Ειδήσεις: Ειδήσεις

Kyber: Το πρώτο ransomware που επιβεβαιώθηκε ότι χρησιμοποιεί κρυπτογραφία ανθεκτική σε κβαντικούς υπολογιστές

Sat, 25 Apr 2026 17:01:56 +0000

Το ransomware Kyber είναι η πρώτη επιβεβαιωμένη περίπτωση κακόβουλου λογισμικού που αξιοποιεί post-quantum κρυπτογραφία (ML-KEM1024), σύμφωνα με την Rapid7 και την Emsisoft.
Η Windows έκδοση χρησιμοποιεί Kyber1024 + X25519 για key exchange και AES-CTR για κρυπτογράφηση αρχείων — ενώ η ESXi έκδοση αποδείχθηκε ότι απλώς ισχυρίζεται ότι χρησιμοποιεί ML-KEM, ενώ στην πραγματικότητα χρησιμοποιεί RSA-4096.
Στόχος δεν είναι μόνο η τεχνική ισχύς: οι επιτιθέμενοι επιδιώκουν ψυχολογική πίεση στα θύματα, κάνοντάς τους να πιστεύουν ότι η αποκρυπτογράφηση είναι αδύνατη.

Ένα νέο ransomware που απαντά στο όνομα Kyber έχει τραβήξει την προσοχή της κοινότητας κυβερνοασφάλειας για έναν πολύ συγκεκριμένο λόγο: είναι η πρώτη επιβεβαιωμένη περίπτωση ransomware που χρησιμοποιεί post-quantum κρυπτογραφία στην πράξη. Η εταιρεία Rapid7 ανέλυσε τα δείγματά του τον Μάρτιο του 2026, κατά τη διάρκεια αντιμετώπισης περιστατικού ασφαλείας, και τα ευρήματά της ανέτρεψαν αρκετές παραδοχές για το πού βρίσκεται σήμερα η απειλή του ransomware.

Τι είναι το Kyber ransomware και πώς λειτουργεί;

Το Kyber είναι μια cross-platform οικογένεια ransomware που στοχεύει τόσο Windows συστήματα όσο και VMware ESXi περιβάλλοντα. Η ομάδα Rapid7 ανέκτησε και ανέλυσε δύο διαφορετικές παραλλαγές του Kyber τον Μάρτιο του 2026 κατά τη διάρκεια αντιμετώπισης περιστατικού, με αμφότερες τις παραλλαγές να έχουν αναπτυχθεί στο ίδιο δίκτυο — η μία στοχεύοντας VMware ESXi και η άλλη Windows file servers.

Το όνομα «Kyber» δεν είναι τυχαίο: παραπέμπει στον αλγόριθμο CRYSTALS-Kyber, γνωστό και ως ML-KEM (Module Lattice-based Key Encapsulation Mechanism), τον οποίο το NIST τυποποίησε το 2024 ειδικά επειδή αντιστέκεται σε κβαντικές επιθέσεις. Η Windows παραλλαγή του ransomware, γραμμένη σε Rust, υλοποιεί πράγματι Kyber1024 και X25519 για την προστασία κλειδιών, ενώ το AES-CTR αναλαμβάνει την μαζική κρυπτογράφηση των αρχείων. Δηλαδή, το Kyber1024 δεν κρυπτογραφεί απευθείας τα αρχεία — προστατεύει το συμμετρικό κλειδί.

Ο Brett Callow, αναλυτής απειλών στην Emsisoft, χαρακτήρισε αυτό την πρώτη επιβεβαιωμένη περίπτωση ransomware που χρησιμοποιεί PQC (Post-Quantum Cryptography). Το πρώτο επιβεβαιωμένο θύμα; Ένας πολυδισεκατομμυριούχος αμερικανικός αμυντικός contractor.

Η ESXi παραλλαγή: post-quantum branding χωρίς την ουσία

Εδώ η εικόνα γίνεται πιο περίπλοκη. Ενώ η Windows έκδοση εφαρμόζει πράγματι ML-KEM1024, η παραλλαγή που στοχεύει VMware ESXi συστήματα ισχυρίζεται ότι χρησιμοποιεί ML-KEM, αλλά η Rapid7 διαπίστωσε κατά την ανάλυση ότι στην πραγματικότητα χρησιμοποιεί RSA με κλειδιά 4096-bit — μια κλασική προσέγγιση που παραμένει υπολογιστικά αδύνατο να σπάσει και για το ορατό μέλλον. Για την κρυπτογράφηση αρχείων, η ESXi έκδοση χρησιμοποιεί ChaCha8, ενώ για το key wrapping χρησιμοποιεί RSA-4096.

Η Anna Širokova, senior security researcher της Rapid7, σημείωσε ότι η χρήση ή ο ισχυρισμός χρήσης ML-KEM είναι πιθανόν ένα branding gimmick και ότι η υλοποίησή του απαίτησε σχετικά μικρό κόπο από τους developers του Kyber, αφού βιβλιοθήκες Kyber1024 σε Rust είναι διαθέσιμες και καλά τεκμηριωμένες.

Ψυχολογική πίεση: το πραγματικό «όπλο»

Γιατί να επενδύσει μια ομάδα ransomware σε post-quantum κρυπτογραφία, όταν κβαντικοί υπολογιστές ικανοί να σπάσουν RSA ή ECC απέχουν τουλάχιστον χρόνια; Η απάντηση δεν είναι καθαρά τεχνική. Οι επιτιθέμενοι δανείζονται ορολογία από την αιχμή της κρυπτογραφικής έρευνας για να επηρεάσουν τη λήψη αποφάσεων υπό πίεση. Για οργανισμούς που αποφασίζουν αν θα πληρώσουν λύτρα, η διάκριση μεταξύ γνήσιων quantum-resistant συστημάτων και τυπικής κρυπτογράφησης που αποκαλείται «quantum-resistant» ίσως δεν είναι αμέσως σαφής — και αυτή η ασάφεια φαίνεται να είναι ο στόχος.

Επιπλέον, το Kyber ransomware κλείνει και την «πόρτα» της στρατηγικής «store now, decrypt later»: κάποια θύματα κρατάνε κρυπτογραφημένα δεδομένα ελπίζοντας ότι μελλοντικές εξελίξεις θα κάνουν την αποκρυπτογράφηση δυνατή. Με το Kyber1024 στα Windows, αυτή η ελπίδα εξαλείφεται.

Τι πρέπει να κάνουν οι οργανισμοί;

Η Rapid7 συστήνει οι οργανισμοί να αντιμετωπίζουν το Kyber ως εξειδικευμένο εργαλείο ικανό να προκαλέσει πλήρες επιχειρησιακό blackout, όχι απλώς μια ακόμα παραλλαγή ransomware. Η ταυτόχρονη στόχευση Windows file servers και VMware ESXi υποδομών από τον ίδιο affiliate αυξάνει τον κίνδυνο ολικής διακοπής επιχειρησιακής λειτουργίας. Οι αμυνόμενοι θα πρέπει να επικεντρωθούν λιγότερο στη novelty του post-quantum branding και περισσότερο στην πρακτική ανθεκτικότητα: immutable backups, segmented υποδομή, privileged access controls και monitoring για VMware defacement ή μαζική διαγραφή shadow copies.

Πηγές

CISA διατάζει τις ομοσπονδιακές υπηρεσίες να κάνουν patch την κρίσιμη ευπάθεια BlueHammer του Microsoft Defender

Thu, 23 Apr 2026 12:01:46 +0000

Η CISA πρόσθεσε το CVE-2026-33825 (BlueHammer) στον κατάλογο KEV και έδωσε προθεσμία έως τις 7 Μαΐου στις ομοσπονδιακές υπηρεσίες για να εφαρμόσουν το patch.
Το BlueHammer είναι ευπάθεια τύπου Local Privilege Escalation στον Microsoft Defender, που επιτρέπει σε χαμηλόβαθμο χρήστη να αποκτήσει πλήρη SYSTEM δικαιώματα μέσω race condition και path confusion.
Η Microsoft κυκλοφόρησε fix στο Patch Tuesday της 14ης Απριλίου 2026 — μία εβδομάδα αφότου δημοσιεύτηκε δημοσίως ο κώδικας εκμετάλλευσης (PoC) από έναν δυσαρεστημένο ερευνητή ασφαλείας.

Η αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) εξέδωσε επείγουσα οδηγία προς όλες τις Federal Civilian Executive Branch (FCEB) υπηρεσίες, διατάσσοντάς τες να εφαρμόσουν άμεσα το διαθέσιμο patch για την ευπάθεια BlueHammer του Microsoft Defender. Η υπηρεσία έχει δώσει προθεσμία δύο εβδομάδων — έως τις 7 Μαΐου 2026 — για την ασφάλιση των Windows συστημάτων έναντι των συνεχιζόμενων επιθέσεων που εκμεταλλεύονται το CVE-2026-33825.

Τι είναι το BlueHammer;

Το BlueHammer είναι μια ευπάθεια τύπου Local Privilege Escalation (LPE) που εντοπίστηκε στον μηχανισμό ενημέρωσης και αποκατάστασης αρχείων του Microsoft Defender. Τεχνικά, αξιοποιεί έναν συνδυασμό time-of-check to time-of-use (TOCTOU) race condition και path confusion μέσα στη λογική remediation του Defender. Συγκεκριμένα, το exploit χρησιμοποιεί callbacks του Cloud Files και oplocks για να «παγώσει» τον Defender τη κρίσιμη στιγμή, αφήνοντας εκτεθειμένα τα αρχεία SAM, SYSTEM και SECURITY registry hives — κανονικά κλειδωμένα κατά τη λειτουργία του συστήματος. Επιτυχής εκμετάλλευση επιτρέπει ανάγνωση της βάσης δεδομένων SAM, αποκρυπτογράφηση NTLM password hashes, ανάληψη ελέγχου λογαριασμού διαχειριστή και δημιουργία SYSTEM-level shell.

Η ευπάθεια έχει αξιολογηθεί με βαθμολογία CVSS 7.8 (High) και επηρεάζει πλήρως ενημερωμένα συστήματα Windows 10 και Windows 11 πριν την ενημέρωση του Απριλίου 2026.

Πώς αποκαλύφθηκε η ευπάθεια;

Στις 3 Απριλίου 2026, ένας δυσαρεστημένος ερευνητής ασφαλείας με το ψευδώνυμο «Chaotic Eclipse» δημοσίευσε στο GitHub πλήρως λειτουργικό κώδικα εκμετάλλευσης (proof-of-concept) — χωρίς συντονισμένη αποκάλυψη, χωρίς CVE και χωρίς διαθέσιμο patch. Η κίνηση αυτή ήταν διαμαρτυρία για τον τρόπο που το Microsoft Security Response Center (MSRC) διαχειρίστηκε τη διαδικασία αποκάλυψης. Ο ερευνητής αποκάλυψε επίσης δύο ακόμα ευπάθειες: την RedSun (δεύτερη LPE στον Defender) και την UnDefend (που επιτρέπει σε standard χρήστη να μπλοκάρει τις ενημερώσεις ορισμών του Defender).

Η Microsoft κυκλοφόρησε το επίσημο fix στις 14 Απριλίου 2026, ως μέρος του μηνιαίου Patch Tuesday — μία εβδομάδα μετά τη δημοσιοποίηση του exploit. Σύμφωνα με δεδομένα από την Huntress Labs, το BlueHammer άρχισε να χρησιμοποιείται ενεργά σε επιθέσεις ήδη από τις 10 Απριλίου 2026, δηλαδή πριν καν κυκλοφορήσει το patch.

Η κίνηση της CISA και τι σημαίνει για οργανισμούς

Η CISA πρόσθεσε το CVE-2026-33825 στον επίσημο κατάλογο Known Exploited Vulnerabilities (KEV), επικαλούμενη ότι «αυτού του είδους οι ευπάθειες αποτελούν συχνά χρησιμοποιούμενα vectors επίθεσης και ενέχουν σημαντικούς κινδύνους για την ομοσπονδιακή υποδομή». Παράλληλα, μία εβδομάδα νωρίτερα, η CISA είχε επίσης προειδοποιήσει για την ευπάθεια CVE-2025-60710 στο Windows Task Host, η οποία εκμεταλλεύεται ενεργά σε συστήματα Windows 11 και Windows Server 2025.

Παρόλο που η εντολή αφορά επίσημα τις ομοσπονδιακές υπηρεσίες, η CISA συστήνει ανεπιφύλακτα σε όλους τους οργανισμούς και ιδιώτες να εφαρμόσουν άμεσα τις ενημερώσεις ασφαλείας του Απριλίου 2026. Εάν δεν είναι δυνατή η εφαρμογή patch, η οδηγία ζητά εφαρμογή των οδηγιών μετριασμού του κατασκευαστή ή διακοπή χρήσης του επηρεαζόμενου προϊόντος.

Τι πρέπει να κάνετε τώρα

Αν χρησιμοποιείτε Windows 10 ή Windows 11, βεβαιωθείτε ότι έχετε εγκαταστήσει τις ενημερώσεις ασφαλείας του Απριλίου 2026 (Patch Tuesday, 14 Απριλίου) οι οποίες περιλαμβάνουν το fix για το CVE-2026-33825. Έως ότου εφαρμοστεί το patch, οι ειδικοί συστήνουν εστίαση σε behavioral detection αντί για στατικό scanning, καθώς το BlueHammer λειτουργεί μέσω της αλληλεπίδρασης νόμιμων Windows components — κάτι που το καθιστά εξαιρετικά δύσκολο να ανιχνευτεί με παραδοσιακά εργαλεία.

Πηγές

Κρίσιμη ευπάθεια στο ASP.NET Core: Η Microsoft κυκλοφόρησε έκτακτο patch για macOS και Linux

Thu, 23 Apr 2026 08:01:37 +0000

Η Microsoft εξέδωσε έκτακτο (out-of-band) update για κρίσιμη ευπάθεια CVE-2026-40372 με βαθμολογία CVSS 9.1, που επηρεάζει το ASP.NET Core σε macOS και Linux.
Το σφάλμα βρίσκεται στη βιβλιοθήκη Microsoft.AspNetCore.DataProtection (εκδόσεις 10.0.0–10.0.6) και επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να πλαστογραφήσουν authentication cookies και να αποκτήσουν SYSTEM-level πρόσβαση.
Η διόρθωση περιλαμβάνεται στην έκδοση ASP.NET Core 10.0.7 – χρήστες Docker καλούνται να κάνουν rebuild τις εφαρμογές τους, ενώ απαιτείται rotation του DataProtection key ring αν υπήρξε εκμετάλλευση.

Η Microsoft κυκλοφόρησε ένα έκτακτο security update στις 21 Απριλίου 2026, αντιδρώντας σε μια σοβαρή ευπάθεια που εντοπίστηκε στο ASP.NET Core και αφορά συστήματα που τρέχουν Linux, macOS ή οποιοδήποτε μη-Windows λειτουργικό σύστημα. Η ευπάθεια, γνωστή ως CVE-2026-40372, έχει βαθμολογία CVSS 9.1 στα 10 και χαρακτηρίζεται ως «Important» από την ίδια την εταιρεία.

Τι ακριβώς συμβαίνει;

Το πρόβλημα εντοπίστηκε αρχικά όταν χρήστες ανέφεραν αποτυχίες αποκρυπτογράφησης στις εφαρμογές τους μετά την εγκατάσταση του .NET 10.0.6 που κυκλοφόρησε στο Patch Tuesday. Κατά τη διερεύνηση αυτών των αναφορών, η Microsoft διαπίστωσε ότι η οπισθοδρόμηση (regression) εξέθετε και μια κρίσιμη ευπάθεια ασφαλείας.

Συγκεκριμένα, στις εκδόσεις 10.0.0 έως 10.0.6 του NuGet package Microsoft.AspNetCore.DataProtection, ο managed authenticated encryptor υπολόγιζε το HMAC validation tag πάνω στα λάθος bytes του payload και στη συνέχεια απέρριπτε το υπολογισμένο hash. Αποτέλεσμα: ένας επιτιθέμενος μπορούσε να πλαστογραφήσει payloads που περνούσαν τους ελέγχους αυθεντικότητας, αλλά και να αποκρυπτογραφήσει προστατευμένα δεδομένα όπως authentication cookies και antiforgery tokens.

Ποιοι κινδυνεύουν;

Για να είναι επιρρεπής μια εφαρμογή στην ευπάθεια, πρέπει να πληρούνται τρεις προϋποθέσεις: να χρησιμοποιεί το Microsoft.AspNetCore.DataProtection 10.0.6 από το NuGet (άμεσα ή έμμεσα μέσω εξαρτήσεων), το NuGet αντίγραφο της βιβλιοθήκης να φορτώνεται κατά το runtime, και η εφαρμογή να τρέχει σε Linux, macOS ή άλλο μη-Windows λειτουργικό σύστημα.

Όπως τονίζει η Microsoft στο advisory της: «Improper verification of cryptographic signature in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network», με δυνατότητα απόκτησης SYSTEM privileges.

Ένα σενάριο που θυμίζει το παρελθόν

Η ευπάθεια συγκρίνεται από την ίδια τη Microsoft με το διαβόητο MS10-070 του 2010, ένα έκτακτο patch για το CVE-2010-3332, μια zero-day ευπάθεια στον τρόπο που το ASP.NET χειριζόταν κρυπτογραφικά σφάλματα. Επιπλέον, η ευπάθεια αυτή έρχεται μόλις έξι μήνες μετά από το CVE-2025-55315, μια άλλη κρίσιμη ευπάθεια CVSS 9.9 στον Kestrel web server.

Πώς να προστατευτείτε;

Η διόρθωση περιλαμβάνεται στην έκδοση ASP.NET Core 10.0.7. Για τα περισσότερα server builds, η ενημέρωση θα πρέπει να έχει ήδη γίνει αυτόματα. Ωστόσο, για developers που χρησιμοποιούν Docker containers, τα πράγματα είναι πιο σύνθετα, καθώς η DataProtection βιβλιοθήκη είναι ενσωματωμένη στις built εφαρμογές – απαιτείται rebuild.

Επιπλέον, η Microsoft προειδοποιεί ότι εάν ένας επιτιθέμενος χρησιμοποίησε πλαστά payloads κατά τη διάρκεια του ευάλωτου παραθύρου, τα tokens που εκδόθηκαν νόμιμα (π.χ. session refresh, API keys, password reset links) παραμένουν έγκυρα ακόμα και μετά την ενημέρωση στο 10.0.7, εκτός και αν γίνει rotation του DataProtection key ring.

Αν η εφαρμογή σας χρησιμοποιεί ASP.NET Core Data Protection, η σύσταση είναι σαφής: ενημερώστε στο Microsoft.AspNetCore.DataProtection 10.0.7 το συντομότερο δυνατό.

Πηγές

Παραβίαση της Vercel: Hackers απέκτησαν πρόσβαση μέσω AI εργαλείου τρίτου κατασκευαστή

Mon, 20 Apr 2026 08:01:44 +0000

Η Vercel επιβεβαίωσε παραβίαση εσωτερικών συστημάτων μέσω παραβιασμένου AI εργαλείου τρίτου κατασκευαστή, του Context.ai.
Ένας απειλητής παράγοντας που ισχυρίζεται ότι ανήκει στο ShinyHunters ζητά $2 εκατομμύρια για τα κλεμμένα δεδομένα στο dark web.
Η εταιρεία καλεί όλους τους χρήστες να ελέγξουν τα environment variables και να αλλάξουν άμεσα τα credentials τους.

Η Vercel, μία από τις πιο δημοφιλείς πλατφόρμες cloud ανάπτυξης και deployment για developers παγκοσμίως, επιβεβαίωσε στις 19 Απριλίου 2026 ότι έγινε θύμα κυβερνοεπίθεσης. Η εταιρεία δημοσίευσε επίσημο security bulletin, ανακοινώνοντας μη εξουσιοδοτημένη πρόσβαση σε ορισμένα εσωτερικά της συστήματα.

Πώς έγινε η παραβίαση

Σύμφωνα με την επίσημη ανακοίνωση της Vercel, το σημείο εισόδου ήταν ένα τρίτο AI εργαλείο που χρησιμοποιούσε υπάλληλος της εταιρείας. Συγκεκριμένα, η παραβίαση ξεκίνησε από το Context.ai, ένα εξωτερικό AI service, του οποίου το Google Workspace OAuth app αποτέλεσε στόχο ευρύτερης επίθεσης που ενδέχεται να έχει επηρεάσει εκατοντάδες χρήστες σε πολλούς οργανισμούς. Ο επιτιθέμενος χρησιμοποίησε αυτήν την πρόσβαση για να αναλάβει τον έλεγχο του Google Workspace account ενός υπαλλήλου της Vercel, αποκτώντας στη συνέχεια πρόσβαση σε ορισμένα environments και environment variables που δεν ήταν επισημασμένα ως «sensitive».

Ο CEO της Vercel, Guillermo Rauch, μοιράστηκε πρόσθετες λεπτομέρειες στο X, επισημαίνοντας ότι ο επιτιθέμενος κατάφερε να κλιμακώσει την πρόσβασή του ερευνώντας αυτά τα μη κρυπτογραφημένα environment variables. Τα variables που είναι επισημασμένα ως «sensitive» αποθηκεύονται με τρόπο που αποτρέπει την ανάγνωσή τους, και δεν υπάρχουν αποδείξεις ότι αυτά αποκτήθηκαν.

Οι απαιτήσεις των hackers

Η αποκάλυψη της παραβίασης ήρθε αφού ένας απειλητής παράγοντας, που ισχυριζόταν ότι ανήκει στην ομάδα ShinyHunters, ανάρτησε σε hacking forum ότι παραβίασε τη Vercel και πωλεί πρόσβαση στα δεδομένα της εταιρείας. Η λίστα διαφημίζει «access keys, source code και database» δεδομένα, καθώς και API keys και tokens που φέρονται να συνδέονται με εσωτερικά deployments. Η τιμή πώλησης ορίστηκε στα $2 εκατομμύρια. Αξίζει να σημειωθεί ότι η ίδια η ομάδα ShinyHunters αρνήθηκε οποιαδήποτε ανάμειξη στο συγκεκριμένο περιστατικό, αφήνοντας ανοιχτό το ενδεχόμενο ενός copycat απειλητικού παράγοντα.

Ένα δείγμα αρχείο δεδομένων που φέρεται να διαμοιράστηκε από τους hackers περιείχε περίπου 580 εγγραφές με πληροφορίες υπαλλήλων της Vercel, συμπεριλαμβανομένων ονομάτων, διευθύνσεων email, καταστάσεων λογαριασμών και χρονικών σημάτων δραστηριότητας.

Αντίκτυπος και αντίδραση της Vercel

Η Vercel δήλωσε ότι ο αριθμός των επηρεαζόμενων πελατών είναι «αρκετά περιορισμένος» και έχει ήδη ειδοποιήσει άμεσα το σχετικό υποσύνολο για να προχωρήσει σε άμεση αλλαγή credentials. Η εταιρεία συνεργάζεται με την Mandiant, άλλες εταιρείες κυβερνοασφάλειας και τις αρχές επιβολής νόμου. Παράλληλα, έχει αναβαθμίσει το dashboard της με νέα επισκόπηση environment variables και βελτιωμένη διεπαφή διαχείρισής τους.

Το περιστατικό αυτό έρχεται σε εξαιρετικά κρίσιμη στιγμή για τη Vercel, καθώς η εταιρεία βρισκόταν σε τροχιά προετοιμασίας για IPO έπειτα από αναφορές για αύξηση εσόδων 240%. Ο CEO διαβεβαίωσε επίσης ότι η supply chain της εταιρείας εξετάστηκε διεξοδικά και ότι το Next.js, το Turbopack και τα open source projects της παραμένουν ασφαλή.

Τι πρέπει να κάνουν οι χρήστες

Αν χρησιμοποιείς Vercel, οι ειδικοί συστήνουν άμεσα:

Έλεγχο των environment variables για ευαίσθητες πληροφορίες και ενεργοποίηση της λειτουργίας «sensitive variable» ώστε να κρυπτογραφούνται.
Άμεση αλλαγή (rotation) API keys, database credentials και authentication tokens.
Έλεγχο του activity log του λογαριασμού σου για ύποπτη δραστηριότητα.
Επανέκδοση των GitHub tokens που συνδέονται με integrations της Vercel και έλεγχο πρόσφατων build logs για cached credentials.

Πηγές

Vercel: Παραβίαση συστημάτων επιβεβαιώθηκε – Hackers πουλούν κλεμμένα δεδομένα για $2 εκατ.

Sun, 19 Apr 2026 22:01:54 +0000

Η Vercel επιβεβαίωσε παραβίαση εσωτερικών της συστημάτων, που επηρεάζει ένα περιορισμένο σύνολο πελατών, με την έρευνα να βρίσκεται σε εξέλιξη.
Threat actor που ισχυρίζεται ότι ανήκει στην ομάδα ShinyHunters πωλεί κλεμμένα δεδομένα σε hacking forum – ζητά $2 εκατομμύρια με αρχική πληρωμή $500.000 σε Bitcoin.
Η παραβίαση ξεκίνησε από ένα third-party AI εργαλείο με παραβιασμένο Google Workspace OAuth app – οι χρήστες καλούνται να αλλάξουν άμεσα τα environment variables τους.

Η Vercel, η δημοφιλής πλατφόρμα cloud ανάπτυξης και deployment εφαρμογών, επιβεβαίωσε σήμερα, 19 Απριλίου 2026, ότι δέχθηκε παραβίαση στα εσωτερικά της συστήματα. Η ανακοίνωση έγινε μέσω επίσημου security bulletin, ενώ παράλληλα ένας απειλητικός παράγοντας διατείνεται ότι πωλεί κλεμμένα δεδομένα της εταιρείας σε hacking forum.

Τι συνέβη – Η πηγή της παραβίασης

Σύμφωνα με το επίσημο bulletin της Vercel, η παραβίαση δεν προήλθε από άμεση επίθεση στις υποδομές της εταιρείας. Όπως αποκάλυψε η έρευνα, η είσοδος των επιτιθέμενων έγινε μέσω ενός μικρού third-party AI εργαλείου, το οποίο χρησιμοποιούσε Google Workspace OAuth app. Το συγκεκριμένο app παραβιάστηκε στο πλαίσιο μιας ευρύτερης επίθεσης που ενδέχεται να έχει επηρεάσει εκατοντάδες οργανισμούς που χρησιμοποιούσαν το ίδιο εργαλείο. Η Vercel δεν αποκάλυψε το όνομα του εν λόγω εργαλείου.

Η εταιρεία ενεργοποίησε εξωτερικούς εμπειρογνώμονες incident response και ενημέρωσε τις αρχές επιβολής του νόμου, ενώ οι υπηρεσίες της παραμένουν σε πλήρη λειτουργία.

Τι ισχυρίζονται οι hackers

Παράλληλα με την επίσημη ανακοίνωση, ένας threat actor που χρησιμοποιεί το μονίκερ «ShinyHunters» ανάρτησε σε γνωστό hacking forum ότι κατέχει κλεμμένα δεδομένα της Vercel και τα προσφέρει προς πώληση. Το listing διαφημίζει access keys, source code, database records, internal deployment credentials, καθώς και NPM και GitHub tokens. Ο ίδιος ισχυρίζεται ότι βρίσκεται σε επικοινωνία με την Vercel και έχει θέσει λύτρα ύψους $2 εκατομμυρίων, με αρχική πληρωμή $500.000 σε Bitcoin.

Επίσης, σύμφωνα με πληροφορίες, ο απειλητικός παράγοντας κατέχει αρχείο με 580 εγγραφές εργαζομένων, που περιλαμβάνουν ονόματα, email διευθύνσεις και timestamps δραστηριότητας λογαριασμών. Αξίζει να σημειωθεί ότι η αυθεντική ομάδα ShinyHunters αρνήθηκε κάθε εμπλοκή στο συγκεκριμένο περιστατικό, σύμφωνα με πηγές που επικοινώνησαν μαζί τους.

Κίνδυνος Supply Chain – Εκατομμύρια developers σε επιφυλακή

Ο κίνδυνος αυτής της παραβίασης δεν περιορίζεται μόνο στην ίδια την Vercel. Η εταιρεία είναι γνωστή για την ανάπτυξη του Next.js, του δημοφιλέστατου React framework με περίπου 6 εκατομμύρια εβδομαδιαίες λήψεις. Ο απειλητικός παράγοντας υπαινίχθηκε ότι η πρόσβαση στα εσωτερικά της Vercel θα μπορούσε να επιτρέψει μια μαζική supply-chain επίθεση, επηρεάζοντας εφαρμογές που έχουν κατασκευαστεί στην πλατφόρμα. Ανησυχία έχουν εκφράσει ιδιαίτερα οι crypto και Web3 projects που φιλοξενούνται στη Vercel, καθώς αποθηκεύουν στις environment variables τους ευαίσθητα credentials.

Τι πρέπει να κάνουν οι χρήστες ΤΩΡΑ

Η Vercel έχει εκδώσει συγκεκριμένες οδηγίες για όλους τους χρήστες της πλατφόρμας:

Έλεγχος και rotation environment variables: Οποιοδήποτε environment variable περιέχει secrets (API keys, tokens, database credentials, signing keys) και δεν ήταν σημειωμένο ως «sensitive», πρέπει να θεωρείται δυνητικά εκτεθειμένο και να αλλαχθεί άμεσα.
Ενεργοποίηση του Sensitive Environment Variables feature: Οι τιμές που είναι σημειωμένες ως «sensitive» αποθηκεύονται με τρόπο που δεν επιτρέπει την ανάγνωσή τους, και προς το παρόν δεν υπάρχουν ενδείξεις ότι αυτές αποκτήθηκαν.
Ανανέωση GitHub tokens που συνδέονται με Vercel integrations και έλεγχος recent build logs για cached credentials.
Audit λογαριασμού για ύποπτη δραστηριότητα στα logs deployments και project configurations.

Κακή στιγμή για την Vercel

Η παραβίαση έρχεται σε εξαιρετικά κρίσιμη στιγμή για την εταιρεία. Σύμφωνα με αναφορές, η Vercel σχεδίαζε IPO μετά από ραγδαία ανάπτυξη εσόδων, ενώ ανταγωνιστές όπως η Netlify και η Render ήδη επικοινωνούν με πελάτες της Vercel προβάλλοντας τα δικά τους security profiles. Η έρευνα συνεχίζεται και η εταιρεία έχει υποσχεθεί περαιτέρω ενημερώσεις.

Πηγές

Κρίσιμη ευπάθεια στο protobuf.js επιτρέπει την εκτέλεση κακόβουλου κώδικα JavaScript

Sun, 19 Apr 2026 18:08:00 +0000

Κρίσιμη RCE ευπάθεια (CVSS 9.4) εντοπίστηκε στο protobuf.js, με ~52 εκατομμύρια εβδομαδιαίες λήψεις στο npm — ένα από τα πιο διαδεδομένα πακέτα της σύγχρονης cloud υποδομής.
Η εκμετάλλευση είναι τετριμμένη: αρκεί ένα κακόβουλο protobuf schema αρχείο για να εκτελεστεί αυθαίρετος κώδικας χωρίς authentication ή user interaction.
Διατίθενται ήδη patches (v8.0.1 και v7.5.5) — άμεση αναβάθμιση επιβάλλεται για όλα τα projects που εξαρτώνται από το πακέτο.

Proof-of-concept exploit code έχει δημοσιευθεί για μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) στο protobuf.js, την ευρέως διαδεδομένη JavaScript υλοποίηση των Google Protocol Buffers. Το πακέτο κατεβαίνεται περίπου 52 εκατομμύρια φορές εβδομαδιαίως και συχνά εγκαθίσταται ως κρυφή εξάρτηση άλλων δημοφιλών βιβλιοθηκών, πράγμα που σημαίνει ότι πολλές ομάδες ανάπτυξης το αποστέλλουν στην παραγωγή χωρίς να το γνωρίζουν.

Τι ακριβώς συμβαίνει

Σύμφωνα με report της εταιρείας εφαρμοσμένης ασφάλειας Endor Labs, η RCE ευπάθεια στο protobuf.js προκαλείται από μη ασφαλή δυναμική δημιουργία κώδικα. Συγκεκριμένα, η βιβλιοθήκη κατασκευάζει JavaScript functions από protobuf schemas μέσω string concatenation και τις εκτελεί μέσω του Function() constructor, αλλά αδυνατεί να επικυρώσει τα schema-derived identifiers. Αυτό επιτρέπει σε επιτιθέμενους να εισάγουν αυθαίρετο κώδικα στις παραγόμενες functions, εκμεταλλευόμενοι ονόματα μηνυμάτων και άλλα schema-derived πεδία.

Σε εκδόσεις πριν από τις 8.0.1 και 7.5.5, οι επιτιθέμενοι μπορούν να εισάγουν αυθαίρετο κώδικα στα πεδία type των protobuf definitions, ο οποίος εκτελείται κατά τη διαδικασία decoding αντικειμένων. Η ευπάθεια έχει λάβει CVSS score 9.4 (Critical) με CWE-94: Improper Control of Generation of Code.

Γιατί είναι τόσο επικίνδυνη

Για την εκμετάλλευση αρκεί ο επιτιθέμενος να τροφοδοτήσει ένα κακόβουλο αρχείο ρυθμίσεων (protobuf schema) στην εφαρμογή-στόχο — μια προϋπόθεση που ακούγεται στενή αλλά είναι συνηθισμένη στην πράξη, καθώς εφαρμογές φορτώνουν τακτικά τέτοια αρχεία από shared registries, partner integrations ή third-party servers. Μόλις ένα «δηλητηριασμένο» αρχείο βρεθεί στη μνήμη, η εκμετάλλευση γίνεται τετριμμένη: το πρώτο μήνυμα που επεξεργάζεται η εφαρμογή ενεργοποιεί το payload, χωρίς authentication ή user interaction.

Το πακέτο αποτελεί εξάρτηση του @grpc/proto-loader, των Firebase SDKs, των Google Cloud client libraries, καθώς και πλήθους εργαλείων observability και data-plane tooling. Η Endor Labs προειδοποιεί ότι «η εκμετάλλευση είναι απλή», όπως αποδεικνύει και ο minimal PoC που συνοδεύει το advisory — ωστόσο δεν έχει παρατηρηθεί ενεργή εκμετάλλευση στη φύση μέχρι στιγμής.

Timeline ανακάλυψης και patches

Η ευπάθεια αναφέρθηκε από τον ερευνητή της Endor Labs Cristian Staicu στις 2 Μαρτίου, και οι maintainers του protobuf.js κυκλοφόρησαν patch στο GitHub στις 11 Μαρτίου. Τα fixes στα npm packages έγιναν διαθέσιμα στις 4 Απριλίου για τον κλάδο 8.x και στις 15 Απριλίου για τον κλάδο 7.x. Το ζήτημα δεν έχει λάβει ακόμα επίσημο CVE αριθμό και παρακολουθείται ως GHSA-xq3m-2v4x-88gg, με βάση τον identifier που του έχει αποδώσει το GitHub.

Τι πρέπει να κάνετε

Η ευπάθεια επηρεάζει εκδόσεις protobuf.js 8.0.0/7.5.4 και παλαιότερες· η Endor Labs συνιστά αναβάθμιση στις 8.0.1 και 7.5.5 που αντιμετωπίζουν το πρόβλημα. Το patch εκκαθαρίζει τα type names αφαιρώντας μη αλφαριθμητικούς χαρακτήρες, αποτρέποντας έτσι τον επιτιθέμενο από το να «κλείσει» τη συνθετική function.

Παράλληλα με την αναβάθμιση, η Endor Labs συνιστά στους διαχειριστές συστημάτων να ελέγχουν τις transitive dependencies, να αντιμετωπίζουν το schema-loading ως μη έμπιστη είσοδο, και να προτιμούν precompiled/static schemas στην παραγωγή. Το συγκεκριμένο bug αποτελεί υπενθύμιση ότι τα schema αρχεία που οι developers συνηθίζουν να αντιγράφουν και να εισάγουν αποτελούν ολοένα και μεγαλύτερη επιφάνεια επίθεσης.

Πηγές

Οι περισσότερες επιχειρήσεις δεν μπορούν να αντιμετωπίσουν τις απειλές AI agents τρίτου σταδίου

Sun, 19 Apr 2026 17:04:26 +0000

Μόνο το 21% των επιχειρήσεων έχει runtime visibility σε ό,τι κάνουν οι AI agents τους, σύμφωνα με έρευνα του VentureBeat σε 108 εταιρείες.
Το 97% των security leaders αναμένει σοβαρό περιστατικό AI-agent μέσα στους επόμενους 12 μήνες, σύμφωνα με την Arkose Labs.
Το OWASP Top 10 for Agentic Applications 2026 τυποποίησε 10 νέες κατηγορίες επίθεσης που δεν έχουν ανάλογο στις παραδοσιακές LLM εφαρμογές.

Έρευνα του VentureBeat σε 108 επιχειρήσεις, που δημοσιεύτηκε στις 17 Απριλίου 2026, διαπιστώνει ότι η συντριπτική πλειονότητα των οργανισμών αδυνατεί να εντοπίσει και να αντιμετωπίσει απειλές που προέρχονται από AI agents στο τρίτο στάδιο ωριμότητας, δηλαδή agents που λειτουργούν αυτόνομα σε παραγωγικά περιβάλλοντα με πλήρη πρόσβαση σε εργαλεία, APIs και εσωτερικά συστήματα. Μόνο το 21% των εταιρειών έχει runtime visibility σε ό,τι κάνουν οι agents τους. Παράλληλα, η Arkose Labs στο 2026 Agentic AI Security Report της διαπίστωσε ότι το 97% των security leaders επιχειρήσεων αναμένει ένα σοβαρό περιστατικό AI-agent μέσα στους επόμενους 12 μήνες.

Το πρόβλημα ορατότητας: δεν ξέρουν τι τρέχει στο δίκτυό τους

Οι περισσότερες επιχειρήσεις δεν έχουν ακριβές inventory των AI agents που λειτουργούν στο περιβάλλον τους: ποιοι agents υπάρχουν, τι δικαιώματα έχουν, ποιος τους εξουσιοδότησε και για ποιον σκοπό κατασκευάστηκαν. Σύμφωνα με έρευνα της Gravitee για το 2026, μόνο το 24,4% των οργανισμών έχει πλήρη ορατότητα σε ποιοι agents επικοινωνούν μεταξύ τους, ενώ περισσότεροι από τους μισούς agents λειτουργούν χωρίς κανένα security oversight ή logging. Το πρόβλημα επιδεινώνεται από το φαινόμενο του shadow AI: πολλοί agents που λειτουργούν μέσα σε εταιρικά περιβάλλοντα έχουν αναπτυχθεί από μεμονωμένες ομάδες engineering χωρίς να έχουν περάσει από security review, συνδέοντας tools, MCP servers και εξωτερικά APIs που οι security teams δεν έχουν ποτέ χαρτογραφήσει.

Ο CTO της CrowdStrike, Elia Zaitsev, περιέγραψε το πρόβλημα σε αποκλειστική συνέντευξη στο VentureBeat κατά το RSAC 2026: «Φαίνεται αδιακρίτως αν ένας agent τρέχει τον browser σου ή αν τον τρέχεις εσύ ο ίδιος.» Η διάκριση απαιτεί ανάλυση του process tree, και οι περισσότερες εταιρικές διαμορφώσεις logging δεν μπορούν να κάνουν αυτή τη διάκριση.

OWASP Agentic Top 10: 10 νέες κατηγορίες επίθεσης

Το OWASP Top 10 for Agentic Applications 2026 τυποποίησε την επιφάνεια επίθεσης τον Δεκέμβριο του 2025. Οι δέκα κίνδυνοι περιλαμβάνουν: goal hijack (ASI01), tool misuse (ASI02), identity and privilege abuse (ASI03), agentic supply chain vulnerabilities (ASI04), unexpected code execution (ASI05), memory poisoning (ASI06), insecure inter-agent communication (ASI07), cascading failures (ASI08), human-agent trust exploitation (ASI09) και rogue agents (ASI10). Οι περισσότερες από αυτές τις κατηγορίες δεν έχουν ανάλογο στις παραδοσιακές LLM εφαρμογές. Το Agent Goal Hijacking (ASI01) κατατάσσεται ως ο πιο κρίσιμος κίνδυνος: ο agent διαβάζει ένα έγγραφο ή επεξεργάζεται ένα ticket, και κρυμμένη μέσα στο περιεχόμενο βρίσκεται μια adversarial εντολή που μοιάζει με δεδομένα. Επειδή ο agent δεν μπορεί να τα ξεχωρίσει αξιόπιστα, ακολουθεί την εντολή του επιτιθέμενου αντί για τη νόμιμη εργασία του.

Παράλληλα, η Invariant Labs αποκάλυψε τον Απρίλιο 2025 την επίθεση MCP Tool Poisoning: κακόβουλες οδηγίες στην περιγραφή tool ενός MCP server μπορούν να αναγκάσουν έναν agent να εκχωρήσει αρχεία ή να παραβιάσει ένα trusted server. Η CSO της Enkrypt AI, Merritt Baer, πρώην Deputy CISO της AWS, επεσήμανε στο VentureBeat ότι «οι επιχειρήσεις πιστεύουν ότι έχουν "εγκρίνει" vendors AI, αλλά αυτό που έχουν εγκρίνει στην πραγματικότητα είναι ένα interface, όχι το υποκείμενο σύστημα.»

Ρυθμιστικό πλαίσιο και κόστος παραβιάσεων

Η έλλειψη ελέγχου στα AI agents δεν αφορά μόνο τεχνικά ζητήματα. Το HIPAA's 2026 Tier 4 willful-neglect maximum ανέρχεται σε 2,19 εκατομμύρια δολάρια ανά κατηγορία παράβασης ετησίως. Στον τομέα της υγείας, έρευνα της Gravitee διαπίστωσε ότι το 92,7% των οργανισμών αντιμετώπισε περιστατικά ασφαλείας AI agents, έναντι 88% στον μέσο όρο. Για ένα σύστημα υγείας που χρησιμοποιεί agents με πρόσβαση σε PHI (Protected Health Information), η διαφορά αυτή μπορεί να σημαίνει εύρεση willful neglect. Σύμφωνα με την IBM, οι παραβιάσεις που συνδέονται με shadow AI κοστίζουν κατά μέσο όρο 4,63 εκατομμύρια δολάρια ανά περιστατικό, δηλαδή 670.000 δολάρια περισσότερο από μια τυπική παραβίαση.

Το FINRA στην Oversight Report 2026 συστήνει ρητά ανθρώπινα checkpoints πριν εκτελέσουν οι agents ενέργειες ή συναλλαγές, μαζί με στενά scopes, granular permissions και πλήρη audit trails των ενεργειών των agents. Ο Mike Riemer, Field CISO της Ivanti, συμπλήρωσε ότι «οι threat actors αντιστρέφουν τα patches μέσα σε 72 ώρες», ενώ οι περισσότερες επιχειρήσεις χρειάζονται εβδομάδες για να εφαρμόσουν ενημερώσεις.

Η ταχύτητα των επιθέσεων ξεπερνά την ανθρώπινη αντίδραση

Έρευνα του Dark Reading διαπίστωσε ότι το 48% των cybersecurity professionals αναγνωρίζει το agentic AI ως την κορυφαία επιφάνεια επίθεσης για το 2026, ξεπερνώντας απειλές deepfake, αναγνώριση cyber-risk σε επίπεδο board και passwordless authentication.

Windows Recall: Ερευνητής δείχνει νέο τρόπο εξαγωγής ιστορικού χρήστη, η Microsoft αρνείται ότι πρόκειται για ευπάθεια

Fri, 17 Apr 2026 22:01:57 +0000

Ο ερευνητής Alexander Hagenah κυκλοφόρησε το εργαλείο TotalRecall Reloaded, το οποίο σύμφωνα με τον ίδιο εξάγει το σύνολο των δεδομένων του Windows Recall μετά από authentication μέσω Windows Hello.
Η αδυναμία δεν βρίσκεται στο encrypted vault, αλλά στη διαδικασία AIXHost.exe που παραλαμβάνει τα αποκρυπτογραφημένα δεδομένα χωρίς προστασία PPL, AppContainer ή code integrity enforcement.
Η Microsoft αξιολόγησε την αναφορά και την έκλεισε στις 3 Απριλίου 2026 ως "not a vulnerability", επικαλούμενη τον υπάρχοντα σχεδιασμό ασφαλείας του Recall.

Ο ερευνητής ασφαλείας Alexander Hagenah κυκλοφόρησε το εργαλείο TotalRecall Reloaded, το οποίο εξάγει και εμφανίζει δεδομένα από το Windows Recall, την AI-powered λειτουργία των Windows που καταγράφει με screenshots σχεδόν ό,τι κάνει ο χρήστης στον υπολογιστή του. Πρόκειται για ενημερωμένη έκδοση του αρχικού εργαλείου TotalRecall, το οποίο είχε αναδείξει τις αδυναμίες της πρώτης έκδοσης του Recall, πριν η Microsoft το ανασχεδιάσει.

Η αρχιτεκτονική του προβλήματος: το AIXHost.exe

Το πρόβλημα, όπως το περιγράφει ο Hagenah στη σελίδα του TotalRecall στο GitHub, δεν έγκειται στην ασφάλεια γύρω από τη βάση δεδομένων του Recall, την οποία χαρακτηρίζει "rock solid". Το πρόβλημα είναι ότι, μόλις ο χρήστης πιστοποιήσει την ταυτότητά του, το σύστημα μεταβιβάζει τα δεδομένα του Recall σε μια άλλη διαδικασία που ονομάζεται AIXHost.exe, η οποία δεν επωφελείται από τις ίδιες προστασίες ασφαλείας. Το AIXHost.exe δεν διαθέτει PPL, AppContainer ή code integrity enforcement. Οποιαδήποτε διαδικασία εκτελείται ως ο συνδεδεμένος χρήστης μπορεί να εισάγει κώδικα σε αυτό και να καλεί τα ίδια COM APIs που χρησιμοποιεί το νόμιμο UI. Μόλις ο χρήστης πιστοποιηθεί μέσω Windows Hello, αποκρυπτογραφημένα screenshots, OCR text και metadata ρέουν μέσα από το AIXHost.exe ως live COM objects. Το TotalRecall Reloaded εγκαθίσταται μέσα σε αυτή τη διαδικασία και εξάγει τα πάντα, χωρίς admin privileges, χωρίς kernel exploit, χωρίς crypto bypass.

Σύμφωνα με τον Hagenah, "το vault είναι πραγματικό, αλλά το trust boundary τελειώνει πολύ νωρίς." Το TotalRecall Reloaded μπορεί να εκτελείται αθόρυβα στο παρασκήνιο και να ενεργοποιεί το Recall timeline, αναγκάζοντας τον χρήστη να πιστοποιηθεί μέσω Windows Hello. Μόλις ολοκληρωθεί η πιστοποίηση, το εργαλείο μπορεί να εξαγάγει ό,τι έχει καταγράψει ποτέ το Windows Recall. Επιπλέον, το TotalRecall Reloaded μπορεί να εξάγει το τελευταίο cached screenshot του Windows Recall χωρίς Windows Hello authentication, ή να διαγράψει εντελώς το ιστορικό.

Τι καταγράφει το Recall και γιατί αυτό έχει σημασία

Τα δεδομένα που αποθηκεύει το Recall ξεπερνούν κατά πολύ τα απλά screenshots. Περιλαμβάνουν on-screen text, μηνύματα, emails, έγγραφα, δραστηριότητα περιήγησης, χρονικές σημάνσεις και AI-generated context, δομώντας μια λεπτομερή εικόνα του τρόπου με τον οποίο ο χρήστης αλληλεπιδρά με τη συσκευή του. Οποιοσδήποτε έχει πρόσβαση στον υπολογιστή και στο Windows Hello fallback PIN μπορεί να αποκτήσει πρόσβαση στη βάση δεδομένων, και παρόλο που τα content filters του Recall κάνουν αξιοπρεπή δουλειά στον αποκλεισμό ευαίσθητων οικονομικών πληροφοριών, κάποιος με πρόσβαση στο σύστημα μπορεί να δει emails, μηνύματα, web activity και άλλα.

Η αποκάλυψη και η αντίδραση της Microsoft

Ο Hagenah υπέβαλε πλήρη αναφορά στο Microsoft Security Response Centre (MSRC) στις 6 Μαρτίου 2026, η οποία περιελάμβανε source code και build instructions. Η Microsoft άνοιξε υπόθεση εννέα ημέρες αργότερα και, μετά από ένα μήνα αξιολόγησης, την έκλεισε στις 3 Απριλίου λέγοντας ότι η συμπεριφορά "λειτουργεί εντός του τρέχοντος, τεκμηριωμένου σχεδιασμού ασφαλείας του Recall."

Σε δήλωσή του προς το The Verge, ο David Weston, corporate vice president of Microsoft Security, ανέφερε ότι "μετά από προσεκτική διερεύνηση, διαπιστώσαμε ότι τα μοτίβα πρόσβασης που παρουσιάστηκαν είναι συνεπή με τις προβλεπόμενες προστασίες και τα υπάρχοντα controls, και δεν αποτελούν παράκαμψη security boundary ή μη εξουσιοδοτημένη πρόσβαση σε δεδομένα." Η Microsoft ισχυρίζεται ότι η περίοδος εξουσιοδότησης έχει timeout και anti-hammering protection. Ο Hagenah, ωστόσο, δηλώνει ότι το εργαλείο του μπορεί να παρακάμψει αυτές τις προστασίες.

Ιστορικό και τρέχουσα διαθεσιμότητα

Στην αρχική του υλοποίηση, το Recall δεν ήταν ούτε ιδιωτικό ούτε ασφαλές: αποθήκευε screenshots και μια τεράστια βάση δεδομένων με όλη τη δραστηριότητα χρήστη σε εντελώς αδιάκριτα αρχεία στον δίσκο. Αφού δημοσιογράφοι και ερευνητές ανακάλυψαν και τεκμηρίωσαν αυτά τα ελαττώματα, η Microsoft καθυστέρησε την κυκλοφορία του Recall σχεδόν ένα χρόνο και αναθεώρησε σε μεγάλο βαθμό την ασφάλειά του. Όλα τα τοπικά αποθηκευμένα δεδομένα πλέον κρυπτογραφούνται και είναι προσβάσιμα μόνο μέσω Windows Hello authentication, η λειτουργία απενεργοποιείται από προεπιλογή και κάνει καλύτερη δουλειά στον εντοπισμό και αποκλεισμό ευαίσθητων πληροφοριών.

Αυτή τη στιγμή, λιγότερο από το 10% των Windows 11 PC μπορούν να τρέξουν το Recall, με τη λειτουργία διαθέσιμη μόνο ως opt-in για χρήστες Copilot+ PC από τον Απρίλιο του 2025. Τον Ιανουάριο του 2026, ο δημοσιογράφος Zac Bowden ανέφερε ότι η Microsoft "pulls back its Windows 11 AI push with a major Copilot and Recall rethink." Εφαρμογές όπως το Signal Messenger έχουν ήδη αναλάβει ιδία πρωτοβουλία, αναγκάζοντας το Recall να τις αγνοεί από προεπιλογή. Το TotalRecall Reloaded είναι διαθέσιμο στο GitHub.

Πηγές

Booking.com: Επιβεβαιώνει περιστατικό με πιθανή πρόσβαση σε δεδομένα κρατήσεων πελατών

Wed, 15 Apr 2026 14:08:01 +0000

Η Booking.com επιβεβαίωσε περιστατικό ασφαλείας στο οποίο μη εξουσιοδοτημένοι τρίτοι ενδέχεται να απέκτησαν πρόσβαση σε ορισμένα δεδομένα κρατήσεων πελατών, όπως ονόματα, email, τηλέφωνα και λεπτομέρειες κράτησης.
Η εταιρεία ενημέρωσε τους επηρεαζόμενους χρήστες και άλλαξε τα PIN των σχετικών κρατήσεων, χωρίς να αποκαλύψει πόσοι πελάτες επηρεάστηκαν.
Τουλάχιστον ένας χρήστης ανέφερε ότι έλαβε phishing μήνυμα μέσω WhatsApp με ακριβή στοιχεία κράτησης, πριν από την επίσημη ειδοποίηση.

Η Booking.com ανακοίνωσε τη Δευτέρα ότι εντόπισε ύποπτη δραστηριότητα που συνδέεται με μη εξουσιοδοτημένη πρόσβαση σε ορισμένες πληροφορίες κρατήσεων πελατών. Σύμφωνα με την εταιρεία, τα δεδομένα που ενδέχεται να εκτέθηκαν περιλαμβάνουν ονόματα, διευθύνσεις email, αριθμούς τηλεφώνου, λεπτομέρειες κρατήσεων και πληροφορίες που είχαν κοινοποιηθεί στο κατάλυμα. Οι επηρεαζόμενοι χρήστες ειδοποιήθηκαν την προηγούμενη εβδομάδα.

Τι γνωρίζουμε για την παραβίαση

Η εκπρόσωπος της εταιρείας Courtney Camp δήλωσε στο TechCrunch ότι η Booking.com παρατήρησε ύποπτη δραστηριότητα από μη εξουσιοδοτημένους τρίτους με πρόσβαση σε ορισμένες πληροφορίες κρατήσεων επισκεπτών. Η εταιρεία ανέφερε ότι περιόρισε το περιστατικό, ενημέρωσε τους πελάτες και άλλαξε τα PIN των επηρεαζόμενων κρατήσεων. Σύμφωνα με τη νεότερη διευκρίνιση που μεταφέρει το TechCrunch, δεν αποκτήθηκαν οικονομικά στοιχεία ούτε φυσικές ταχυδρομικές διευθύνσεις.

Ο αριθμός των επηρεαζόμενων χρηστών παραμένει άγνωστος, καθώς η Booking.com δεν απάντησε στο σχετικό ερώτημα. Ως ένδειξη μεγέθους της πλατφόρμας, η εταιρεία αναφέρει στα επίσημα στοιχεία της ότι από το 2010 έχει καταγράψει πάνω από 6,8 δισεκατομμύρια guest arrivals, όχι 6,8 δισεκατομμύρια μοναδικούς χρήστες.

Υπάρχουν ενδείξεις στοχευμένου phishing

Χρήστης που ανάρτησε στο Reddit την ειδοποίηση που έλαβε από την Booking.com ανέφερε στο TechCrunch ότι περίπου δύο εβδομάδες νωρίτερα είχε λάβει μήνυμα phishing μέσω WhatsApp με ακριβή στοιχεία της κράτησής του. Πρόκειται για μεμονωμένη δημόσια αναφορά, όχι για επιβεβαιωμένο μοτίβο μεγάλης κλίμακας, αλλά δείχνει πώς δεδομένα αυτού του τύπου μπορούν να αξιοποιηθούν σε ιδιαίτερα πειστικές επιθέσεις κοινωνικής μηχανικής.

Η Booking.com δεν έχει δημοσιοποιήσει πότε ακριβώς σημειώθηκε η μη εξουσιοδοτημένη πρόσβαση ούτε πόσο διήρκεσε. Για όσους έλαβαν ειδοποίηση, το βασικό ρίσκο αυτή τη στιγμή είναι η λήψη email, SMS ή μηνυμάτων WhatsApp που επικαλούνται υπαρκτά στοιχεία κράτησης και επιχειρούν να αποσπάσουν πληρωμές ή επιπλέον προσωπικά δεδομένα.

Πηγές

Παραβίαση CPUID: Τα CPU-Z και HWMonitor μοίραζαν malware για έξι ώρες

Sat, 11 Apr 2026 17:02:00 +0000

Άγνωστοι επιτέθηκαν στο API διανομής του cpuid.com στις 9-10 Απριλίου 2026 και για περίπου έξι ώρες εξυπηρετούσαν trojanized εκδόσεις των CPU-Z και HWMonitor αντί για τα νόμιμα αρχεία.
Το malware, που η ομάδα vx-underground χαρακτήρισε πολυεπίπεδο και εξελιγμένο, στόχευε κυρίως αποθηκευμένα credentials από browsers, ειδικά από το Google Chrome.
Σύμφωνα με την Kaspersky, τουλάχιστον 150 χρήστες κατέβασαν τα κακόβουλα αρχεία. Η CPUID επιβεβαίωσε ότι το πρόβλημα έχει διορθωθεί και τα signed αρχεία της δεν παραβιάστηκαν ποτέ.

Η ιστοσελίδα της CPUID, της εταιρείας πίσω από τα δημοφιλή εργαλεία HWMonitor και CPU-Z, παραβιάστηκε από άγνωστους επιτιθέμενους, με αποτέλεσμα όσοι κατέβαζαν αυτά τα προγράμματα να λαμβάνουν μολυσμένα αρχεία αντί για τα νόμιμα. Οι hackers απέκτησαν πρόσβαση σε ένα API του project και άλλαξαν τους download links στην επίσημη ιστοσελίδα, ώστε να εξυπηρετούν κακόβουλα executables. Το περιστατικό αποκαλύφθηκε στις 10 Απριλίου 2026, αρχικά μέσα από αναρτήσεις χρηστών στο Reddit.

Πώς έγινε η παραβίαση

Οι επιτιθέμενοι δεν παραβίασαν τα ίδια τα builds του λογισμικού ή τη διαδικασία signing. Αντ' αυτού, απέκτησαν πρόσβαση σε ένα secondary API που χρησιμοποιεί η CPUID για να εξυπηρετεί τους download links στην ιστοσελίδα της, και ανακατεύθυναν τους χρήστες σε κακόβουλα αρχεία που φιλοξενούνταν στο Cloudflare R2 storage. Σύμφωνα με τον Samuel Demeulemeester της CPUID, «η έρευνα συνεχίζεται, αλλά φαίνεται ότι ένα secondary feature (ουσιαστικά ένα side API) παραβιάστηκε για περίπου έξι ώρες μεταξύ 9ης και 10ης Απριλίου, με αποτέλεσμα η κύρια ιστοσελίδα να εμφανίζει τυχαία κακόβουλους links. Τα signed αρχεία μας δεν παραβιάστηκαν. Η παραβίαση εντοπίστηκε και έχει από τότε διορθωθεί.»

Σύμφωνα με την ομάδα vx-underground, ο threat actor παραβίασε το cpuid.com και οι χρήστες που προσπαθούσαν να κατεβάσουν την τελευταία έκδοση εξυπηρετούνταν με ένα compromised installer από το supp0v3[.]com, το οποίο χρησιμοποιήθηκε επίσης σε μια εκστρατεία malware που ξεκίνησε τον Μάρτιο του 2026. Το όνομα του κακόβουλου αρχείου ήταν HWiNFO_Monitor_Setup, και η εκτέλεσή του εκκινούσε ένα Russian installer με Inno Setup wrapper, κάτι εξαιρετικά ύποπτο. Βάσει των δεδομένων της Kaspersky, περισσότεροι από 150 χρήστες κατέβασαν κακόβουλη παραλλαγή των προϊόντων της CPUID. Αν και οι περισσότεροι ήταν ιδιώτες, αρκετοί οργανισμοί από τους τομείς retail, manufacturing, consulting, τηλεπικοινωνιών και γεωργίας, κυρίως σε Βραζιλία, Ρωσία και Κίνα, συγκαταλέγονταν επίσης μεταξύ των θυμάτων.

Τεχνική ανάλυση του malware

Το malware είναι «deeply trojanized, διανέμεται από παραβιασμένο domain (cpuid.com), εκτελεί file masquerading, είναι multi-staged, λειτουργεί σχεδόν εξ ολοκλήρου στη μνήμη, και χρησιμοποιεί ενδιαφέρουσες μεθόδους για την αποφυγή EDR και AV, όπως το proxying NTDLL functionality από ένα .NET assembly», ανέφερε η vx-underground. Οι επιτιθέμενοι ονόμασαν το κακόβουλο payload CRYPTBASE.dll, για να μεταμφιεστεί ως νόμιμη Windows library που χρησιμοποιεί το ίδιο το HWMonitor. Το DLL αυτό επικοινωνούσε με command-and-control server για να κατεβάσει επιπλέον payloads, ενώ το malware επιχειρούσε να παραμείνει όσο το δυνατόν εκτός δίσκου, χρησιμοποιώντας PowerShell και λειτουργώντας κυρίως στη μνήμη. Επίσης, κατέβαζε επιπλέον κώδικα και μεταγλώττιζε ένα .NET payload στο μηχάνημα-θύμα πριν το εγχύσει σε άλλες διεργασίες.

Το τελικό payload ταυτοποιήθηκε ως STX RAT, ένα malware που έχει τεκμηριωθεί από ερευνητές της eSentire ως έχον infostealer δυνατότητες. Υπάρχουν επίσης ενδείξεις ότι το malware στόχευε browser data. Σε tests, παρατηρήθηκε να αλληλεπιδρά με το IElevation COM interface του Google Chrome, το οποίο μπορεί να χρησιμοποιηθεί για πρόσβαση και αποκρυπτογράφηση αποθηκευμένων credentials. Το αρχείο ελέγχθηκε στο VirusTotal και επιβεβαιώθηκε ως κακόβουλο, με σήμανση από τουλάχιστον 32 security vendors ως trojan.

Μέρος ευρύτερης εκστρατείας

Η ανάλυση υποδηλώνει συνδέσεις με infrastructure που χρησιμοποιήθηκε σε προηγούμενες εκστρατείες, συμπεριλαμβανομένης μιας που στόχευε χρήστες του FileZilla, υποδηλώνοντας ότι αυτό δεν ήταν ένα μεμονωμένο πείραμα, αλλά μέρος ενός ευρύτερου playbook. Επιπλέον, αναφέρεται ότι οι hackers επιτέθηκαν σε χρόνο που ο κύριος developer βρισκόταν σε διακοπές, κάτι που δεν φαίνεται τυχαίο. Το περιστατικό αποκτά επιπλέον βαρύτητα καθώς η CPUID ήταν ήδη στο επίκεντρο νωρίτερα εντός του 2026 λόγω ενός ξεχωριστού security θέματος: το NVD καταγράφει μια information disclosure ευπάθεια στο kernel driver του CPU-Z 2.17 και παλαιότερων, υπό την CVE-2025-65264.

Τι πρέπει να κάνουν οι χρήστες που επηρεάστηκαν

Το Windows Defender συνήθως εντόπιζε το malware πριν εγκατασταθεί, και όσοι το παρέκαμψαν πιθανώς παρατήρησαν το ασυνήθιστο Russian install program. Ωστόσο, υπάρχει μια μικρή πιθανότητα κάποιοι να προχώρησαν στην εγκατάσταση και να έθεσαν σε κίνδυνο το σύστημά τους και τα αποθηκευμένα credentials τους. Αν κατεβάσατε CPU-Z ή HWMonitor κατά τη διάρκεια του affected window, θεωρήστε ότι το σύστημα έχει παραβιαστεί, αλλάξτε όλους τους κωδικούς που θα μπορούσαν να έχουν κλαπεί (ιδιαίτερα όσους είναι αποθηκευμένοι στον browser σας), ενεργοποιήστε MFA παντού, και εκτελέστε security scans ή ακόμα και επανεγκαταστήστε το λειτουργικό σύστημα αν θέλετε να είστε σίγουροι. Αν κατεβάσατε ένα αρχείο με όνομα «HWiNFO_Monitor_Setup.exe» από την ιστοσελίδα της CPUID, έχετε λάβει την κακόβουλη έκδοση. Από αυτή τη στιγμή, τα κακόβουλα downloads έχουν αφαιρεθεί και η ιστοσελίδα δεν εξυπηρετεί πλέον μολυσμένα installers. Δεν υπάρχουν ενδείξεις ότι το ίδιο το λογισμικό backdooρ-αρίστηκε ή ότι το build environment της CPUID παραβιάστηκε.

Πηγές

H Google βάζει deadline το 2029 για το Q Day, νωρίτερα από κάθε άλλη εκτίμηση

Sat, 11 Apr 2026 12:04:02 +0000

H Google έθεσε το 2029 ως deadline για την πλήρη μετάβαση σε post-quantum cryptography, υπερβαίνοντας κατά πολύ τους στόχους κυβερνήσεων και άλλων οργανισμών.
Το Android 17 θα ενσωματώσει τον αλγόριθμο ML-DSA στο hardware root of trust, στο Android Verified Boot, στο Keystore και στο Google Play.
Η κίνηση προκάλεσε έκπληξη ακόμα και σε έμπειρους cryptographers, καθώς η Google δεν έχει δημοσιοποιήσει τους ακριβείς λόγους της επιτάχυνσης.

Η Google ανακοίνωσε στις 25 Μαρτίου 2026 ότι δίνει στον εαυτό της ως το 2029 για να ολοκληρώσει την πλήρη μετάβαση σε post-quantum cryptography (PQC), θέτοντας αυτό το έτος ως εσωτερικό deadline για την προστασία των υποδομών της από quantum υπολογιστές. Η Google επιτάχυνε δραματικά το timeline της για την ασφάλεια έναντι quantum απειλών, βάζοντας ως στόχο το 2029, χρόνια μπροστά από τους κυβερνητικούς και τους άλλους στόχους της βιομηχανίας. Η ανακοίνωση υπογράφεται από την Heather Adkins, VP of Security Engineering της Google, και την Sophie Schmieg, Senior Cryptography Engineer.

Γιατί το 2029 είναι ασυνήθιστα επιθετικό deadline

Το 2029 timeline είναι σημαντικά πιο επιθετικό από τα υπάρχοντα κυβερνητικά benchmarks. Η NSA είχε θέσει στόχο το 2031 για την εφαρμογή PQC, ενώ η ευρύτερη αμερικανική κυβερνητική καθοδήγηση έδειχνε στο 2035 για πλήρη ετοιμότητα των υπηρεσιών. Η ανακοίνωση περιγράφει τον στόχο του 2029 ως απάντηση σε ταχείες εξελίξεις στο quantum hardware, στη διόρθωση σφαλμάτων και στις εκτιμήσεις πόρων για quantum factoring. Η Google δεν έχει αναλύσει δημόσια τη συγκεκριμένη αιτία της αναθεώρησης, και εκπρόσωπος της εταιρείας δεν απάντησε άμεσα σε ερωτήσεις.

Ο Brian LaMacchia, cryptography engineer που επέβλεψε την post-quantum μετάβαση της Microsoft από το 2015 ως το 2022 και εργάζεται τώρα στο Farcaster Consulting Group, δήλωσε ότι πρόκειται για «σημαντική επιτάχυνση σε σχέση με τα public timelines που έχουμε δει μέχρι σήμερα, και επιταχυμένη ακόμα και σε σχέση με ό,τι έχουμε δει να ζητά η αμερικανική κυβέρνηση». «Το 2029 timeline είναι επιθετική επιτάχυνση, αλλά εγείρει το ερώτημα τι τους παρακινεί», πρόσθεσε. Ο Bas Westerbaan, principal research engineer στο Cloudflare, χαρακτήρισε την απόφαση της Google να μετακινήσει το PQC migration timeline στο 2029 ως «very big deal».

Σύμφωνα με την Google, το νέο timeline αντικατοπτρίζει τις ανάγκες μετάβασης στην εποχή PQC υπό το πρίσμα της προόδου στην ανάπτυξη quantum computing hardware, στη διόρθωση quantum σφαλμάτων και στις εκτιμήσεις πόρων για quantum factoring. Βασικό ρόλο στην αναθεώρηση παίζει και η έρευνα που δημοσίευσαν τον Ιούνιο του 2025 επιστήμονες της Google: σύμφωνα με τα ευρήματα, ένας quantum υπολογιστής με ένα εκατομμύριο qubits θα μπορούσε να σπάσει ένα 2.048-bit RSA κλειδί σε λιγότερο από μια εβδομάδα. Για σύγκριση, το 2012 η αντίστοιχη εκτίμηση απαιτούσε ένα δισεκατομμύριο physical qubits.

Το «harvest now, decrypt later» απειλεί ήδη σήμερα

Η απειλή για την κρυπτογράφηση είναι ήδη άμεση λόγω των λεγόμενων «store-now-decrypt-later» επιθέσεων, ενώ οι ψηφιακές υπογραφές αποτελούν μελλοντική απειλή που απαιτεί τη μετάβαση σε PQC πριν εμφανιστεί ένας Cryptographically Relevant Quantum Computer (CRQC). Γι' αυτό η Google αναθεώρησε το threat model της ώστε να δώσει προτεραιότητα στη μετάβαση PQC για τις υπηρεσίες authentication. Ο Simon Pamplin, CTO της Certes, υπογράμμισε ότι «το πιο επικίνδυνο παράθυρο δεν είναι όταν έρθουν οι quantum υπολογιστές, αλλά τώρα», καθώς αντίπαλοι ήδη εκτελούν «Harvest Now, Decrypt Later» εκστρατείες, εκμηδενίζοντας κρυπτογραφημένα δεδομένα σήμερα με σκοπό να τα αποκρυπτογραφήσουν αργότερα.

Android 17: ML-DSA μέχρι το hardware root of trust

Η post-quantum μετάβαση της Google ξεκίνησε ήδη από το 2016, και το Android 17 σηματοδοτεί την πρώτη φάση της αντίστοιχης μετάβασης για το Android. Σύμφωνα με ξεχωριστή ανακοίνωση, η εταιρεία θα προσθέσει υποστήριξη για ML-DSA, ψηφιακό αλγόριθμο υπογραφής τυποποιημένο από το NIST, ξεκινώντας από την beta έκδοση του Android 17. Το ML-DSA θα ενσωματωθεί στο hardware root of trust του Android, επιτρέποντας στους developers να χρησιμοποιούν PQC κλειδιά για υπογραφή εφαρμογών και επαλήθευση software signatures.

Το Android Verified Boot θα ενσωματώσει ML-DSA για να ασφαλίσει τις υπογραφές στην αλυσίδα εκκίνησης έναντι μελλοντικών quantum επιθέσεων. Παράλληλα, το Android 17 ξεκινά τη μετάβαση του Remote Attestation σε πλήρως PQC-συμβατή αρχιτεκτονική, με τις certificate chains του KeyMint να μεταβαίνουν σε quantum-resistant αλγορίθμους, ώστε οι συσκευές να μπορούν να αποδεικνύουν κρυπτογραφικά την αξιόπιστη κατάστασή τους. Το Android Keystore αποκτά native υποστήριξη για ML-DSA-65 και ML-DSA-87, και οι εφαρμογές μπορούν να χρησιμοποιούν αυτές τις μεθόδους μέσω του standard API, ενώ τα κλειδιά παραμένουν εξ ολοκλήρου εντός του secure hardware.

Κατά τη διάρκεια του release cycle του Android 17, το Google Play θα αναλαμβάνει τη δημιουργία quantum-safe ML-DSA signing keys για νέες εφαρμογές και για υπάρχουσες εφαρμογές που επιλέγουν να συμμετάσχουν, ανεξάρτητα από το target API των εφαρμογών. Η υλοποίηση lattice-based κρυπτογραφίας, που απαιτεί σημαντικά μεγαλύτερα key sizes και memory footprints σε σχέση με την κλασική elliptic curve cryptography, εντός του Trusted Execution Environment με περιορισμένους πόρους, αντιπροσωπεύει σημαντική τεχνική επίτευξη.

Αντιδράσεις βιομηχανίας και ρυθμιστικό πλαίσιο

Η επιταχυνόμενη απόφαση της Google για PQC ωθεί ήδη άλλους προμηθευτές να αναθεωρήσουν τα δικά τους σχέδια. Software vendors όπως το Signal, το Cloudflare και η Apple έχουν ήδη αρχίσει να ενσωματώνουν NIST-εγκεκριμένους PQC αλγόριθμους, συμπεριλαμβανομένων των CRYSTALS-Kyber και ML-KEM-768, αλλά συνήθως σε περιορισμένο εύρος. Αξιοσημείωτο είναι ότι το 2029 δεν αποτελεί μόνο τον στόχο ολοκλήρωσης PQC migration της Google, αλλά είναι επίσης η χρονιά κατά την οποία το CA/Browser Forum θα θέσει σε ισχύ μέγιστη διάρκεια ζωής SSL/TLS πιστοποιητικών 47 ημερών, αντιπροσωπεύοντας 12πλάσια αύξηση στη συχνότητα ανανέωσης πιστοποιητικών σε σχέση με τα σημερινά πρότυπα.

Ο Mark Pecen, πρόεδρος της τεχνικής επιτροπής για quantum τεχνολογίες στον ETSI, δήλωσε ότι «το επιταχυνόμενο deadline του 2029 της Google αντικατοπτρίζει μετατόπιση από την προσπάθεια πρόβλεψης του Q-Day στη διαχείριση pre-Q-Day κινδύνου». «Το πραγματικό πρόβλημα δεν είναι πότε θα έρθουν οι quantum υπολογιστές, αλλά ότι αντίπαλοι ήδη συλλέγουν κρυπτογραφημένα δεδομένα σήμερα για να τα αποκρυπτογραφήσουν αργότερα», πρόσθεσε, σημειώνοντας ότι τα δεδομένα με μακροχρόνια ευαισθησία, νομικά αρχεία, πνευματική ιδιοκτησία, ιατρική έρευνα και επικοινωνίες κρίσιμων υποδομών βρίσκονται ήδη σε κίνδυνο.

Πηγές

Quantum computing και κρυπτογραφία: Δύο νέες έρευνες μειώνουν δραστικά τους πόρους για να σπάσει το ECC

Sat, 11 Apr 2026 06:03:00 +0000

Δύο ανεξάρτητες έρευνες που δημοσιεύθηκαν στις 31 Μαρτίου 2026 δείχνουν ότι το ECC-256 μπορεί να σπάσει με κατά 20x έως 100x λιγότερους πόρους από τις προηγούμενες εκτιμήσεις.
Η Google δεν δημοσίευσε τα ίδια τα quantum circuits, αλλά έναν zero-knowledge proof για να αποφύγει τη διάδοση ενός ολοκληρωμένου attack blueprint.
Κανένα από τα δύο papers δεν έχει υποβληθεί σε peer review, και κανένα υπαρκτό quantum σύστημα σήμερα δεν πλησιάζει τα απαιτούμενα hardware specs.

Στις 31 Μαρτίου 2026 δημοσιεύθηκαν δύο ανεξάρτητα whitepapers που συμφωνούν στο ίδιο συμπέρασμα: η κατασκευή ενός κβαντικού υπολογιστή ικανού να σπάσει elliptic-curve cryptography δεν απαιτεί τους πόρους που θεωρούνταν απαραίτητοι μέχρι πρόσφατα. Έρευνα από Caltech και το quantum startup Oratomic κατέληξε ότι η κρυπτογραφία που προστατεύει τα wallets Bitcoin και Ether θα μπορούσε να σπάσει με μόλις 10.000 physical qubits, πολύ κάτω από προηγούμενες εκτιμήσεις εκατοντάδων χιλιάδων. Ταυτόχρονα, η Google Quantum AI δημοσίευσε ένα 57σέλιδο whitepaper που αποδεικνύει ότι οι quantum πόροι για να σπάσει το ECC που προστατεύει το Bitcoin, το Ethereum και ουσιαστικά κάθε μεγάλο cryptocurrency είναι κατά μια τάξη μεγέθους μικρότεροι από ό,τι εκτιμούσαμε. Το paper, που συν-υπογράφουν ερευνητές από το Ethereum Foundation και το Stanford University, παρουσιάζει δύο βελτιστοποιημένα quantum circuits για την επίλυση του 256-bit Elliptic Curve Discrete Logarithm Problem (ECDLP-256) στην καμπύλη secp256k1.

Neutral atoms και optical tweezers: η προσέγγιση του Caltech

Η ομάδα του Caltech, με επικεφαλής τους Dolev Bluvstein και Madelyn Cain, ανέπτυξε αρχιτεκτονική quantum computer βασισμένη σε neutral atom qubits και προηγμένους κώδικες error correction γνωστούς ως quantum low-density parity-check (qLDPC) codes. Οι προσομοιώσεις τους δείχνουν ότι αυτή η αρχιτεκτονική θα μπορούσε να σπάσει ECC-256 σε λίγες μέρες με μόλις 26.000 qubits. Η βασική διαφορά αυτής της προσέγγισης από τις superconducting αρχιτεκτονικές έγκειται στο πώς αλληλεπιδρούν τα qubits μεταξύ τους: στα neutral atom συστήματα, κάθε qubit μπορεί να επικοινωνεί με οποιοδήποτε άλλο qubit, και όχι μόνο με τους άμεσους γείτονές του σε ένα 2D grid. Η ομάδα του Oratomic χρησιμοποιεί τα quantum circuits της Google για να σπάσει το 256-bit ECC, και αποδεικνύει ότι ένα neutral-atom setup, με atoms που ελέγχονται από laser ως qubits, θα μπορούσε να τα εκτελέσει με περίπου το 1/50 των qubits που εκτιμούσε η Google.

Οι εκτιμώμενες απαιτήσεις για την εκτέλεση του αλγορίθμου Shor, της quantum μεθόδου για να σπάσει public-key encryption, έχουν πέσει κατά πέντε τάξεις μεγέθους σε δύο δεκαετίες, από περίπου 1 δισεκατομμύριο physical qubits το 2012 σε περίπου 10.000 σήμερα. Αξίζει να σημειωθεί ότι χρησιμοποιώντας ως βάση τα quantum circuits της Google, ένας neutral-atom quantum computer με περίπου 26.000 qubits θα μπορούσε να σπάσει ECC-256 σε περίπου 10 μέρες, ενώ RSA-2048 θα απαιτούσε περίπου 102.000 qubits και τρεις μήνες.

Το paper της Google: 9 λεπτά, 500.000 physical qubits, και κρυφός αλγόριθμος

Η Google εκφράζει τις εκτιμήσεις της σε αριθμό logical qubits (error-corrected qubits που αποτελούνται από εκατοντάδες physical qubits) και Toffoli gates (ακριβές βασικές πράξεις πάνω σε qubits που αποτελούν τον κύριο παράγοντα για τον χρόνο εκτέλεσης πολλών αλγορίθμων). Συγκεκριμένα, η εταιρεία έχει συντάξει δύο quantum circuits που υλοποιούν τον αλγόριθμο Shor για ECDLP-256: ένα που χρησιμοποιεί λιγότερα από 1.200 logical qubits και 90 εκατομμύρια Toffoli gates, και ένα άλλο με λιγότερα από 1.450 logical qubits και 70 εκατομμύρια Toffoli gates. Σύμφωνα με τις εκτιμήσεις, αυτά τα circuits μπορούν να εκτελεστούν σε superconducting qubit CRQC με λιγότερα από 500.000 physical qubits σε λίγα λεπτά.

Το κρίσιμο στοιχείο του paper της Google είναι η επίδραση στο Bitcoin. Ο αλγόριθμος Shor μπορεί να "προετοιμαστεί" εκ των προτέρων, δηλαδή το πρώτο μισό της υπολογιστικής διαδικασίας, που εξαρτάται μόνο από σταθερές παραμέτρους της καμπύλης, μπορεί να υπολογιστεί εκ των προτέρων. Μόλις αποκαλυφθεί ένα συγκεκριμένο public key, η υπόλοιπη υπολογιστική διαδικασία διαρκεί περίπου εννέα λεπτά. Ο μέσος χρόνος ανά block στο Bitcoin είναι δέκα λεπτά. Υπό ιδανικές συνθήκες, η Google εκτιμά πιθανότητα περίπου 41% ένας primed quantum computer να εξάγει ένα private key πριν επιβεβαιωθεί μια Bitcoin συναλλαγή. Παρόλα αυτά, αυτά τα στοιχεία προϋποθέτουν ένα μοντέλο ευνοϊκό για τον επιτιθέμενο: ένα μόνο signature ως στόχο, γρήγορη διάδοση public key, και καμία προστασία σε επίπεδο δικτύου. Περιγράφουν θεωρητική δυνατότητα υπό ιδανικές συνθήκες, όχι επιχειρησιακή βεβαιότητα.

Zero-knowledge proof αντί για δημοσίευση circuits: μια νέα πολιτική disclosure

Σε μια κίνηση που έχει προκαλέσει αντιπαράθεση στους κύκλους της ασφάλειας, η Google δεν δημοσιοποίησε τον αλγόριθμο. Αντ' αυτού, δημοσίευσε έναν λεγόμενο zero-knowledge proof, ο οποίος επιτρέπει σε εξωτερικούς ερευνητές να επαληθεύσουν τον αλγόριθμο χωρίς να μάθουν πώς λειτουργεί. Σύμφωνα με τους ερευνητές, αυτή η επιλογή οφείλεται στο ότι "η πρόοδος στο quantum computing έχει φτάσει σε σημείο όπου είναι συνετό να σταματήσουμε να δημοσιεύουμε λεπτομέρειες βελτιωμένης quantum κρυπτανάλυσης, για να αποφύγουμε κακή χρήση." Κριτική, όμως, δεν άργησε να εμφανιστεί. Ο Matt Green, καθηγητής κρυπτογραφίας στο Johns Hopkins University, δήλωσε χαρακτηριστικά ότι θεωρεί αλαρμιστική την εκτίμηση για άμεσο κίνδυνο ασφάλειας από αλγόριθμο που απαιτεί υπολογιστή που δεν υπάρχει ακόμη, και το χαρακτήρισε περισσότερο ως "PR trick" παρά ως σοβαρή ανησυχία.

Επίσης έντονη είναι η κριτική για τη στόχευση της Google αποκλειστικά στον χώρο των cryptocurrencies, αγνοώντας ευρύτερες εφαρμογές. Ο Brian LaMacchia, cryptography engineer που επέβλεψε τη μετάβαση της Microsoft στο post-quantum από το 2015 έως το 2022, δήλωσε ότι "ενώ τα CRQCs αποτελούν απειλή για blockchain-based τεχνολογίες, είναι απλώς ένα από τα πολλά συστήματα που πρέπει να μεταβούν γρήγορα σε post-quantum cryptography", εκφράζοντας έκπληξη για το γεγονός ότι η Google εστιάζει σε policy frameworks για προβλήματα μοναδικά στο cryptocurrency space αντί για τη γενική απειλή που ταυτόχρονα αφορά TLS, ψηφιακά πιστοποιητικά και κάθε σύστημα που χρησιμοποιεί public-key cryptography.

Το hardware gap: η απόσταση μεταξύ θεωρίας και πραγματικότητας

Τα αποτελέσματα αφορούν θεωρητικές εκτιμήσεις πόρων για μηχανήματα που δεν υπάρχουν ακόμη. Ο μεγαλύτερος superconducting quantum processor που έχει κατασκευαστεί μέχρι σήμερα είναι ο IBM Condor με 1.121 physical qubits (Δεκέμβριος 2023). Η IBM έχει από τότε απομακρυνθεί από τον αριθμό raw qubits ως μετρική, εστιάζοντας σε modular error-corrected αρχιτεκτονικές. Το Google Willow έχει 105 physical qubits (Δεκέμβριος 2024). Η επίθεση που περιγράφεται στο paper απαιτεί λιγότερα από 500.000 physical qubits υπό συγκεκριμένο μοντέλο, και ακόμα και ο Condor απέχει 446x από αυτό το κατώφλι, χωρίς να υλοποιεί την fault-tolerant error correction που η επίθεση προϋποθέτει. Ο τρέχων fault-tolerant roadmap της IBM στοχεύει περίπου 200 logical qubits έως το 2029 με το σύστημα Starling, πολύ κάτω από τα 1.200 έως 1.450 logical qubits που χρειάζεται η επίθεση.

Παρά το hardware gap, η Google έχει θέσει εσωτερική προθεσμία για το 2029 για τη δική της μετάβαση σε post-quantum cryptography, ένα σήμα με ιδιαίτερο βάρος δεδομένου ότι οι ίδιοι ερευνητές της Google παράγουν τις εκτιμήσεις που ορίζουν την απειλή. Σύμφωνα με τον ερευνητή του Ethereum Justin Drake, έναν εκ των συν-υπογραφόντων του paper της Google, υπάρχει τουλάχιστον 10% πιθανότητα ένας quantum computer να ανακτήσει ένα secp256k1 ECDSA private key έως το 2032. Ανεξάρτητα από τις διαφωνίες για το χρονοδιάγραμμα, οι περισσότερες blockchain τεχνολογίες και cryptocurrencies βασίζονται στο ECDLP-256 για κρίσιμες πτυχές της ασφάλειάς τους, και η μετάβαση σε post-quantum cryptography αντιπροσωπεύει έναν καλά κατανοητό δρόμο προς post-quantum blockchain ασφάλεια.