[.]spnego a pomocný program cifs[.]upcall poté zpracuje útočníkem ovládaná pole, jako by je vygenerovalo jádro.
Samotný útok pak spočívá v zneužití těchto polí. Nastavením hodnoty upcall_target=app může útočník přimět pomocný program, aby se přepnul do namespace, který sám ovládá. Nebezpečné je především to, že vyhledávání účtu přes mechanizmus Name Service Switch (NSS) proběhne ještě předtím, než program zahodí svá zvýšená oprávnění. V tomto stavu lze do běhu načíst útočníkem připravený NSS modul, a útočníkův kód se tak spustí s právy roota. Podle výzkumníka byla samotná příčina chyby zanesena do kódu už v roce 2007, tedy zhruba před devatenácti lety.
Dobrou zprávou je, že CIFSwitch nezasahuje každý linuxový systém automaticky. Manizada zranitelnost sám označuje jako „neuniverzální", protože její zneužitelnost závisí na konkrétní kombinaci podmínek: zranitelné verzi jádra, postižené verzi cifs-utils, výchozím pravidlu request-key pro cifs[.]spnego, zapnutých neprivilegovaných uživatelských a připojovacích namespacech a na politikách SELinux či AppArmor.
Nizozemská policie odpojila botnet ze 17 milionů zařízení
Nizozemská národní policie ve spolupráci s tamním Národním centrem kybernetické bezpečnosti (NCSC) odstavila botnet tvořený nejméně 17 miliony nakažených zařízení. Síť byla řízena přibližně 200 servery, které se všechny fyzicky nacházely v Nizozemsku. Mezi zasaženými zařízeními byly počítače, tablety, chytré telefony, routery i další zařízení připojená k internetu, včetně chytrých bezpečnostních kamer.
Je ale důležité zdůraznit, že odstavení řídicích serverů automaticky neznamená, že jsou všechna zařízení čistá. Infikované přístroje zůstávají kompromitované, dokud jejich majitelé malware sami neodstraní nebo zařízení neresetují a neaktualizují.
Zajímavostí, na kterou upozornil server The Register, je, že policie ani NCSC oficiálně neuvedly jméno botnetu, což u podobně velkých zásahů bývá neobvyklé. Podle nizozemského zpravodajského webu NL Times jde však o infrastrukturu, na níž stojí komerční služba Asocks, nabízející tzv. rezidenční a mobilní proxy. Asocks se prezentuje jako „univerzální proxy služba" se sedmi miliony IP adres, 150 lokalitami a zhruba 100 tisíci klienty, přičemž měsíční předplatné se podle serveru BleepingComputer pohybuje řádově mezi 5 a 15 dolary. Web služby přitom zůstával i po zásahu nadále funkční a není zcela jasné, zda některé části sítě nepřežily.
