🐧Банкоматы на Linux

💳Компания SafenSoft выпустила новую версию средства шифрования дисков SoftControl DeCrypt, предназначенного для защиты устройств самообслуживания на базе Linux. Это обновление направлено на предотвращение атак на банкоматы и другие устройства, обеспечивая надежную защиту информации от хакеров.

🔐SoftControl DeCrypt юзает современные алгоритмы шифрования и параметры системных и периферийных устройств для создания ключей шифрования и расшифровки. Такое решение позволяет обойти эксплуатационные ограничения банкоматов, установленных в различных локациях.

🗣Генеральный директор SafenSoft, Светозар Яхонтов, отметил, что

поддержка Linux в линейке продуктов компании является ответом на изменение российского рынка устройств самообслуживания. Банки, стремясь к импортозамещению, выбирают продукты, минимизирующие их риски. SafenSoft работает более 20 лет с Windows и при переносе функциональности на Linux ставит перед собой задачи обеспечения одинакового уровня защиты для обеих платформ и создания бесшовного управления парком банкоматов. Учитывая, что поддержка Windows 10 заканчивается в 2025 году, процесс перехода может ускориться.

🛡SoftControl DeCrypt является частью комплексного решения SafenSoft, которое обеспечивает защиту и мониторинг событий из «единого окна».

@pentestland

😤Новый троян для Android-устройств в России

☠️В «Лаборатории Касперского» нашли новый шпионский троян LianSpy, который юзают против владельцев Android-устройств в России.

❕Основные факты о LianSpy:
- Целью трояна являются российские юзеры Android-устройств.
- LianSpy записывает экран при открытии мессенджеров, похищает документы, сохраняет данные журналов вызовов и собирает списки приложений.
- Примечательно, что хакеров не интересует финансовая информация жертв.

⚙️Технические детали:
- Вредонос использует «Яндекс Диск» как управляющий сервер, скрывая свою активность.
- Для получения root-доступа используется модифицированный бинарный файл su, который скрывает факт активации привилегий.
- Программа может скрывать уведомления Android о включении камеры или микрофона и удалять уведомления от фоновых сервисов.
- LianSpy обновляет свою конфигурацию каждые 30 секунд, проверяя файлы на «Яндекс Диске».
- Коммуникация с управляющим сервером односторонняя: малварь не получает дополнительных команд, только обновления конфигурации.

💡Особенности и методы:
- LianSpy использует комбинацию симметричного и асимметричного шифрования.
- Хакеры применяют публичные сервисы, что затрудняет атрибуцию кампании.
- Троян нестандартно использует root-права для сокрытия привилегий, что указывает на его использование после эксплуатации уязвимостей.

👨‍🔬Исследователи подчеркивают, что эта угроза не имеет аналогов среди других текущих кампаний, нацеленных на российских юзеров.

@pentestland

📱 Xiaomi может внедрить функцию обнаружения скрытых камер в HyperOS 2.0

📰По данным СМИ, Xiaomi готовится к запуску HyperOS 2.0, и одной из ключевых фич может стать возможность обнаружения скрытых камер. Эта фича будет использовать сигналы беспроводных локальных сетей (WLAN) для выявления подозрительных устройств.

🧳Это будет особенно полезной для путешественников, часто останавливающихся в незнакомых местах. С помощью HyperOS 2.0 юзеры смогут обнаруживать скрытые камеры одним касанием, проверяя устройства, подключенные к локальной сети Wi-Fi.

📹Как отмечает XiaomiTime, новая фича вдохновлена программой Ingram на Python, которая обнаруживает уязвимые камеры.

@pentestland

🔍 ИБ-специалисты нашли баг в Windows Smart App Control и SmartScreen

☠️Они нашли дефект в защитных функциях Windows Smart App Control и SmartScreen, который хакеры юзают как минимум с 2018 года. Этот дефект позволяет хакерам запускать ПО в обход системы безопасности.

☝️Основные факты:
- Smart App Control: Защитная функция на основе репутации, использующая службы приложений Microsoft для прогнозирования безопасности и проверки целостности кода. В Windows 11 она заменяет SmartScreen.
- SmartScreen: Функция, защищающая от потенциально вредоносного содержимого, работающая в Windows 8 и выше. Активируется, если Smart App Control не работает.

☢️Баг:
Специалисты Elastic Security Labs обнаружили, что ошибка в работе с LNK-файлами, получившая название LNK stomping, позволяет обойти средства безопасности Smart App Control.

⚙️Как работает LNK stomping:
- Создание LNK-файлов с нестандартными целевыми путями или внутренней структурой.
- При открытии таких файлов explorer.exe автоматически изменяет их форматирование, удаляя отметку MotW (Mark of the Web), которая запускает проверки безопасности. Для эксплуатации проблемы достаточно добавить точку или пробел к пути (например, после расширения бинарника, такого как powershell.exe) или создать LNK-файл с относительным путем (например, .\target.exe).

🫢Последствия:
- Хакеры уже юзают этот баг на протяжении многих лет. В VirusTotal найдено множество образцов, предназначенных для его эксплуатации, самый старый из которых датируется 2018 годом.

🖥Компания Microsoft уже знают о проблеме, и разрабы обещают, что баг будет устранен в одном из будущих обновлений Windows.

@pentestland

🖥Даунгрейд атака юзает старые баги в Windows

🧑‍🧑‍🧒‍🧒 На конфе Black Hat 2024 специалист SafeBreach Алон Левин представил доклад о двух 0-day уязвимостях, которые могут использоваться в даунгрейд атаках, угрожающих системам под управлением Windows 10, Windows 11 и Windows Server. Эти уязвимости, обозначенные как CVE-2024-38202 и CVE-2024-21302, позволяют хакерам откатывать полностью обновленные системы до более старых и уязвимых версий, что делает их снова подверженными давно исправленным багам.

⚙️Основные моменты:
- Даунгрейд-атаки: Позволяют заставить систему откатиться к более старым версиям критических компонентов, таких как библиотеки DLL и NT Kernel. При этом Windows Update продолжает сообщать, что система полностью обновлена.
- Баг CVE-2024-38202: Связана с повышением привилегий в Windows Backup и позволяет хацкерам отменить патчи для ранее исправленных ошибок или обойти функции безопасности, такие как Virtualization Based Security (VBS).
- Баг CVE-2024-21302: хакеры могут юзать его для подмены системных файлов Windows на устаревшие и уязвимые версии, что может привести к повышению привилегий.
- Эти атаки практически невозможно выявить, так как они не блокируются EDR-решениями, а Windows Update считает, что устройство полностью обновлено.

☝️Левиев отметил, что ему удалось понизить уровень защиты Credential Guard Secure Kernel, Isolated User Mode Process и Hyper-V, что открывает возможность для эксплуатации старых уязвимостей. Он также подчеркнул, что это первый случай, когда блокировки UEFI в VBS удалось обойти без физического доступа к устройству.

🎫Microsoft выпустила бюллетени безопасности с рекомендациями по снижению рисков, которые можно использовать до выхода патчей. Компания признала наличие проблемы и сообщила, что работает над её устранением, однако на данный момент патчей еще нет. По заверению компании, пока неизвестно о случаях использования этих уязвимостей хакерами.

@pentestland

🥷Новая технология шпионажа

⌨️ Эта технология позволяет считывать нажатия клавиш на ноутбуке с помощью инфракрасного лазера

🔴Этот метод улавливает тонкие вибрации, возникающие при наборе текста, даже без прямого обзора клавиатуры. Лазер может быть направлен, через окно на отражающие поверхности ноутбука, такие как логотип, что позволяет считывать информацию на расстоянии.

⏺Установка включает лазер, который мигает 400 000 раз в секунду, что позволяет уменьшить шум и захватить четкие сигналы. Эти сигналы затем можно преобразовать в текст или звук.

🛡Чтобы защититься от такого шпионажа, разраб рекомендует использовать отражающие стекла, которые снижают риски.

@pentestland

🔤Ботнет от $99 до $10К

📊Аналитики «Лаборатории Касперского» изучили рынок услуг, связанных с ботнетами, в даркнете в специализированных Telegram-каналах. Выяснилось, что цены на использование ботнетов варьируются от $99 до $10 000.

⚙️Основные факты:
🟡Цены на ботнеты: Стоимость использования ботнета начинается от 99 долларов и может достигать 10 000 долларов в зависимости от мощности и функций.
🟡Аренда и разработка: Ботнеты сдаются в аренду за $30–$4800 в месяц, а создание на заказ может обойтись в сумму от $3000.
🟡Ботнеты, исходный код которых попал в сеть, можно приобрести практически за бесценок — от $10 до $50, но эффективность таких ботнетов часто оставляет желать лучшего.
🟡В качестве основы для создания ботнетов хакеры юзают уязвимые устройства, такие как умные камеры, корпоративные гаджеты и промышленные устройства с слабыми паролями.

☠️Отмечается, что количество заражённых IoT-устройств в России в первой половине 2024 года удвоилось по сравнению с аналогичным периодом прошлого года, что увеличивает угрозу со стороны ботнетов.

💻Рынок ботнетов разнообразен и включает как дешевые решения с низкой эффективностью, так и мощные, дорогостоящие инструменты для кибератак.

@pentestland

☢️Вредоносы в расширениях Chrome и Edge

🖥Пацаны из ReasonLabs обнаружили масштабную кампанию, в рамках которой более 300 000 раз были установлены вредоносные расширения для браузеров Google Chrome и Microsoft Edge. Эти расширения изменяли исполняемые файлы, подменяли домашние страницы и крали историю браузера. Кампания активна с 2021 года и юзает различные способы распространения, включая загрузку софта с мошеннических сайтов, которые продвигаются через вредоносную рекламу в Google.

✅Основные моменты:
- Заражение через установщики: Юзеры скачивают установщики с поддельных сайтов, в целях загрузить популярный софт (например, Roblox FPS Unlocker, TikTok Video Downloader и другие). Эти установщики, подписанные цифровой подписью Tommy Tech LTD, успешно обходят антивирусы на платформе VirusTotal.
- Вместо загрузки ожидаемого софта установщики запускают PowerShell-скрипт, который загружает и устанавливает вредоносные расширения в браузеры Chrome и Edge. Эти расширения перехватывают поисковые запросы, подменяют домашнюю страницу и крадут историю браузера.
- Малварь скрывает себя в браузере, даже если включен режим разраба, и изменяет DLL-библиотеки Chrome и Edge, чтобы изменить настройки поиска. Она также препятствует автоматическому обновлению браузеров, оставляя их уязвимыми для новых угроз.

☠️Вредоносные расширения:
Для Google Chrome:
- Custom Search Bar — более 40 000 юзеров
- yglSearch — более 40 000 юзеров
- Qcom search bar — более 40 юзеров
- Qtr Search — более 600 юзеров
- Micro Search Chrome Extension — более 180 000 юзеров (удалено из Chrome Web Store)
- Active Search Bar — более 20 000 юзеров (удалено из Chrome Web Store)
- Your Search Bar — более 40 000 юзеров (удалено из Chrome Web Store)
- Safe Search Eng — более 35 000 юзеров (удалено из Chrome Web Store)
- Lax Search — более 600 юзеров (удалено из Chrome Web Store)

Для Microsoft Edge:
- Simple New Tab — более 100 000 юзеров (удалено из магазина Edge)
- Cleaner New Tab — более 2000 юзеров (удалено из магазина Edge)
- NewTab Wonders — более 7000 юзеров (удалено из магазина Edge)
- SearchNukes — более 1000 юзеров (удалено из магазина Edge)
- EXYZ Search — более 1000 юзеров (удалено из магазина Edge)
- Wonders Tab — более 6000 юзеров (удалено из магазина Edge)

🔧Рекомендации по удалению малвари:
1. Удалите запланированную задачу из Windows Task Scheduler, проверив записи, указывающие на подозрительные скрипты, такие как NvWinSearchOptimizer.ps1.
2. Удалите вредоносные записи из реестра:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist

3. Удалите файлы малвари из системы вручную или с помощью антивируса.
4. Рекомендуется переустановить браузер, чтобы избавиться от всех изменений, внесённых малварью.

@pentestland

💻Почти 2,7 миллиарда записей с личной информацией граждан США— слито в даркнете. 🇺🇸

☠️Слив содержит такие данные, как имена, номера социального страхования, почтовые адреса и возможные псевдонимы пострадавших. Предполагается, что эта информация была собрана компанией National Public Data, которая занимается сбором и продажей персональных данных для проведения биографических проверок, изучения криминального прошлого и услуг частных детективов.

💰История слива берет начало еще весной 2024 года, когда хакер под ником USDoD заявил о продаже 2,9 миллиарда записей, содержащих персональные данные жителей США, Великобритании и Канады. Он оценил данные в $3,5 млн, утверждая, что в его руках оказалась информация о каждом жителе этих стран. Тем не менее, журналисты так и не смогли получить комментарии от представителей National Public Data, а впоследствии в сети появлялись частичные копии этих данных.

📆6 августа 2024 года хакер под ником Fenice выложил наиболее полную версию утечки на хакерском форуме Breached, заявив, что информация была похищена другим хакером под псевдонимом SXUL, а не USDoD. В опубликованном дампе содержится почти 2,7 миллиарда записей, распределенных в двух текстовых файлах общим объемом 277 ГБ. Хотя исследователи не могут с уверенностью сказать, что утечка охватывает каждого жителя США, многие подтвердили, что в дампе действительно есть реальные данные, включая информацию о них самих и их близких.

✅Каждая запись содержит имя, почтовый адрес и номер социального страхования. Некоторые записи включают дополнительные данные, такие как другие имена, связанные с конкретным человеком. Однако в этой утечке отсутствуют телефонные номера и адреса электронной почты, которые были в предыдущих версиях. Информация не зашифрована и представлена в открытом виде.

🖥Стоит отметить, что одна и та же персона может быть представлена в нескольких записях, что означает, что утечка не затронула почти три миллиарда человек, как сообщалось ранее. Также известно, что утекшая информация может быть устаревшей, поскольку в некоторых случаях текущие адреса проживания отсутствуют.

@pentestland

🖥0-day для обхода защиты SmartScreen в Windows.

☠️На этой неделе Microsoft устранила опасный баг, связанный с обходом предупреждений Mark of the Web (MotW), который использовался хакерами как 0-day для обхода защиты SmartScreen. Напомним, что SmartScreen — это защитная функция, введенная еще в Windows 8, которая активируется при открытии файлов, полученных из интернета и помеченных MotW, предупреждая пользователя о потенциальной угрозе.

✅В рамках августовского «вторника обновлений» Microsoft исправила уязвимость, получившую идентификатор CVE-2024-38213. Эта проблема могла быть заюзана удаленно неаутентифицированными хакерами, хотя и требовала взаимодействия с жертвой. Уязвимость позволяла создавать файлы, которые обходили предупреждения MotW, что позволяло атакующим обмануть систему защиты SmartScreen и заставить пользователя открыть вредоносный файл.

☝️Специалист из Trend Micro, Питер Гирнус, обнаруживший эту проблему, рассказал

что баг активно использовался хакерами еще в марте 2024 года. Несмотря на то, что Microsoft была уведомлена о проблеме и исправила ее в июне 2024 года, соответствующее уведомление не было выпущено до августа.

💻В марте 2024 года хакеры, известные как операторы DarkGate, использовали этот баг для распространения вредоносного ПО, замаскированного под легитимные установщики программ, такие как Apple iTunes, Notion, NVIDIA и другие. Специалисты Trend Micro, анализируя деятельность DarkGate, выявили проблему CVE-2024-38213 и уведомили об этом Microsoft, что и привело к исправлению.

🛡Интересно, что эта уязвимость связана с обходом патча для другой проблемы в Defender SmartScreen (CVE-2023-36025), которая также использовалась как 0-day и была исправлена в ноябре 2023 года.

🔄Недавно специалисты Elastic Security Labs обнаружили еще один похожий дефект в Windows Smart App Control и SmartScreen, который использовался хакерами с 2018 года и также позволял обходить систему безопасности Windows. Microsoft планирует устранить эту уязвимость в одном из будущих обновлений.

@pentestland

☢️Баг IPv6 в Windows

🖥На этой неделе Microsoft предупредила юзеров об устранении критической уязвимости в TCP/IP, которая позволяла хакерам удаленно выполнять произвольный код на устройствах с включенным IPv6, что по умолчанию касается всех современных Windows-систем. Баг, получил идентификатор CVE-2024-38063, был обнаружен специалистами Kunlun Lab и связан с целочисленным антипереполнением (integer underflow), которое позволяет переполнять буфер и запускать вредоносный код на системах под управлением Windows 10, Windows 11 и Windows Server.

🧩Исследователи из Kunlun Lab сообщили, что пока не будут раскрывать детали уязвимости, чтобы дать юзерам время на установку патчей, поскольку проблема представляет серьезную опасность. Более того, они подчеркнули, что отключение IPv6 на уровне локального брандмауэра Windows не остановит возможные атаки, так как уязвимость может быть использована еще до его срабатывания.

💻Microsoft предупреждает, что эта уязвимость может быть использована удаленно неавторизованными хакерами, просто путем отправки специально подготовленных пакетов IPv6. В компании отметили, что эксплуатация этой уязвимости весьма вероятна, учитывая прошлые случаи использования подобных багов. Это делает проблему особенно привлекательной для создания эксплоитов.

🔘Тем юзерам, которые не могут немедленно установить исправления, Microsoft рекомендует временно отключить IPv6, чтобы снизить риск атак. Однако компания также напоминает, что стек сетевых протоколов IPv6 является важной частью современных версий Windows, начиная с Windows Vista, и его отключение может вызвать некорректную работу некоторых функций системы.

❗️По словам главы Trend Micro Zero Day Initiative

эта уязвимость является одной из самых серьезных, исправленных Microsoft в этом месяце, и она обладает потенциалом для использования в атаках типа "червь", что делает ее особенно опасной.

@pentestland

🔒40 лет тюрьмы за торговлю аккаунтами

👨‍⚖️27-летний гражданин России Георгий Кавжарадзе был приговорен в США к 40 месяцам (3,3 года) тюремного заключения за продажу учетных данных более 300 000 аккаунтов на хакерском маркетплейсе Slilpp, который был закрыт в июне 2021 года. Как сообщает Министерство юстиции США, Кавжарадзе, известный под псевдонимами TeRorPP, Torqovec и PlutuSS, продал на Slilpp огромное количество украденной финансовой информации и персональных данных.

📇Согласно судебным документам, в период с июля 2016 года по май 2021 года Кавжарадзе выставил на продажу более 626 100 украденных учетных данных. Те данные, которые были приобретены юзерами Slilpp, использовались для мошенничества и попыток совершения транзакций на сумму около 1,2 миллиона долларов США, так как покупатели использовали их для кражи денег со счетов жертв.

🏦Изначально обвинение включало учетные данные пяти разных банков и мошеннические транзакции на сумму свыше 5 миллионов долларов. Однако позже сумма была уменьшена до $1,2 млн, и теперь Кавжарадзе обязан вернуть эту сумму в качестве реституции.

💰27 мая 2021 года аккаунт Кавжарадзе на Slilpp выставил на продажу 240 495 учетных данных, которые могли использоваться для кражи денежных средств с платежных и банковских счетов жертв. Учетные данные включали информацию для доступа к банковским счетам в таких штатах, как Нью-Йорк, Калифорния, Невада и Джорджия. В качестве оплаты Кавжарадзе принимал только биткоины.

💸Следователи ФБР смогли связать Кавжарадзе с выводом более $200 000 США с биткоин-счета, который был связан с платежами за украденные логины и данные на Slilpp.

🔨В августе 2021 года Министерство юстиции США предъявило Кавжарадзе обвинения в сговоре с целью совершения банковского и электронного мошенничества, а также в краже личных данных при отягчающих обстоятельствах. После экстрадиции в США, в мае 2022 года, он предстал перед судом, где почти два года спустя признал себя виновным.

🛍Маркетплейс Slilpp, функционировавший с 2012 по 2021 год, был крупнейшим рынком взломанных учетных записей в криминальном подполье. На платформе было продано более 80 миллионов учетных данных, принадлежавших более чем 1400 компаниям, включая PayPal, Wells Fargo, Amazon и другие.

@pentestland

💻TP-Link замешан в атаках на США?


🌐Два члена Палаты представителей Конгресса США обратились к Министерству торговли с просьбой начать расследование в отношении китайского производителя сетевого оборудования TP-Link. Причиной стали опасения, что продукция компании может представлять угрозу национальной безопасности. В письме, датированном 13 августа и попавшем в распоряжение агентства «Рейтер», конгрессмены Джон Муленар (Республиканская партия) и Раджа Кришнамоорти (Демократическая партия) указали на то, что уязвимости в прошивках точек доступа Wi-Fi от TP-Link активно эксплуатируются хакерами при атаках на госучреждения в разных странах. Они назвали эту угрозу "вопиющим вопросом национальной безопасности".

🌐Запрос был направлен Министерству торговли, так как именно это ведомство обладает полномочиями ограничивать или запрещать продажу товаров, произведенных в странах, которые США объявляют противниками. Журналистка «Рейтер» Александра Альпер отметила, что данное письмо является признаком растущей обеспокоенности тем, что китайское оборудование может быть использовано в кибератаках на американские правительства и предприятия.

☠️Однако, по данным «Рейтер», кампания Volt Typhoon, направленная на американские госучреждения и критическую инфраструктуру, эксплуатировала уязвимости в сетевом оборудовании Cisco и NetGear, а не TP-Link. Тем не менее, в атаке использовались устройства не только внутри периметра атакуемых организаций, но и частных юзеров.

🙅В официальном заявлении TP-Link ответили, что не продают свои маршрутизаторы в США по официальным каналам и что их продукция не имеет незакрытых уязвимостей.

@pentestland

🌐Скрытые пароли в Chrome

🤖Разрабы Google работают над новой функцией для браузера Chrome на Android, которая будет скрывать конфиденциальную информацию (данные банковских карт и пароли) если юзер делится своим экраном или записывает его. Эта мера направлена на предотвращение утечки личных данных при записи или трансляции экрана.

🔘По данным Bleeping Computer, Google уже тестирует эту функцию которая называется «Редактирование конфиденциального содержимого при совместном использовании экрана, записи экрана и других подобных действиях» (Redact sensitive content during screen sharing, screen recording and similar actions). Если эта функция активна, конфиденциальные поля на страницах, такие как пароли и данные банковских карт, будут автоматически скрыты.

⚙️Функция будет работать на устройствах с Android V (Android 15) и выше. Хотя она еще не активирована для широкой аудитории, ожидается, что в ближайшие недели её можно будет протестировать в версии Chrome Canary.

@pentestland

🤖Google прикрывает программу по поиску багов в приложениях Google Play

🤖В 2017 году Google запустила инициативу «Google Play Security Reward Program (GPSRP)», которая позволяла исследователям получать вознаграждения за обнаружение уязвимостей в популярных приложениях для Android. Однако теперь компания объявила, что в конце августа программа будет закрыта.

🖥Изначально GPSRP охватывала только небольшую группу разрабов Android, которые могли получать до $5000 за обнаружение уязвимостей удаленного выполнения кода и до 1000 долларов за проблемы, связанные с кражей конфиденциальных данных. В 2019 году Google значительно увеличила вознаграждения: до $20 000 и $3 000 соответственно, и расширила программу на все приложения из Google Play, которые имели не менее 100 лямов установок.

📱За годы работы программа оказала значительное влияние на безопасность приложений. По данным Google, автоматизированные проверки, созданные на основе информации, собранной в рамках GPSRP, помогли более чем 300 000 разрабов исправить свыше миллиона приложений. Однако в письме, разосланном разработчикам, Google сообщила, что GPSRP завершится 31 августа 2024 года, почти семь лет спустя после запуска. Отчеты, отправленные до этого срока, будут рассмотрены до 15 сентября, а оставшиеся вознаграждения выплачены до конца месяца.

🔐Google объяснила закрытие программы уменьшением количества обнаруживаемых уязвимостей, общим повышением уровня безопасности ОС Android и усилением защиты функций. Несмотря на это, закрытие GPSRP может негативно сказаться на безопасности Play Store, так как исследователи лишатся стимулов для поиска и раскрытия уязвимостей, особенно в приложениях без собственных программ bug bounty.

@pentestland

✈️FlightAware сливал личные данные юзеров в течение трёх лет из-за ошибки в конфигурации

☠️Популярный сервис для отслеживания полётов FlightAware сообщил о серьёзной утечке данных, которая длилась на протяжении трёх лет. Компания, базирующаяся в Хьюстоне, предоставляющая данные о полётах в режиме реального времени, по неосторожности раскрывала личные данные своих юзеров с 1 января 2021 года по 25 июля 2024 года. Причиной инцидента стала ошибка в конфигурации системы.

✈️FlightAware, крупнейшая платформа для отслеживания полётов с сетью из 32 000 наземных ADS-B станций в 200 странах, допустила утечку следующей информации:

- ID пользователя;
- Пароль;
- Адрес электронной почты;
- Полное имя;
- Адрес для выставления счетов и доставки;
- IP-адрес;
- Аккаунты в социальных сетях;
- Номера телефонов;
- Год рождения;
- Последние четыре цифры номера банковской карты;
- Информация о принадлежащих пользователю воздушных судах;
- Отрасль и должность;
- Статус пилота;
- Активность аккаунта;
- Номер социального страхования.

🖥Хотя точное количество пострадавших юзеров пока неизвестно, стоит отметить, что у FlightAware более 12 миллионов зарегистрированных юзеров. Компания уже исправила ошибку и попросила всех потенциально пострадавших сбросить пароли при следующем входе в систему. Кроме того, пострадавшим пользователям предоставлен бесплатный 24-месячный пакет защиты от кражи личности от Equifax, а также рекомендуется сообщать о подозрительной активности в местные правоохранительные органы.

@pentestland

🛡GitHub устранил три бага в GitHub Enterprise Server: админам рекомендовано немедленно обновиться

🖥Разрабы GitHub устранили сразу три опасные уязвимости в GitHub Enterprise Server (GHES), настоятельно рекомендуя корпоративным юзерам как можно скорее установить соответствующие патчи. Одна из уязвимостей, идентифицированная как CVE-2024-6800, получила критическую оценку в 9,5 баллов по шкале CVSS 4.0 и затрагивает несколько версий GHES. Эта проблема позволяет хакерам обходить аутентификацию и получать права админа.

☠️Уязвимость CVE-2024-6800 связана с обёрткой XML-подписи и возникает при использовании стандарта аутентификации Security Assertion Markup Language (SAML) с определёнными identity-провайдерами. Проблема была устранена в последних версиях GHES: 3.13.3, 3.12.8, 3.11.14 и 3.10.16.

«В экземплярах GitHub Enterprise Server, использующих аутентификацию SAML SSO с определенными identity-провайдерами, которые применяют публично доступные подписанные федеративные метаданные XML, злоумышленник может подделать ответ SAML для предоставления или получения доступа к учетной записи пользователя с привилегиями администратора», — сообщает GitHub.

☢️Помимо критического бага, были устранены ещё две проблемы:
- CVE-2024-7711 — позволяет хакерам изменять issue в публичных репозиториях;
- CVE-2024-6337— связан с раскрытием содержимого issue в приватных репозиториях.

📊Согласно данным поисковика FOFA, в интернете доступно более 36 500 экземпляров GHES, большинство из которых (29 200) расположены в США. Пока неизвестно, сколько из них могут быть уязвимы перед новыми багами, однако разрабы рекомендуют всем юзерам немедленно обновить свои системы.

@pentestland

💻Взлом аккаунта Unicoin в Google Workspace: хакер блокировал доступ сотрудников на несколько дней

☠️Неизвестный хакер взломал аккаунт криптовалютного проекта Unicoin в Google Workspace (ранее G-Suite) и на несколько дней заблокировал доступ сотрудников к корпоративным сервисам. В результате взлома были изменены пароли всех юзеров, что лишило их доступа к таким критически важным инструментам, как Gmail и Google Drive.

🖥Согласно заявлению, поданному в Комиссию по ценным бумагам и биржам США (SEC), инцидент был обнаружен 9 августа 2024 года. Хакер получил полный контроль над аккаунтом компании, изменив пароли и получив доступ ко всем сервисам Google Workspace. Восстановить доступ к корпоративным аккаунтам удалось только 13 августа 2024 года.

📆За эти несколько дней хакер имел доступ к конфиденциальной информации, содержащейся во внутренних сообщениях компании. В ходе расследования были выявлены следующие факты:

🔴Несоответствия в личных данных сотрудников и подрядчиков, обнаруженные в бухгалтерском отделе;
🔴Компрометация коммуникаций, включая взлом сообщений и электронных почтовых ящиков некоторых менеджеров;
🔴Попытка подделки личных данных одного из подрядчиков, в результате чего его доступ был аннулирован.

👌Несмотря на серьёзность инцидента, в Unicoin заявили, что он не окажет существенного влияния на финансовое положение компании. Также не было выявлено никаких признаков пропажи криптовалютных активов или денежных средств, связанных с этим взломом.

@pentestland

💻Чел взломал госреестр США

🔒39-летний Джесси Кипф из штата Кентукки был приговорен к почти семи годам тюремного заключения за кражу личных данных и взлом государственного реестра для инсценировки собственной смерти. Таким образом, он надеялся избежать выплаты алиментов на сумму около 116 000 долларов США.

🌴По данным Министерства юстиции США, в январе 2023 года Кипф взломал систему регистрации смертей на Гавайях, используя украденные учетные данные врача, чтобы объявить себя умершим. Это позволило ему избежать уплаты алиментов, так как его имя было удалено из государственных баз данных.

🖥Однако Кипф не остановился на этом. В течение нескольких месяцев он продолжал взламывать государственные реестры в штатах Аризона и Вермонт, а также корпоративные и правительственные сети, используя похищенные учетные данные. Он даже пытался продать доступ к этим сетям на даркнете.

💳Следователи обнаружили на устройствах Кипфа доказательства его причастности к другим мошенническим схемам, включая продажу номеров социального страхования и медицинских записей международным покупателям. Кипф также использовал фальшивый номер социального страхования для открытия банковских счетов и пытался "жить под новой личностью".

📆Хотя за свои преступления Кипф мог получить более 30 лет тюрьмы, его приговорили к 81 месяцу заключения. Ему предстоит отбыть не менее 85% срока, то есть как минимум 69 месяцев, после чего он будет находиться под надзором властей еще три года.

👨‍⚖️Прокуроры назвали Кипфа "классическим рецидивистом" с внушительной криминальной историей, включая предыдущие обвинения в незаконном владении устройствами для проведения финансовых операций и использовании украденных номеров кредитных карт.

🤪Адвокат Кипфа утверждал, что его клиент страдает от психологической травмы после службы в Ираке и борется с наркотической зависимостью, что, по его словам, привело к его противозаконному поведению.

@pentestland