Bakdörr hittad i populärt wordpresstillägg

Uppmärksamma wordpressanvändare upptäckte nyligen att det populära tillägget Display Widgets innehöll skadlig kod i sina senaste versioner. Koden gjorde det möjligt för en utomstående att ta sig in via en bakdörr och skapa nya sidor på användarens webbplats. De nya sidorna innehöll spamlänkar men visades inte för inloggade användare, vilket gjorde dem svåra för en sajts administratör att upptäcka.

WordPress är världens populäraste CMS (Content Management System) och är kanske mest känt som bloggverktyg. Tillägget Display Widgets gjorde det möjligt att välja vilka widgets som skulle visas på vilka sidor. När den skadliga koden upptäcktes och Display Widgets togs bort från WordPress officiella tilläggssamling hade tillägget 200 000 användare. (Jag var en av dem, men jag använde Display Widgets på en avsomnad sajt som var så ouppdaterad att jag inte ens hunnit uppdatera till de skadliga versionerna av tillägget.)

Det har nu visat sig att WordPress varnat tilläggets ägare tre gånger tidigare för att ha brutit mot reglerna för tillägg. WordPress har kritiserats för att inte ha gått hårt nog åt tilläggets ägare, men ta i beaktande att tilläggssamlingen underhålls av ideella krafter.

Hur gick det till?

Sajten Bleeping Computer berättar att det populära tillägget såldes i maj 2017 för 15 000 dollar och att de skadliga uppdateringarna dök upp kort därefter. Sajten går igenom varje uppdatering; hur de anmäldes och slutligen togs bort av WordPress – bara för att följas av nya uppdateringar med den skadliga koden utformad eller dold på ett annat sätt.

Vem låg bakom den skadliga koden?

Sajten Wordfence har spårat köparen av tillägget och genom ett fängslande detektivarbete tagit reda på mer om honom. Den nye ägaren av Display Widgets visar sig vara en 23-årig man som specialiserat sig på att köpa populära tillägg, eventuellt för att manipulera dem på samma sätt som skedde med Display Widgets. Wordfence lyckas till och med kommunicera med honom. 23-åringen säger sig vara sjuk i lungcancer och ”only have a few months/maybe a year left on this earth”. De hittar honom i diverse sociala nätverk och konstaterar att han lever lyxliv i Monaco, kör en Ferrari och går på exklusiva cocktailbarer där drinkarna kostar 16 dollar styck.

Filosofisk kommentar

Läs gärna Wordfence genomgång! Det finns något rörande över den. All denna infernaliskt inkilade skadliga kod, alla dessa spamsidor och affiliatelänkar som dyker upp på webben i tid och otid. Bakom alltsammans finns alltid ett ansikte, och den här gången tillhör det en 23-årig brittisk brat som dessutom verkar samarbeta med någon i Ryssland. Det känns som att få glänta lite på dörren till internets undervärld. Tycka vad man vill om de där 18-25-åriga grabbarna (vem orkar ägna sig åt denna katt-och-råtta-lek efter 30?) som oförtröttligt hittar nya vägar att klämma ut ännu en dollar, men visst är de en del av internets ekologi.

”Killen bakom Undertexter borde få pris”

Mannen som drev webbplatsen Undertexter.se, som tillhandahöll undertexter till filmer, har dömts till skyddstillsyn av Attunda tingsrätt för brott mot upphovsrättslagen. Tingsrätten menar att undertexter, även när de är författade av en utomstående, är att se som en del av originalverket.

Mannen, som är 32 år, ska också betala 217 000 kronor, vilket är vad tingsrätten anser att han tjänat på webbplatsen i form av annonser.

IDG skriver:

Undertexter.se började, enligt 32-åringens egen berättelse, som ett skolprojekt 2003. Idéen var att underlätta för personer med hörselskador och tillgängliggöra undertexter till piratfilmer.

Han var alltså i 18-årsåldern när han startade sajten. Och även om försvaret kanske skönmålar syftet en aning så är det ett faktum att undertexter hjälper många människor.

En anonym internetveteran kommenterar domen för Femte juli:

Den här killen borde ju få pris för allmännyttig verksamhet, i stället blir han dömd och får en massa böter.

Polisen slog till mot Undertexter.se 2013 efter en anmälan från Rättighetsalliansen, som verkar vara ett slags efterföljare till Antipiratbyrån. Femte juli har ställt några frågor i ett mejl till Rättighetsalliansen. Vi uppdaterar inlägget om vi får svar.

Dolda kameror i utomhusreklam

I Nederländerna har det brittiska företaget Exterion Media deaktiverat 50 dolda kameror i utomhusreklam efter att en av dem hittats av en förbipasserande, som tog en bild och lade ut på Twitter:

Klicka här för att visa innehåll från Twitter

Kamerorna ska ha analyserat hur länge en person stannade framför reklamen, liksom vilket kön och vilken ålder personen hade.

Om detta skriver nederländska NRC via tyska Netzpolitik.

Skydda dig mot Blueborne

Forskare vid Armis, ett företag specialiserat på säkerhet för sakernas internet (”internet of things”/iot), har upptäckt ett säkerhetshål i den trådlösa standarden Bluetooth. Hålet gör det mycket lätt att infiltrera enheter med Bluetooth påslaget, skriver Ars Technica:

Virtually any Android, Linux, or Windows device that hasn’t been recently patched and has Bluetooth turned on can be compromised by an attacking device within 32 feet. It doesn’t require device users to click on any links, connect to a rogue Bluetooth device, or take any other action, short of leaving Bluetooth on. The exploit process is generally very fast, requiring no more than 10 seconds to complete, and it works even when the targeted device is already connected to another Bluetooth-enabled device.

Forskarna har döpt säkerhetshålet (eller attacken det möjliggör) till Blueborne. De rapporterade det i tysthet till berörda tillverkare, som under sommaren släppte uppdateringar som tätade hålet.

I tisdags berättade man offentligt om Blueborne, och därmed är det också dags att se till att man som användare är fullpatchad.

  • Appleanvändare som använder senaste version av Ios är inte berörda.
  • Även Microsoft och Google har uppdaterat sina produkter till att inte vara sårbara.
  • Om Samsung skriver Armis: ”Contact on three separate occasions in April, May, and June. No response was received back from any outreach.”

Wired rekommenderar att man stänger av Bluetooth när man inte använder det, men det är lättare sagt än gjort för enheter som ständigt använder till exempel ett trådlöst tangentbord.

Läs mer

Säkerhetsläcka kunde ha undvikits

Förra veckan läckte 143 miljoner amerikaners uppgifter – namn, adresser, födelsedatum, försäkringsnummer, körkortsinformation, i vissa fall även kreditkortsnummer – från kreditupplysningsföretaget Equifax.

Det har nu framkommit att Equifax kände till säkerhetshålet som gjorde läckan möjlig, men lät bli att täta det i tid, skriver TNW:

The company learned that its attackers took advantage of a security flaw in the Apache Struts Web Framework, that allowed them to remotely execute code on Equifax’s systems. The bug was revealed in March, along with recommended patches to fix it – but clearly, Equifax didn’t move quickly enough to prevent nearly half of all Americans’ names, addresses and dates of birth from being stolen.

Equifaxläckan är en av de största i historien, enligt TNW. De läckta uppgifterna kan lätt användas för identitetsstöld.

Facebook bröt mot dataskyddslagar – får böta 1,2 miljoner euro

Spanska dataskyddsmyndigheten AEPD har beslutat att Facebook ska böta 1,2 miljoner euro för att ha brutit mot landets dataskyddslagar. Myndigheter i Belgien, Frankrike, Nederländerna och Tyskland har bidragit i utredningen.

I korthet har Facebook fört användarna bakom ljuset genom att inte tillräckligt tydligt informera om vilka data Facebook samlar in och hur de används:

In the framework of its investigation the Spanish Data Protection Agency has verified that Facebook collects data on ideology, sex, religious beliefs, personal preferences or browsing activity without clearly informing about how and for what purpose it will use these data.

Även om informationen finns där så har Facebook gjort den svårhittad, även för avancerade användare, skriver AEPD i ett pressmeddelande.

Myndigheten kritiserar även hur Facebook använder cookies för att kartlägga icke-Facebookanvändare som surfar på icke-Facebooksidor som har Facebooks gillaknapp inbäddad.

Man är också kritisk till att Facebook fortsätter att spåra användare som avslutat sina Facebookkonton i hela 17 månader genom en ”deleted account cookie”.

Läs mer

AEPD: The Spanish DPA fines Facebook for violating data protection regulations

Pewdiepie säger n-ordet inför 57 miljoner barn

Detta har hänt: Under en spelsession förolämpar Felix ”Pewdiepie” Kjellberg sin motspelare genom att kalla honom n-ordet, det vill säga ”nigger”, tätt följt av ”asshole”:

Klicka här för att visa innehåll från YouTube

Detta följs av krigsrubriker världen över, vilket inte är särskilt konstigt eftersom Felix Kjellberg med sina 57 miljoner prenumeranter driver Youtubes största kanal.

Slutligen publicerar Felix Kjellberg en mycket seriös ursäkt:

Klicka här för att visa innehåll från YouTube

Han försöker inte ens bortförklara saken på något sätt, utan konstaterar bara att han är en ”idiot”:

It was something that I said in the heat of the moment. I said the worst word I could possibly think of, and it sort of slipped out. And I’m not gonna make any excuses to why it did, cause there are no excuses for it.

Är då detta en storm i ett vattenglas? Absolut inte. Felix Kjellberg är en makthavare och det är naturligt att varje video han gör nagelfars. Man ska inte avfärda honom som en rolig clown bara för att hans videor riktar sig till Björnes magasin-publiken, tvärtom. (Och Björne sa aldrig ”nigger” vad jag vet.)

Vad gäller sakfrågan får förstås var och en avgöra vad de tycker om användandet av n-ordet. Själv går jag på vad jag tycker är respekt och artighet – om ett ord blir laddat och kan såra så undviker man det, oavsett vad som är anledningen till att ordet blivit laddat. Ganska enkelt.

Alexander Bard är mer principfast. Så här sa han i SVTs program Godmorgon Sverige år 2011:

Människor som är rasister är rädda för att säga neger.

Säger man att man är bög, då får man säga att en svart människa är neger. Då är man inte rasist.

Jag är aldrig rädd för folk som talar klarspråk. De är aldrig farliga. De farliga människorna är de som är politiskt korrekta och slänger sig med lite fina ord och är känsliga med vad de uttrycker. Dem ska man se upp med!

Klicka här för att visa innehåll från YouTube

Slutligen: Att Felix Kjellberg sa n-ordet beror inte på att han är en idiot, utan på att han är svensk. Vi kan inte fatta vilken laddning ordet har i USA. Vi vet att det är fel, men vi känner det inte ända in i märgen, som amerikanerna.

Lyssna

Vi diskuterade Felix Kjellberg i avsnitt 42 av 5 juli-podden från 28 februari 2017. Den gången var han i blåsväder på grund av att medier anklagade honom för att vara antisemit. Det är lyssningsvärt!

Klicka här för att visa innehåll från SoundCloud

Amelia Andersdotter granskar Bahnhofläckan

Före detta EU-parlamentarikern för Piratpartiet Amelia Andersdotter har i dag publicerat två inlägg på Dataskydd.net.

Bahnhofläckan

Det första handlar om Bahnhofläckan och regeringens utredning Datalagring och EU-rätten, som vi rapporterat om tidigare.

Andersdotter har läst de läckta dokumenten och konstaterar att två av dem handlar om ”påverkansförsök från Polismyndigheten och Säkerhetspolisen riktade mot utredningen”:

Precis som många tidigare skrifter till stöd för datalagring är de närmast kliniskt befriade från konkreta exempel på att datalagring är ett outbytbart och ovärderligt verktyg för brottsbekämpning. Det är synd, eftersom EU-domstolens domslut ska ses mot ljuset av en mycket låg evidensnivå för att datalagring varit effektivare och användbarare än andra metoder vid brottsbekämpning.

Ett av de läckta dokumenten avslöjar att utredaren ”inte velat ta i de svåraste konsekvenserna av EU-domstolens domslut från förra året”.

EU-domstolen kom som bekant fram till att generell datalagring strider mot de mänskliga rättigheterna. Utredningens syfte är därför att ge regeringen underlag för hur Sverige ska förhålla sig till domen.

Andersdotter sammanfattar:

Naturligtvis ligger det politiska ansvaret för att svenska staten inte förmår skydda de egna medborgarnas rättigheter ytterst på regeringen. Men deras arbete görs så mycket svårare av att statliga utredare inte ger regeringen ett gott stöd i uppdraget.

Utredningen ska presenteras den 9 oktober 2017.

Dataskyddsutredningen

Det andra inlägget gäller regeringens utredning Ny dataskyddslag, som handlar om hur Sverige ska implementera EUs dataskyddsförordning.

Andersdotter har tittat närmare på några av remissvaren, och konstaterar att den livliga diskussionen på EU-nivå inte följt med till nationell nivå. I stället har vi fått påtryckningar från näringslivet:

Företagsrepresentanter som Bankföreningen och Svenskt näringsliv anser att konsumenter har en lägre rätt till insyn, eller i vilket fall inte bör få en högre rätt till insyn, än vad som är fallet idag. Oroväckande nog har de vunnit gehör för denna ståndpunkt hos Datainspektionen.

Andersdotter tar också upp problemet med att en myndighet som Datainspektionen, som är en av remissinstanserna, inte deltar i sammanhang som de inte får betalt för. Detta gör att de är mer mottagliga för uppvaktning från näringslivet, medan mer ideell input riskerar att gå dem förbi:

Datainspektionen åker inte på möten som de inte får betalt för att delta på, och är därmed otillgängliga för många konferenser och sammanslutningar av grupper av medborgare som har stor kännedom och kunskap om dataskydd men färre ekonomiska resurser att ordna konferenser med betalda talare.

EUs dataskyddsförordning ska börja tillämpas i Sverige den 25 maj 2018.