💳 Il Japan Credit Bureau testerà carte fisiche per lo yen digitale
Il Japan Credit Bureau (JCB), analogo giapponese dei sistemi di pagamento internazionali come Visa o Mastercard, ha annunciato l'inizio dei test della sua infrastruttura per Central Bank Digital Currency (CBDC).
Il progetto mira a realizzare una piattaforma per la CBDC giapponese, attualmente in fase di test da parte della Bank of Japan (BoJ).
Il progetto prenderà il nome di JCBDC, e mira ad adeguare l'attuale infrastruttura per carte di credito JCB ai pagamenti tramite CBDC. I
DEMIA, società francese di tecnologie per il riconoscimento facciale, e Malaysian Softspace collaboreranno con JCB allo sviluppo della piattaforma.
Durante la prima fase del test, l'azienda sperimenterà con una soluzione di pagamento touch, l'emissione di carte fisiche per CBDC, nonché la simulazione di un ambiente basato su CBDC.
JCB pianifica di completare lo sviluppo della nuova soluzione di pagamento entro la fine del 2022, e di avviare test dimostrativi in negozi reali entro marzo 2023.
Non vi sono tuttavia certezze sull'effettiva realizzazione del progetto, e l'opinione in merito non è unanime.
Il Japan Credit Bureau (JCB), analogo giapponese dei sistemi di pagamento internazionali come Visa o Mastercard, ha annunciato l'inizio dei test della sua infrastruttura per Central Bank Digital Currency (CBDC).
Il progetto mira a realizzare una piattaforma per la CBDC giapponese, attualmente in fase di test da parte della Bank of Japan (BoJ).
Il progetto prenderà il nome di JCBDC, e mira ad adeguare l'attuale infrastruttura per carte di credito JCB ai pagamenti tramite CBDC. I
DEMIA, società francese di tecnologie per il riconoscimento facciale, e Malaysian Softspace collaboreranno con JCB allo sviluppo della piattaforma.
Durante la prima fase del test, l'azienda sperimenterà con una soluzione di pagamento touch, l'emissione di carte fisiche per CBDC, nonché la simulazione di un ambiente basato su CBDC.
JCB pianifica di completare lo sviluppo della nuova soluzione di pagamento entro la fine del 2022, e di avviare test dimostrativi in negozi reali entro marzo 2023.
Non vi sono tuttavia certezze sull'effettiva realizzazione del progetto, e l'opinione in merito non è unanime.
👾 Uomo ucraino: infettata milioni di computer con Raccoon Infostealer
Il Dipartimento di Giustizia degli Stati Uniti ha accusato un uomo ucraino, Mark Sokolovsky, 26 annni, di frode informatica per aver presumibilmente infettato milioni di computer con il Raccoon Infostealer.
L'uomo è attualmente detenuto nei Paesi Bassi, è stato accusato del suo presunto ruolo nell'operazione internazionale di criminalità informatica nota come Raccoon Infostealer.
Raccoon è offerto in vendita come malware-as-a-service (MaaS) che implementa un pannello back-end automatizzato di facile utilizzo.
Gli operatori offrono anche hosting a prova di proiettile e assistenza clienti 24 ore su 24, 7 giorni su 7, sia in russo che in inglese. Il prezzo del servizio Raccoon è di 200 dollari al mese.
The Raccoon stealer è scritto in C++ da sviluppatori di lingua russa che inizialmente lo promuovevano esclusivamente su forum di hacking di lingua russa. Il malware è ora promosso sui forum di hacking in lingua inglese, funziona sia su sistemi operativi a 32 bit che a 64 bit.
Le autorità olandesi hanno arrestato Sokolovsky nel marzo 2022, in concomitanza con il suo arresto, l'FBI e i partner delle forze dell'ordine in Italia e nei Paesi Bassi hanno smantellato l'infrastruttura C2 utilizzata dall'operazione Raccoon Infostealer.
L'FBI ha identificato oltre 50 milioni di credenziali univoche e forme di identificazione (indirizzi e-mail, conti bancari, indirizzi di criptovaluta, numeri di carte di credito, ecc.) nei dati rubati. Mentre un numero esatto di vittime deve ancora essere verificato, gli esperti ritengono che milioni di potenziali vittime in tutto il mondo siano state prese di mira dall'operazione.
Sokolovsky ora è accusato di frode informatica, frode telematica, riciclaggio di denaro e furto d'identità aggravato.
Il Dipartimento di Giustizia degli Stati Uniti ha accusato un uomo ucraino, Mark Sokolovsky, 26 annni, di frode informatica per aver presumibilmente infettato milioni di computer con il Raccoon Infostealer.
L'uomo è attualmente detenuto nei Paesi Bassi, è stato accusato del suo presunto ruolo nell'operazione internazionale di criminalità informatica nota come Raccoon Infostealer.
Raccoon è offerto in vendita come malware-as-a-service (MaaS) che implementa un pannello back-end automatizzato di facile utilizzo.
Gli operatori offrono anche hosting a prova di proiettile e assistenza clienti 24 ore su 24, 7 giorni su 7, sia in russo che in inglese. Il prezzo del servizio Raccoon è di 200 dollari al mese.
The Raccoon stealer è scritto in C++ da sviluppatori di lingua russa che inizialmente lo promuovevano esclusivamente su forum di hacking di lingua russa. Il malware è ora promosso sui forum di hacking in lingua inglese, funziona sia su sistemi operativi a 32 bit che a 64 bit.
Le autorità olandesi hanno arrestato Sokolovsky nel marzo 2022, in concomitanza con il suo arresto, l'FBI e i partner delle forze dell'ordine in Italia e nei Paesi Bassi hanno smantellato l'infrastruttura C2 utilizzata dall'operazione Raccoon Infostealer.
L'FBI ha identificato oltre 50 milioni di credenziali univoche e forme di identificazione (indirizzi e-mail, conti bancari, indirizzi di criptovaluta, numeri di carte di credito, ecc.) nei dati rubati. Mentre un numero esatto di vittime deve ancora essere verificato, gli esperti ritengono che milioni di potenziali vittime in tutto il mondo siano state prese di mira dall'operazione.
Sokolovsky ora è accusato di frode informatica, frode telematica, riciclaggio di denaro e furto d'identità aggravato.
📱 Correzioni di zero-day su iPhone e iPad
Apple ha rilasciato nuovi aggiornamenti di sicurezza per eseguire il backport delle patch di sicurezza rilasciate questa settimana per affrontare CVE-2022-42827 sfruttato attivamente nei vecchi iPhone e iPad, risolvendo un bug zero-day sfruttato attivamente.
All'inizio di questa settimana, Apple ha affrontato la nona vulnerabilità zero-day sfruttata negli attacchi dall'inizio dell'anno.
La vulnerabilità CVE-2022-42827 è un problema di scrittura fuori limite che può essere sfruttato da un utente malintenzionato per eseguire codice arbitrario con privilegi del kernel.
Il difetto è stato segnalato ad Apple da un ricercatore anonimo, la società lo ha affrontato con un migliore controllo dei limiti in iOS 16.1 e iPadOS 16.
La vulnerabilità interessa iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi, iPad mini di quinta generazione e successivi.
Apple ha rilasciato nuovi aggiornamenti di sicurezza per eseguire il backport delle patch di sicurezza rilasciate questa settimana per affrontare CVE-2022-42827 sfruttato attivamente nei vecchi iPhone e iPad, risolvendo un bug zero-day sfruttato attivamente.
All'inizio di questa settimana, Apple ha affrontato la nona vulnerabilità zero-day sfruttata negli attacchi dall'inizio dell'anno.
La vulnerabilità CVE-2022-42827 è un problema di scrittura fuori limite che può essere sfruttato da un utente malintenzionato per eseguire codice arbitrario con privilegi del kernel.
Il difetto è stato segnalato ad Apple da un ricercatore anonimo, la società lo ha affrontato con un migliore controllo dei limiti in iOS 16.1 e iPadOS 16.
La vulnerabilità interessa iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi, iPad mini di quinta generazione e successivi.
🌐 Thailandia e Ungheria unite dalla tecnologia blockchain
Le associazioni tecnologiche finanziarie di Thailandia e Ungheria, hanno firmato un Memorandum of Understanding (MOU) bilaterale per sostenere l'introduzione della tecnologia blockchain nei rispettivi settori finanziari.
Il MOU, firmato dalla Thai Fintech Association (TFA) e dall'Hungarian Blockchain Coalition il 25 ottobre, vedrà le due associazioni condividere esperienze best practice ed esplorare aree potenzialmente vantaggiose per una cooperazione diretta.
Da quanto riportato dal Bangkok Post il 29 ottobre, il presidente della TFA, Chonladet Khemarattana, ha dichiarato che l'e-commerce, i pagamenti mobile e le valute digitali stanno crescendo rapidamente in Thailandia e che la cooperazione internazionale è necessaria per sviluppare ulteriormente la tecnologia finanziaria locale.
Ha inoltre affermato che il 20% degli holder di criptovalute a livello mondiale si trovano in Thailandia. Il Paese si è piazzato all'ottavo posto nel Global Crypto Adoption Index 2022.
In agosto la Banca di Thailandia ha annunciato di voler avviare un progetto pilota CBDC retail entro la fine del 2022 nel settore privato, su scala limitata con circa 10.000 utenti.
Anche l'Ungheria sembra adottare una posizione dura nei confronti delle criptovalute: a febbraio il governatore della Banca nazionale ungherese, György Matolcsy, ha auspicato divieto generalizzato di tutte le operazioni di trading e mining in tutta l'Unione Europea.
Le associazioni tecnologiche finanziarie di Thailandia e Ungheria, hanno firmato un Memorandum of Understanding (MOU) bilaterale per sostenere l'introduzione della tecnologia blockchain nei rispettivi settori finanziari.
Il MOU, firmato dalla Thai Fintech Association (TFA) e dall'Hungarian Blockchain Coalition il 25 ottobre, vedrà le due associazioni condividere esperienze best practice ed esplorare aree potenzialmente vantaggiose per una cooperazione diretta.
Da quanto riportato dal Bangkok Post il 29 ottobre, il presidente della TFA, Chonladet Khemarattana, ha dichiarato che l'e-commerce, i pagamenti mobile e le valute digitali stanno crescendo rapidamente in Thailandia e che la cooperazione internazionale è necessaria per sviluppare ulteriormente la tecnologia finanziaria locale.
Ha inoltre affermato che il 20% degli holder di criptovalute a livello mondiale si trovano in Thailandia. Il Paese si è piazzato all'ottavo posto nel Global Crypto Adoption Index 2022.
In agosto la Banca di Thailandia ha annunciato di voler avviare un progetto pilota CBDC retail entro la fine del 2022 nel settore privato, su scala limitata con circa 10.000 utenti.
Anche l'Ungheria sembra adottare una posizione dura nei confronti delle criptovalute: a febbraio il governatore della Banca nazionale ungherese, György Matolcsy, ha auspicato divieto generalizzato di tutte le operazioni di trading e mining in tutta l'Unione Europea.
⚠️ RCE critico nella soluzione di backup del server ConnectWise
Secondo l’advisory pubblicato da ConnectWise, la vulnerabilità è una neutralizzazione impropria di elementi speciali in output utilizzati da un componente a valle.
Chiunque ne fosse capace potrebbe sfruttare la vulnerabilità per eseguire codice remoto o accedere direttamente a dati riservati.
La vulnerabilità interessa ConnectWise Recover v2.9.7 e versioni precedenti e R1Soft SBM v6.16.3 e versioni precedenti.
I ricercatori di Huntress hanno spiegato che il bypass dell'autenticazione e la perdita di file sensibili (CVE-2022-36537) influiscono sul framework dell'applicazione Web Ajax "ZK" del framework Java utilizzato all'interno del software ConnectWise R1Soft Server Backup Manager SE.
Gli esperti hanno pubblicato un video PoC che dimostra lo sfruttamento del problema per
1) bypassare l'autenticazione
2) caricare un driver di database JDBC backdoor per ottenere l'esecuzione del codice.
La buona notizia è che l'azienda non è a conoscenza dello sfruttamento attivo della vulnerabilità in natura.
“
Secondo l’advisory pubblicato da ConnectWise, la vulnerabilità è una neutralizzazione impropria di elementi speciali in output utilizzati da un componente a valle.
Chiunque ne fosse capace potrebbe sfruttare la vulnerabilità per eseguire codice remoto o accedere direttamente a dati riservati.
La vulnerabilità interessa ConnectWise Recover v2.9.7 e versioni precedenti e R1Soft SBM v6.16.3 e versioni precedenti.
I ricercatori di Huntress hanno spiegato che il bypass dell'autenticazione e la perdita di file sensibili (CVE-2022-36537) influiscono sul framework dell'applicazione Web Ajax "ZK" del framework Java utilizzato all'interno del software ConnectWise R1Soft Server Backup Manager SE.
Gli esperti hanno pubblicato un video PoC che dimostra lo sfruttamento del problema per
1) bypassare l'autenticazione
2) caricare un driver di database JDBC backdoor per ottenere l'esecuzione del codice.
La buona notizia è che l'azienda non è a conoscenza dello sfruttamento attivo della vulnerabilità in natura.
“
È importante notare che la vulnerabilità ZK a monte non riguarda solo R1Soft, ma anche qualsiasi applicazione che utilizza una versione senza patch del framework ZK. L'accesso che un utente con scopi specifici può ottenere utilizzando questavulnerabilità di bypass dell’autenticazione è specifico dell'applicazione sfruttata, tuttavia esiste un serio potenziale per altre applicazioni che possono essere interessate in modo simile a R1Soft Server Backup Manager” conclude il post pubblicato da Huntress.👾 Novembre 2022: gli ultimi programmi di Bug Bounty Radar
Nell’ottobre 2022, due ricercatori di sicurezza italiani hanno rivelato di aver guadagnato più di $ 46.000 in ricompense di bug dopo aver scoperto una vulnerabilità di configurazione errata in Akamai.
L'exploit, che ha sfruttato il contrabbando HTTP e le tecniche di abuso di intestazione hop-by-hop, ha invece ottenuto guadagni da molti dei clienti dell'azienda. Questi includevano $ 25.200 da PayPal e premi da Airbnb, Hyatt Hotels, Valve, Zomato e Goldman Sachs.
In altre notizie sui pagamenti, il ricercatore Saajan Bhujel ha ottenuto una taglia di $ 10.000 da GitHub dopo aver trovato un modo per falsificare l'interfaccia di accesso della piattaforma.
Apple, nel frattempo, ha invitato i ricercatori a candidarsi per l' Apple Security Research Device Program , con applicazioni aperte fino alla fine di novembre.
Nel frattempo, lo Swiss National Cyber Security Center (NCSC) ha lanciato un programma privato di ricompense di bug che prevede l'analisi delle applicazioni Web, delle API e dell'infrastruttura critica del governo federale.
Il nuovo programma incentrato sull’hardware di Amazon , gestito da HackerOne, offre premi che vanno fino a $ 25,00 per bug nei dispositivi Fire, Echo, FireTV, Halo, Luna Controller e Kindle, insieme alle applicazioni e al firmware corrispondenti.
E infine, il Dipartimento della Difesa degli Stati Uniti ha dichiarato di aver pagato un totale di $ 75.000 in ricompense per 648 segnalazioni di bug presentate da 267 ricercatori durante un hackathon avvenuto a luglio.
Nell’ottobre 2022, due ricercatori di sicurezza italiani hanno rivelato di aver guadagnato più di $ 46.000 in ricompense di bug dopo aver scoperto una vulnerabilità di configurazione errata in Akamai.
L'exploit, che ha sfruttato il contrabbando HTTP e le tecniche di abuso di intestazione hop-by-hop, ha invece ottenuto guadagni da molti dei clienti dell'azienda. Questi includevano $ 25.200 da PayPal e premi da Airbnb, Hyatt Hotels, Valve, Zomato e Goldman Sachs.
In altre notizie sui pagamenti, il ricercatore Saajan Bhujel ha ottenuto una taglia di $ 10.000 da GitHub dopo aver trovato un modo per falsificare l'interfaccia di accesso della piattaforma.
Apple, nel frattempo, ha invitato i ricercatori a candidarsi per l' Apple Security Research Device Program , con applicazioni aperte fino alla fine di novembre.
Nel frattempo, lo Swiss National Cyber Security Center (NCSC) ha lanciato un programma privato di ricompense di bug che prevede l'analisi delle applicazioni Web, delle API e dell'infrastruttura critica del governo federale.
Il nuovo programma incentrato sull’hardware di Amazon , gestito da HackerOne, offre premi che vanno fino a $ 25,00 per bug nei dispositivi Fire, Echo, FireTV, Halo, Luna Controller e Kindle, insieme alle applicazioni e al firmware corrispondenti.
E infine, il Dipartimento della Difesa degli Stati Uniti ha dichiarato di aver pagato un totale di $ 75.000 in ricompense per 648 segnalazioni di bug presentate da 267 ricercatori durante un hackathon avvenuto a luglio.
📈 L'ecosistema DeFi BNB Chain in fase di recupero
La BNB Chain ha subito un calo del 93% rispetto al terzo trimestre del 2021, ma da allora ha mostrato segnali di costante ripresa.
Il rapporto Q3 di BNB Chain conferma una crescita significativa dei volumi di trading di criptovalute e della finanza decentralizzata (DeFi) ma un calo del trading di token non fungibili (NFT).
Secondo il BNB Chain Report Q3 di DappRadar, BNB Chain ha mantenuto la sua posizione di seconda più grande blockchain DeFi dopo Ethereum, con un valore totale bloccato (TVL) di 7,6 miliardi di dollari.
PancakeSwap, Venus e Alpaca Finance sono tra le più grandi del pool di oltre 300 applicazioni decentralizzate (DApp) della DeFi ospitate su BNB Chain.
“
Sebbene i parametri condivisi nel rapporto di DappRadar mostrino un movimento complessivamente positivo per il trimestre, hanno anche rivelato la necessità per i progetti crypto di raggiungere una crescita sostenibile.
La BNB Chain ha subito un calo del 93% rispetto al terzo trimestre del 2021, ma da allora ha mostrato segnali di costante ripresa.
Il rapporto Q3 di BNB Chain conferma una crescita significativa dei volumi di trading di criptovalute e della finanza decentralizzata (DeFi) ma un calo del trading di token non fungibili (NFT).
Secondo il BNB Chain Report Q3 di DappRadar, BNB Chain ha mantenuto la sua posizione di seconda più grande blockchain DeFi dopo Ethereum, con un valore totale bloccato (TVL) di 7,6 miliardi di dollari.
PancakeSwap, Venus e Alpaca Finance sono tra le più grandi del pool di oltre 300 applicazioni decentralizzate (DApp) della DeFi ospitate su BNB Chain.
“
La BNB Chain deve questo relativo successo alla performance di PancakeSwap", si legge nel rapporto, in quanto l'ecosistema rappresenta il 68,2% o 4,1 miliardi di dollari in TVL, seguito da Venus al 16,3% (995 milioni di dollari) e Alpaca Finance all'8,7% (530 milioni di dollari).Sebbene i parametri condivisi nel rapporto di DappRadar mostrino un movimento complessivamente positivo per il trimestre, hanno anche rivelato la necessità per i progetti crypto di raggiungere una crescita sostenibile.
🚫 LockBit rivendica l'hacking del gruppo automobilistico Continental
La banda di ransomware LockBit ha annunciato di aver violato la multinazionale tedesca produttrice di componenti automobilistici Continental.
Il gruppo ha aggiunto il nome dell'azienda al suo sito Tor leak e sta minacciando di pubblicare i presunti dati rubati se la vittima non pagherà il riscatto.
I criminali informatici hanno fissato la scadenza il 4 novembre 2022, alle 15:45. In questo momento il gruppo ha annunciato che pubblicherà tutti i dati disponibili, circostanza che suggerisce che la vittima deve ancora negoziare con i criminali o si è rifiutata di pagare il riscatto.
Al momento, non è chiaro se il gruppo ransomware Lockbit 3.0 sia responsabile dell'attacco divulgato da Continental il 24 agosto 2022.
“
“
La banda di ransomware LockBit ha annunciato di aver violato la multinazionale tedesca produttrice di componenti automobilistici Continental.
Il gruppo ha aggiunto il nome dell'azienda al suo sito Tor leak e sta minacciando di pubblicare i presunti dati rubati se la vittima non pagherà il riscatto.
I criminali informatici hanno fissato la scadenza il 4 novembre 2022, alle 15:45. In questo momento il gruppo ha annunciato che pubblicherà tutti i dati disponibili, circostanza che suggerisce che la vittima deve ancora negoziare con i criminali o si è rifiutata di pagare il riscatto.
Al momento, non è chiaro se il gruppo ransomware Lockbit 3.0 sia responsabile dell'attacco divulgato da Continental il 24 agosto 2022.
“
In un attacco informatico, gli aggressori si sono infiltrati in parti dei sistemi IT di Continental. La società ha rilevato l'attacco all'inizio di agosto e poi l'ha evitato. Le attività commerciali di Continental non sono state influenzate in nessun momento. L'azienda tecnologica mantiene il pieno controllo sui propri sistemi IT. Secondo le informazioni attuali, i sistemi informatici di terze parti non sono stati interessati ” si legge nel comunicato pubblicato dalla società ad agosto.“
Subito dopo la scoperta dell'attacco, Continental ha adottato tutte le misure difensive necessarie per ripristinare la piena integrità dei suoi sistemi IT".💰 Nuova fase nella roadmap di Ethereum: The Scourge
Vitalik Buterin, co-founder di Ethereum, ha aggiunto una nuova fase alla roadmap tecnica della blockchain, al fine di migliorare la resistenza alla censura e il livello di decentralizzazione del network.
I nuovi piani per Ethereum sono stati rivelati da Buterin in un post su Twitter del 5 novembre: in una roadmap ampliata suddivisa in sei parti, ha introdotto "The Scourge."
Dopo il passaggio di Ethereum a una rete Proof-of-Stake (PoS) il 15 settembre 2022, Ethereum è entrato nella sua seconda fase – The Surge – con l'obiettivo di raggiungere 100.000 transazioni al secondo tramite rollup.
Ma la roadmap tecnica aggiornata inserisce ora The Scourge come nuova terza fase, a cui seguiranno gli step precedentemente noti: The Verge, The Purge e The Splurge.
L'obiettivo di The Scourge è garantire un'inclusione delle transazioni affidabile e credibilmente neutrale, nonché evitare la centralizzazione e altri rischi al protocollo derivanti dal MEV.
Il termine MEV, o Miner Extractable Value, indica quando un miner anticipa altri partecipanti al network decidendo quali transazioni collocare in un blocco, e in che ordine. Questo permette al miner di duplicare tutte le offerte vincenti del mempool, ed eseguire le loro transazioni prima che arbitrage seeker o altre entità riescano a realizzare un profitto.
Di conseguenza, il recente Merge di Ethereum ha causato un incremento del livello di centralizzazione della rete: la percentuale di blocchi conformi all'Office of Foreign Asset Control (OFAC) degli Stati Uniti ha raggiunto il 73%, una cifra considerata da molti troppo alta.
Sebbene non si conoscano ancora i dettagli di The Scourge, il co-fondatore di Ethereum ha recentemente proposto una soluzione basata su "Partial Block Auction,"che permetterebbe ai block builder di scegliere soltanto parte dei contenuti dei blocco.
Vitalik Buterin, co-founder di Ethereum, ha aggiunto una nuova fase alla roadmap tecnica della blockchain, al fine di migliorare la resistenza alla censura e il livello di decentralizzazione del network.
I nuovi piani per Ethereum sono stati rivelati da Buterin in un post su Twitter del 5 novembre: in una roadmap ampliata suddivisa in sei parti, ha introdotto "The Scourge."
Dopo il passaggio di Ethereum a una rete Proof-of-Stake (PoS) il 15 settembre 2022, Ethereum è entrato nella sua seconda fase – The Surge – con l'obiettivo di raggiungere 100.000 transazioni al secondo tramite rollup.
Ma la roadmap tecnica aggiornata inserisce ora The Scourge come nuova terza fase, a cui seguiranno gli step precedentemente noti: The Verge, The Purge e The Splurge.
L'obiettivo di The Scourge è garantire un'inclusione delle transazioni affidabile e credibilmente neutrale, nonché evitare la centralizzazione e altri rischi al protocollo derivanti dal MEV.
Il termine MEV, o Miner Extractable Value, indica quando un miner anticipa altri partecipanti al network decidendo quali transazioni collocare in un blocco, e in che ordine. Questo permette al miner di duplicare tutte le offerte vincenti del mempool, ed eseguire le loro transazioni prima che arbitrage seeker o altre entità riescano a realizzare un profitto.
Di conseguenza, il recente Merge di Ethereum ha causato un incremento del livello di centralizzazione della rete: la percentuale di blocchi conformi all'Office of Foreign Asset Control (OFAC) degli Stati Uniti ha raggiunto il 73%, una cifra considerata da molti troppo alta.
Sebbene non si conoscano ancora i dettagli di The Scourge, il co-fondatore di Ethereum ha recentemente proposto una soluzione basata su "Partial Block Auction,"che permetterebbe ai block builder di scegliere soltanto parte dei contenuti dei blocco.
🌐 Bug di inquinamento: espone le applicazioni Ember.js a XSS
Un bug in Ember.js, un framework JavaScript per la creazione di applicazioni Web Node.js, ha consentito ad alcuni utenti di mettere in scena prototipi di attacchi di inquinamento contro il server host.
Gli attacchi di inquinamento da prototipo sfruttano le funzionalità di assegnazione dinamica delle proprietà di JavaScript per apportare modifiche globali agli oggetti critici.
Nel caso di Ember.js, il prototipo di vulnerabilità dell'inquinamento potrebbe potenzialmente consentire agli aggressori di organizzare attacchi di scripting incrociato (XSS) e rubare le informazioni degli altri utenti.
Masato Kinugawa, il ricercatore di sicurezza che ha scoperto il bug, lo ha visto per la prima volta durante un'altra indagine.
"
Dunque per abusare del difetto, un qualsiasi utente avrebbe bisogno di un gadget di script che acceda al settatore di proprietà vulnerabile. "
Un bug in Ember.js, un framework JavaScript per la creazione di applicazioni Web Node.js, ha consentito ad alcuni utenti di mettere in scena prototipi di attacchi di inquinamento contro il server host.
Gli attacchi di inquinamento da prototipo sfruttano le funzionalità di assegnazione dinamica delle proprietà di JavaScript per apportare modifiche globali agli oggetti critici.
Nel caso di Ember.js, il prototipo di vulnerabilità dell'inquinamento potrebbe potenzialmente consentire agli aggressori di organizzare attacchi di scripting incrociato (XSS) e rubare le informazioni degli altri utenti.
Masato Kinugawa, il ricercatore di sicurezza che ha scoperto il bug, lo ha visto per la prima volta durante un'altra indagine.
"
Nella primavera del 2021, ho notato un bug XSS in uno dei domini di proprietà di Google e l'ho segnalato tramite il programma Google Bug Bounty. Durante l'analisi dei dettagli, ho notato che la causa principale era nel framework Ember.js." ha affermato Kinugawa. Dunque per abusare del difetto, un qualsiasi utente avrebbe bisogno di un gadget di script che acceda al settatore di proprietà vulnerabile. "
Nel caso del bug di Google, sono stato in grado di utilizzare un gadget reCAPTCHA di Google perché l'app utilizzava lo script reCAPTCHA", ha spiegato Kinugawa.🔍 Amadey distribuisce LockBit 3.0 Ransomware
I ricercatori dell'AhnLab Security Emergency Response Center (ASEC) hanno riferito che il malware Amadey viene utilizzato per distribuire il ransomware LockBit 3.0 su sistemi compromessi.
Amadey Bot è un malware per il furto di dati che è stato individuato per la prima volta nel 2018 e consente inoltre agli operatori di installare payload aggiuntivi.
Il malware è disponibile per la vendita in forum illegali, in passato è stato utilizzato da bande di criminalità informatica come TA505 per installare GrandCrab ransomware o FlawedAmmyy RAT.
A luglio, i ricercatori dell'ASEC hanno scoperto che il malware Amadey veniva distribuito da SmokeLoader, nascosto in crack di software e programmi di generazione seriale disponibili su più siti.
Alla fine di ottobre, è stato scoperto che l'Amadey Bot era distribuito come una famosa applicazione di messaggistica sudcoreana chiamata KakaoTalk.
Gli esperti hanno notato che Amadey riceve tre comandi dal server C2. Questi comandi vengono utilizzati per scaricare ed eseguire malware da una fonte esterna.
Due comandi, "cc.ps1" e "dd.ps1", sono LockBit in formato PowerShell, mentre un terzo chiamato "LBB.exe" è LockBit in formato exe.
I ricercatori dell'AhnLab Security Emergency Response Center (ASEC) hanno riferito che il malware Amadey viene utilizzato per distribuire il ransomware LockBit 3.0 su sistemi compromessi.
Amadey Bot è un malware per il furto di dati che è stato individuato per la prima volta nel 2018 e consente inoltre agli operatori di installare payload aggiuntivi.
Il malware è disponibile per la vendita in forum illegali, in passato è stato utilizzato da bande di criminalità informatica come TA505 per installare GrandCrab ransomware o FlawedAmmyy RAT.
A luglio, i ricercatori dell'ASEC hanno scoperto che il malware Amadey veniva distribuito da SmokeLoader, nascosto in crack di software e programmi di generazione seriale disponibili su più siti.
Alla fine di ottobre, è stato scoperto che l'Amadey Bot era distribuito come una famosa applicazione di messaggistica sudcoreana chiamata KakaoTalk.
Gli esperti hanno notato che Amadey riceve tre comandi dal server C2. Questi comandi vengono utilizzati per scaricare ed eseguire malware da una fonte esterna.
Due comandi, "cc.ps1" e "dd.ps1", sono LockBit in formato PowerShell, mentre un terzo chiamato "LBB.exe" è LockBit in formato exe.
📉 Sam Bankman-Fried e crollo di FTX
Al quinto giorno dalla caduta di FTX, la comunità delle criptovalute continua a essere bombardata da indiscrezioni e teorie complottiste, che rendono difficile separare la realtà dalla finzione.
Dalle notizie secondo cui Sam Bankman-Fried (SBF) sarebbe stato arrestato alle Bahamas, alle indiscrezioni secondo cui i dipendenti starebbero cercando di vendere gli asset della società, la crypto community è invasa dai rumors.
PAULY.SOL, fondatore del progetto di token non fungibili (NFT) Not Larva Labs, è stato uno dei primi ad alimentare le voci sull'arresto di SBF.
Molti membri della comunità hanno risposto al thread pubblicando immagini modificate di SBF mentre viene arrestato dalla polizia. Non vi è stata tuttavia, alcuna conferma riguardo alla questione.
Nel frattempo, un report che cita fonti anonime ha riferito che i dipendenti dell'exchange stanno tentando di vendere gli asset dell'azienda mentre il loro CEO è assente.
Secondo quanto riferito, gli asset comprendono Embed Financial Technologies, piattaforma di stock-clearing, e i diritti di denominazione dell’arena FTX di Miami.
Un comunicato ufficiale della Securities Commission of The Bahamas (SCB) ha segnalato che l'agenzia governativa ha congelato i beni di FTX.
Secondo la SCB, l'agenzia intende preservare i beni della società e stabilizzarla mettendola in liquidazione provvisoria, un meccanismo messo in atto in caso di insolvenza aziendale.
Al quinto giorno dalla caduta di FTX, la comunità delle criptovalute continua a essere bombardata da indiscrezioni e teorie complottiste, che rendono difficile separare la realtà dalla finzione.
Dalle notizie secondo cui Sam Bankman-Fried (SBF) sarebbe stato arrestato alle Bahamas, alle indiscrezioni secondo cui i dipendenti starebbero cercando di vendere gli asset della società, la crypto community è invasa dai rumors.
PAULY.SOL, fondatore del progetto di token non fungibili (NFT) Not Larva Labs, è stato uno dei primi ad alimentare le voci sull'arresto di SBF.
Molti membri della comunità hanno risposto al thread pubblicando immagini modificate di SBF mentre viene arrestato dalla polizia. Non vi è stata tuttavia, alcuna conferma riguardo alla questione.
Nel frattempo, un report che cita fonti anonime ha riferito che i dipendenti dell'exchange stanno tentando di vendere gli asset dell'azienda mentre il loro CEO è assente.
Secondo quanto riferito, gli asset comprendono Embed Financial Technologies, piattaforma di stock-clearing, e i diritti di denominazione dell’arena FTX di Miami.
Un comunicato ufficiale della Securities Commission of The Bahamas (SCB) ha segnalato che l'agenzia governativa ha congelato i beni di FTX.
Secondo la SCB, l'agenzia intende preservare i beni della società e stabilizzarla mettendola in liquidazione provvisoria, un meccanismo messo in atto in caso di insolvenza aziendale.
👮🏻♂ Ucraina: smantellato un gruppo di frodi transnazionali
La polizia informatica ucraina e l'Europol hanno arrestato cinque membri di un gruppo di frodi transnazionali che ha causato oltre 200 milioni di perdite all'anno.
Gli arresti sono il risultato di un'operazione congiunta condotta con il supporto delle forze dell'ordine in Albania, Finlandia, Georgia, Germania, Lettonia e Spagna. In questi paesi la banda ha stabilito i suoi uffici e call center e ha impiegato più di 2.000 persone per svolgere l'attività criminale.
Il gruppo ha frodato gli investitori attraverso uno pseudo schema di investimento in criptovalute e titoli. L'indagine è iniziata nel 2020.
Gli investitori sono stati indotti con l'inganno ad avviare una serie di falsi investimenti. La banda gestiva i suoi siti Web e piattaforme in cui offriva ai depositanti di ricevere profitti in eccesso dall'investimento in criptovaluta e dal commercio di titoli (azioni, obbligazioni, futures, opzioni).
Hanno anche simulato la crescita degli asset attraverso queste piattaforme, ma gli investitori non sono stati in grado di ritirare i propri fondi.
Gli agenti di polizia hanno condotto perquisizioni nelle case delle persone arrestate, nonché negli uffici che ospitano i call center a Kiev e Ivano-Frankivsk.
La polizia ha sequestrato più di 500 pezzi di apparecchiature informatiche e telefoni cellulari. Anche le forze dell'ordine di altri paesi hanno condotto perquisizioni nei luoghi di residenza dei restanti membri della banda.
“
La polizia informatica ucraina e l'Europol hanno arrestato cinque membri di un gruppo di frodi transnazionali che ha causato oltre 200 milioni di perdite all'anno.
Gli arresti sono il risultato di un'operazione congiunta condotta con il supporto delle forze dell'ordine in Albania, Finlandia, Georgia, Germania, Lettonia e Spagna. In questi paesi la banda ha stabilito i suoi uffici e call center e ha impiegato più di 2.000 persone per svolgere l'attività criminale.
Il gruppo ha frodato gli investitori attraverso uno pseudo schema di investimento in criptovalute e titoli. L'indagine è iniziata nel 2020.
Gli investitori sono stati indotti con l'inganno ad avviare una serie di falsi investimenti. La banda gestiva i suoi siti Web e piattaforme in cui offriva ai depositanti di ricevere profitti in eccesso dall'investimento in criptovaluta e dal commercio di titoli (azioni, obbligazioni, futures, opzioni).
Hanno anche simulato la crescita degli asset attraverso queste piattaforme, ma gli investitori non sono stati in grado di ritirare i propri fondi.
Gli agenti di polizia hanno condotto perquisizioni nelle case delle persone arrestate, nonché negli uffici che ospitano i call center a Kiev e Ivano-Frankivsk.
La polizia ha sequestrato più di 500 pezzi di apparecchiature informatiche e telefoni cellulari. Anche le forze dell'ordine di altri paesi hanno condotto perquisizioni nei luoghi di residenza dei restanti membri della banda.
“
È stato aperto un procedimento penale ai sensi della parte 3 dell'art. 190 (Frode) del codice penale ucraino. La sanzione dell'articolo prevede fino a otto anni di reclusione” si legge nell’annuncio ufficiale.🚫 CEO di Binance: commenta il crollo di FTX
Con una delle più grandi aziende crypto crollata da un giorno all'altro per appropriazione indebita dei fondi degli utenti, CZ, CEO di Binance, ritiene che l'episodio sia stato devastante per il settore, causando la perdita della fiducia di molti consumatori.
FTX, exchange di criptovalute, si è unito alla lista dei molti progetti caduti in disgrazia quest'anno – tra cui Terra (LUNA), 3AC, Celsius e Voyager– presentando istanza di fallimento.
A causa della devastazione causata dalle perdite multimiliardarie subite da aziende e investitori, l'uomo a capo del più grande exchange di criptovalute, il CEO di Binance Chagpeng “CZ” Zhao, prevede l'inizio di un'era di maggiore controllo normativo nel prossimo futuro.
Le regolamentazioni nel settore delle criptovalute sono state storicamente incentrate sulla verifica dell'identità del cliente (KYC) e sull'antiriciclaggio (AML).
Tuttavia, CZ ha ribadito la sua convinzione di lunga data che le normative debbano concentrarsi sulle operazioni degli exchange, come i business model e le proof of reserve.
Sebbene il crollo di FTX sia destinato ad avere un impatto a breve termine sugli investitori retail, a lungo termine questo è un campanello d'allarme per la gestione dei rischi negli ecosistemi di criptovalute.
CZ ritiene che l'aumento della trasparenza e l'educazione delle agenzie di regolamentazione sulle verifiche delle criptovalute e sulle informazioni sui cold wallet renderanno il settore molto più sano.
L'imprenditore ha sottolineato la necessità di strumenti facili per salvaguardare le chiavi private e altre funzionalità di sicurezza, sostenendo che l'ecosistema delle criptovalute crescerà a piccoli step incrementali.
Adottando un approccio proattivo per riconquistare la fiducia degli investitori, Binance ha pubblicato una nuova pagina intitolata "Proof of Assets", che mostra i dettagli degli asset on-chain dell’exchange per gli indirizzi degli hot e cold wallet.
Con una delle più grandi aziende crypto crollata da un giorno all'altro per appropriazione indebita dei fondi degli utenti, CZ, CEO di Binance, ritiene che l'episodio sia stato devastante per il settore, causando la perdita della fiducia di molti consumatori.
FTX, exchange di criptovalute, si è unito alla lista dei molti progetti caduti in disgrazia quest'anno – tra cui Terra (LUNA), 3AC, Celsius e Voyager– presentando istanza di fallimento.
A causa della devastazione causata dalle perdite multimiliardarie subite da aziende e investitori, l'uomo a capo del più grande exchange di criptovalute, il CEO di Binance Chagpeng “CZ” Zhao, prevede l'inizio di un'era di maggiore controllo normativo nel prossimo futuro.
Le regolamentazioni nel settore delle criptovalute sono state storicamente incentrate sulla verifica dell'identità del cliente (KYC) e sull'antiriciclaggio (AML).
Tuttavia, CZ ha ribadito la sua convinzione di lunga data che le normative debbano concentrarsi sulle operazioni degli exchange, come i business model e le proof of reserve.
Sebbene il crollo di FTX sia destinato ad avere un impatto a breve termine sugli investitori retail, a lungo termine questo è un campanello d'allarme per la gestione dei rischi negli ecosistemi di criptovalute.
CZ ritiene che l'aumento della trasparenza e l'educazione delle agenzie di regolamentazione sulle verifiche delle criptovalute e sulle informazioni sui cold wallet renderanno il settore molto più sano.
L'imprenditore ha sottolineato la necessità di strumenti facili per salvaguardare le chiavi private e altre funzionalità di sicurezza, sostenendo che l'ecosistema delle criptovalute crescerà a piccoli step incrementali.
Adottando un approccio proattivo per riconquistare la fiducia degli investitori, Binance ha pubblicato una nuova pagina intitolata "Proof of Assets", che mostra i dettagli degli asset on-chain dell’exchange per gli indirizzi degli hot e cold wallet.
🗂 I difetti di Zendesk Explore permettono il saccheggio degli account
I ricercatori di sicurezza di Varonis hanno pubblicato dettagli sull’iniezione SQL e sulle vulnerabilità di accesso logico in Zendesk Explore che rappresentavano una grave minaccia per gli utenti della popolare piattaforma di servizio clienti.
Zendesk ha agito prontamente in risposta alle segnalazioni di vulnerabilità creando patch che non richiedevano alcuna azione da parte del cliente, secondo Varonis.
Questo è altrettanto positivo perché la vulnerabilità avrebbe consentito a potenziali malintenzionati di accedere a conversazioni, ticket, commenti, indirizzi e-mail e altre informazioni contenute negli account Zendesk nei casi in cui Explore era abilitato.
Il potenziale sfruttamento avrebbe comportato la prima registrazione di un utente malintenzionato al servizio di biglietteria come utente esterno di un account Zendesk mirato, una funzionalità comunemente abilitata. La struttura vulnerabile di Zendesk Explore non è abilitata per impostazione predefinita, ma è ancora ampiamente utilizzata perché alimenta la pagina degli approfondimenti analitici della piattaforma CRM.
Zendesk utilizza più API GraphQL nei suoi prodotti, in particolare nella console di amministrazione. Poiché GraphQL è un formato API relativamente nuovo, ciò ha spinto i ricercatori di sicurezza di Varonis Threat Labs a esplorare l'implementazione di Zendesk, in quella che si è rivelata una ricerca fruttuosa.
"
Zendesk ha risolto rapidamente i problemi in Explore con l'aiuto di Varonis Threat Labs, senza richiedere ai clienti di intraprendere alcuna azione.
I ricercatori di sicurezza di Varonis hanno pubblicato dettagli sull’iniezione SQL e sulle vulnerabilità di accesso logico in Zendesk Explore che rappresentavano una grave minaccia per gli utenti della popolare piattaforma di servizio clienti.
Zendesk ha agito prontamente in risposta alle segnalazioni di vulnerabilità creando patch che non richiedevano alcuna azione da parte del cliente, secondo Varonis.
Questo è altrettanto positivo perché la vulnerabilità avrebbe consentito a potenziali malintenzionati di accedere a conversazioni, ticket, commenti, indirizzi e-mail e altre informazioni contenute negli account Zendesk nei casi in cui Explore era abilitato.
Il potenziale sfruttamento avrebbe comportato la prima registrazione di un utente malintenzionato al servizio di biglietteria come utente esterno di un account Zendesk mirato, una funzionalità comunemente abilitata. La struttura vulnerabile di Zendesk Explore non è abilitata per impostazione predefinita, ma è ancora ampiamente utilizzata perché alimenta la pagina degli approfondimenti analitici della piattaforma CRM.
Zendesk utilizza più API GraphQL nei suoi prodotti, in particolare nella console di amministrazione. Poiché GraphQL è un formato API relativamente nuovo, ciò ha spinto i ricercatori di sicurezza di Varonis Threat Labs a esplorare l'implementazione di Zendesk, in quella che si è rivelata una ricerca fruttuosa.
"
Questo metodo API accetta un oggetto JSON con Query XML, insieme a molti altri parametri XML, alcuni dei quali sono codificati in Base64", spiegano i ricercatori in un post sul blog tecnico. Zendesk ha risolto rapidamente i problemi in Explore con l'aiuto di Varonis Threat Labs, senza richiedere ai clienti di intraprendere alcuna azione.
⚠️ Mastodon presenta molteplici vulnerabilità
Più istanze della piattaforma di social media Mastodon sono vulnerabili a problemi di configurazione del sistema, avverte il ricercatore di sicurezza Lenin Alevski.
L'esodo degli ex utenti di Twitter in risposta agli sconvolgimenti che hanno accompagnato l'acquisizione di Twitter da parte di Elon Musk ha acceso i riflettori su Mastodon.
Ricercatori di sicurezza come Alevski , tuttavia, hanno scoperto che la sicurezza di Mastodon è manchevole.
Più specificamente, Alevski ha recentemente scoperto che l' istanza infosec.exchange di Mastodon è stata caricata in bucket di archiviazione che non sono riusciti ad applicare i controlli di accesso.
Questa lacuna, spiegata in un post tecnico sul blog, ha consentito a un utente di accedere all'immagine del profilo di un altro utente o a qualsiasi altro dato caricato e sostituirlo con contenuti arbitrari.
La vulnerabilità significava anche che era possibile scaricare file dal server, inclusi quelli condivisi tramite messaggio diretto (i DM su Mastodon, a differenza di Twitter, omettono la crittografia). Erano possibili anche attacchi distruttivi, inclusa la cancellazione di file sul server.
La carenza di sicurezza, che ha aperto la porta a ogni sorta di malizia e trolling, è stata rapidamente risolta dopo che Alevski ha segnalato il problema a Jerry Bell, l'amministratore di sistema che amministra l' istanza infosec.exchange di Mastodon.
Più istanze della piattaforma di social media Mastodon sono vulnerabili a problemi di configurazione del sistema, avverte il ricercatore di sicurezza Lenin Alevski.
L'esodo degli ex utenti di Twitter in risposta agli sconvolgimenti che hanno accompagnato l'acquisizione di Twitter da parte di Elon Musk ha acceso i riflettori su Mastodon.
Ricercatori di sicurezza come Alevski , tuttavia, hanno scoperto che la sicurezza di Mastodon è manchevole.
Più specificamente, Alevski ha recentemente scoperto che l' istanza infosec.exchange di Mastodon è stata caricata in bucket di archiviazione che non sono riusciti ad applicare i controlli di accesso.
Questa lacuna, spiegata in un post tecnico sul blog, ha consentito a un utente di accedere all'immagine del profilo di un altro utente o a qualsiasi altro dato caricato e sostituirlo con contenuti arbitrari.
La vulnerabilità significava anche che era possibile scaricare file dal server, inclusi quelli condivisi tramite messaggio diretto (i DM su Mastodon, a differenza di Twitter, omettono la crittografia). Erano possibili anche attacchi distruttivi, inclusa la cancellazione di file sul server.
La carenza di sicurezza, che ha aperto la porta a ogni sorta di malizia e trolling, è stata rapidamente risolta dopo che Alevski ha segnalato il problema a Jerry Bell, l'amministratore di sistema che amministra l' istanza infosec.exchange di Mastodon.
👮♀️ Alexsey Pertsev resterà in prigione fino al 2023
Alexsey Pertsev, sviluppatore di Tornado Cash attualmente detenuto, trascorrerà altri tre mesi in custodia nei Paesi Bassi: è quanto sentenziato il 22 novembre dal tribunale.
L’agenzia olandese per i crimini finanziari FIOD sospetta che il programmatore 29enne abbia facilitato il riciclaggio di denaro attraverso il servizio di mixaggio di criptovalute.
L’udienza preliminare tenuta nel Palazzo di Giustizia di 's-Hertogenbosch ha delineato le basi del caso contro Pertsev, dopo 103 giorni di custodia.
L'accusa ha presentato un'ampia panoramica della sua indagine, dipingendo Pertsev come una figura centrale nelle operazioni di Tornado Cash, prima che l'avvocato WK Cheng esprimesse la sua prima argomentazione difensiva.
Cheng ha evidenziato diversi punti che delineano i casi d'uso di Tornado Cash, e i fraintendimenti in merito alle sue funzionalità. "
L'avvocato ha confermato che la prima sessione è stata posticipata al 20 febbraio 2023.
L'accusa ha evidenziato il timore che, se venisse rilasciato prima della prossima sessione in tribunale, Pertsev potrebbe fuggire dai Paesi Bassi.
Le promesse del team legale dello sviluppatore, ovvero di sorvegliare costantemente la sua abitazione e controllare settimanalmente le sue e-mail, non hanno convinto il giudice.
Alexsey Pertsev, sviluppatore di Tornado Cash attualmente detenuto, trascorrerà altri tre mesi in custodia nei Paesi Bassi: è quanto sentenziato il 22 novembre dal tribunale.
L’agenzia olandese per i crimini finanziari FIOD sospetta che il programmatore 29enne abbia facilitato il riciclaggio di denaro attraverso il servizio di mixaggio di criptovalute.
L’udienza preliminare tenuta nel Palazzo di Giustizia di 's-Hertogenbosch ha delineato le basi del caso contro Pertsev, dopo 103 giorni di custodia.
L'accusa ha presentato un'ampia panoramica della sua indagine, dipingendo Pertsev come una figura centrale nelle operazioni di Tornado Cash, prima che l'avvocato WK Cheng esprimesse la sua prima argomentazione difensiva.
Cheng ha evidenziato diversi punti che delineano i casi d'uso di Tornado Cash, e i fraintendimenti in merito alle sue funzionalità. "
Sono deluso dalla decisione del tribunale. Abbiamo cercato di spiegare il più chiaramente possibile quali sono i punti di vista della difesa" ha affermato Cheng dopo l'udienza preliminare.L'avvocato ha confermato che la prima sessione è stata posticipata al 20 febbraio 2023.
L'accusa ha evidenziato il timore che, se venisse rilasciato prima della prossima sessione in tribunale, Pertsev potrebbe fuggire dai Paesi Bassi.
Le promesse del team legale dello sviluppatore, ovvero di sorvegliare costantemente la sua abitazione e controllare settimanalmente le sue e-mail, non hanno convinto il giudice.
💻 HackerOne: policy standard per proteggere gli hacker
HackerOne ha rinnovato le sue linee guida politiche per offrire una migliore protezione dai problemi legali per gli hacker etici che agiscono in buona fede.
Il Gold Standard Safe Harbor (GSSH), che i clienti che eseguono programmi di bug bounty tramite HackerOne sono invitati ad accettare, offre una "dichiarazione di porto sicuro breve, ampia e facilmente comprensibile che è semplice da adottare per i clienti".
Sia i programmi di divulgazione delle vulnerabilità, che i programmi di bug bounty includono abitualmente accordi di porto sicuro che spiegano le protezioni legali che gli hacker possono aspettarsi.
Questi accordi possono variare, ma chiedendo ai propri clienti di accettare una politica standard, HackerOne mira a ridurre il carico burocratico per gli hacker etici.
Il Gold Standard Safe Harbor è stato lanciato mercoledì 16 novembre.
Le organizzazioni che si impegnano a rispettare il GSSH sostituiranno la loro dichiarazione Safe Harbor esistente con il GSSH sulla pagina del loro programma, che sarà contrassegnata con un badge digitale.
Gli hacker saranno in grado di filtrare le ricerche di programmi in base alla partecipazione allo schema GSSH.
KAYAK, GitLab Inc e Yahoo sono tra i primi clienti a optare per il linguaggio standardizzato di GSSH.
Il GSSH è disponibile per l'adozione da parte dei clienti di HackerOne in tutto il mondo, anche se il suo linguaggio si allinea maggiormente con i recenti aggiornamenti delle politiche di sicurezza informatica del governo degli Stati Uniti.
HackerOne ha rinnovato le sue linee guida politiche per offrire una migliore protezione dai problemi legali per gli hacker etici che agiscono in buona fede.
Il Gold Standard Safe Harbor (GSSH), che i clienti che eseguono programmi di bug bounty tramite HackerOne sono invitati ad accettare, offre una "dichiarazione di porto sicuro breve, ampia e facilmente comprensibile che è semplice da adottare per i clienti".
Sia i programmi di divulgazione delle vulnerabilità, che i programmi di bug bounty includono abitualmente accordi di porto sicuro che spiegano le protezioni legali che gli hacker possono aspettarsi.
Questi accordi possono variare, ma chiedendo ai propri clienti di accettare una politica standard, HackerOne mira a ridurre il carico burocratico per gli hacker etici.
Il Gold Standard Safe Harbor è stato lanciato mercoledì 16 novembre.
Le organizzazioni che si impegnano a rispettare il GSSH sostituiranno la loro dichiarazione Safe Harbor esistente con il GSSH sulla pagina del loro programma, che sarà contrassegnata con un badge digitale.
Gli hacker saranno in grado di filtrare le ricerche di programmi in base alla partecipazione allo schema GSSH.
KAYAK, GitLab Inc e Yahoo sono tra i primi clienti a optare per il linguaggio standardizzato di GSSH.
Il GSSH è disponibile per l'adozione da parte dei clienti di HackerOne in tutto il mondo, anche se il suo linguaggio si allinea maggiormente con i recenti aggiornamenti delle politiche di sicurezza informatica del governo degli Stati Uniti.
⚠️ Dati di utenti Twitter combinati con dati di altre violazioni
Alla fine di luglio, un utente malintenzionato ha fatto trapelare i dati di 5,4 milioni di account Twitter ottenuti sfruttando una vulnerabilità, ora risolta, nella popolare piattaforma di social media.
L’utente ha messo poi in vendita i dati rubati sul forum di hacking Breached Forums.
A gennaio di quest’anno, un rapporto ha affermato la scoperta di una vulnerabilità che può essere sfruttata da un chiunque sia capace per trovare un account Twitter tramite il numero di telefono/e-mail associato, anche se l'utente ha scelto di impedirlo nelle opzioni sulla privacy.
Il venditore ha affermato che il database conteneva dati (ad es. e-mail, numeri di telefono) di utenti che andavano dalle celebrità alle aziende. Il venditore ha anche condiviso un campione di dati sotto forma di file csv.
Ad agosto, Twitter ha confermato che la violazione dei dati è stata causata dal difetto zero-day, ora corretto, presentato dai ricercatori zhirinovskiy tramite la piattaforma di bug bounty HackerOne e che ha ricevuto una taglia di $ 5.040.
Il sito Web 9to5mac.com ha affermato che la violazione dei dati era una parola rispetto a quanto inizialmente riportato dalla società. Il sito Web riporta che più utenti hanno sfruttato lo stesso difetto e i dati disponibili nel deep cybercrime hanno fonti diverse.
Gli esperti ipotizzano dunque, che più attori delle minacce abbiano avuto accesso al database di Twitter e lo abbiano combinato con i dati di altre violazioni della sicurezza.
Alla fine di luglio, un utente malintenzionato ha fatto trapelare i dati di 5,4 milioni di account Twitter ottenuti sfruttando una vulnerabilità, ora risolta, nella popolare piattaforma di social media.
L’utente ha messo poi in vendita i dati rubati sul forum di hacking Breached Forums.
A gennaio di quest’anno, un rapporto ha affermato la scoperta di una vulnerabilità che può essere sfruttata da un chiunque sia capace per trovare un account Twitter tramite il numero di telefono/e-mail associato, anche se l'utente ha scelto di impedirlo nelle opzioni sulla privacy.
Il venditore ha affermato che il database conteneva dati (ad es. e-mail, numeri di telefono) di utenti che andavano dalle celebrità alle aziende. Il venditore ha anche condiviso un campione di dati sotto forma di file csv.
Ad agosto, Twitter ha confermato che la violazione dei dati è stata causata dal difetto zero-day, ora corretto, presentato dai ricercatori zhirinovskiy tramite la piattaforma di bug bounty HackerOne e che ha ricevuto una taglia di $ 5.040.
Il sito Web 9to5mac.com ha affermato che la violazione dei dati era una parola rispetto a quanto inizialmente riportato dalla società. Il sito Web riporta che più utenti hanno sfruttato lo stesso difetto e i dati disponibili nel deep cybercrime hanno fonti diverse.
Gli esperti ipotizzano dunque, che più attori delle minacce abbiano avuto accesso al database di Twitter e lo abbiano combinato con i dati di altre violazioni della sicurezza.
💰Fallimento di BlockFi: reazioni contrastanti
In seguito alla dichiarazione di fallimento della piattaforma di crypto lending BlockFi, i membri della cripto community hanno reagito con opinioni contrastanti, considerando che un'altra piattaforma è crollata durante il bear market attuale.
Nonostante BlockFi abbia citato il contraccolpo di FTX come motivo della sua bancarotta, il podcaster Matt Odell ha fornito una spiegazione diversa.
Odell ha scritto che la piattaforma di lending è fallita perché prestava i fondi dei clienti a trader ad alto rischio che giocavano con la leva finanziaria in modo sconsiderato.
Mario Nawfal ha detto in un tweet che il fallimento di BlockFi era stato anticipato da molti membri della comunità. Secondo Nawfal, la dichiarazione di fallimento segna la fine di un'era per la piattaforma di lending e yield-earning, che ha resistito a malapena ai fallimenti di Voyager e Celsius.
Avendo perso molti fondi durante il procedimento, alcuni hanno rivolto i forconi verso l'imprenditore e podcaster Anthony Pompliano, che aveva promosso la piattaforma di lending.
Nel frattempo, la piattaforma di crypto lending ha intentato una causa contro la holding di Sam Bankman- Fried, ex CEO di FTX, chiamata Emergent Fidelity Technologies. BlockFi spera di ottenere le azioni di Bankman-Fried in Robinhood, utilizzate come garanzia all'inizio di questo mese.
In seguito alla dichiarazione di fallimento della piattaforma di crypto lending BlockFi, i membri della cripto community hanno reagito con opinioni contrastanti, considerando che un'altra piattaforma è crollata durante il bear market attuale.
Nonostante BlockFi abbia citato il contraccolpo di FTX come motivo della sua bancarotta, il podcaster Matt Odell ha fornito una spiegazione diversa.
Odell ha scritto che la piattaforma di lending è fallita perché prestava i fondi dei clienti a trader ad alto rischio che giocavano con la leva finanziaria in modo sconsiderato.
Mario Nawfal ha detto in un tweet che il fallimento di BlockFi era stato anticipato da molti membri della comunità. Secondo Nawfal, la dichiarazione di fallimento segna la fine di un'era per la piattaforma di lending e yield-earning, che ha resistito a malapena ai fallimenti di Voyager e Celsius.
Avendo perso molti fondi durante il procedimento, alcuni hanno rivolto i forconi verso l'imprenditore e podcaster Anthony Pompliano, che aveva promosso la piattaforma di lending.
Nel frattempo, la piattaforma di crypto lending ha intentato una causa contro la holding di Sam Bankman- Fried, ex CEO di FTX, chiamata Emergent Fidelity Technologies. BlockFi spera di ottenere le azioni di Bankman-Fried in Robinhood, utilizzate come garanzia all'inizio di questo mese.
⚠️ Intel contesta la gravità del difetto di autenticazione di Data Center Manager
Un ricercatore di sicurezza ha rilasciato dettagli su come sono stati in grado di hackerare il Data Center Manager (DCM) di Intel.
Più specificamente, Julien Ahres di RCE Security è riuscito a bypassare l’autenticazione di Intel DCM falsificando le risposte Kerberos e LDAP (Lightweight Directory Access Protocol), creando una catena di exploit che, secondo loro, ha prodotto l’esecuzione di codice remoto (RCE) nel processo.
Intel riconosce che Ahrens ha scoperto una vulnerabilità, tracciata come CVE-2022-33942 e valutata con un punteggio di gravità di 8,8, ma ne contesta la gravità.
Secondo Intel, il problema rappresenta solo un difetto di elevazione dei privilegi piuttosto che un rischio RCE.
Nonostante il contestato processo di divulgazione della vulnerabilità, Ahrens ha argomentato abbastanza bene da consentire a Intel di fare un'eccezione una tantum e premiare il ricercatore con una taglia di bug di $ 10.000 , molto più di quanto sarebbe normalmente pagato per questo tipo di problema di sicurezza.
La console Intel Data Center Manager offre un dashboard di monitoraggio e gestione in tempo reale che può essere utilizzato per gestire una serie di risorse del data center.
Ahrens ha scoperto le vulnerabilità nel prodotto attraverso una revisione del codice sorgente dell'applicazione decompilata.
"
Un ricercatore di sicurezza ha rilasciato dettagli su come sono stati in grado di hackerare il Data Center Manager (DCM) di Intel.
Più specificamente, Julien Ahres di RCE Security è riuscito a bypassare l’autenticazione di Intel DCM falsificando le risposte Kerberos e LDAP (Lightweight Directory Access Protocol), creando una catena di exploit che, secondo loro, ha prodotto l’esecuzione di codice remoto (RCE) nel processo.
Intel riconosce che Ahrens ha scoperto una vulnerabilità, tracciata come CVE-2022-33942 e valutata con un punteggio di gravità di 8,8, ma ne contesta la gravità.
Secondo Intel, il problema rappresenta solo un difetto di elevazione dei privilegi piuttosto che un rischio RCE.
Nonostante il contestato processo di divulgazione della vulnerabilità, Ahrens ha argomentato abbastanza bene da consentire a Intel di fare un'eccezione una tantum e premiare il ricercatore con una taglia di bug di $ 10.000 , molto più di quanto sarebbe normalmente pagato per questo tipo di problema di sicurezza.
La console Intel Data Center Manager offre un dashboard di monitoraggio e gestione in tempo reale che può essere utilizzato per gestire una serie di risorse del data center.
Ahrens ha scoperto le vulnerabilità nel prodotto attraverso una revisione del codice sorgente dell'applicazione decompilata.
"
Era la prima volta che scoprivo questo tipo di vulnerabilità, principalmente perché guardavo a malapena il software integrato in Active Directory", ha detto Ahrens.