🔶 Two Minor Cross-Tenant Vulnerabilities in AWS App Runner

These vulnerabilities leaked configuration information across tenant boundaries. While they are both minor issues, they further demonstrate that undocumented AWS APIs have lacked the scrutiny of AWS as well as the cloud security community.

https://frichetten.com/blog/minor-cross-tenant-vulns-app-runner

#aws

Відкриті дані в будівництві знову доступні. Тепер журналістам та громадськості буде легше контролювати забудову міст та протидіяти корупції.

Після повномасштабного вторгнення силові органи закрили загальний доступ до даних з міркувань безпеки. Зараз портал Єдиної державної електронної системи у сфері будівництва (ЄДЕССБ) та Портал відкритих даних працюють.

Команда Мінцифри систематично комунікувала з силовим блоком, щоб дані щодо будівництва відкрили. Разом визначили перелік інформації, що не несе загрози національній безпеці.

Можете дивитися:

— публічну мапу будівництва. На ній відображаються нещодавно видані дозволи на проведення будівельних робіт;
— відомості з конкретного об’єкта будівництва;
— інформацію про будівництво за адресами.

Відкриті дані — основа для розвитку демократії, підтримки від наших стратегічних партнерів та швидкої післявоєнної відбудови. Продовжуємо активно працювати з силовим блоком, щоб відкрити доступ до всіх реєстрів, які закрили через повномасштабне вторгнення.

Готові покращити свої знання в тестуванні? Тоді запрошуємо вас на Testing Stage 2023 - БЕЗКОШТОВНУ конференцію з тестування.

Що буде:
✅Технічні доповіді від міжнародних ТОП спікерів із США, Європи та України;
✅Новітні технології тестування для QA професіоналів;
✅11 годин якісного навчання;
✅11 експертів спікерів міжнародного рівня;
✅Можливість поставити запитання спікерам;
✅Спілкування з 1500+ учасників.

Наші ВАУ спікери:
Lisa Crispin - Co-founder at Lisa Crispin Consulting, Nikolay Advolodkin - Test Automation Expert, SAUCE LABS, Anton Angelov - CTO & Co-founder, AUTOMATE THE PLANET

Коли буде: 21 квітня 10:00

Безкоштовна реєстрація 👉 http://bit.ly/3MsrkG6

Нам стало известно, что хакер, ранее "сливавший" данные интернет-аптеки zdravcity.ru, интернет-магазина ru.puma.com, торговых сетей «Дикси» и «Бристоль», взломал, по его словам, ювелирный интернет-магазин предположительно zoloto585.ru. 💍

В "слитом" SQL-дампе находится 9,982,650 строк, содержащих:

🌵 ФИО
🌵 телефон (8,4 млн уникальных номеров)
🌵 адрес эл. почты (3,1 млн уникальных адресов)
🌵 адрес
🌵 паспорт (серия, номер, кем и когда выдан)
🌵 пол
🌵 дата рождения и возраст
🌵 дата операции (с 27.07.2020 по 10.04.2023)
🌵 признак является ли клиентом ломбарда (вероятно lombard.zoloto585.ru)

Мы выборочно проверили случайные записи с номерами телефонов из этой утечки на сайте zoloto585.ru и выяснили, что на них зарегистрированы бонусные карты. 😱

Ми все ще "дозбираємо" гроші на авто, щоб напевно влізти в бюджет та отримати гідний результат. Щоб машина не встала в полі рачки, не підвела бійців і справді допомогала.

Доречі, всі хто донатив з вчорашнього дня вже після зібраних 200 000 гривень, та буде донатити ще, беруть участь у розіграші оцієї рофлянської каски справжнісінького чмобіка. Там на ремешку навіть призвіще є. Ось такий вам сюрприз.
Продовжуємо!

Zero TrustтSecurity. An Enterprise Guide,тJason Garbis, Jerry W. Chapman

Zero Trust security has become a major industry trend, and yet there still is uncertainty about what it means. Zero Trust is about fundamentally changing the underlying philosophy and approach to enterprise security—moving from outdated and demonstrably ineffective perimeter-centric approaches to a dynamic, identity-centric, and policy-based approach.
Making this type of shift can be challenging.

Your organization has already deployed and operationalized enterprise security assets such as Directories, IAM systems, IDS/IPS, and SIEM, and changing things can be difficult. Zero Trust Security uniquely covers the breadth of enterprise security and IT architectures, providing substantive architectural guidance and technical analysis with the goal of accelerating your organization‘s journey to Zero Trust.

#book

Российская таможня заявила о хакерской атаке: работу не могут возобновить третий день.

На данный момент электронная система российской таможни обрушена, на пунктах пропуска- огромные очереди, в портах - хаос, грузы стоят, а сотрудники ФТС вынуждены переходить на бумажный документооборот.

По нашей информации, комплексную кибератаку, включающую в себя вайпинг данных и использование как минимум одного oneday эксплоита провела группа Core3, аффилированная государственной структурой оборонного сектора Украины.

ІТ-платформа і максимальна автоматизація процесів: яким буде оновлений Держстат.

З 2021 року координую розвиток цього органу. Разом з EPAM провели аудит бізнес-процесів та ІТ-інфраструктури. Розробили масштабну стратегію цифрової трансформації.

Держстат має працювати як сучасна IT-компанія — швидко, зручно та ефективно. Зараз усі дані збираються вручну з різних джерел та в різних форматах. Вони довго обробляються в застарілих системах та поширюються у вигляді статичних файлів через сайт Держстату. Тому треба фундаментально змінити цей підхід.

Ключовий принцип — автоматизувати процеси зсередини. Максимально прибрати людський фактор. Оптимізувати та централізувати збір даних.

В основі трансформації — IT-платформа. Вона в режимі реального часу збиратиме та оброблятиме дані, дозволятиме швидко їх поширювати у вигляді інтерактивних дашбордів(BI). Щоб науковці, журналісти, бізнесмени та будь-хто могли заходити на сайт Держстату та швидко знаходити необхідну інформацію.

Влітку презентуємо перші результати на оновленому порталі статистики. Більше про глобальні зміни, які чекають на Держстат, читайте в матеріалі від Forbes.

Розроблення нової платформи проходить у межах реалізації швейцарсько-української Програми EGAP, що впроваджується Фондом Східна Європа.

Citizen Lab и Microsoft обнаружили очередное коммерческое шпионское ПО, разработанное еще одной израильской компанией QuaDream. Это ПО использовало уязвимость, романтически названное ENDOFDAYS — уязвимость, не требовавшая никаких действий от пользователя, и позволяла взламывать iOS версий 14.4 - 14.4.2. Она использовала некие невидимые календарные приглашения, которые могла получать жертва. Citizen Lab обнаружила как минимум 5 жертв этого ПО, а сервера операторов ПО были обнаружены в Болгарии, Чехии, Венгрии, Израиле, Мексике, Сингапуре, Узбекистане, и в других странах.

https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/

21 — 23 April — Techstars Startup Weekend Kyiv. HYBRID event

Over an action-packed three days, you’ll meet the very best mentors, investors, co-founders and sponsors to show you how to get more done faster -- and, maybe even start that Business.

👉 https://dou.ua/calendar/46852/?from=tgke

🚨 Microsoft and Citizen Lab expose QuaDream spyware! iPhone users targeted by ENDOFDAYS zero-click exploit. Journalists, activists & more at risk.

👉 Read more & share to spread awareness: https://thehackernews.com/2023/04/israel-based-spyware-firm-quadream.html

🚨 PATCH TUESDAY!

Microsoft has released security updates for 97 flaws, including one that's being actively exploited in ransomware attacks.

https://thehackernews.com/2023/04/urgent-microsoft-issues-patches-for-97.html

Other vendors such as Adobe, Apple, Cisco, Google, Linux, Firefox & more have also released patches recently.

🚨 PATCH TUESDAY!

Microsoft has released security updates for 97 flaws, including one that's being actively exploited in ransomware attacks.

https://thehackernews.com/2023/04/urgent-microsoft-issues-patches-for-97.html

Other vendors such as Adobe, Apple, Cisco, Google, Linux, Firefox & more have also released patches recently.