Apple выпустили iPhone для хакеров
Apple создали специальные айфоны с меньшим количеством ограничений, позволяющее исследователям по безопасности более легко находить уязвимости системы, без необходимости сначала обходить стандартные средства защиты iOS.
Фактически, исследователи получат кастомную версию iPhone с разблокированной консолью суперпользователя. На нем можно будет выполнять команды управления, а также будет открыт доступ к аппаратной части. Также будет доступен отладочный инструментарий и доступ к внутренней документации и специализированному форуму для связи с инженерами компании.
Чтобы получить такое устройство вы должны быть совершеннолетним, не работать в Apple, иметь опыт в поиске уязвимостей в iOS, а также обязательно проживать в одной из следующих стран (России там нет 🙁).
Эксплойт / #новость
Apple создали специальные айфоны с меньшим количеством ограничений, позволяющее исследователям по безопасности более легко находить уязвимости системы, без необходимости сначала обходить стандартные средства защиты iOS.
Фактически, исследователи получат кастомную версию iPhone с разблокированной консолью суперпользователя. На нем можно будет выполнять команды управления, а также будет открыт доступ к аппаратной части. Также будет доступен отладочный инструментарий и доступ к внутренней документации и специализированному форуму для связи с инженерами компании.
Чтобы получить такое устройство вы должны быть совершеннолетним, не работать в Apple, иметь опыт в поиске уязвимостей в iOS, а также обязательно проживать в одной из следующих стран (России там нет 🙁).
Эксплойт / #новость
❤2
Защита фотографий от систем распознавания лиц
Современные системы распознавания лиц представляют большую угрозу личной приватности. Уже сейчас такие системы ежедневно сканируют миллионы лиц в Китае, Великобритании и России без их согласия. Исследователи придумали алгоритм, который делает незаметные попиксельные изменения в фотографии, делая ее бесполезной для систем распознавания лиц.
После обработки вы можете использовать фотографии как угодно — публиковать в социальных сетях, передавать друзьям или распечатывать на бумаге. В любом случае, для распознавания лиц они уже бесполезны. Сжатие фотографий и применение любых графических фильтров не снимают защиту, поскольку клоакинг происходит на уровне пикселей, и не стирается в растровом редакторе.
Алгоритм был протестирован и показал эффективность 100% против самых известных моделей распознавания Microsoft Azure Face API, Amazon Rekognition и Face++. Программа имеет открытый исходный код и ее можно установить на Windows, Linux и Mac.
Эксплойт / #приватность
Современные системы распознавания лиц представляют большую угрозу личной приватности. Уже сейчас такие системы ежедневно сканируют миллионы лиц в Китае, Великобритании и России без их согласия. Исследователи придумали алгоритм, который делает незаметные попиксельные изменения в фотографии, делая ее бесполезной для систем распознавания лиц.
После обработки вы можете использовать фотографии как угодно — публиковать в социальных сетях, передавать друзьям или распечатывать на бумаге. В любом случае, для распознавания лиц они уже бесполезны. Сжатие фотографий и применение любых графических фильтров не снимают защиту, поскольку клоакинг происходит на уровне пикселей, и не стирается в растровом редакторе.
Алгоритм был протестирован и показал эффективность 100% против самых известных моделей распознавания Microsoft Azure Face API, Amazon Rekognition и Face++. Программа имеет открытый исходный код и ее можно установить на Windows, Linux и Mac.
Эксплойт / #приватность
❤1
Произошла утечка ДНК профилей 1.2 миллиона человек
Утечки личной информации, адресов электронной почты, паролей - уже успели стать обыкновенным явлением, случающимся почти каждый день. Но утечка ДНК данных людей это что-то новое.
19 июля веб-сайт GEDmatch, через который любители генеалогии находят родственников для заполнения своих родословных, был взломан, после чего ДНК профили 1.2 миллиона человек, которые скрыли свой профиль от полицейских, на 3 часа стали доступны всем желающим.
Правоохранительные органы используют GEDmatch для поимки преступников. Они сравнивают образцы ДНК, найденные на местах преступлений, с профилями на GEDmatch (которые это разрешили), что позволяет построить родословные, которые в конечном итоге приведут к преступнику. Таким образом были идентифицированы десятки предполагаемых убийц и насильников.
Эксплойт / #новость
Утечки личной информации, адресов электронной почты, паролей - уже успели стать обыкновенным явлением, случающимся почти каждый день. Но утечка ДНК данных людей это что-то новое.
19 июля веб-сайт GEDmatch, через который любители генеалогии находят родственников для заполнения своих родословных, был взломан, после чего ДНК профили 1.2 миллиона человек, которые скрыли свой профиль от полицейских, на 3 часа стали доступны всем желающим.
Правоохранительные органы используют GEDmatch для поимки преступников. Они сравнивают образцы ДНК, найденные на местах преступлений, с профилями на GEDmatch (которые это разрешили), что позволяет построить родословные, которые в конечном итоге приведут к преступнику. Таким образом были идентифицированы десятки предполагаемых убийц и насильников.
Эксплойт / #новость
❤1
Как сгенерировать фотографию несуществующего человека
Если вы хотите зарегистрировать фейковый аккаунт в социальной сети, вы можете использовать фотографию другого человека, но в таком случае — это можно будет разоблачить, проведя обратный поиск по изображению.
На сайте https://thispersondoesnotexist.com вы можете сгенерировать фотографию человека, которого не существует. Алгоритм использует искусственный интеллект для создания фотографий. Обновите страницу, чтобы получить новое изображение.
Если вы хотите применить фильтр, то можно воспользоваться сайтом https://generated.photos/faces. На нем можно задать параметры по полу, возрасту, расе, цвету глаз, стрижке и даже эмоциям.
Эксплойт / #полезно
Если вы хотите зарегистрировать фейковый аккаунт в социальной сети, вы можете использовать фотографию другого человека, но в таком случае — это можно будет разоблачить, проведя обратный поиск по изображению.
На сайте https://thispersondoesnotexist.com вы можете сгенерировать фотографию человека, которого не существует. Алгоритм использует искусственный интеллект для создания фотографий. Обновите страницу, чтобы получить новое изображение.
Если вы хотите применить фильтр, то можно воспользоваться сайтом https://generated.photos/faces. На нем можно задать параметры по полу, возрасту, расе, цвету глаз, стрижке и даже эмоциям.
Эксплойт / #полезно
👍2
Таинственная атака «Мяу» уничтожает незащищенные базы данных
Уже 4300 незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо пояснений.
Одним из первых публично известных примеров атаки «Мяу» стала база данных Elasticsearch, принадлежащая гонконгскому VPN-провайдеру, который заявлял, что не хранит никаких логов, но по недосмотру выложил в интернет 1,2 терабайта конфиденциальных данных своих пользователей.
Организатор атаки и его цели пока остаются неизвестными. Атака выглядит как автоматический скрипт который, перезаписывает или полностью уничтожает данные любой базы данных, которая небезопасна и доступна через интернет. После Elasticsearch и MongoDB были случаи удаления баз данных Cassandra, CouchDB, Redis, Hadoop, Jenkins, а также на сетевых устройствах хранения данных.
Эксплойт / #новость
Уже 4300 незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо пояснений.
Одним из первых публично известных примеров атаки «Мяу» стала база данных Elasticsearch, принадлежащая гонконгскому VPN-провайдеру, который заявлял, что не хранит никаких логов, но по недосмотру выложил в интернет 1,2 терабайта конфиденциальных данных своих пользователей.
Организатор атаки и его цели пока остаются неизвестными. Атака выглядит как автоматический скрипт который, перезаписывает или полностью уничтожает данные любой базы данных, которая небезопасна и доступна через интернет. После Elasticsearch и MongoDB были случаи удаления баз данных Cassandra, CouchDB, Redis, Hadoop, Jenkins, а также на сетевых устройствах хранения данных.
Эксплойт / #новость
❤1
В даркнет утекла база 3 млн реальных IP-адресов CloudFlare
По заявлению Совета национальной безопасности и обороны Украины, в даркнете была опубликована база данных сервиса CloudFlare, который осуществляет защиту от DDoS-атак и безопасный доступ к ресурсам.
Опубликованный список содержит реальные IP-адреса сайтов, наличие которых у злоумышленника ставит сайт под угрозу DDoS атаки. Список также содержит 45 сайтов на правительственном домене gov.ua, которым пользуются украинские органы власти, и сайты объектов критической инфраструктуры, а также более 6,5 тысяч с доменом .ua.
Сервисом пользуются многие государственные и частные организации не только в Украине, но по всему миру. Список реальных IP-адресов делает защиту CloudFlare бесполезной и ставит сайты под угрозу легкой DDoS атаки.
Эксплойт / #новость
По заявлению Совета национальной безопасности и обороны Украины, в даркнете была опубликована база данных сервиса CloudFlare, который осуществляет защиту от DDoS-атак и безопасный доступ к ресурсам.
Опубликованный список содержит реальные IP-адреса сайтов, наличие которых у злоумышленника ставит сайт под угрозу DDoS атаки. Список также содержит 45 сайтов на правительственном домене gov.ua, которым пользуются украинские органы власти, и сайты объектов критической инфраструктуры, а также более 6,5 тысяч с доменом .ua.
Сервисом пользуются многие государственные и частные организации не только в Украине, но по всему миру. Список реальных IP-адресов делает защиту CloudFlare бесполезной и ставит сайты под угрозу легкой DDoS атаки.
Эксплойт / #новость
🔥2
Как узнать когда приложение использует камеру
В бета версии iOS 14 появился индикатор активности микрофона и камеры в виде маленьких оранжевой и зеленой точек в верху экрана. Так например, недавно пользователи обнаружили, что приложение Instagram тайно использует камеру смартфонов, даже когда пользователь не снимает фото или видео, а, например, просто листает ленту в приложении.
Для владельцев смартфонов на базе Android недавно было разработано приложение Access Dots, которое, подобно реализации в iOS 14, показывает цветные точки, когда используется камера или микрофон. Приложение также ведет лог и покажет когда и как долго камера или микрофон были использованы и в каком приложении. Расположение и цвет индикаторов можно кастомизировать в настройках.
Приложение бесплатное и прямо сейчас доступно в магазине Google Play. Access Dots работает на всех устройствах Android с Android 7.0 Nougat и выше. Разработчик отмечает, что само приложение не имеет доступа к камере или микрофону.
Эксплойт / #приватность
В бета версии iOS 14 появился индикатор активности микрофона и камеры в виде маленьких оранжевой и зеленой точек в верху экрана. Так например, недавно пользователи обнаружили, что приложение Instagram тайно использует камеру смартфонов, даже когда пользователь не снимает фото или видео, а, например, просто листает ленту в приложении.
Для владельцев смартфонов на базе Android недавно было разработано приложение Access Dots, которое, подобно реализации в iOS 14, показывает цветные точки, когда используется камера или микрофон. Приложение также ведет лог и покажет когда и как долго камера или микрофон были использованы и в каком приложении. Расположение и цвет индикаторов можно кастомизировать в настройках.
Приложение бесплатное и прямо сейчас доступно в магазине Google Play. Access Dots работает на всех устройствах Android с Android 7.0 Nougat и выше. Разработчик отмечает, что само приложение не имеет доступа к камере или микрофону.
Эксплойт / #приватность
❤1
Хакер слил базы данных 18 компаний на 386 миллионов пользователей
Пользователь под псевдонимом ShinyHunters на хакерском форуме слил уже более 386 миллионов записей пользователей, украденых у 18 компаний, включая Wattpad, Dave, Chatbooks, Promo.com, Mathway, HomeChef и взлом частного хранилища Microsoft GitHub.
Базы данных предоставляют собой более 386 миллионов пользовательских записей (логин+пароль). Среди слитых им за все время баз данных, девять уже были обнародованы в прошлом, а другие девять, включая Havenly, Indaba Music, Ivoy, Proctoru, Rewards1, Scentbird и Vakinha, ранее не были слиты.
Базы данных, похищенные в результате утечки данных, обычно сначала продаются в частном порядке, но как только они перестают приносить прибыль, их обычно сливают на хакерских форумах, чтобы повысить репутацию в сообществе.
Эксплойт / #новость
Пользователь под псевдонимом ShinyHunters на хакерском форуме слил уже более 386 миллионов записей пользователей, украденых у 18 компаний, включая Wattpad, Dave, Chatbooks, Promo.com, Mathway, HomeChef и взлом частного хранилища Microsoft GitHub.
Базы данных предоставляют собой более 386 миллионов пользовательских записей (логин+пароль). Среди слитых им за все время баз данных, девять уже были обнародованы в прошлом, а другие девять, включая Havenly, Indaba Music, Ivoy, Proctoru, Rewards1, Scentbird и Vakinha, ранее не были слиты.
Базы данных, похищенные в результате утечки данных, обычно сначала продаются в частном порядке, но как только они перестают приносить прибыль, их обычно сливают на хакерских форумах, чтобы повысить репутацию в сообществе.
Эксплойт / #новость
👍2
Премиальная связь для безопасных разговоров по всему миру
Создатели SafeCallsBot (безопасные звонки через Telegram), запустили новый продукт - Премиальная GSM связь для надежных разговоров, безлимитные звонки и защита в 188 странах мира.
SIM-карта дает возможность изменять исходящий номер и голос абонента, защищена от «перевыпуска», и есть доступ к безопасному Интернету. Более подробно про тарифы и возможности SafeCalls можно посмотреть на официальном сайте.
Для оформления не нужно никуда приходить и предоставлять документы, достаточно просто заказать сим-карту (обычную или eSIM) онлайн. Доставка по всему миру бесплатная. Пополнять баланс можно анонимно, с помощью криптовалюты. На сим-карту SafeCalls вы можете подключить несколько номеров разных стран и принимать входящие звонки и SMS.
Для всех читателей канала действует акция, закажите 1 SIM-карту – вторую получите в подарок. При оформлении заказа в поле «Комментарий» укажите промо-код Exploitex.
#promo
Создатели SafeCallsBot (безопасные звонки через Telegram), запустили новый продукт - Премиальная GSM связь для надежных разговоров, безлимитные звонки и защита в 188 странах мира.
SIM-карта дает возможность изменять исходящий номер и голос абонента, защищена от «перевыпуска», и есть доступ к безопасному Интернету. Более подробно про тарифы и возможности SafeCalls можно посмотреть на официальном сайте.
Для оформления не нужно никуда приходить и предоставлять документы, достаточно просто заказать сим-карту (обычную или eSIM) онлайн. Доставка по всему миру бесплатная. Пополнять баланс можно анонимно, с помощью криптовалюты. На сим-карту SafeCalls вы можете подключить несколько номеров разных стран и принимать входящие звонки и SMS.
Для всех читателей канала действует акция, закажите 1 SIM-карту – вторую получите в подарок. При оформлении заказа в поле «Комментарий» укажите промо-код Exploitex.
#promo
❤1
Быстрый способ собрать всю техническую информацию о компании
Тестирование на проникновение - очень времязатратный процесс. Cбор данных о таргете и их анализ занимает большую часть времени. Для качественного сбора нужны десятки различных инструментов, которые нужно запускать по отдельности и ждать выдачи, а потом еще структурировать собранное. К счастью есть поисковые движки с десятками встроенных сканеров.
Spyse.com - это веб-приложение для поиска технических данных. С его помощью можно получить всю информацию для пентеста организаций. Особенность spyse в том, что все данные регулярно обновляются и хранятся на серверах. Не нужно каждый раз ждать пока просканируются все порты, субдомены, инфраструктура, что экономит уйму времени.
Про знакомство со Spyse и то, как мы нашли уязвимости в билборде Samsung мы уже писали здесь. При анализе также порадовало связывание данных между организациями и данных из Crunchbase, Whois и Alexa. Поддержка Spyse сказала, что до октября планируется несколько мощных обновлений и сканирование более 2000 портов. Ждем)
Эксплойт / #OSINT
Тестирование на проникновение - очень времязатратный процесс. Cбор данных о таргете и их анализ занимает большую часть времени. Для качественного сбора нужны десятки различных инструментов, которые нужно запускать по отдельности и ждать выдачи, а потом еще структурировать собранное. К счастью есть поисковые движки с десятками встроенных сканеров.
Spyse.com - это веб-приложение для поиска технических данных. С его помощью можно получить всю информацию для пентеста организаций. Особенность spyse в том, что все данные регулярно обновляются и хранятся на серверах. Не нужно каждый раз ждать пока просканируются все порты, субдомены, инфраструктура, что экономит уйму времени.
Про знакомство со Spyse и то, как мы нашли уязвимости в билборде Samsung мы уже писали здесь. При анализе также порадовало связывание данных между организациями и данных из Crunchbase, Whois и Alexa. Поддержка Spyse сказала, что до октября планируется несколько мощных обновлений и сканирование более 2000 портов. Ждем)
Эксплойт / #OSINT
❤1
Как хакеры воруют данные карт через Netflix и Captcha
Злоумышленники используют новый метод обхода средств контроля безопасности электронной почты для кражи данных кредитных карт. Сценарий очень простой: жертва получает финишнговое письмо, якобы от техподдержки Netflix, с уведомлением о неудачном платеже и просьбой обновить данные карты.
Однако, если в обычном случае, почтовый сервис распознал бы ссылку на подобный сайт в письме и принял его за угрозу, то в этот раз злоумышленники, в качестве первого звена цепочки переадресаций использовали легитимную страницу CAPTCHA, которая не признается вредоносной, а дальнейшая переадресация для почтового бота невозможна, так как необходимо пройти капчу 🤷.
После ввода капчи жертва переправляется на фишинговую страницу с запросом данных платежной карты, далее все заканчивается сообщением об «успехе».
Эксплойт / #безопасность
Злоумышленники используют новый метод обхода средств контроля безопасности электронной почты для кражи данных кредитных карт. Сценарий очень простой: жертва получает финишнговое письмо, якобы от техподдержки Netflix, с уведомлением о неудачном платеже и просьбой обновить данные карты.
Однако, если в обычном случае, почтовый сервис распознал бы ссылку на подобный сайт в письме и принял его за угрозу, то в этот раз злоумышленники, в качестве первого звена цепочки переадресаций использовали легитимную страницу CAPTCHA, которая не признается вредоносной, а дальнейшая переадресация для почтового бота невозможна, так как необходимо пройти капчу 🤷.
После ввода капчи жертва переправляется на фишинговую страницу с запросом данных платежной карты, далее все заканчивается сообщением об «успехе».
Эксплойт / #безопасность
❤1
Как защититься от скрытого майнинга в браузере
Некоторые сайты, в качестве дополнительного способа монетизации, устанавливают скрытые майнеры, которые добывают владельцам криптовалюту, за счет компьютеров посетителей.
Чтобы проверить, уязвим ли ваш браузер к подобного рода атакам можно воспользоваться сайтом https://cryptojackingtest.com/. Сайт запустит аналог скрытого майнара, а затем покажет, удалась ли его эксплуатация в вашем браузере.
Чтобы защититься от нежелательного майнинга используйте специальное расширение AntiMiner для Сhrome или Crypto Mining Blocker для Firefox. В последних версиях браузера Opera такая функция присутствует по умолчанию. Также с этой задачей могут справиться и некоторые блокировщики рекламы.
Эксплойт / #безопасность
Некоторые сайты, в качестве дополнительного способа монетизации, устанавливают скрытые майнеры, которые добывают владельцам криптовалюту, за счет компьютеров посетителей.
Чтобы проверить, уязвим ли ваш браузер к подобного рода атакам можно воспользоваться сайтом https://cryptojackingtest.com/. Сайт запустит аналог скрытого майнара, а затем покажет, удалась ли его эксплуатация в вашем браузере.
Чтобы защититься от нежелательного майнинга используйте специальное расширение AntiMiner для Сhrome или Crypto Mining Blocker для Firefox. В последних версиях браузера Opera такая функция присутствует по умолчанию. Также с этой задачей могут справиться и некоторые блокировщики рекламы.
Эксплойт / #безопасность
❤1🗿1
В Firefox теперь можно экспортировать сохраненные пароли
В новой версии Firefox 79 появилась функция экспорта сохраненных логинов и паролей для авторизации на сайтах. Данные сохраняются в файл CSV, который затем можно импортировать в другие менеджеры паролей или использовать как резервную копию.
Чтобы экспортировать пароли, зайдите во встроенный менеджер паролей Lockwise, а затем выберите «Export Logins» в меню, которое находится в правом верхнем углу.
Скачать обновление можно с официального FTP сервера Mozilla, а чтобы обновиться автоматически, перейдите в «Параметры» -> «Справка» -> «О Firefox», и браузер сам установит новую версию.
Эксплойт / #полезно
В новой версии Firefox 79 появилась функция экспорта сохраненных логинов и паролей для авторизации на сайтах. Данные сохраняются в файл CSV, который затем можно импортировать в другие менеджеры паролей или использовать как резервную копию.
Чтобы экспортировать пароли, зайдите во встроенный менеджер паролей Lockwise, а затем выберите «Export Logins» в меню, которое находится в правом верхнем углу.
Скачать обновление можно с официального FTP сервера Mozilla, а чтобы обновиться автоматически, перейдите в «Параметры» -> «Справка» -> «О Firefox», и браузер сам установит новую версию.
Эксплойт / #полезно
❤1
Хакеры взломали военных США через Word-документы
Киберпреступники из Северной Кореи атаковали американские оборонные предприятия. Для доступа в локальную сеть злоумышленники отправляли сотрудникам фишинговые письма, содержащие поддельные документы с предложениями о работе.
Файл .docx представлял собой ZIP-файл из нескольких частей. Используя технику внедрения шаблона, злоумышленники помещали ссылку в файл .XML, по которой загружались файлы шаблонов (DOTM) с удаленного сервера. Некоторые из них переименовывались в файлы JPEG, чтобы избежать подозрений. Файлы шаблонов содержали код макроса, который и загружал DLL-имплант в систему жертвы, открывая хакерам доступ в компьютерную сеть.
Оставаться незамеченными долгое время хакерам помогало использование одного и того же User-Agent, что и у настоящего пользователя, что позволяло избежать обнаружения и замаскировать трафик.
Эксплойт / #новость
Киберпреступники из Северной Кореи атаковали американские оборонные предприятия. Для доступа в локальную сеть злоумышленники отправляли сотрудникам фишинговые письма, содержащие поддельные документы с предложениями о работе.
Файл .docx представлял собой ZIP-файл из нескольких частей. Используя технику внедрения шаблона, злоумышленники помещали ссылку в файл .XML, по которой загружались файлы шаблонов (DOTM) с удаленного сервера. Некоторые из них переименовывались в файлы JPEG, чтобы избежать подозрений. Файлы шаблонов содержали код макроса, который и загружал DLL-имплант в систему жертвы, открывая хакерам доступ в компьютерную сеть.
Оставаться незамеченными долгое время хакерам помогало использование одного и того же User-Agent, что и у настоящего пользователя, что позволяло избежать обнаружения и замаскировать трафик.
Эксплойт / #новость
❤1
Twitter взломал 17-ти летний подросток
Напомним, что в ночь на 16 июля произошел масштабный взлом Twitter, в ходе которого был перехвачен контроль над 130 аккаунтами знаменитостей, включая Илона Маска, Билла Гейтса, Джеффа Безоса, Барака Обамы, а также компаний Apple и Uber.
Как оказалось, виновным в случившемся оказался 17-летний Грэм Кларк из Тампы, США, (тот самый "Kirk") которого 31 июля арестовали и предъявили обвинения по 30 пунктам. Обвинения в содействии также предъявлены 19-летнему Мейсону Шеппарду из Великобритании и 17-летнему Ниме Фазели из Флориды.
Компания Twitter, в своем отчете, опубликованном за день до ареста, сообщила, что группа сотрудников компании стала жертвой фишинговой атаки по телефону. Злоумышленники использовали социальную инженерию, чтобы ввести в заблуждение сотрудников Twitter и получить доступ к внутренним системам.
Эксплойт / #новость
Напомним, что в ночь на 16 июля произошел масштабный взлом Twitter, в ходе которого был перехвачен контроль над 130 аккаунтами знаменитостей, включая Илона Маска, Билла Гейтса, Джеффа Безоса, Барака Обамы, а также компаний Apple и Uber.
Как оказалось, виновным в случившемся оказался 17-летний Грэм Кларк из Тампы, США, (тот самый "Kirk") которого 31 июля арестовали и предъявили обвинения по 30 пунктам. Обвинения в содействии также предъявлены 19-летнему Мейсону Шеппарду из Великобритании и 17-летнему Ниме Фазели из Флориды.
Компания Twitter, в своем отчете, опубликованном за день до ареста, сообщила, что группа сотрудников компании стала жертвой фишинговой атаки по телефону. Злоумышленники использовали социальную инженерию, чтобы ввести в заблуждение сотрудников Twitter и получить доступ к внутренним системам.
Эксплойт / #новость
❤1
TikTok будет заблокирован в США по приказу Дональда Трампа
31 июля президент США Дональд Трамп сообщил, что он принял решение о блокировке TikTok в стране. Трамп уточнил, что приложение будет заблокировано «немедленно», добавив, что подпишет документы в субботу, 1 августа.
В США у компании около 1000 сотрудников, а TikTok в США используют больше 100 млн. человек. А на данный момент приложение оценивается более чем в 100 млрд. долларов.
Это решение может помешать сделке о приобретении доли сервиса компанией Microsoft и иными американскими инвесторами. Блокировку сервиса власти США начали обсуждать на фоне ухудшения отношений с Китаем — TikTok уличили в слежке за пользователями.
Эксплойт / #новость
31 июля президент США Дональд Трамп сообщил, что он принял решение о блокировке TikTok в стране. Трамп уточнил, что приложение будет заблокировано «немедленно», добавив, что подпишет документы в субботу, 1 августа.
В США у компании около 1000 сотрудников, а TikTok в США используют больше 100 млн. человек. А на данный момент приложение оценивается более чем в 100 млрд. долларов.
Это решение может помешать сделке о приобретении доли сервиса компанией Microsoft и иными американскими инвесторами. Блокировку сервиса власти США начали обсуждать на фоне ухудшения отношений с Китаем — TikTok уличили в слежке за пользователями.
Эксплойт / #новость
❤1😁1
Как запретить нежелаемое использование камеры
Раньше мы писали о том, как определить, использует ли камеру то или иное приложение. Но этот способ никак не ограничивает работу таких приложений.
Чтобы полностью заблокировать доступ к камере определенным приложениям, или всем сразу, можно использовать Camera Blocker. После установки данного приложения нужно будет выдать ему права администратора устройства. В результате, все приложения, кроме выбранных вами исключений, никак не смогут использовать ни фронтальную, ни основную камеру.
При желании, приложение будет уведомлять о новых аппликациях, которые запрашивают доступ к камере. И да, вам не нужны Root права, чтобы использовать это приложение.
Эксплойт / #приватность
Раньше мы писали о том, как определить, использует ли камеру то или иное приложение. Но этот способ никак не ограничивает работу таких приложений.
Чтобы полностью заблокировать доступ к камере определенным приложениям, или всем сразу, можно использовать Camera Blocker. После установки данного приложения нужно будет выдать ему права администратора устройства. В результате, все приложения, кроме выбранных вами исключений, никак не смогут использовать ни фронтальную, ни основную камеру.
При желании, приложение будет уведомлять о новых аппликациях, которые запрашивают доступ к камере. И да, вам не нужны Root права, чтобы использовать это приложение.
Эксплойт / #приватность
❤1
Google создали расширение для прозрачности рекламы в Chrome
На этой неделе Google запустил расширение Ads Transparency Spotlight для Chrome, которое показывает подробную информацию о рекламных объявлениях на посещаемой странице.
Используя это расширение пользователи теперь могут узнать сколько рекламных объявлений находится на странице, какие рекламодатели присутствуют на странице, причины, по которым вы увидели именно это объявление. Расширение также показывает, какие данные о вас использовались для показа персонализированной рекламы, как например ваше местоположение, демография и интересы.
Расширение уже доступно для установки в официальном магазине приложений Chrome.
Эксплойт / #приватность
На этой неделе Google запустил расширение Ads Transparency Spotlight для Chrome, которое показывает подробную информацию о рекламных объявлениях на посещаемой странице.
Используя это расширение пользователи теперь могут узнать сколько рекламных объявлений находится на странице, какие рекламодатели присутствуют на странице, причины, по которым вы увидели именно это объявление. Расширение также показывает, какие данные о вас использовались для показа персонализированной рекламы, как например ваше местоположение, демография и интересы.
Расширение уже доступно для установки в официальном магазине приложений Chrome.
Эксплойт / #приватность
❤1
Ошибка в плагине для рассылок позволяет хакерам внедрить бэкдоры на 300 тысяч сайтов
В WordPress плагине Newsletter была обнаружена XSS-уязвимость, а также уязвимость PHP Object Injection, которые позволяют злоумышленникам получить доступ к админ-панели сайта, внедрить бэкдоры, выполнить произвольный код, загрузку файлов или любую другую атаку, которая может привести к захвату сайта.
Плагин используется для создания адаптивных новостных рассылок и почтовых маркетинговых кампаний в блогах WordPress. Он был загружен более 12 миллионов раз, и установлен на более чем 300 000 сайтах.
Исправленная версия плагина была выпущена 17 июля, но с тех пор плагин был загружен всего 151 449 раз. Это означает, что как минимум 150 000 сайтов на WordPress все еще уязвимы к такого рода атакам. Напомним, что недавно критическая уязвимость была найдена также в плагине wpDiscuz.
Эксплойт / #новость
В WordPress плагине Newsletter была обнаружена XSS-уязвимость, а также уязвимость PHP Object Injection, которые позволяют злоумышленникам получить доступ к админ-панели сайта, внедрить бэкдоры, выполнить произвольный код, загрузку файлов или любую другую атаку, которая может привести к захвату сайта.
Плагин используется для создания адаптивных новостных рассылок и почтовых маркетинговых кампаний в блогах WordPress. Он был загружен более 12 миллионов раз, и установлен на более чем 300 000 сайтах.
Исправленная версия плагина была выпущена 17 июля, но с тех пор плагин был загружен всего 151 449 раз. Это означает, что как минимум 150 000 сайтов на WordPress все еще уязвимы к такого рода атакам. Напомним, что недавно критическая уязвимость была найдена также в плагине wpDiscuz.
Эксплойт / #новость
❤1
В даркнете продают паспорта россиян голосовавших по поправкам в Конституцию
По заявлению Коммерсанта, на теневом форуме выставили на продажу базу данных участников онлайн-голосования по поправкам в Конституцию, содержащую более миллиона строк с паспортными данными избирателей, каждая из которых продаётся по 1 доллару оптом или 1,5 доллара в розницу. Вот только база эта совсем не новая, она гуляла по интернету в зашифрованном виде еще с 1 июля.
Сами по себе номера и серии паспортов бесполезны, но продавец предлагает дополнить их другой полезной информацией из уже имеющихся у не баз данных — например, добавить туда имя, СНИЛС и ИНН, данные кредитной истории.
Продавец утверждает, что база полностью свежая, хотя это та же самая база, про которую писала Meduza еще в начале июля. По словам продавца, он смог продать уже 30 тысяч строк данных, однако покупать базу нет смысла, так как ее уже давно можно найти в сети совершенно бесплатно.
Эксплойт / #новость
По заявлению Коммерсанта, на теневом форуме выставили на продажу базу данных участников онлайн-голосования по поправкам в Конституцию, содержащую более миллиона строк с паспортными данными избирателей, каждая из которых продаётся по 1 доллару оптом или 1,5 доллара в розницу. Вот только база эта совсем не новая, она гуляла по интернету в зашифрованном виде еще с 1 июля.
Сами по себе номера и серии паспортов бесполезны, но продавец предлагает дополнить их другой полезной информацией из уже имеющихся у не баз данных — например, добавить туда имя, СНИЛС и ИНН, данные кредитной истории.
Продавец утверждает, что база полностью свежая, хотя это та же самая база, про которую писала Meduza еще в начале июля. По словам продавца, он смог продать уже 30 тысяч строк данных, однако покупать базу нет смысла, так как ее уже давно можно найти в сети совершенно бесплатно.
Эксплойт / #новость
❤1😁1