Το ClickFix εμφανίστηκε το 2024 και εξελίσσεται γρήγορα. Η ιδέα είναι απλή και καταστροφική. Ιστότοποι παρουσιάζουν ψεύτικες ειδοποιήσεις ή «επαληθεύσεις» και καθοδηγούν τον χρήστη να αντιγράψει και να επικολλήσει μια εντολή στο σύστημά του, συνήθως στο PowerShell ή στο Terminal. Με το πάτημα του Enter, κατεβαίνει και εκτελείται κακόβουλο φορτίο, χωρίς εμφανές αρχείο στον δίσκο, κάτι που δυσκολεύει την αυτόματη ανίχνευση.

Οι αλυσίδες επίθεσης ξεκινούν με ηλεκτρονικό ψάρεμα (phishing), κακόβουλες διαφημίσεις (malvertising) ή παραβιασμένους ιστότοπους. Οι σελίδες-δόλωμα μιμούνται σφάλματα σε Word και Chrome, ψεύτικες επαληθεύσεις Cloudflare ή reCAPTCHA και μηνύματα υπηρεσιών όπως το Discord. Το κρίσιμο σημείο είναι πως την εκτέλεση την κάνει ο ίδιος ο χρήστης, μειώνοντας την πιθανότητα έγκαιρης ανίχνευσης από EDR (Endpoint Detection and Response, συστήματα ανίχνευσης απειλών). Τα φορτία περιλαμβάνουν infostealers (προγράμματα κλοπής δεδομένων), εργαλεία απομακρυσμένης πρόσβασης και loaders (προγράμματα φόρτωσης κακόβουλου λογισμικού).

Οι δράστες αναβαθμίζουν διαρκώς τις τεχνικές εξαπάτησης. Προσθέτουν βίντεο οδηγιών, μετρητές «επαληθευμένων χρηστών» και αυτόματη ανίχνευση λειτουργικού, ώστε οι οδηγίες να προσαρμόζονται σε Windows, macOS ή Linux. Συχνά, JavaScript αντιγράφει αυτόματα την εντολή στο πρόχειρο για να περιοριστούν λάθη. Η διανομή ενισχύεται με δηλητηρίαση αποτελεσμάτων αναζήτησης (SEO poisoning), διαφημίσεις και επιθέσεις σε πρόσθετα WordPress, που οδηγούν μαζικά ανυποψίαστους χρήστες σε σελίδες προορισμού ClickFix.

Η στόχευση δεν περιορίζεται στα Windows. Υπάρχουν εκστρατείες για macOS με stealer payloads, καθώς και σενάρια που μιμούνται εταιρικές διαδικασίες επαλήθευσης. Σε οικιακά ή προσωπικά περιβάλλοντα ο κίνδυνος είναι άμεσος, επειδή οι σελίδες φαίνονται «νόμιμες» και δεν ζητούν λήψη εκτελέσιμου. Σε οργανισμούς, το ζήτημα κλιμακώνεται όταν προσωπικές συσκευές BYOD (Bring Your Own Device, προσωπικές συσκευές στην εργασία) μολυνθούν και συγχρονίσουν εταιρικά cookies ή διαπιστευτήρια. Επιπλέον, οι δράστες αξιοποιούν LOLBins (Living Off the Land Binaries, νόμιμα εργαλεία συστήματος) για να κρύβουν τη δραστηριότητά τους.

Τι κάνουμε στην πράξη. Υιοθετούμε κανόνα μηδενικής ανοχής: καμία εκτέλεση εντολής που προτείνεται από ιστοσελίδα. Κλείνουμε το tab, καθαρίζουμε το πρόχειρο και επανεκκινούμε τον browser. Αν έγινε ήδη εκτέλεση, αποσυνδέουμε το σύστημα από το δίκτυο και τρέχουμε έλεγχο με ενημερωμένα εργαλεία. Σε εταιρικό πλαίσιο, περιορίζουμε δικαιώματα σε τερματικά, εφαρμόζουμε πολιτικές για το PowerShell, παρακολουθούμε ενδείξεις κατάχρησης LOLBins και ενεργοποιούμε ελέγχους στον browser για ανίχνευση κακόβουλου copy-paste. Η εκπαίδευση χρηστών με ρεαλιστικά παραδείγματα ClickFix είναι απαραίτητη.

Το ClickFix είναι μια μέθοδος που μεταφέρει την εκτέλεση στον άνθρωπο και έτσι ξεφεύγει από τα αντίμετρα. Η κατανόηση της τακτικής και η πειθαρχία σε λίγους απλούς κανόνες μειώνουν δραστικά τον κίνδυνο.

Η Ars Technica αποκάλυψε ότι ιδιωτικές συνομιλίες χρηστών με το ChatGPT εμφανίστηκαν σε αναφορές του Google Search Console. Το ζήτημα ήρθε στο φως στις 8 Νοεμβρίου 2025 και προκάλεσε ανησυχία για την προστασία προσωπικών δεδομένων, καθώς ορισμένα αποσπάσματα ήταν ιδιαίτερα προσωπικά. Σύμφωνα με τον αναλυτή Jason Packer, που εντόπισε πρώτος τα «περίεργα» ερωτήματα, η διαρροή υποδηλώνει ότι το ChatGPT μετατρέπει προτροπές χρηστών σε πραγματικά ερωτήματα στη Google. Αυτά τα ερωτήματα καταγράφονται στη συνέχεια στα εργαλεία της Google για διαχειριστές ιστοσελίδων.

Η OpenAI απάντησε ότι επρόκειτο για σφάλμα που επηρέασε «μικρό αριθμό» προτροπών και έχει ήδη διορθωθεί. Η εξήγηση που προβάλλεται είναι ότι ο μηχανισμός του ChatGPT που μετατρέπει τις προτροπές σε ανώνυμες και ουδέτερες αναζητήσεις παρουσίασε δυσλειτουργία. Αυτό είχε ως αποτέλεσμα να στέλνονται στη Google αυτούσια τμήματα συνομιλιών. Αν ισχύει, οι διαχειριστές ιστοσελίδων μπορούσαν να βλέπουν στο Search Console ερωτήματα αναζήτησης που δεν ήταν απλές αναζητήσεις, αλλά κομμάτια διαλόγων. Αυτό εξηγεί γιατί πολλά παραδείγματα έμοιαζαν αμήχανα.

Το περιστατικό διαφέρει από εκείνο του Αυγούστου 2025, όταν χιλιάδες δημόσια κοινοποιημένες συνομιλίες ChatGPT είχαν ευρετηριαστεί από τη Google και εμφανίζονταν στα αποτελέσματα αναζήτησης. Τότε η OpenAI είχε αποδώσει την έκθεση σε ρυθμίσεις δημόσιας κοινοποίησης που είχαν επιλέξει οι ίδιοι οι χρήστες. Στην παρούσα περίπτωση δεν μιλάμε για δημόσιες σελίδες, αλλά για λογαριασμούς Search Console όπου εμφανίστηκαν φράσεις που φαίνεται να προήλθαν από ιδιωτικές προτροπές. Αυτό αναζωπυρώνει τα ερωτήματα για το πώς τα μεγάλα μοντέλα συνδυάζουν περιήγηση και αναζήτηση, καθώς και τι ίχνος δεδομένων αφήνουν σε τρίτα συστήματα.

Ο πρακτικός κίνδυνος δεν είναι θεωρητικός. Τα ερωτήματα αναζήτησης του Search Console μπορεί να περιλαμβάνουν ονόματα, τοποθεσίες, επαγγελματικά σχέδια ή ακόμη και ευαίσθητες πληροφορίες, όταν ο χρήστης «μιλά» ελεύθερα σε έναν συνομιλητή τεχνητής νοημοσύνης (chatbot). Αν αυτά περάσουν από τρίτα συστήματα, αποθηκεύονται για κάποιο διάστημα στη Google και προβάλλονται συγκεντρωτικά στους διαχειριστές. Η Ars Technica αναφέρει ότι η OpenAI διόρθωσε το πρόβλημα γρήγορα, όμως μένουν ανοιχτά ερωτήματα για την έκταση και την πρόληψη ανάλογων περιστατικών.

Για τους χρήστες, το συμπέρασμα είναι απλό: όταν μια προτροπή απαιτεί αναζήτηση στο διαδίκτυο, συμπεριφερθείτε σαν να μπορεί να φτάσει σε τρίτα συστήματα. Αποφύγετε πλήρη ονόματα, ακριβείς διευθύνσεις ή επιχειρηματικά μυστικά. Για τους διαχειριστές ιστοσελίδων, αξίζει ένας έλεγχος των πρόσφατων ερωτημάτων στο Search Console. Αν εντοπιστούν μη φυσιολογικές εγγραφές, κρατήστε στιγμιότυπα, περιορίστε την πρόσβαση και ενημερώστε διαφανώς τους χρήστες σας.

Σε επίπεδο αγοράς, το περιστατικό επαναφέρει τη συζήτηση για καταγραφή, ανωνυμοποίηση και σχεδιασμό με αρχές ελαχιστοποίησης των δεδομένων που συλλέγονται. Ακόμη και αν πρόκειται για σπάνιο σφάλμα, η λογοδοσία και οι σαφείς τεχνικοί έλεγχοι θα κρίνουν πόσο γρήγορα μπορεί να αποκατασταθεί η εμπιστοσύνη.

Η AMD επιβεβαίωσε ζήτημα στην εντολή RDSEED (Random Seed — εντολή παραγωγής αρχικών τιμών τυχαιότητας από το hardware) των επεξεργαστών Zen 5, με αναφορά AMD-SB-7055, CVE-2025-62626 (κωδικός ευπάθειας), CVSS 7.2 — High (υψηλή σοβαρότητα). Υπό ορισμένες συνθήκες, η RDSEED επιστρέφει 0 με CF=1 (η σημαία επιτυχίας είναι ενεργή), κάτι που συνιστά εσφαλμένο χειρισμό αποτυχίας και μπορεί να οδηγήσει σε χρήση ανεπαρκώς τυχαίων τιμών σε κρυπτογραφικές ροές. Το θέμα αναφέρθηκε δημόσια στο LKML (Linux Kernel Mailing List) και όχι μέσω της διαδικασίας CVD (Coordinated Vulnerability Disclosure — συντονισμένη αποκάλυψη ευπαθειών) της AMD. Η εταιρεία διευκρινίζει ότι επηρεάζονται οι μορφές 16-bit και 32-bit της εντολής, ενώ η 64-bit δεν επηρεάζεται.

Στο επίπεδο προϊόντων, επηρεάζονται όλες οι σειρές με πυρήνες Zen 5: EPYC 9005, Ryzen 9000 (desktop), Ryzen 9000HX, Ryzen AI 300, Ryzen AI Max 300, Ryzen Z2 Series (Z2, Z2 Extreme), Ryzen Threadripper 9000 και Threadripper PRO 9000 WX, καθώς και οι embedded πλατφόρμες EPYC Embedded 9005/4005 και Ryzen Embedded 9000. Οι διορθώσεις θα διανεμηθούν στους κατασκευαστές ως microcode και μέσω BIOS/AGESA (πλατφόρμα προσαρμογής firmware της AMD). Σύμφωνα με τον προγραμματισμό της AMD, στόχος είναι: EPYC 9005 με microcode από τα τέλη Οκτωβρίου και AGESA γύρω στις 14 Νοεμβρίου 2025, οι καταναλωτικές σειρές (Ryzen 9000/9000HX, AI 300/Max 300, Z2/Extreme, Threadripper 9000/PRO 9000 WX) έως τα τέλη Νοεμβρίου 2025, ενώ για τις embedded εκδόσεις προβλέπεται Ιανουάριος 2026. Ο ακριβής χρόνος διάθεσης προς τους τελικούς χρήστες εξαρτάται από τους OEM (κατασκευαστές συστημάτων) και τους προμηθευτές μητρικών που θα ενσωματώσουν τις νέες εκδόσεις BIOS.

Μέχρι να εγκατασταθούν οι τελικές διορθώσεις, η AMD προτείνει προσωρινές λύσεις: χρήση της 64-bit RDSEED που δεν επηρεάζεται, απόκρυψη της δυνατότητας RDSEED μέσω CPUID (αναγνωριστικό χαρακτηριστικών επεξεργαστή, π.χ. clearcpuid=rdseed στη γραμμή εκκίνησης ή ισοδύναμη ρύθμιση σε VM), και χειρισμό της τιμής 0 ως αποτυχία με νέα προσπάθεια (επανάληψη) όπως όταν CF=0. Οι προσεγγίσεις αυτές μειώνουν την πιθανότητα να περάσουν αρχικές τιμές (seed) χαμηλής ποιότητας προς βιβλιοθήκες/στοίβες που βασίζονται άμεσα στη RDSEED.

Η αναπαραγωγή του προβλήματος τεκμηριώθηκε δημόσια από μηχανικό της Meta: σε σενάρια έντονου φόρτου όπου νήματα καλούν επανειλημμένα την RDSEED ενώ άλλο νήμα καταναλώνει περίπου 90% της μνήμης, παρατηρήθηκε αυξημένη συχνότητα του συμβάντος (τιμή=0, CF=1) σε διαφορετικά μοντέλα Zen 5, οδηγώντας την κοινότητα του Linux σε προληπτική απενεργοποίηση της δυνατότητας μέχρι να φτάσουν οι επίσημες ενημερώσεις firmware. Ιστορικά, αντίστοιχα προσωρινά μέτρα έχουν εφαρμοστεί και σε παλαιότερες σειρές AMD (π.χ. σε συγκεκριμένες APU Zen 2), επομένως αναμένεται παρόμοια μεταβατική στάση από διανομές/λειτουργικά έως ότου ολοκληρωθεί ο κύκλος ενημερώσεων BIOS.

Σε περιβάλλοντα με έντονο κρυπτογραφικό φόρτο, λειτουργίες τύπου HSM (Hardware Security Module — μονάδες ασφαλείας υλικού), confidential computing (εμπιστευτικοί υπολογισμοί) ή υπηρεσίες που απαιτούν υψηλή ποιότητα εντροπίας, συνίσταται: συχνός έλεγχος για νέες εκδόσεις BIOS/AGESA, αξιολόγηση και —όπου είναι εφικτό— ενεργοποίηση των προσωρινών λύσεων, και στενή παρακολούθηση των ενημερώσεων από τους προμηθευτές λογισμικού, καθώς οι στοιβές TLS/κρυπτογραφίας ενδέχεται να προσαρμόσουν προσωρινά την πολιτική χρήσης της RDSEED. Στα περισσότερα consumer σενάρια δεν απαιτούνται ενέργειες πέρα από την εγκατάσταση του επικείμενου BIOS, αλλά τα επαγγελματικά/server περιβάλλοντα καλό είναι να κινηθούν προληπτικά.

Η TeamGroup παρουσίασε τον P250Q-M80, έναν δίσκο M.2 2280 NVMe (PCIe 4.0 x4) που ενσωματώνει σύστημα «Έξυπνης Διπλής Καταστροφής Δεδομένων» (Intelligent Dual-Mode Data Destruction). Με σύντομη πίεση του διακόπτη (5–10 δευτερόλεπτα) εκτελείται διαγραφή λογισμικού, ώστε ο δίσκος να παραμένει επαναχρησιμοποιήσιμος. Με παρατεταμένη πίεση άνω των 10 δευτερολέπτων ενεργοποιείται κύκλωμα υπέρτασης που καταστρέφει φυσικά τα τσιπ NAND (τη μνήμη flash του δίσκου), οδηγώντας σε οριστική απώλεια δεδομένων και μέσου. Η διαδικασία συνεχίζεται αδιάκοπα ακόμη κι αν διακοπεί προσωρινά η τροφοδοσία: μόλις το ρεύμα επανέλθει, η καταστροφή ολοκληρώνεται αυτόματα.

Οι επιδόσεις φτάνουν έως 7 000 MB/s ανάγνωση και 5 500 MB/s εγγραφή, με χωρητικότητες από 256 GB έως 2 TB και μνήμη 3D TLC NAND (τριπλής στοίβαξης). Ο δίσκος είναι χωρίς μνήμη DRAM (προσωρινή μνήμη cache) και υποστηρίζει S.M.A.R.T. (παρακολούθηση υγείας) και TRIM (βελτιστοποίηση απόδοσης). Η TeamGroup αναφέρει MTBF (μέσο χρόνο μεταξύ βλαβών) άνω των 3 εκατ. ωρών, καθώς και στρατιωτικές πιστοποιήσεις MIL-STD-810G και 202G για αντοχή σε δονήσεις και κραδασμούς. Το εύρος θερμοκρασιών αποθήκευσης φτάνει από −55 °C έως +95 °C, ενώ το κύκλωμα καταστροφής καλύπτεται από ταϊβανέζικη χρηστική πατέντα (No. M662727).

Η στόχευση είναι ξεκάθαρη: περιβάλλοντα όπου η άμεση καταστροφή ευαίσθητων δεδομένων αποτελεί πρώτη προτεραιότητα. Τέτοια παραδείγματα είναι στρατιωτικές αποστολές, βιομηχανικά συστήματα λειτουργικής τεχνολογίας (OT), υποδομές υπολογιστικής στο άκρο του δικτύου (edge computing) και φορητές συσκευές που ενδέχεται να κατασχεθούν. Η ενσωμάτωση του μηχανισμού στο ίδιο το μέσο μειώνει χρόνους και εξάρτηση από εξωτερικά εργαλεία, επιτρέποντας άμεση αντίδραση σε κρίσιμες καταστάσεις. Ωστόσο, η «σκληρή» μέθοδος συνεπάγεται οριστική καταστροφή του δίσκου, ενώ ο φυσικός διακόπτης απαιτεί αυστηρές διαδικασίες ώστε να αποφεύγονται ακούσιες ενεργοποιήσεις και να διασφαλίζεται συμμόρφωση με τα πρωτόκολλα ασφαλείας.

Παρόμοιοι μηχανισμοί διαγραφής έκτακτης ανάγκης (panic erase) χρησιμοποιούνται εδώ και χρόνια σε εξοπλισμό υψηλής ασφάλειας, αλλά η P250Q-M80 μεταφέρει τη λογική αυτή σε τυπική μορφή M.2 με σύγχρονες επιδόσεις. Για τους οικιακούς χρήστες, αντίθετα, μια καλή κρυπτογράφηση πλήρους δίσκου και διαγραφή κρυπτογραφικού κλειδιού (crypto-erase) είναι πιο ασφαλείς και οικονομικές λύσεις, χωρίς τον κίνδυνο φυσικής καταστροφής του υλικού. Η TeamGroup δεν έχει ανακοινώσει ακόμη διαθεσιμότητα ή τιμές στην καταναλωτική αγορά, γεγονός που ενισχύει ότι πρόκειται για προϊόν καθαρά βιομηχανικού χαρακτήρα.

Ερευνητές παρουσίασαν την «Pixnapping», μια τεχνική που επιτρέπει σε κακόβουλες εφαρμογές να αποσπούν ευαίσθητα δεδομένα απευθείας από την οθόνη συσκευών Android—από κωδικούς δύο παραγόντων έως μηνύματα και ιστορικό τοποθεσίας. Η επίθεση αξιοποιεί συνδυασμό API του Android και ένα χρονικό πλευρικό κανάλι (timing side-channel) που συνδέεται με συμπίεση γραφικών στην GPU («GPU.zip»), ώστε να ανακτά την τιμή μεμονωμένων εικονοστοιχείων άλλων εφαρμογών. Σε δοκιμές, οι ερευνητές ανέγνωσαν κωδικούς του Google Authenticator σε λιγότερο από 30 δευτερόλεπτα, χωρίς δικαιώματα πρόσβασης από τον χρήστη.

Το σενάριο λειτουργεί σε σύγχρονες συσκευές με Android 13–16. Μια κακόβουλη εφαρμογή μπορεί να ανοίγει άλλες εφαρμογές-στόχους μέσω intents (εντολών αλληλεπίδρασης) και να τοποθετεί πάνω τους ημιδιαφανείς δραστηριότητες με εφέ θόλωσης (blur). Μετρώντας μικρές καθυστερήσεις κατά την εφαρμογή του θολώματος (blur)—οι οποίες εξαρτώνται από το χρώμα κάθε εικονοστοιχείου—η εφαρμογή συμπεραίνει το περιεχόμενο που προβάλλεται από τα «κάτω» παράθυρα (π.χ. Google Accounts, Gmail, Signal, Venmo, Google Maps, Google Messages, Google Authenticator). Εντυπωσιακό είναι ότι το αποδεικτικό πρωτότυπο (proof-of-concept) λειτουργεί χωρίς να δηλώνει καμία άδεια στο manifest.

Η Google έχει αποδώσει το ζήτημα ως ευπάθεια ασφαλείας και ενσωμάτωσε αλλαγές στη σειρά ενημερώσεων ασφαλείας του Σεπτεμβρίου. Καθώς οι ερευνητές εντόπισαν εφικτό τρόπο παράκαμψης (workaround), προγραμματίζεται πρόσθετη διόρθωση για την ενημέρωση Δεκεμβρίου. Μέχρι στιγμής δεν υπάρχουν ενδείξεις ενεργής εκμετάλλευσης στην πράξη.

Στο χρονικό των εξελίξεων, η δημοσιοποίηση έγινε στα μέσα Οκτωβρίου, με τα τεχνικά μέσα να αναδεικνύουν τόσο το υπόβαθρο της επίθεσης όσο και τις συνέπειες για εφαρμογές πιστοποίησης και ανταλλαγής μηνυμάτων. Το κρίσιμο σημείο: η Pixnapping δεν παραβιάζει το ίδιο το πρωτόκολλο πιστοποίησης δύο παραγόντων· υποκλέπτει ό,τι εμφανίζεται στην οθόνη.

Τι να κάνουν οι χρήστες έως το πλήρες patch: να διατηρούν ενεργό το Play Protect, να αποφεύγουν εγκαταστάσεις από άγνωστες πηγές και να εφαρμόζουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας (Σεπτεμβρίου, Οκτωβρίου και, όταν διατεθεί, Δεκεμβρίου). Για κρίσιμους λογαριασμούς, όπου είναι εφικτό, να προτιμώνται ισχυρότεροι άλλοι παράγοντες ταυτοποίησης που δεν εμφανίζουν μυστικά στην οθόνη, όπως passkeys ή υλικά κλειδιά ασφαλείας (FIDO security keys).

Η πρόσβαση σε μεγάλες πλατφόρμες gaming —μεταξύ των οποίων Steam, PlayStation Network, Riot Games και Epic Games— παρουσίασε έντονες διακοπές και καθυστερήσεις το βράδυ της 6ης Οκτωβρίου (ώρα Ελλάδας) και έως το απόγευμα της 7ης Οκτωβρίου. Οι αιχμές αναφορών σε υπηρεσίες παρακολούθησης βλαβών συνέπεσαν χρονικά, τροφοδοτώντας την εκτίμηση για συντονισμένη επίθεση DDoS σε πολλαπτούς παρόχους. Η Valve δεν έχει αποδώσει επίσημη αιτία, αλλά τόσο ειδησεογραφικά μέσα όσο και αναλυτές κυβερνοασφάλειας συγκλίνουν ότι πρόκειται για επίθεση διασποράς υπηρεσίας, με την Riot να αναγνωρίζει «προβλήματα αποσύνδεσης» και να λαμβάνει μέτρα, όπως προσωρινή απενεργοποίηση ranked ουρών.

Σύμφωνα με ζωντανές καλύψεις, το Steam εμφάνισε εκτεταμένη δυσλειτουργία στις 7 Οκτωβρίου με αδυναμία πρόσβασης στο Store, στο Community και στα Web API, πριν επανέλθει σταδιακά. Οι αναφορές σε Downdetector και ανεπίσημα status pages κατέγραψαν δεκάδες χιλιάδες σήματα βλάβης σε σύντομο χρονικό διάστημα, στοιχείο που ενισχύει το σενάριο δικτυακού κορεσμού (volumetric DDoS).

Η ταυτόχρονη όξυνση βλαβών σε πολλαπλές πλατφόρμες οδήγησε την κοινότητα ασφάλειας να εστιάσει στο botnet Aisuru, ένα δίκτυο μολυσμένων συσκευών IoT (δρομολογητές, κάμερες κ.ά.) που έχει τεκμηριωθεί από την Qianxin XLab ήδη από τον Αύγουστο του 2024, όταν συμμετείχε σε μεγάλης κλίμακας πλήγματα εναντίον υποδομών του Steam κατά το λανσάρισμα του Black Myth: Wukong. Νεότερη τεχνική σύνοψη (Σεπτέμβριος 2025) περιγράφει την εξέλιξη του Aisuru και την υιοθέτηση επιθέσεων τύπου TCP “carpet bombing”.

Ισχυρισμοί από εταιρείες μετριασμού DDoS και ανεξάρτητους παρατηρητές αναφέρουν αιχμή κίνησης έως 29,69 Tbps για το κύμα της 6ης–7ης Οκτωβρίου — αριθμός που, αν επιβεβαιωθεί, θα ξεπερνούσε το πρόσφατο καταγεγραμμένο ρεκόρ των ~22 Tbps. Ωστόσο, μέχρι στιγμής δεν υπάρχει επίσημη τεχνική επιβεβαίωση για το 29,69 Tbps από τους παρόχους που επηρεάστηκαν ή μεγάλες πλατφόρμες άμυνας· το μόνο τεκμηριωμένο δημοσίευμα-ρεκόρ που έχει αναγνωριστεί δημόσια τις τελευταίες εβδομάδες παραμένει αυτό των ~22 Tbps (Cloudflare-cited incident). Επομένως, το 29,69 Tbps πρέπει να αντιμετωπίζεται ως ανεπιβεβαίωτη εκτίμηση.

Ανεξαρτήτως του απόλυτου όγκου, η εικόνα που διαμορφώνεται είναι συμβατή με υπερ-ογκομετρική (hyper-volumetric) επίθεση, όπου «σκουπίδια» TCP πακέτων κατανέμονται ευρέως σε υποδίκτυα («carpet bomb») ώστε να παρακάμπτουν τα παραδοσιακά φίλτρα που εστιάζουν σε μεμονωμένους προορισμούς. Σε τέτοιες περιπτώσεις, η υποδομή μπορεί να παραμένει λειτουργική αλλά οι νόμιμες αιτήσεις (logins, cloud sync, store) να αποτυγχάνουν λόγω κορεσμού ενδιάμεσων δικτυακών σημείων.

Για τους χρήστες, οι ενέργειες περιορίζονται σε αναμονή αποκατάστασης και σε μέτρα υγιεινής ασφάλειας: ενεργοποίηση 2FA, αποφυγή κλικ σε ύποπτες «ειδοποιήσεις βλάβης», και ενημέρωση συσκευών οικιακού δικτύου (router, κάμερες, DVR) — οι οποίες συχνά στρατολογούνται στα botnets όταν παραμένουν χωρίς ενημερώσεις.

Πλαίσιο και επόμενα βήματα

Η Valve, η Sony και οι υπόλοιποι πάροχοι δεν έχουν εκδώσει ως τώρα πλήρη τεχνική αποτίμηση για το επεισόδιο της 6ης–7ης Οκτωβρίου. Με δεδομένη την ταυτόχρονη έναρξη/λήξη πολλών διακοπών και τις ενδείξεις «διασύνδεσης» με προηγούμενες επιχειρήσεις του Aisuru, το πιθανότερο σενάριο είναι μια πολυεστιακή, συντονισμένη καμπάνια DDoS. Μέχρι να δημοσιευθούν απολογιστικά στοιχεία (bandwidth, vectors, επιπτώσεις ανά ASN/περιοχή), η αιχμή 29,69 Tbps παραμένει μη επιβεβαιωμένη, ενώ το μόνο πρόσφατα επιβεβαιωμένο ανώτατο μέγεθος από αξιόπιστη πηγή είναι τα ~22 Tbps σε ξεχωριστό περιστατικό.

Η πλατφόρμα επικοινωνίας Discord ανακοίνωσε περιστατικό ασφαλείας που προκλήθηκε από παραβίαση σε τρίτο πάροχο υπηρεσιών υποστήριξης πελατών, εκθέτοντας δεδομένα περίπου 70.000 χρηστών που είχαν επικοινωνήσει με τις ομάδες Customer Support ή Trust & Safety. Σύμφωνα με τη σχετική ανακοίνωση, τα εσωτερικά συστήματα της Discord δεν υπέστησαν παραβίαση, ενώ τα περισσότερα δεδομένα των χρηστών παραμένουν ασφαλή.

Το περιστατικό αφορούσε εξωτερικό συνεργάτη που διαχειρίζεται αιτήματα υποστήριξης, στον οποίο εισχώρησαν κακόβουλοι παράγοντες που απέκτησαν πρόσβαση σε αρχεία επικοινωνίας και συνημμένα έγγραφα. Τα στοιχεία που ενδέχεται να έχουν εκτεθεί περιλαμβάνουν ονόματα, usernames, emails, ορισμένες πληροφορίες τιμολόγησης (όπως τύπο πληρωμής και τα τελευταία τέσσερα ψηφία καρτών), καθώς και αντίγραφα κρατικών εγγράφων ταυτοποίησης που είχαν σταλεί για επιβεβαίωση ταυτότητας.

Η Discord διευκρινίζει ότι δεν παραβιάστηκαν κωδικοί πρόσβασης, μηνύματα, συνομιλίες ή στοιχεία αυθεντικοποίησης των λογαριασμών, ούτε αποθηκευμένοι αριθμοί καρτών ή CVV. Η επίδραση περιορίζεται αποκλειστικά στα δεδομένα που υποβλήθηκαν στο πλαίσιο αιτημάτων υποστήριξης.

Με την ανίχνευση του περιστατικού, η εταιρεία ανακάλεσε άμεσα την πρόσβαση του τρίτου παρόχου στα συστήματα ticketing και ανέθεσε έρευνα σε εξειδικευμένη εταιρεία ψηφιακής εγκληματολογίας, ενώ συνεργάζεται με τις αρμόδιες αρχές για τη διερεύνηση της υπόθεσης. Παράλληλα, έχει ξεκινήσει αποστολή ειδοποιήσεων μέσω email προς τους επηρεαζόμενους χρήστες, αποκλειστικά από τη διεύθυνση noreply@discord.com, προειδοποιώντας για ενδεχόμενες απόπειρες phishing ή παραπλανητικής επικοινωνίας.

Η Discord σημειώνει ότι ενισχύει τις πολιτικές ελέγχου και εποπτείας των εξωτερικών συνεργατών της, ενώ θα πραγματοποιήσει πλήρη αξιολόγηση κινδύνου (risk assessment) για τη θωράκιση των μελλοντικών συνεργασιών. Το περιστατικό υπογραμμίζει, σύμφωνα με ειδικούς ασφαλείας, τη σημασία της διαχείρισης κινδύνων τρίτων (third-party risk management), καθώς ακόμα και οι εταιρείες με ισχυρές εσωτερικές δομές ασφάλειας μπορούν να επηρεαστούν από αδύναμους κρίκους στην εφοδιαστική τους αλυσίδα.

Η εταιρεία διαβεβαιώνει ότι παραμένει προσηλωμένη στη διαφάνεια και την προστασία των δεδομένων των χρηστών, τονίζοντας πως δεν υπάρχει ανάγκη αλλαγής κωδικού ή αναστολής λογαριασμού, εκτός εάν ο χρήστης λάβει την επίσημη ειδοποίηση. Ωστόσο, προτρέπει όλους να παρακολουθούν τις ηλεκτρονικές τους επικοινωνίες για ύποπτα μηνύματα και να επαληθεύουν πάντα την αυθεντικότητα των αποστολέων.

Η υπόθεση αποτελεί μία ακόμη υπενθύμιση ότι, στην εποχή της τεχνητής νοημοσύνης και της συνεχούς διασύνδεσης, η ασφάλεια δεν είναι μόνο τεχνικό ζήτημα, αλλά και θέμα εταιρικής αλυσίδας εμπιστοσύνης — όπου κάθε κρίκος μετρά.

Μια νέα, ανησυχητική μορφή απάτης έχει αρχίσει να εμφανίζεται σε πόλεις ανά τον κόσμο. Ομάδες κυβερνοεγκληματιών χρησιμοποιούν φορητές συσκευές που μιμούνται σταθμούς βάσης κινητής τηλεφωνίας για να στέλνουν μαζικά παραπλανητικά SMS σε όσους βρίσκονται κοντά. Οι «SMS blasters», όπως περιγράφονται στη διεθνή δημοσιογραφία και τις ανακοινώσεις αρχών, μπορούν να αναγκάσουν τα τηλέφωνα να υποβιβαστούν από 4G/5G σε 2G, ένα δίκτυο με πολύ πιο χαλαρούς και παρωχημένους μηχανισμούς ασφάλειας. Έτσι τα μηνύματα παραδίδονται απευθείας, παρακάμπτοντας τα φίλτρα που εφαρμόζουν οι πάροχοι. Πρόκειται για νέα παραλλαγή του λεγόμενου smishing (SMS phishing), της συχνότερης μεθόδου εξαπάτησης με SMS που εκμεταλλεύεται την εμπιστοσύνη των χρηστών για να αποσπάσει στοιχεία τραπεζικών λογαριασμών ή κωδικούς.

Οι συσκευές αυτές εκπέμπουν σαν «ψεύτικος» σταθμός βάσης (cell-site simulator) και προσελκύουν τα κινητά στη μικρή εμβέλειά τους. Μόλις ένα τηλέφωνο «δέσει» στον ψεύτικο σταθμό, ο μηχανισμός μπορεί να επιβάλει τη χρήση 2G και να στείλει SMS χωρίς να χρειάζεται το τυπικό routing μέσω του κεντρικού δικτύου του παρόχου, όπου συνήθως εφαρμόζονται φίλτρα και κανόνες ανίχνευσης απάτης. Σε περιστατικά που καταγράφηκαν διεθνώς, ο ρυθμός αποστολής έφτασε δεκάδες χιλιάδες μηνύματα την ώρα, χωρητικότητα που καθιστά την τεχνική ιδιαίτερα αποδοτική για μαζικό smishing. Οι συσκευές θυμίζουν τα γνωστά IMSI catchers ή Stingrays που χρησιμοποιούνταν για παρακολούθηση, με κρίσιμη όμως διαφορά: αντί να συλλέγουν δεδομένα, «βομβαρδίζουν» με SMS. Τα πιο προηγμένα cell-site simulators μπορούν μάλιστα να λειτουργούν και σε 4G/5G φάσμα, επεκτείνοντας ακόμη περισσότερο τις δυνατότητές τους σε σχέση με τα παραδοσιακά Stingrays του 2G.

Οι φορητές μονάδες που χρησιμοποιούνται είναι μικρές, μπορούν να κρυφτούν σε αυτοκίνητα ή σακίδια και να λειτουργήσουν για περιορισμένο χρόνο σε συγκεκριμένες ζώνες. Αυτό δυσκολεύει τον εντοπισμό τους με στατικό εξοπλισμό ανάλυσης φάσματος. Επειδή δεν στέλνουν απαραίτητα τα SMS μέσω των υποδομών των παρόχων, τα αρχεία καταγραφής (logs) που βοηθούν στην έρευνα μπορεί να είναι ελλιπή ή να μην αποτυπώνουν την πλήρη εικόνα. Η αντιμετώπιση απαιτεί τεχνική συνεργασία παρόχων με ρυθμιστικές αρχές (όπως η ΕΕΤΤ στην Ελλάδα ή η Ofcom στο Ηνωμένο Βασίλειο) και με μονάδες δίωξης ηλεκτρονικού εγκλήματος, καθώς και χρήση εξειδικευμένων εργαλείων ανίχνευσης ψεύτικων σταθμών. Σε αρκετές περιπτώσεις έχουν ήδη γίνει κατασχέσεις εξοπλισμού και συλλήψεις, ενώ ερευνητικές ομάδες και ανεξάρτητοι developers δουλεύουν σε λύσεις που θα ειδοποιούν σε πραγματικό χρόνο όταν μια συσκευή συνδέεται σε ύποπτο σταθμό.

Τι μπορεί να κάνει ο χρήστης σήμερα; Η πιο άμεση άμυνα είναι να αποτρέψει το τηλέφωνο από το να «κατέβει» σε 2G, όπου είναι εφικτό. Στα iPhone αυτό γίνεται από τις Ρυθμίσεις, στην ενότητα «Κινητά» > «Επιλογές δεδομένων κινητής» και επιλογή «LTE» ή «5G» για φωνή και δεδομένα αντί για 2G. Στα Android η διαδρομή ποικίλλει ανά κατασκευαστή, αλλά συνήθως βρίσκεται στις «Ρυθμίσεις» > «Συνδέσεις» > «Κινητά δίκτυα» ή «Προτιμώμενος τύπος δικτύου», όπου μπορεί να επιλεγεί «4G/5G μόνο». Σε πολλές συσκευές Samsung, η επιλογή εμφανίζεται στο Settings > Connections > Mobile networks > Network mode. Σημαντικό να σημειωθεί ότι οι περισσότερες κλήσεις και δεδομένα σήμερα τρέχουν σε 4G/5G, επομένως η απενεργοποίηση του 2G δεν επηρεάζει την καθημερινή χρήση. Ωστόσο, δεν επιτρέπουν όλα τα μοντέλα ή όλα τα δίκτυα την πλήρη απενεργοποίηση· σε ορισμένα τηλέφωνα η ρύθμιση είναι κρυφή ή ανύπαρκτη.

Οι πάροχοι κινητής συνεργάζονται ήδη με τράπεζες και ρυθμιστικές αρχές για να φιλτράρουν SMS με ύποπτους συνδέσμους, ώστε να περιορίζεται η εξάπλωση του smishing. Στην Ελλάδα την εποπτεία έχει η ΕΕΤΤ, ενώ σε ευρωπαϊκό επίπεδο η Europol και η ENISA συντονίζουν δράσεις. Παράλληλα, οι μονάδες δίωξης ηλεκτρονικού εγκλήματος διεθνώς στηρίζουν επιχειρήσεις εντοπισμού και κατάσχεσης εξοπλισμού. Η συνεργασία αυτή είναι κρίσιμη, γιατί οι φορητές κεραίες δύσκολα ανιχνεύονται χωρίς συντονισμένες επιχειρήσεις.

Η τεχνική των SMS blasters αναδεικνύει πόσο ευάλωτη παραμένει μια βασική λειτουργία όπως το SMS, που στηρίζεται ακόμη σε πρωτόκολλα δεύτερης γενιάς. Για τον χρήστη, η προστασία μπορεί να είναι απλή: απενεργοποιήστε το 2G αν υπάρχει η δυνατότητα, αποφύγετε την αλληλεπίδραση με ύποπτους συνδέσμους και προωθήστε τα παραπλανητικά SMS στον πάροχο. Μακροπρόθεσμα όμως, μόνο η στενότερη συνεργασία μεταξύ παρόχων, τεχνικής κοινότητας και αρχών, καθώς και η πλήρης απόσυρση του 2G, μπορεί να μειώσει ουσιαστικά τον κίνδυνο.

Η ερευνητική ομάδα του ETH Zürich σε συνεργασία με τη Google παρουσίασε την επίθεση Phoenix RowHammer, μια νέα παραλλαγή που εκμεταλλεύεται αδυναμίες στον τρόπο ανανέωσης των σειρών μνήμης DDR5. Η επίθεση απέδειξε ότι δεκαπέντε διαφορετικά δείγματα DIMMs της SK Hynix παρουσίασαν bit flips, παρά το γεγονός ότι διέθεταν μηχανισμούς προστασίας όπως On-Die ECC και Target Row Refresh. Το γεγονός αυτό καταρρίπτει την εντύπωση ότι οι νέες τεχνολογίες της DDR5 μπορούν από μόνες τους να αποτρέψουν το φαινόμενο RowHammer.

Σε τεχνικό επίπεδο, το RowHammer βασίζεται στην έντονη και επαναλαμβανόμενη ενεργοποίηση συγκεκριμένων σειρών μνήμης, με αποτέλεσμα να προκαλείται εκφόρτιση σε γειτονικές σειρές και αναστροφή bit. Η DDR5 είχε σχεδιαστεί ώστε να το αντιμετωπίζει μέσω On-Die ECC, το οποίο διορθώνει σφάλματα ενός bit, και μέσω ενισχυμένων μηχανισμών TRR που ανανεώνουν αυτόματα γειτονικές σειρές. Ωστόσο, ο Phoenix εκμεταλλεύεται το γεγονός ότι οι μετρητές ενεργοποιήσεων και οι χρονισμοί του refresh δεν καλύπτουν όλες τις παραλλαγές πρόσβασης. Έτσι, τα crafted μοτίβα πρόσβασης που χρησιμοποίησαν οι ερευνητές δημιούργησαν πολλαπλά bit flips τα οποία δεν μπορούσαν να διορθωθούν από τον ECC και ξέφυγαν από τον έλεγχο του TRR.

Η σοβαρότητα του ευρήματος φαίνεται από το ότι, με τις εργοστασιακές ρυθμίσεις, η ομάδα κατάφερε να αποκτήσει root πρόσβαση σε ένα σύστημα σε μόλις εκατόν εννέα δευτερόλεπτα. Οι ερευνητές πρότειναν ως προσωρινό μέτρο την τριπλή αύξηση του ρυθμού ανανέωσης της μνήμης, κάτι που στα εργαστήρια απέτρεψε την εμφάνιση bit flips. Η λύση αυτή, αν και πρακτική, έχει κόστος: αυξάνει σημαντικά την κατανάλωση ενέργειας και μπορεί να μειώσει την απόδοση σε εφαρμογές που εξαρτώνται έντονα από τη μνήμη.

Αξίζει να σημειωθεί ότι μέχρι στιγμής δεν έχουν δοκιμαστεί ακόμη DIMMs άλλων προμηθευτών όπως η Samsung ή η Micron. Οι ερευνητές, ωστόσο, υπογραμμίζουν ότι η ίδια αρχιτεκτονική DDR5 υπόκειται στους ίδιους φυσικούς περιορισμούς, επομένως δεν θεωρούν πως οι συγκεκριμένοι κατασκευαστές είναι «ανοσία» στην απειλή. Το Phoenix δείχνει να αφορά δομικό χαρακτηριστικό της τεχνολογίας και όχι αποκλειστικά τα προϊόντα της SK Hynix.

Η διαπίστωση αυτή έχει σοβαρές συνέπειες για τον σχεδιασμό συστημάτων. Η εξάρτηση αποκλειστικά από το On-Die ECC αποδεικνύεται ανεπαρκής, αφού καλύπτει μόνο απλά σφάλματα, ενώ τα πολλαπλά ή συνεχόμενα flips ξεφεύγουν. Το ίδιο ισχύει και για τους μηχανισμούς TRR, οι οποίοι δεν μπορούν να ανιχνεύσουν όλες τις χρονικές διαφοροποιήσεις. Για data centers και hyperscale περιβάλλοντα, όπου πολλές εικονικές μηχανές μοιράζονται τον ίδιο φυσικό χώρο μνήμης, η ύπαρξη μιας τέτοιας ευπάθειας σημαίνει ότι το ρίσκο privilege escalation είναι πλέον υπαρκτό και κρίσιμο.

Η μακροπρόθεσμη αντιμετώπιση δεν μπορεί να περιοριστεί σε firmware patches ή σε αύξηση του refresh rate. Οι κατασκευαστές θα πρέπει να εξετάσουν λύσεις σε επίπεδο αρχιτεκτονικής, όπως counters ενεργοποιήσεων ανά σειρά που θα επιβάλλουν ανανέωση όταν εντοπίζονται ύποπτα μοτίβα, ή άλλες καινοτομίες στο hardware που θα αποτρέπουν την ίδια τη δυνατότητα δημιουργίας bit flips. Μέχρι τότε, οι hyperscalers και οι integrators οφείλουν να ενσωματώσουν δοκιμές που λαμβάνουν υπόψη παραλλαγές όπως ο Phoenix στα validation labs για DDR5, ώστε να μη βασίζονται σε υποσχέσεις θεωρητικής προστασίας που αποδεικνύονται ανεπαρκείς.

Η αξιοπιστία της μνήμης είναι θεμέλιο για τον ψηφιακό μας κόσμο, από τα smartphones μέχρι τα κέντρα δεδομένων που στηρίζουν κρίσιμες υπηρεσίες. Η αποκάλυψη ότι ακόμη και τα πιο σύγχρονα DDR5 DIMMs δεν είναι άτρωτα υπενθυμίζει πως η τεχνολογική πρόοδος δεν συνεπάγεται αυτόματα και ασφάλεια. Η βιομηχανία καλείται να δράσει άμεσα, όχι απλώς για να προστατεύσει τους χρήστες από πιθανές κυβερνοεπιθέσεις, αλλά και για να διατηρήσει την εμπιστοσύνη σε μια βασική υποδομή της ψηφιακής εποχής.

Ένας 55χρονος προγραμματιστής, ο Davis Lu, καταδικάστηκε σε τέσσερα χρόνια φυλάκιση για σαμποτάζ στο δίκτυο Windows του πρώην εργοδότη του, με κακόβουλο λογισμικό και “kill switch” που κλείδωνε τους χρήστες όταν ο δικός του λογαριασμός απενεργοποιείτο. Ο Lu εργαζόταν στην Eaton Corporation από το 2007 έως την απόλυσή του το 2019· μετά από υποβάθμιση ρόλου το 2018, εισήγαγε κακόβουλο κώδικα στην παραγωγή, περιλαμβανομένου βρόχου άπειρων νημάτων σε Java που μπορούσε να “ρίχνει” servers. Η καταδίκη ακολούθησε ετυμηγορία ενόχου νωρίτερα μέσα στη χρονιά για “ηθελημένη πρόκληση ζημίας σε προστατευμένους υπολογιστές”, με τριετή επιτήρηση μετά την έκτιση της ποινής.

Ο “διακόπτης” που σχεδίασε ονομάστηκε IsDLEnabledinAD (Is Davis Lu enabled in Active Directory) και είχε ρυθμιστεί να κλειδώνει αυτόματα όλους τους χρήστες αν ο δικός του λογαριασμός απενεργοποιούνταν στο Active Directory. Την ημέρα της απόλυσής του, στις 9 Σεπτεμβρίου 2019, όταν το IT απενεργοποίησε τον λογαριασμό του, ο μηχανισμός ενεργοποιήθηκε: χιλιάδες χρήστες έχασαν πρόσβαση, προκαλώντας εκτεταμένα προβλήματα. Σύμφωνα με το Υπουργείο Δικαιοσύνης, ο κακόβουλος κώδικας περιλάμβανε και σενάρια διαγραφής αρχείων προφίλ συναδέλφων, ενώ ο Lu είχε αναζητήσει τρόπους για κλιμάκωση προνομίων, απόκρυψη διεργασιών και ταχεία διαγραφή αρχείων, ενδείξεις πρόθεσης παρεμπόδισης της αποκατάστασης.

Οι ζημιές κοστολογήθηκαν σε “εκατοντάδες χιλιάδες δολάρια”, με την πολιτεία να σημειώνει την κατάχρηση εμπιστοσύνης και πρόσβασης που διέθετε ο κατηγορούμενος. Πηγές καταγράφουν ότι μέρος του κώδικα είχε δοθεί ονόματα όπως “Hakai” (ιαπωνικά: καταστροφή) και “HunShui” (κινέζικα: νωθρότητα), ένδειξη της πρόθεσης πρόκλησης δυσλειτουργιών μέσω εξάντλησης πόρων και απώλειας πρόσβασης. Η υπόθεση είχε απασχολήσει ήδη από τον Μάρτιο όταν ο Lu κρίθηκε ένοχος, με τις λεπτομέρειες να περιγράφονται σε δελτία τύπου του DOJ και τοπικές νομικές αναφορές στο Οχάιο.