Click2Mail информирует пользователей о потере пользовательских данных
Онлайн сервис, который является партнером Почтовой Службой США, проинформировал клиентов, что в результате дыры в безопасности, их личные данные оказались доступны третьим лицам.
Сервис Click2Mail позволяет пользователям создавать, персонализировать, и доказывать электронные письма, а также собирать, строить и управлять списком рассылки. Благодаря сету инструментов онлайн-создания писем, если вам нужно выслать бумажное письмо, вы с легкостью сделаете это. Пользователи могут не ходить на отделение для ручной отправки бумажных писем, предоставив создание и упаковку письма работникам сервиса.
Вот отрывок из письма, высланного сервисом его пользователям 9 октября:
“После проверки 4 октября было выявлено, что неизвестные лица получили доступ к е-мейлам и именам пользователей, а после – рассылали этим пользователям спам. Технический анализ нашей системы выявил дыру в безопасности, которая была закрыта в тот же день”.
Не стоит доверять вашу корреспонденцию организациям, которые могут ее компрометировать. Например, ящик на mail.ru или yandex.ru, rambler.ru или ukr.net легко взламывается хакерами с форумов даркнета. В то же время, взломать ящик на protonmail.com, tutanota.com или gmail.com — в несколько раз сложнее, хотя тоже возможно. Выбирайте сервис почты с умом, не ведитесь на красивый дизайн и старайтесь, чтобы сервис не принадлежал парням из вашей страны.
Онлайн сервис, который является партнером Почтовой Службой США, проинформировал клиентов, что в результате дыры в безопасности, их личные данные оказались доступны третьим лицам.
Сервис Click2Mail позволяет пользователям создавать, персонализировать, и доказывать электронные письма, а также собирать, строить и управлять списком рассылки. Благодаря сету инструментов онлайн-создания писем, если вам нужно выслать бумажное письмо, вы с легкостью сделаете это. Пользователи могут не ходить на отделение для ручной отправки бумажных писем, предоставив создание и упаковку письма работникам сервиса.
Вот отрывок из письма, высланного сервисом его пользователям 9 октября:
“После проверки 4 октября было выявлено, что неизвестные лица получили доступ к е-мейлам и именам пользователей, а после – рассылали этим пользователям спам. Технический анализ нашей системы выявил дыру в безопасности, которая была закрыта в тот же день”.
Не стоит доверять вашу корреспонденцию организациям, которые могут ее компрометировать. Например, ящик на mail.ru или yandex.ru, rambler.ru или ukr.net легко взламывается хакерами с форумов даркнета. В то же время, взломать ящик на protonmail.com, tutanota.com или gmail.com — в несколько раз сложнее, хотя тоже возможно. Выбирайте сервис почты с умом, не ведитесь на красивый дизайн и старайтесь, чтобы сервис не принадлежал парням из вашей страны.
Mozilla усиливает Firefox против injection-атак
В октябре 2019 года компания Mozilla анонсировала уменьшение риска атаки на их браузер со стороны вирусов, которые занимаются инъекцией кода. Вирус использует потенциально опасные артефакты, такие как “встроенные скрипты” и функции типа (eval-).
Изменение в кодовой базе коснется страничек с коренными настройками браузера, типа about:config. Такие страницы были спроектированы, чтобы давать понятие о внутреннем состоянии Firefox. Их существует несколько типов, но страничка about:config – самая известная из них. С ее помощью “продвинутые” пользователи изменяют те настройки, до которых не добраться в стандартном разделе.
Учитывая, что такие страницы не отличаются от веб-страничек и используют HTML и JavaScript в своей работе, они подвержены опасности инъекции вредоносного кода. Так, если атакующий сможет внедрить код в такую страницу во время ее открытия, то это дает ему доступ к выполнению команд в рамках браузера и возможно за его пределами.
Mozilla переписали код так, чтобы все 45 таких страничек запускались в отдельном безопасном контейнере, исключающем проникновение вредоносов в систему и шпионскую деятельность в браузере.
В октябре 2019 года компания Mozilla анонсировала уменьшение риска атаки на их браузер со стороны вирусов, которые занимаются инъекцией кода. Вирус использует потенциально опасные артефакты, такие как “встроенные скрипты” и функции типа (eval-).
Изменение в кодовой базе коснется страничек с коренными настройками браузера, типа about:config. Такие страницы были спроектированы, чтобы давать понятие о внутреннем состоянии Firefox. Их существует несколько типов, но страничка about:config – самая известная из них. С ее помощью “продвинутые” пользователи изменяют те настройки, до которых не добраться в стандартном разделе.
Учитывая, что такие страницы не отличаются от веб-страничек и используют HTML и JavaScript в своей работе, они подвержены опасности инъекции вредоносного кода. Так, если атакующий сможет внедрить код в такую страницу во время ее открытия, то это дает ему доступ к выполнению команд в рамках браузера и возможно за его пределами.
Mozilla переписали код так, чтобы все 45 таких страничек запускались в отдельном безопасном контейнере, исключающем проникновение вредоносов в систему и шпионскую деятельность в браузере.
Брокер из Чикаго заплатит 1.5 миллиона долларов штрафа за то, что не обеспечил информационную безопасность
Брокер по фьючерсам и ценным бумагам из Phillip Capital получил штраф на полтора миллиона из-за своей неспособности защитить данные. Расследование, проведенное CFTC, выявило культуру в компании, согласно которой за подчиненными не следили во время установки и использования критически важного софта. Это привело к тому, что важные юридические данные передавались по незащищенным каналам коммуникации.
Из-за халатности офисных работников хакеры нашли и воспользовались дырами в сетевой инфраструктуре компании, украв 1 миллион долларов инвесторов. Утечка произошла после того, как один из офисных работников скачал файл из фишингового письма, которое хакеры специально ему выслали. Компания заплатила инвесторам убытки из своих собственных бюджетов, а также сверху 500,000 долларов за то, что долгое время скрывала кражу от CTFC.
«Киберпреступность постоянно растет на этом рынке», сказал Джеймс МакДональд, управляющий в CFTC по вопросам выслеживания преступников. «Возможно, мы никогда не сумеем найти хакера, но люди должны иметь адекватные средства и процедуры – и следовать им – чтобы защитить клиента и его счет от потенциального взлома».
Брокер по фьючерсам и ценным бумагам из Phillip Capital получил штраф на полтора миллиона из-за своей неспособности защитить данные. Расследование, проведенное CFTC, выявило культуру в компании, согласно которой за подчиненными не следили во время установки и использования критически важного софта. Это привело к тому, что важные юридические данные передавались по незащищенным каналам коммуникации.
Из-за халатности офисных работников хакеры нашли и воспользовались дырами в сетевой инфраструктуре компании, украв 1 миллион долларов инвесторов. Утечка произошла после того, как один из офисных работников скачал файл из фишингового письма, которое хакеры специально ему выслали. Компания заплатила инвесторам убытки из своих собственных бюджетов, а также сверху 500,000 долларов за то, что долгое время скрывала кражу от CTFC.
«Киберпреступность постоянно растет на этом рынке», сказал Джеймс МакДональд, управляющий в CFTC по вопросам выслеживания преступников. «Возможно, мы никогда не сумеем найти хакера, но люди должны иметь адекватные средства и процедуры – и следовать им – чтобы защитить клиента и его счет от потенциального взлома».
Media is too big
VIEW IN TELEGRAM
Многие наверняка знакомы с легендой о Робине Гуде — благородном разбойнике, грабившем богатых и отдававшем деньги бедным.
Однако, история знает много примеров, когда эта легенда становилась правдой — особенно в наши дни, когда красть деньги можно мирно и без жертв.
Посмотрите видео о человеке, который грабил банки, чтобы бороться с капитализмом и создать собственную экономическую систему.
Однако, история знает много примеров, когда эта легенда становилась правдой — особенно в наши дни, когда красть деньги можно мирно и без жертв.
Посмотрите видео о человеке, который грабил банки, чтобы бороться с капитализмом и создать собственную экономическую систему.
США предпримет шаги для взятия образцов ДНК у просителей убежища и мигрантов
Читатель прислал отчет из Associated Press: Администрация Дональда Трампа готовится собирать образцы ДНК среди тех, кто ищет в стране убежище и других мигрантов, попадающих на допрос к официальным лицам правительства по вопросам миграции. Информация про ДНК будет добавляться в огромную базу данных ФБР.
Базу используют копы, чтобы выслеживать преступников, так сообщают официальные лица. В понедельник, Департамент Правосудия выпустил официальный документ, разрешающий сбор таких данных со всех мигрантов, пересекающих соответствующие точки границы, даже в случае, если они приехали на время.
Точно не ясно, как все это будет работать с просителями убежища, однако по предварительным подсчетам, новые правила позволят правительству собрать данные с десятков тысяч людей. Правозащитники США начали бить тревогу, ведь неизвестно, когда правительство захочет перейти от сбора данных мигрантов к сбору данных вообще всех.
Читатель прислал отчет из Associated Press: Администрация Дональда Трампа готовится собирать образцы ДНК среди тех, кто ищет в стране убежище и других мигрантов, попадающих на допрос к официальным лицам правительства по вопросам миграции. Информация про ДНК будет добавляться в огромную базу данных ФБР.
Базу используют копы, чтобы выслеживать преступников, так сообщают официальные лица. В понедельник, Департамент Правосудия выпустил официальный документ, разрешающий сбор таких данных со всех мигрантов, пересекающих соответствующие точки границы, даже в случае, если они приехали на время.
Точно не ясно, как все это будет работать с просителями убежища, однако по предварительным подсчетам, новые правила позволят правительству собрать данные с десятков тысяч людей. Правозащитники США начали бить тревогу, ведь неизвестно, когда правительство захочет перейти от сбора данных мигрантов к сбору данных вообще всех.
Антивирусная сеть Avast была взломана при помощи их собственного VPN сервера
Одна из самых известных фирм по производству антивирусного ПО была взломана неизвестным хакером при помощи украденных логинов и паролей от учетной записи Avast VPN, которая по непонятным причинам не требовала двухфакторной аутентификации.
Специалисты Avast выяснили, что хакер получил доступ к их внутренней сети, успешно увеличив собственные привилегии и став администратором.
Атакующий использовал не одну учетную запись для осуществления проникновения. Он периодически менял профиль, при помощи которого взламывал сеть, при этом используя данные других пользователей Avast и скрывая свой IP адрес за публичным. Атака на сеть Avast оказалась весьма утонченной, хакер позаботился о том, чтобы замести все следы и очевидно надеялся, что его операции не будут обнаружены. Он использовал для работы баг в безопасности, который существовал в сети Avast еще с марта 2019 года.
Не хотим намекать на очевидные вещи, но если вы используете антивирус Avast, их VPN сервис или другие платные подписки, стоит подумать о смене поставщика услуг анонимизации, по крайней мере до тех пор, пока они не научаться хранить данные пользователей в зашифрованном виде и противостоять инсайдерским атакам (что скорее всего и имело место).
Одна из самых известных фирм по производству антивирусного ПО была взломана неизвестным хакером при помощи украденных логинов и паролей от учетной записи Avast VPN, которая по непонятным причинам не требовала двухфакторной аутентификации.
Специалисты Avast выяснили, что хакер получил доступ к их внутренней сети, успешно увеличив собственные привилегии и став администратором.
Атакующий использовал не одну учетную запись для осуществления проникновения. Он периодически менял профиль, при помощи которого взламывал сеть, при этом используя данные других пользователей Avast и скрывая свой IP адрес за публичным. Атака на сеть Avast оказалась весьма утонченной, хакер позаботился о том, чтобы замести все следы и очевидно надеялся, что его операции не будут обнаружены. Он использовал для работы баг в безопасности, который существовал в сети Avast еще с марта 2019 года.
Не хотим намекать на очевидные вещи, но если вы используете антивирус Avast, их VPN сервис или другие платные подписки, стоит подумать о смене поставщика услуг анонимизации, по крайней мере до тех пор, пока они не научаться хранить данные пользователей в зашифрованном виде и противостоять инсайдерским атакам (что скорее всего и имело место).
Критический баг в Linux позволяет хакеру получить полный контроль над системой и даже выключить ее
Системы Linux считаются самыми надежными в плане противостояния вирусам. Однако что делать, если угроза исходит не только из Сети, но и из Wi-Fi роутера? Уязвимость находится в “rtlwifi”, модуле, который отвечает за работу адаптеров фирмы Realtek.
Используя уязвимость, атакующий может спровоцировать перегрузку буфера, когда в буфер ядра набивается больше данных, чем он способен хранить. Перегрузка буфера обычно случается, когда процесс или программа занимают слишком много памяти в нем. Если хакер имеет доступ к настройкам роутера, которым вы пользуетесь, он может начать такую атаку на ваш ПК. Это потенциально приводит к повреждению файлов, изменению системных данных или раскрытию персональной информации, такой как логины, пароли, приватные ключи от биткоин кошельков и так далее.
Чтобы использовать уязвимость, хакер должен отправить на устройство с ОС Linux специальный пакет, который будет принят и спровоцирует начало атаки. Если жертва вовремя не выключит встроенный Wi-Fi модуль, атака может привести к зависанию системы и выключению компьютера.
Системы Linux считаются самыми надежными в плане противостояния вирусам. Однако что делать, если угроза исходит не только из Сети, но и из Wi-Fi роутера? Уязвимость находится в “rtlwifi”, модуле, который отвечает за работу адаптеров фирмы Realtek.
Используя уязвимость, атакующий может спровоцировать перегрузку буфера, когда в буфер ядра набивается больше данных, чем он способен хранить. Перегрузка буфера обычно случается, когда процесс или программа занимают слишком много памяти в нем. Если хакер имеет доступ к настройкам роутера, которым вы пользуетесь, он может начать такую атаку на ваш ПК. Это потенциально приводит к повреждению файлов, изменению системных данных или раскрытию персональной информации, такой как логины, пароли, приватные ключи от биткоин кошельков и так далее.
Чтобы использовать уязвимость, хакер должен отправить на устройство с ОС Linux специальный пакет, который будет принят и спровоцирует начало атаки. Если жертва вовремя не выключит встроенный Wi-Fi модуль, атака может привести к зависанию системы и выключению компьютера.
Опасные бреши найдены в русском антивирусе Kaspersky, под угрозой также ПО от Trend Micro и Autodesk
Исследователи компании SafeBreach нашли уязвимости, из-за которых программное обеспечение вышеназванных компаний может быть взломано через захват исполняемых библиотек формата DLL. Исследователи говорят, что хакер может создать вирус, компилирующий вредоносные копии DLL библиотек. Заражая компьютер такими копиями, вирус даст себе привилегии супер-пользователя в системе, что позволит получить доступ к файлам и другой информации.
Злоумышленники могут запускать любой код, маскируя процесс под антивирус Kaspersky или программу Autodesk. Если вы пользуетесь этим ПО, воздержитесь от запуска до тех пор, пока не будут выпущены обновления безопасности.
Приходится в очередной раз констатировать, что и антивирусы, и специализированные программы, предполагающие высокий уровень защищенности, далеко не всегда соответствуют ожиданиям.
Уязвимости захвата DLL встречаются нередко. Ну, а идентичность ошибок в BitDefender и Trend Micro, из-за которых становится возможна подгрузка DLL из незащищенной папки, заставляет предположить лень программистов, создававших программы на базе стороннего кода, не проверяя его.
Исследователи компании SafeBreach нашли уязвимости, из-за которых программное обеспечение вышеназванных компаний может быть взломано через захват исполняемых библиотек формата DLL. Исследователи говорят, что хакер может создать вирус, компилирующий вредоносные копии DLL библиотек. Заражая компьютер такими копиями, вирус даст себе привилегии супер-пользователя в системе, что позволит получить доступ к файлам и другой информации.
Злоумышленники могут запускать любой код, маскируя процесс под антивирус Kaspersky или программу Autodesk. Если вы пользуетесь этим ПО, воздержитесь от запуска до тех пор, пока не будут выпущены обновления безопасности.
Приходится в очередной раз констатировать, что и антивирусы, и специализированные программы, предполагающие высокий уровень защищенности, далеко не всегда соответствуют ожиданиям.
Уязвимости захвата DLL встречаются нередко. Ну, а идентичность ошибок в BitDefender и Trend Micro, из-за которых становится возможна подгрузка DLL из незащищенной папки, заставляет предположить лень программистов, создававших программы на базе стороннего кода, не проверяя его.
Ростелеком будет создавать закрытый кибер полигон для обучения виртуальной войне
Несмотря на обвинения в коррупции, оператор Ростелеком был единственной компанией, которая изъявила желание участвовать в открытом тендере на создание особого учебного отделения.
Кибер-полигон РФ будет заниматься подготовкой кадров, занятых в областях информационной безопасности и IT. В рамках полигона будут отрабатываться навыки сотрудников фирм, занятых в области информационных сетей, как из государственного, так и из частного сектора. Как известно, даже очень хорошие специалисты по безопасности не знают о криптовалютах, а создатели антивирусов становятся жертвами фишинговых кампаний. Менеджеры разных уровней в России должны успевать за быстро движущимся техническим прогрессом.
Чтобы убедиться в высоком уровне качества образования, Кабмин России установил, что претендовать на получение средств из бюджета могут только организации, которые имеют собственную вычислительную инфраструктуру. Кроме того, они должны заниматься подготовкой кадров, проходящих обучение в области инфобезопасности и компьютерных наук. Такой организацией оказался Ростелеком. Правительство РФ утвердило регламент выделения средств на создание кибер полигона в октябре 2019 года.
Несмотря на обвинения в коррупции, оператор Ростелеком был единственной компанией, которая изъявила желание участвовать в открытом тендере на создание особого учебного отделения.
Кибер-полигон РФ будет заниматься подготовкой кадров, занятых в областях информационной безопасности и IT. В рамках полигона будут отрабатываться навыки сотрудников фирм, занятых в области информационных сетей, как из государственного, так и из частного сектора. Как известно, даже очень хорошие специалисты по безопасности не знают о криптовалютах, а создатели антивирусов становятся жертвами фишинговых кампаний. Менеджеры разных уровней в России должны успевать за быстро движущимся техническим прогрессом.
Чтобы убедиться в высоком уровне качества образования, Кабмин России установил, что претендовать на получение средств из бюджета могут только организации, которые имеют собственную вычислительную инфраструктуру. Кроме того, они должны заниматься подготовкой кадров, проходящих обучение в области инфобезопасности и компьютерных наук. Такой организацией оказался Ростелеком. Правительство РФ утвердило регламент выделения средств на создание кибер полигона в октябре 2019 года.
Отчет FATF может сулить еще более суровые ограничения виртуальных платежей в России
Как известно, онлайн-платежные сервисы в РФ теперь требуют паспорт для регистрации. Это выдавливает определенную категорию пользователей в криптовалюты и другие аналогичные методы оплаты. Тем не менее, большинство пользователей таких платежных систем – предприниматели, которые не откажутся от удобненьких интерфейсов ради личной приватности и которым, зачастую, все равно, следят за ними или нет.
Тем не менее, есть информация что FATF скоро опубликует данные, согласно которым в России очень плохая ситуация с отмыванием денег и финансированием терроризма. Эти термины напоминают мантру, посвященную богам – никто никогда не видел богов, не видел террористов и не видел отмывателей. Все что видит народ – толстые лица банкиров в телеящиках. Кто и что отмывает, как бы очевидно, просто посмотрите на кучку любых привокзальных бандитов – они все очень худые в сравнении с банкирами.
Росфинмониторинг после публикации отчета вместе с Центробанком должны будут написать роадмап, где будет четко по срокам расписано, как планируется устранить те или иные недостатки. Удивительно, но FATF отозвались о системах надзора Центробанка как о “слишком либеральных”, так что закручивание гаек, затягивание поясов и проталкивание верблюдов в игольные ушка продолжатся.
При этом, FATF дает такую позитивную оценку не из-за своей слепоты. Они просто не учитывают в ней такие факторы, как комиссии за снятие остатка средств с заблокированного счета и собственно ужасающую статистику блокировки счетов вполне законопослушных пользователей.
Дело в том, что эти меры даже не считаются в FATF чем-то ужасным, ведь они сами просили регуляторов РФ так делать. Соответственно, они думают, что блокировки были исполнены согласно регламенту и принесли позитивные плоды. Они не знают, что в большинстве случаев финмониторинг банка блокирует счета наугад. Ведь даже имея на руках отличное ПО для отслеживания фиатных, банковских и криптовалютных транзакций, надо быть очень хорошим аналитиком, чтобы из массива холодных данных вынести правильные выводы.
Как известно, онлайн-платежные сервисы в РФ теперь требуют паспорт для регистрации. Это выдавливает определенную категорию пользователей в криптовалюты и другие аналогичные методы оплаты. Тем не менее, большинство пользователей таких платежных систем – предприниматели, которые не откажутся от удобненьких интерфейсов ради личной приватности и которым, зачастую, все равно, следят за ними или нет.
Тем не менее, есть информация что FATF скоро опубликует данные, согласно которым в России очень плохая ситуация с отмыванием денег и финансированием терроризма. Эти термины напоминают мантру, посвященную богам – никто никогда не видел богов, не видел террористов и не видел отмывателей. Все что видит народ – толстые лица банкиров в телеящиках. Кто и что отмывает, как бы очевидно, просто посмотрите на кучку любых привокзальных бандитов – они все очень худые в сравнении с банкирами.
Росфинмониторинг после публикации отчета вместе с Центробанком должны будут написать роадмап, где будет четко по срокам расписано, как планируется устранить те или иные недостатки. Удивительно, но FATF отозвались о системах надзора Центробанка как о “слишком либеральных”, так что закручивание гаек, затягивание поясов и проталкивание верблюдов в игольные ушка продолжатся.
При этом, FATF дает такую позитивную оценку не из-за своей слепоты. Они просто не учитывают в ней такие факторы, как комиссии за снятие остатка средств с заблокированного счета и собственно ужасающую статистику блокировки счетов вполне законопослушных пользователей.
Дело в том, что эти меры даже не считаются в FATF чем-то ужасным, ведь они сами просили регуляторов РФ так делать. Соответственно, они думают, что блокировки были исполнены согласно регламенту и принесли позитивные плоды. Они не знают, что в большинстве случаев финмониторинг банка блокирует счета наугад. Ведь даже имея на руках отличное ПО для отслеживания фиатных, банковских и криптовалютных транзакций, надо быть очень хорошим аналитиком, чтобы из массива холодных данных вынести правильные выводы.
Российские исследователи выявили возможность скрытой активации камеры устройства
Технический администратор РоскомСвободы Вадим рассказал о том, как к ним обратился читатель с просьбой разобраться с камерой телефона. Оказалось, что фронтальная камера на этой модели телефона сделана так, что она спрятана в корпусе и выезжает наружу при надобности.
Так вот, камера выезжает каждый раз при заходе на официальный сайт РКС. Фронтальная камера на телефоне читателя выдвигается на пару секунд, и затем снова прячется. Создается впечатление, что сайт фотографирует посетителя без его разрешения.
После анализа сайта РКС выяснилось, что на нем нет вирусов или троянов, которые бы могли провоцировать обращение к камере девайса. Более того, неисправностей на самом смартфоне выявлено не было.
Пользователь, сообщивший о проблеме, сказал что жуткая ситуация с коротким выдвижением камеры на телефоне повторяется на другом сайте.
Ситуация проясняется после анализа логов браузера
После анализа логов выяснилось, что дело в разрешениях на использование веб-камеры, выставленных в браузере Firefox. По умолчанию, браузер разрешал обращения к камере, а кроме того, Chrome проявил себя точно так же в сходных условиях. Однако, как только в обоих браузерах был запрещен доступ к камере в настройках, обращения к камере при заходе на сайты РКС прекратились.
Примечательно, что открытие камеры провоцировал код Google, который находился на обоих страничках из-за встроенных в них роликов с Youtube. Несмотря на то, что Google вроде бы не шпионит за пользователями через эту уязвимость, ее наличие наводит на определенные вопросы. Почему браузерам можно кратковременно обращаться к камере без дополнительного разрешения пользователя? Будет ли исправлен этот баг, и как его можно использовать в хакерских целях? Все это нам предстоит узнать.
Технический администратор РоскомСвободы Вадим рассказал о том, как к ним обратился читатель с просьбой разобраться с камерой телефона. Оказалось, что фронтальная камера на этой модели телефона сделана так, что она спрятана в корпусе и выезжает наружу при надобности.
Так вот, камера выезжает каждый раз при заходе на официальный сайт РКС. Фронтальная камера на телефоне читателя выдвигается на пару секунд, и затем снова прячется. Создается впечатление, что сайт фотографирует посетителя без его разрешения.
После анализа сайта РКС выяснилось, что на нем нет вирусов или троянов, которые бы могли провоцировать обращение к камере девайса. Более того, неисправностей на самом смартфоне выявлено не было.
Пользователь, сообщивший о проблеме, сказал что жуткая ситуация с коротким выдвижением камеры на телефоне повторяется на другом сайте.
Ситуация проясняется после анализа логов браузера
После анализа логов выяснилось, что дело в разрешениях на использование веб-камеры, выставленных в браузере Firefox. По умолчанию, браузер разрешал обращения к камере, а кроме того, Chrome проявил себя точно так же в сходных условиях. Однако, как только в обоих браузерах был запрещен доступ к камере в настройках, обращения к камере при заходе на сайты РКС прекратились.
Примечательно, что открытие камеры провоцировал код Google, который находился на обоих страничках из-за встроенных в них роликов с Youtube. Несмотря на то, что Google вроде бы не шпионит за пользователями через эту уязвимость, ее наличие наводит на определенные вопросы. Почему браузерам можно кратковременно обращаться к камере без дополнительного разрешения пользователя? Будет ли исправлен этот баг, и как его можно использовать в хакерских целях? Все это нам предстоит узнать.
Предлагаю вашему вниманию курс «Безопасность и защита сайта от угроз и взлома», в котором мы на практических примерах рассмотрим наиболее серьезные угрозы для безопасности сайта, а также способы предотвращения этих угроз.
Количество угроз в сфере WEB – растет с каждым днем. Однако, от большинства этих угроз мы вполне можем обезопасить свое приложение, достаточно лишь следовать некоторым правилам и принципам при создании приложения. В этих уроках мы как раз и рассмотрим этот список правил и принципов.
В каждом из уроков мы будем брать конкретную уязвимость, наблюдать ее последствия, а также пытаться защититься от созданной угрозы.
Чему вы научитесь:
- Рассмотрим наиболее серьезные угрозы для безопасности сайта, а также способы предотвращения этих угроз.
- В каждом из уроков мы будем брать конкретную уязвимость, наблюдать ее последствия, а также пытаться защититься от созданной угрозы.
- SQL-инъекции.
- Межсайтовый скриптинг – XSS.
- Межсайтовая подделка запроса – CSRF.
- Недочеты системы аутентификации и хранения сессий.
- Безопасная конфигурация компонентов приложения.
Скачать: https://mega.nz/#F!snhwxYRD!RFmTzVSojnHdApIeI54D3A
Количество угроз в сфере WEB – растет с каждым днем. Однако, от большинства этих угроз мы вполне можем обезопасить свое приложение, достаточно лишь следовать некоторым правилам и принципам при создании приложения. В этих уроках мы как раз и рассмотрим этот список правил и принципов.
В каждом из уроков мы будем брать конкретную уязвимость, наблюдать ее последствия, а также пытаться защититься от созданной угрозы.
Чему вы научитесь:
- Рассмотрим наиболее серьезные угрозы для безопасности сайта, а также способы предотвращения этих угроз.
- В каждом из уроков мы будем брать конкретную уязвимость, наблюдать ее последствия, а также пытаться защититься от созданной угрозы.
- SQL-инъекции.
- Межсайтовый скриптинг – XSS.
- Межсайтовая подделка запроса – CSRF.
- Недочеты системы аутентификации и хранения сессий.
- Безопасная конфигурация компонентов приложения.
Скачать: https://mega.nz/#F!snhwxYRD!RFmTzVSojnHdApIeI54D3A
Media is too big
VIEW IN TELEGRAM
Кто и как ловит хакеров. Часть 1
Я не люблю Group-IB (мягко говоря), но это интервью понравилось. Гостя было интересно слушать, честно отвечал на вопросы, затрагивались интересные темы, аспекты.
Я не люблю Group-IB (мягко говоря), но это интервью понравилось. Гостя было интересно слушать, честно отвечал на вопросы, затрагивались интересные темы, аспекты.
Media is too big
VIEW IN TELEGRAM
Хакеры против спецслужб: чьи методы эффективнее? - Часть 2
Media is too big
VIEW IN TELEGRAM
Почему не закрывают Гидру и другие Наркомагазины. // Как взломать TOR - Часть 3
Media is too big
VIEW IN TELEGRAM
Борец с Хакерами: выбросьте свой Айфон // Хакеры Evil Corp // Group-IB - Часть 4
DDoSecrets - это сайт типа WikiLeaks, личная информация которого украдена из различных социальных сетей и сайтов. Некоторые из баз данных включают:
- .Win Network
- Parler
- INAFOR - Nicaraguan forestry service
- ExecuPharm
- Iron March forums
Базы данных можно скачать, но некоторые нужно расшифровать.
- .Win Network
- Parler
- INAFOR - Nicaraguan forestry service
- ExecuPharm
- Iron March forums
Базы данных можно скачать, но некоторые нужно расшифровать.
Может кому пригодится. Телеграм бот выгружает список чатов в которых присутствует человек. Достаточно ввести команду /start и вписать логин интересующего вас человека.
Адрес бота @tgscanrobot , бот бесплатный.
Адрес бота @tgscanrobot , бот бесплатный.
По многочисленным просьбам выкладываю базу данных крупного русскоязычного хакерского форума Maza, о которой СМИ писали тут.
Ссылка для скачивания - https://mega.nz/file/l2oikBQS#jmsR-_xoJS1ei8jRkzDa5S-vc-68KrjW5ikELdVmkEg
Ссылка для скачивания - https://mega.nz/file/l2oikBQS#jmsR-_xoJS1ei8jRkzDa5S-vc-68KrjW5ikELdVmkEg
Утекли в сеть данные 1,3 миллиона пользователей соцсети Clubhouse.
Данные содержат такую информацию, как имя учетной записи, имя пользователя, привязанные аккаунты в Twitter и Instagram, количество подписчиков и подписок, дата создания аккаунта.
https://mega.nz/file/FmZnEQJC#M63RPnYCszkGYmzLqoeBWcO_6PdEbaBtKdq9uja1ypU
Данные содержат такую информацию, как имя учетной записи, имя пользователя, привязанные аккаунты в Twitter и Instagram, количество подписчиков и подписок, дата создания аккаунта.
userid|name|photo_url|username|twitter|Instagram|num_followers|num_following|time_created|invitedbyuser_profileСкачать базу -
https://mega.nz/file/FmZnEQJC#M63RPnYCszkGYmzLqoeBWcO_6PdEbaBtKdq9uja1ypU