Как просматривали информацию с закрытых профилей в Instagram?
Подобные возможности интересуют многих пользователей и к сожалению, такие уязвимости существуют в большинстве подобных сервисах. И чаще всего не в единственном количестве.
Вот подобную брешь в системе недавно исправили в Instagram, где можно было просматривать приватные и архивные посты, сторисы, IGTV без обязательной подписки на аккаунт.
Осуществлялось оно при помощи брутфорса(подбора) идентификаторов медиа-файлов и соответствующего POST запроса к GraphQL в стандартном API Instagram.
Таким образом можно было просмотреть как сам медиа-файл, так и связанную с ним информацию. Например: количество комментариев, лайков и сохранений.
Помимо этого, можно было узнать и связанную страницу Facebook с атакуемой учетной записью. Об этих уязвимостях было сообщено еще 15 апреля, а исправили их лишь 15 июня.
#новость #уязвимость #instagram
Подобные возможности интересуют многих пользователей и к сожалению, такие уязвимости существуют в большинстве подобных сервисах. И чаще всего не в единственном количестве.
Вот подобную брешь в системе недавно исправили в Instagram, где можно было просматривать приватные и архивные посты, сторисы, IGTV без обязательной подписки на аккаунт.
Осуществлялось оно при помощи брутфорса(подбора) идентификаторов медиа-файлов и соответствующего POST запроса к GraphQL в стандартном API Instagram.
Таким образом можно было просмотреть как сам медиа-файл, так и связанную с ним информацию. Например: количество комментариев, лайков и сохранений.
Помимо этого, можно было узнать и связанную страницу Facebook с атакуемой учетной записью. Об этих уязвимостях было сообщено еще 15 апреля, а исправили их лишь 15 июня.
#новость #уязвимость #instagram
Подделка QR-кодов в Москве набирает обороты
С 28 июня в Москве вступили в силу ограничения для ряда заведений, требующие от посетителей специальный QR-код о вакцинации от коронавируса.
Но на фоне этого, появилась схема подделки таких кодов. Тем более что о вводящихся ограничениях было известно заранее и времени на разработку таких схем видимо оказалось достаточно.
Их суть в том, что создается фейковый сайт с интерфейсом "Госуслуг", а так же создаются поддельные QR-коды при помощи соответствующих генераторов.
При сканировании поддельного QR-кода, устройство открывает не оригинальный сайт, а поддельный. Сотрудники заведений могут не заметить разницы и посчитать QR-код настоящим.
Но с учетом, что о схеме уже известно, сотрудникам заведений достаточно внимательней сравнить домен оригинального сайта "Госуслуг" с тем, на который перевел отсканированный QR-код.
#новость #уязвимость
С 28 июня в Москве вступили в силу ограничения для ряда заведений, требующие от посетителей специальный QR-код о вакцинации от коронавируса.
Но на фоне этого, появилась схема подделки таких кодов. Тем более что о вводящихся ограничениях было известно заранее и времени на разработку таких схем видимо оказалось достаточно.
Их суть в том, что создается фейковый сайт с интерфейсом "Госуслуг", а так же создаются поддельные QR-коды при помощи соответствующих генераторов.
При сканировании поддельного QR-кода, устройство открывает не оригинальный сайт, а поддельный. Сотрудники заведений могут не заметить разницы и посчитать QR-код настоящим.
Но с учетом, что о схеме уже известно, сотрудникам заведений достаточно внимательней сравнить домен оригинального сайта "Госуслуг" с тем, на который перевел отсканированный QR-код.
#новость #уязвимость
Как не ждать 30 минут, а пройти за 30 секунд?
2 июля на сайте gosuslugi.ru произошёл сбой. Сервер не выдержал 500 тысяч одновременно активных пользователей и на сайте был включён таймер.
Каждому зашедшему пользователю нужно было подождать 30 минут, чтобы воспользоваться сайтом. При обновлении страницы, таймер сбрасывался.
Разработчик из Петербурга Евгений Телегин смог обойти этот таймер. Он открыл исходный страницы и отредактировал его.
А именно - нашел блок
В твиттере Телегин опубликовал видео, в котором показал, как зайти на сайт, не ожидая 30 минут. Сейчас сайт "Госуслуг" работает в стабильном режиме.
#новость #уязвимость
2 июля на сайте gosuslugi.ru произошёл сбой. Сервер не выдержал 500 тысяч одновременно активных пользователей и на сайте был включён таймер.
Каждому зашедшему пользователю нужно было подождать 30 минут, чтобы воспользоваться сайтом. При обновлении страницы, таймер сбрасывался.
Разработчик из Петербурга Евгений Телегин смог обойти этот таймер. Он открыл исходный страницы и отредактировал его.
А именно - нашел блок
<div> c классом "hidden" и идентификатором "timer-turned-off". Удалил у этого элемента класс "hidden". После чего продолжил работу с сайтом, а окно с таймером исчезлоВ твиттере Телегин опубликовал видео, в котором показал, как зайти на сайт, не ожидая 30 минут. Сейчас сайт "Госуслуг" работает в стабильном режиме.
#новость #уязвимость
Экстренное обновление Windows
Связано оно с обнаруженной в конце июня уязвимостью под названием "PrintNightmare"(Печатный кошмар), которая позволяет запускать удаленный код.
Причем баг был недолгое время опубликован в открытом репозитории на GitHub. Этого времени оказалось достаточно, чтобы код разлетелся по интернету.
Уязвимость крылась в службе печати, которая запускается по умолчанию во всех версиях ОС. В связи с чем, использовать уязвимость весьма не сложно.
Поэтому компания выдала ей высшую степень опасности и выпустила срочное исправление для большинства версий операционной системы. Даже уже не поддерживаемой "Windows 7".
Поэтому рекомендуем установить последнее обновление операционной системы. А если по какой-то причине не можете это сделать, то отключите службу печати командами в терминале:
Связано оно с обнаруженной в конце июня уязвимостью под названием "PrintNightmare"(Печатный кошмар), которая позволяет запускать удаленный код.
Причем баг был недолгое время опубликован в открытом репозитории на GitHub. Этого времени оказалось достаточно, чтобы код разлетелся по интернету.
Уязвимость крылась в службе печати, которая запускается по умолчанию во всех версиях ОС. В связи с чем, использовать уязвимость весьма не сложно.
Поэтому компания выдала ей высшую степень опасности и выпустила срочное исправление для большинства версий операционной системы. Даже уже не поддерживаемой "Windows 7".
Поэтому рекомендуем установить последнее обновление операционной системы. А если по какой-то причине не можете это сделать, то отключите службу печати командами в терминале:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
#новость #уязвимость #windows
Как мошенники узнают номера и балансы карт в Сбере?
Мошенничества через телефонные звонки от "службы безопасности банка" сейчас весьма популярны. Но обычно они знают минимум информации о вас - телефон, имя с фамилией и название банка.
Только вот в недавних схемах, при представлении сотрудником "СберБанка", появились особенности - мошенники знают номера ваших карт и точные суммы на них:
1. Мошенник звонит на номер 900 от "СберБанка" подставляя номер жертвы в качестве исходящего.
2. На звонок отвечает робот. Он предлагает озвучить остаток по карте, а для этого надо назвать номер карты.
3. Если указать рандомные цифры, то робот озвучивает, что такой карты не существует.
4. Далее робот называет номера существующих карт у звонившего.
5. Мошенник в свою очередь называет номер интересующей карты.
6. Робот озвучивает остаток по ней.
Таким образом голосовой помощник, задача которого помогать клиентам, смог помочь так же и мошенникам в их схемах.
#новость #уязвимость
Мошенничества через телефонные звонки от "службы безопасности банка" сейчас весьма популярны. Но обычно они знают минимум информации о вас - телефон, имя с фамилией и название банка.
Только вот в недавних схемах, при представлении сотрудником "СберБанка", появились особенности - мошенники знают номера ваших карт и точные суммы на них:
1. Мошенник звонит на номер 900 от "СберБанка" подставляя номер жертвы в качестве исходящего.
2. На звонок отвечает робот. Он предлагает озвучить остаток по карте, а для этого надо назвать номер карты.
3. Если указать рандомные цифры, то робот озвучивает, что такой карты не существует.
4. Далее робот называет номера существующих карт у звонившего.
5. Мошенник в свою очередь называет номер интересующей карты.
6. Робот озвучивает остаток по ней.
Таким образом голосовой помощник, задача которого помогать клиентам, смог помочь так же и мошенникам в их схемах.
#новость #уязвимость
Valve исправили баг, который разрешал пополнять кошелек на любую сумму
Его нашел пользователь Steam под логином "drbrix". Он сообщил компании об этом, они исправили уязвимость и выплатили вознаграждение в сумме 7500$.
Для использования уязвимости необходимо было указать новую почту в аккаунте Steam, где логин соответствовал формату "
Значение
После этого можно было заплатить 1 доллар и получить полную сумму указанную в параметре. Правда, уже так сделать нельзя, так как уязвимость устранена.
#новость #уязвимость #steam
Его нашел пользователь Steam под логином "drbrix". Он сообщил компании об этом, они исправили уязвимость и выплатили вознаграждение в сумме 7500$.
Для использования уязвимости необходимо было указать новую почту в аккаунте Steam, где логин соответствовал формату "
amount<СУММА>". Значение
<СУММА> - это числовой эквивалент денег. Например: amount1000. То есть можно было указать bugfeatureamount1000@gmail.com
После этого в процессе оплаты через систему, которая использует "Smart2Pay", составить свой POST запрос, где добавить параметр amount=1000.После этого можно было заплатить 1 доллар и получить полную сумму указанную в параметре. Правда, уже так сделать нельзя, так как уязвимость устранена.
#новость #уязвимость #steam
Создатель малвари заразил ею собственный компьютер
Речь идет об инфостилере "Raccoon", который ворует данные из более 50 популярных браузеров, криптовалютных кошельков и почтовых клиентов.
Сам стилер начал набирать свою популярность в 2019 году и заразил уже более миллиона устройств. И вот в феврале текущего года был инфицирован компьютер создателя.
Предположительно, это делалось для тестирования новых функций стилера по извлечению паролей из Google Chrome. Но все равно данные были скомпрометированы и попали для отслеживания специалистам из "Hudson Rock" на платформе "Cavalier".
Они нашли подмененный реальный ip-адрес на
По собранным данным, разработчик является русскоговорящим. На это указывают логи посещения русскоязычного форума по кибербезопасности, а так же настройки малвари.
Если она определит, что система использует русский, украинский, белорусский, казахский, киргизский, армянский, таджикский или узбекский языки, то немедленно прекратит работу.
#новость #уязвимость
Речь идет об инфостилере "Raccoon", который ворует данные из более 50 популярных браузеров, криптовалютных кошельков и почтовых клиентов.
Сам стилер начал набирать свою популярность в 2019 году и заразил уже более миллиона устройств. И вот в феврале текущего года был инфицирован компьютер создателя.
Предположительно, это делалось для тестирования новых функций стилера по извлечению паролей из Google Chrome. Но все равно данные были скомпрометированы и попали для отслеживания специалистам из "Hudson Rock" на платформе "Cavalier".
Они нашли подмененный реальный ip-адрес на
1.1.1.1, который означает DNS от Cloudflare. Так же были найдены несколько email-адресов. По собранным данным, разработчик является русскоговорящим. На это указывают логи посещения русскоязычного форума по кибербезопасности, а так же настройки малвари.
Если она определит, что система использует русский, украинский, белорусский, казахский, киргизский, армянский, таджикский или узбекский языки, то немедленно прекратит работу.
#новость #уязвимость
