av Mikael Winterkvist | okt 17, 2025 | Bluesky, Mastodon, Säkerhet, Threads |
Auktionshuset Sotheby’s har drabbats av ett dataintrång där angripare kommit över känslig information, bland annat finansiella uppgifter och personnummer.
Händelsen upptäcktes den 24 juli och följdes av en två månader lång utredning för att fastställa vilken typ av data som stulits och vilka personer som berörts.
Sotheby’s är ett av världens största auktionshus för konst och exklusiva samlarobjekt, med en årlig försäljning på omkring sex miljarder dollar. Företaget erbjuder också lån mot konst och andra värdefulla tillgångar, vilket gör att stora mängder kunddata hanteras inom organisationen.
Okänd aktör
Enligt den anmälan som lämnats till delstaten Maine omfattade det stulna materialet fullständiga namn, personnummer och finansiella kontouppgifter. Sotheby’s uppger i sitt informationsbrev att data ”verkar ha tagits bort från vår miljö av en okänd aktör” och att en omfattande granskning inleddes omedelbart efter upptäckten.
Det totala antalet drabbade personer är ännu inte känt. De uppgifter som hittills lämnats till myndigheter nämner fyra identifierade individer i USA, två i Maine och två i Rhode Island. Sotheby’s har ännu inte besvarat frågor om intrångets omfattning eller hur många som påverkats globalt.
Ingen känd ransomware-grupp har tagit på sig ansvaret för attacken. Liknande incidenter har tidigare drabbat andra auktionshus – bland annat Christie’s, som förra året utsattes för en attack där uppgifter om en halv miljon kunder stals. Sotheby’s har även haft säkerhetsproblem tidigare, bland annat mellan 2017 och 2018 då skadlig kod på företagets webbplats stul information om kunders betalningskort, samt en leverantörsattack 2021.
Dataintrång
De personer som nu fått besked om dataintrånget erbjuds kostnadsfri identitets- och kreditskyddsövervakning i tolv månader via TransUnion, med 90 dagars anmälningstid.
I en uppdatering den 17 oktober bekräftade Sotheby’s att intrånget endast berörde anställda, inte kunder. Företaget meddelar att man samarbetar med dataskyddsexperter och brottsbekämpande myndigheter, och att alla berörda medarbetare informeras enligt gällande regler. Sotheby’s säger sig ta informationssäkerhet ”mycket seriöst” och arbetar vidare med att stärka skyddet av sina system och data.
Källa:
Bleeping Computer
Läs mer
Brittiska tonåringar åtalas för globala cyberattacker – kopplas till Scattered Spider
Ny bluffvåg: Hackare utnyttjar fejkade mejl från LastPass och Bitwarden
av Mikael Winterkvist | okt 17, 2025 | Bluesky, Mastodon, Säkerhet, Threads |
Just nu drivs en nätfiskekampanj med falska brev som ser ut att komma från Telia men även om breven ser övergående ut så är det enkelt att avslöja bluffen och försöket till bedrägeri.
En snabb kontroll av avsändare och var knappen för att betala är länkad till visar att brevet inte kommer från Telia:
Knappen går till en helt annan sida än Telia:
Avsändaren är inte heller Telia.
Sliming brevet och markera det som spam så slipper du förhoppningsvis fler falska brev.
av Mikael Winterkvist | okt 17, 2025 | Bluesky, Mastodon, Säkerhet, Threads |
En hackergrupp med koppling till nätverket The Com har publicerat namn och personuppgifter till hundratals amerikanska tjänstemän, bland dem anställda vid Department of Homeland Security (DHS) och Immigration and Customs Enforcement (ICE).
Gruppen är känd för flera av de största dataintrången de senaste åren och verkar i löst organiserade sammanslutningar under olika namn.
På torsdagen skrev en användare i Telegram-kanalen Scattered LAPSUS$ Hunters, som samlar flera av de grupper som ingår i The Com, ett meddelande med orden: ”I want my MONEY MEXICO.” Uttalandet syftade på en tidigare uppgift från DHS om att mexikanska karteller ska ha erbjudit stora summor för att få tillgång till uppgifter om federala agenter. Den amerikanska regeringen har inte presenterat några bevis som styrker påståendet.
Källa:
404 Media
av Mikael Winterkvist | okt 16, 2025 | Bluesky, Mastodon, Säkerhet, Threads |
Använder du 1Password, LastPass och/eller Bitwarden så bör du se upp. Just nu drivs en nätfiskeattack som riktar sig mot användare av de här programmen
Angriparna skickar falska mejl som påstår att företagen har utsatts för dataintrång och uppmanar mottagarna att ladda ner en påstått säkrare version av programmet. I själva verket leder länken till skadlig kod som installerar fjärrstyrningsverktyg på datorn.
Avslöjar
Säkerhetssajten BleepingComputer har avslöjat att filen som användarna ombeds ladda ner innehåller Syncro, ett verktyg för fjärrövervakning som används av IT-leverantörer. Genom Syncro installeras sedan fjärråtkomstprogrammet ScreenConnect, vilket ger angriparna full kontroll över offrets dator.
LastPass har gått ut med en varning och klargör att företaget inte har utsatts för något intrång. De falska mejlen är ett försök till social ingenjörskonst för att lura mottagare att installera den skadliga mjukvaran. Kampanjen tros ha startat under helgen för att utnyttja minskad bemanning under helgdagar och därmed fördröja upptäckten.
De falska mejlen uppges komma från adresser som “hello@lastpasspulse.blog” och “hello@lastpasjournal.blog” och hävdar felaktigt att äldre .exe-versioner av programmet är sårbara. Liknande mejl har skickats till Bitwarden-användare från “hello@bitwardenbroadcast.blog”, med nästan identiskt innehåll och syfte.
BleepingComputer har analyserat filerna och konstaterar att de två attackerna använder samma metod. Syncro-agenten installeras i bakgrunden utan att synas i systemfältet och används för att installera ScreenConnect. Denna åtkomst gör det möjligt för angriparna att stjäla data, installera mer skadlig kod och i värsta fall komma åt användarnas lösenordsvalv.
En liknande kampanj har nyligen riktats mot användare av 1Password. Falska mejl påstod att deras konton hade komprometterats och ledde till en falsk inloggningssida som samlade in användarnas huvudlösenord.
Användare uppmanas att ignorera dessa mejl och alltid logga in via den officiella webbplatsen för att kontrollera eventuella säkerhetsmeddelanden. Företagen kommunicerar riktiga säkerhetsincidenter via sina bloggar och pressmeddelanden – aldrig genom mejl som ber om lösenord eller installation av nya program.
Källor: BleepingComputer, Malwarebytes
Läs mer
Skydda dina konton – innan någon annan tar dem
Från phishing till spionprogram – så skyddar du dig
Så avslöjar du bedragarna – med några försiktiga klick
av Mikael Winterkvist | okt 15, 2025 | Bluesky, Mastodon, Säkerhet, Threads |
Den 3 oktober meddelade Discord att företaget drabbats av ett dataintrång som omfattade ett ”litet antal” användares statliga ID-handlingar, som körkort och pass, vilka hade skickats in för åldersverifiering.
Några dagar senare uppdaterades uppgifterna och Discord angav då att det nederländska företaget 5CA, som hanterar delar av Discords kundtjänst, var det verkliga målet för attacken. Samtidigt preciserades att det ”lilla antalet” berörda ID-handlingar i själva verket motsvarade omkring 70 000 användare.
Uttalande
I sitt uttalande skriver 5CA att uppgifterna är felaktiga:
”Vi är medvetna om medierapporter som pekar ut 5CA som orsaken till ett dataintrång hos en av våra kunder. Till skillnad från dessa rapporter kan vi bekräfta att inga av 5CA:s system varit inblandade, och att vi inte hanterat några statliga ID-handlingar för den här kunden. Alla våra plattformar och system är fortsatt säkra, och kunddata skyddas under strikta rutiner för dataskydd och säkerhet.”
Bolaget förtydligar vidare att ”incidenten inträffade utanför våra system och att 5CA inte hackades.”
En preliminär utredning från 5CA pekar på att intrånget kan ha berott på ”mänskligt misstag”, men företaget har inte lämnat några detaljer om vad det innebär.
Den grupp som tagit på sig ansvaret för attacken har uppgett att de hade tillgång till Discords kundtjänstsystem i Zendesk under 58 timmar den 20 september. Gruppen hävdar att de kom in via inloggningsuppgifter som tillhörde en supportmedarbetare hos ett externt företag.
Discord har ännu inte kommenterat 5CA:s uppgifter.
Källa:
5CA
Läs mer
Hackare hotar att läcka 1,6 terabyte data som stulits från Discord
av Mikael Winterkvist | okt 13, 2025 | Bluesky, Mastodon, Säkerhet, Threads |
Det israeliska företaget NSO Group, som utvecklat det omstridda spionprogrammet Pegasus, står inför ett ägarbyte som kan flytta kontrollen till USA.
Enligt uppgifter förhandlar entreprenören och filmproducenten Robert Simonds, känd som grundare av STX Entertainment, om att köpa företaget tillsammans med en grupp amerikanska investerare. Affären, värderad till tiotals miljoner dollar, väntar nu på godkännande från Israels försvarsdepartement eftersom Pegasus klassas som ett säkerhetskänsligt cyberverktyg.
NSO Group grundades 2010 och blev snabbt en symbol för Israels tekniska dominans inom övervakning. Programvaran Pegasus kan fjärrstyra mobiltelefoner och komma åt data utan användarens vetskap. Tekniken har använts av regeringar världen över för att bekämpa terrorism, men har samtidigt anklagats för att ligga bakom intrång mot journalister, aktivister och politiska motståndare.
Ta över ägandet
Sedan 2023 har medgrundaren Omri Lavie kontrollerat företaget via ett Luxemburg-baserat holdingbolag, efter att tidigare långivare försökt återta cirka 500 miljoner dollar i lån. Simonds försök att köpa företaget 2023 misslyckades, men enligt israeliska källor har han nu återupplivat sitt erbjudande, med syftet att både ta över ägandet och lösa företagets skulder.
Om affären godkänns kommer Lavie att lämna bolaget helt, vilket markerar slutet på NSO:s tid under israelisk kontroll. Samtidigt väntas även amerikanska myndigheter granska köpet, bland annat på grund av Simonds tidigare affärsförbindelser i Kina.
Läs mer
Varför diskuteras det inte om ett förbud mot kommersiella spionprogram?
Det här är den obehagliga sanningen – vissa attacker är det mycket svårt att skydda sig mot
Utvecklare av spionprogram förlorar i domstol – tvingas betala Meta 167 miljoner dollar
NSO Group fortsatte att spionera på WhatsApp-användare trots Metas stämning
Apple skickar nya varningar om spionprogram i Frankrike
