2026. 01. 01., 06:03

A 2025-ös év legnagyobb kudarcai: ellátási láncok, MI, felhő

A 2025-ös év legnagyobb kudarcai: ellátási láncok, MI, felhő
2025 igazán mozgalmas évet hozott az IT-biztonságban. Az ellátási láncok elleni támadások soha nem látott mértékben sújtották a világ legnagyobb cégeit és állami szervezeteit is. Egy idő után már nemcsak a nagyvállalatok vagy a kormányok, hanem a fejlesztők hétköznapi eszközei és felhőszolgáltatói is célkeresztbe kerültek. A támadók minden eddiginél szélesebb kört veszélyeztettek – sokak szerint olyan hackerek révén, akiknek elég volt egyetlen komponenst, egyetlen szoftvercsomagot kompromittálniuk ahhoz, hogy aztán akár milliókat fertőzzenek meg.

Az ellátási lánc-támadások új hulláma

Az ellátási láncokat ért támadások igazi aranykorukat élték 2025-ben. December végén például hackerek közel 56,8 millió forintot (kb. 155 000 USD) loptak el a Solana blokklánc okosszerződéseiben részt vevő több ezer érintett számlájáról. Hasonlóképpen túl sok eset történt ahhoz, hogy mindet fel lehessen sorolni, de a legfontosabbak között ott volt:

– Egy fejlesztői csomagot hasonló nevű, ám rosszindulatú kóddal helyettesítettek a Go programozási nyelv ökoszisztémájában. Csak emiatt a csomag miatt több tízezer fejlesztő munkája vált sebezhetővé.
– Az NPM csomagtárba 126 új kártékony csomag került, ezeket több mint 86 000 alkalommal töltötték le. Ezeket gyakran automatikusan telepítik a Remote Dynamic Dependencies funkción keresztül.
– Több tucat Magento-alapú webáruházat támadtak meg úgy, hogy három szoftverfejlesztő cég (Tigren, Magesolution, Meetanshi) kompromittált bővítményeit terjesztették. Egy 14,5 ezer milliárd forint forgalmú (40 milliárd USD) multinacionális vállalat is az áldozatok között volt.
– Több tucat nyílt forráskódú csomagot is feltörtek, ezek együtt havonta több millió letöltést érnek el. A támadások során a hackerek a kriptovaluta-fizetéseket eltérítették saját pénztárcáikra.
– A tj-actions komponense (több mint 23 000 szervezet használja) is érintetté vált, csakúgy, mint a Toptal tehetségügynökséghez kapcsolódó 10 npm-csomag.
– Egyes esetekben a fejlesztők személyes fiókjait törték fel, majd ezekkel helyeztek el hátsó kapukat népszerű projektekben.

Az MI és a chatbotok gyenge pontjai

Egy idő után az MI-alapú chatbotokat is egyre több támadás érte – ezek közül főleg azok tudtak más rendszerekre is átterjedni, amelyek a nagy nyelvi modellek hosszú távú memóriáját manipulálták. Bizonyos támadók olyan utasításokat adtak egy kriptovaluta-ügyleteket intéző LLM-nek, amelyek nyomán az hamis emlékeket tárolt el, majd ennek hatására minden újabb átutalást a hacker pénztárcájára irányított. Más esetekben nemcsak proof-of-concept demonstrációról volt szó: a szerződéses partnerek, akik már hozzáférnek ezekhez a rendszerekhez, akár tömeges csalást is véghezvihetnek rajtuk keresztül.

Hasonló elveken alapulva Johan Rehberger kutató sikeresen hamis memóriákat injektált be a Google Gemini chatbotnál is, ezzel megkerülve több biztonsági korlátot. Ennek révén a támadók például olyan adatokat értek el, amelyek normális esetben elzártak maradnak, az ilyen hamis emlékek szinte örökké ott maradhatnak a rendszerben.

A GitLab Duo chatbotját egy promptinjekcióval sikerült rávenni gondosan összeállított kártékony kódrészek hozzáadására, sőt, egy hasonló támadás érzékeny adatokat is kiszivárogtatott. A Gemini CLI kódolási eszköze egy idő után lehetőséget adott arra is, hogy fejlesztők számítógépén törlő- vagy más ártó parancsokat futtassanak le jogosulatlanul.

MI mint csalihal és bűntárs

Nemcsak chatbotokat, hanem magát az MI-t használták fel megtévesztő támadásokhoz. Két férfit azzal vádoltak, hogy MI-asszisztens segítségével törölték és lopták el állami adatokat: konkrétan MI-chaten kérdeztek rá, hogyan kell törölni a rendszer naplóit SQL-szerveren, vagy Windows Server 2012-n minden eseményt. Ennek ellenére végül a nyomozók vissza tudták fejteni a tevékenységüket.

Egy másik elkövető abban is bűnösnek vallotta magát, hogy a Walt Disney Company egyik dolgozóját csapta be egy MI-alapú képgenerátor hamis verziójával.

A Salesloft Drift AI chatje is érintetté vált: a felhasználóknak minden, a platformhoz kötött biztonsági tokenjüket kompromittáltnak kellett tekinteniük, miután támadók ezek segítségével Google Workspace-fiókokon keresztül Salesforce-azonosítókat és további bejelentkezési adatokat loptak el.

Több MI-alkalmazás is váratlan hibáktól zengett. Idén a Copilot kiadott több mint 20 000 privát GitHub-repozitórium tartalmát – köztük a Google, az Intel, a Huawei, a PayPal, az IBM, a Tencent és a Microsoft fejlesztőinek kódjait is. Bár időközben a keresőkből eltávolították ezeket, a Copilot még ezután is képes volt kiszivárogtatni az adatokat.


A felhő bukásai – amikor az egész világ leáll

Miközben az internet eredetileg decentralizált megbízhatóságra született, egy idő után néhány számítási óriás egyeduralma vált meghatározóvá. 2025 leglátványosabb leállása az Amazon AWS rendszerében történt: egyetlen hibás pont miatt 15 óra 32 percen át állt le világszerte rengeteg szolgáltatás. A hiba oka egy olyan versenyhelyzet volt a DNS-konfigurációs folyamatban, amely hálózati torlódást idézett elő, végül a teljes infrastruktúra összeomlott.

A Cloudflare is két nagy leállást szenvedett el egymás után, amelyek miatt világszerte lassult vagy elérhetetlenné vált az internet. Októberben pedig az Azure is hasonlóan komoly kieséssel küzdött.

Meta és Yandex: adatgyűjtés a háttérből

Nem minden támadás nyílt: a Meta és a Yandex is ki tudta játszani az Android titkosítási és anonimizációs védelmeit. A Meta Pixel és a Yandex Metrica segítségével évekre visszamenőleg tudták követni a felhasználók böngészési előzményeit. Ezek a módszerek áthidalták az Android sandboxingját és a böngészők speciális tárolási védelmeit is.

Dicséretre méltó pozitív példa: a Signal kvantumbiztosítása

Nem minden szoftverbiztonsági sztori végződött rosszul: a Signal privát csevegőalkalmazás jelentős fejlesztést vezetett be, amelynek hála a jövőben a kvantumszámítógépek támadásai ellen is védettek lesznek a felhasználók üzenetei. Ez a fejlesztés szakmai körökben is elismerést váltott ki: az app újjáépítése komoly mérnöki bravúrnak számít.

Az év során több más figyelemreméltó sebezhetőség is napvilágot látott: Apple-termékeknél például előfordult, hogy titkosítatlan adatforgalom került a TikTok tulajdonosához, a kínai ByteDance-hez, vagy hogy hardverszintű oldalsáv-csatorna-támadások során Gmail-, iCloud- és más szolgáltatások adatai szivárogtak ki – mindez csak tovább erősítette azt a tanulságot, hogy a digitális biztonság ma sosem volt még ennyire törékeny.

2025, adminboss, arstechnica.com alapján

Legfrissebb posztok

MA 08:25

Az MI-lökéshullám felpörgeti a Dell bevételeit, de messze nem aranybánya

Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...

MA 08:13

A 6 milliós Pokémon-kártyalopásért több mint tíz év börtönt kapott

💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...

MA 08:01

A Szamóca-hold ma este: az év legalacsonyabb, apró teliholdja

🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...

MA 07:48

Az Android 17 új zárképernyő-trükkje bárkit elbuktat betöréskor

Az Android 17 jelentős szigorításokat vezet be a zárolóképernyőn, amellyel gyakorlatilag ellehetetleníti a PIN vagy jelszó feltörését...

MA 07:36

A kínai Lineshine szuperszámítógép világrekorder: közel 2 kvadrillió művelet/mp

A kínai LineShine szuperszámítógép most először szerezte meg a világelsőséget a számítási sebesség terén...

MA 07:25

Az amerikai agrárminisztérium 180 millió legyet enged szabadon – íme, miért

A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...

MA 07:13

A Microsoft felpörgeti kvantumbiztos ütemtervét, nőnek a kockázatok

⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...

MA 06:49

Az MI‑böngészők új réme: a BioShocking-adatlopás

Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...

MA 06:37

A Samsung szó szerint átformálja a hajlítható telefonjait?

Ahogy beköszönt a nyár, egyre hangosabbak a pletykák a Samsung legújabb összehajtható telefonjairól...

MA 06:06

Történelmi események a mai napon (Július 1.)

Ma háborúk fordulópontjai, birodalmak átrendeződései és új korszakokat nyitó tudományos, társadalmi mérföldkövek találkoznak...

MA 06:01

Az okosabb botvédelem mostantól megóvja a Teams-megbeszéléseket

🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...

kedd 18:32

A Cleveland-i Fed elnöke szerint MI fűti az inflációt – jöhet újabb kamatemelés

A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...

kedd 18:01

A Samsung Messages júliusban leáll: ezt az 5 dolgot tedd meg azonnal!

⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...

kedd 17:02

Az új CRISPR az epigenomot célozza, átírja a gének kapcsolóit

🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..

kedd 16:31

A Tata Electronicsnál múlt héten kiszivárogtak érzékeny iPhone-beszállítói adatok

Az elmúlt héten hatalmas adatlopás történt az indiai Tata Electronicsnál, ahol közel 630 GB-nyi bizalmas információ került illetéktelen kezekbe...

kedd 16:01

A YouTube-on már nézhető a Peacock – épp a vb-re!

A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...

kedd 15:01

A Blackfield 2 millió dollárt követel a Nidec-től

💸 A világ egyik legnagyobb motor- és elektronikai alkatrészgyártójaként ismert, több mint 100 ezer embert foglalkoztató japán Nidec Corporation most hatalmas nyomás alatt áll: a Blackfield zsarolóvírus-banda 2 millió dollárt, vagyis körülbelül 726 millió forintot követel tőle...

kedd 14:32

A Sentryn át eltérítették a Claude Code-ot; Datadog, PagerDuty, Jira is veszélyben

A Claude Code MI-ügynök elleni támadás meglepő módon mindent kikerült, amit ma védelemnek nevezünk...

kedd 12:01

A kínai szuperszámítógép a világ leggyorsabbja, lehagyta Amerikát

A kínai LineShine nevű szuperszámítógép lett a világ leggyorsabbja, első ízben 2017 óta, hogy ismét kínai gép vezeti a mezőnyt...

kedd 11:31

A tenger alatti alagutaké a jövő Shetlanden: összekötnék a szigeteket

🚦 Érdemes megvizsgálni, hogy a Shetland-szigetek vezetése radikális változtatásra készül a közlekedésben: egy 1,5 milliárd angol font (650 milliárd forint) értékű terv szerint az elöregedő kompokat víz alatti alagutak válthatják fel a következő nyolc éven belül...

kedd 10:50

Az MI-láz: száguldó milliárdok, közeleg a következő válság?

A 19. század csatornaépítési és vasúti láza, a dotkom-lufi 2000-ből – mind gazdaságtörténeti példák arra, hogy valódi technológiai áttörések túlfűtött beruházási hullámokat indíthatnak el, amelyek végül recesszióval végződhetnek...

kedd 10:24

Az IBM rekordja: közel 100 milliárd tranzisztor egyetlen chipen

Az IBM újabb mérföldkőhöz érkezett a chiptechnológia világában: bemutatta a világ első, 1 nanométernél kisebb csíkszélességű technológiáját, mellyel egy körömnyi lapkán közel 100 milliárd tranzisztor kap helyet...

kedd 10:01

A milliónyi robbanó csillag hamarosan felfedheti a sötét energia titkát

💫 Az Univerzum tágulásának részletesebb vizsgálata és a titokzatos sötét energia megértése közelebb kerülhet, hála egy barcelonai kutatócsoport forradalmi megközelítésének...

kedd 09:49

Az emberiség túlélheti – a Föld megúszhatja a Nap halálát

Ez a jelenség jól illusztrálható azzal, hogy a Nap közel ötmilliárd év múlva lenyűgöző változáson megy keresztül: kifogy a hidrogén üzemanyagából, vörös óriássá duzzad, majd még nagyobb méretet öltve aszimptotikus óriáság állapotba lép, végül fehér törpévé zsugorodik...

kedd 09:37

A fiatalokat sújtó rákhullám mögött a gyorsabb biológiai öregedés áll?

Az elmúlt években egyre többen néznek szembe azzal, hogy már 50 éves koruk előtt súlyos betegségekkel, például mell-, vastagbél-, vese- vagy méhrákkal diagnosztizálják őket...

kedd 09:24

A Gemini már a személyes fotóidból is képeket varázsol

📷 A Google egyre többet tud rólunk, mostantól pedig a Gemini alkalmazáson keresztül már a személyes fotóink felhasználásával is egyedi képeket készít...

kedd 09:13

A Nissan elismerte: dolgozói adatai Oracle zero-day támadásban szivárogtak

Külön említést érdemel, hogy a Nissan jelenlegi és volt alkalmazottainak személyes adatai kerültek veszélybe egy kifinomult kibertámadássorozat során...

APP
kedd 09:11

APPok, Amik Ingyenesek MA, 6/30

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Lively Letters – Phonics (iPhone/iPad)Ez az alkalmazás villámgyorsan az App Store fizetős oktatási programjai élére tört...

kedd 09:01

A Disney és az Adobe Foundry AI-val álmodja újra a vidámparkokat

A Disney és az Adobe összefog, hogy teljesen új korszakot nyisson a szórakoztatóiparban: közösen tervezik a jövő tematikus parkjait, szállodáit és hajóútjait egy testreszabott MI-megoldás segítségével...