Сегодня день рождения самого популярного сервиса в мире – Google
📖Прочитать
Сегодня, 27 сентября, отмечается день рождения Google — одного из самых популярных и влиятельных поисковых сервисов в мире! Эта дата связана с официальным запуском компании Google, которая была основана в 1998 году двумя аспирантами Стэнфордского университета, Ларри Пейджем и Сергеем Брином.История названия. Название "Google" произошло от математического термина "гугол" (googol), который обозначает число, состоящее из единицы и ста нулей. Это символизировало цель создателей — организовать огромное количество информации в интернете.📖Прочитать
Telegraph
Сегодня день рождения самого популярного сервиса в мире – Google
Сегодня, 27 сентября, отмечается день рождения Google — одного из самых популярных и влиятельных поисковых сервисов в мире! Эта дата связана с официальным запуском компании Google, которая была основана в 1998 году двумя аспирантами Стэнфордского университета…
Печать документов в Linux приводит к захвату компьютера
📖Прочитать
На днях была раскрыта критическая уязвимость в Unix-системе печати CUPS, затрагивающая множество Linux-систем по всему миру. Уязвимость способна привести к захвату компьютера через сеть или интернет при запуске задания на печать документов. Проблему усугубляет то, что обновления для устранения проблемы пока недоступны. Исследователь безопасности Симоне Маргарителли, обнаруживший и сообщивший об этих уязвимостях, опубликовал их подробное описание. Уязвимости затрагивают большинство дистрибутивов Linux, некоторые версии BSD, а также, возможно, ChromeOS и Solaris. Критическая угроза исходит от компонента cups-browsed, который может быть использован злоумышленниками для захвата системы при старте задания на печать. 📖Прочитать
Telegraph
Печать документов в Linux приводит к захвату компьютера
На днях была раскрыта критическая уязвимость в Unix-системе печати CUPS, затрагивающая множество Linux-систем по всему миру. Уязвимость способна привести к захвату компьютера через сеть или интернет при запуске задания на печать документов. Проблему усугубляет…
Разработчики Tails и Tor Project решили объединить усилия
📖Посмотреть
Некоммерческая организация Tor Project и разработчики Tails сообщили, что объединяют усилия. Организации стремятся объединить ресурсы, снизить накладные расходы и более тесно сотрудничать в вопросах развития свободного интернета, защищая пользователей от слежки и цензуры.Предложение о слиянии поступило от команды Tails в конце прошлого года, поскольку организация переросла существующую структуру и хотела оградить своих сотрудников от дополнительного стресса, связанного с расширением фреймворка.📖Посмотреть
Telegraph
Разработчики Tails и Tor Project решили объединить усилия
Некоммерческая организация Tor Project и разработчики Tails сообщили, что объединяют усилия. Организации стремятся объединить ресурсы, снизить накладные расходы и более тесно сотрудничать в вопросах развития свободного интернета, защищая пользователей от…
🔥5
(Не) безопасный дайджест: кибератака на Dr. Web, облачная утечка Fortinet, шантаж от сотрудника
📖Прочитать
Подоспела подборка громких ИБ-инцидентов, которые произошли или стали известны в прошлом месяце. В сентябре прогремели: атаки на ИБ-вендоров, утечки в известных отечественных компаниях, а также слив данных миллионов американцев в открытый доступ. Что случилось: сотрудник заблокировал сервера работодателя и потребовал выкуп.📖Прочитать
Telegraph
(Не) безопасный дайджест: кибератака на Dr. Web, облачная утечка Fortinet, шантаж от сотрудника
Подоспела подборка громких ИБ-инцидентов, которые произошли или стали известны в прошлом месяце. В сентябре прогремели: атаки на ИБ-вендоров, утечки в известных отечественных компаниях, а также слив данных миллионов американцев в открытый доступ.
Хакеры украли проплаченные сертификаты розничной сети Детский мир
📖Посмотреть
Следственный комитет России продолжает расследование крупного дела, связанного с хищением почти 4,5 тысячи подарочных сертификатов известной розничной сети "Детский мир". По материалам дела, которые имеются в распоряжении РИА Новости, следствие располагает данными, что злоумышленники совершили кибератаку на сайт компании, используя высокотехнологичные средства для несанкционированного доступа.В ходе операции преступники, предположительно, применяли специализированное вредоносное ПО, разработанное для обхода систем защиты компьютерной информации. Эти программы позволили подобрать уникальные номера и ПИН-коды к 4459 электронным подарочным сертификатам и картам, которые уже предоплачены. Такие карты дают их владельцам право на приобретение товаров в магазинах сети "Детский мир". Фактически преступники получили незаконный доступ к чужим средствам и приобрели возможность распоряжаться этими сертификатами как своими.📖Посмотреть
Telegraph
Хакеры украли проплаченные сертификаты розничной сети Детский мир
Следственный комитет России продолжает расследование крупного дела, связанного с хищением почти 4,5 тысячи подарочных сертификатов известной розничной сети "Детский мир". По материалам дела, которые имеются в распоряжении РИА Новости, следствие располагает…
14 регионов, 148 обысков: СК раскрывает сеть Cryptex
📖Прочитать
Следователи возбудили уголовное дело против создателей анонимной платежной системы UAPS и криптовалютной биржи Cryptex , сообщает пресс-служба Следственного комитета России. Им предъявлены обвинения в организации преступного сообщества и участии в нем, неправомерном доступе к компьютерной информации, неправомерном обороте средств платежей, а также в незаконной банковской деятельности. Уголовное дело возбуждено по ч. 1 и 2 ст. 210, ч. 3 ст. 272, ч. 2 ст. 187 и пп. «а», «б» ч. 2 ст. 172 УК РФ. По данным следствия, в 2013 году создатели UAPS и Cryptex, обладая познаниями в области банковской деятельности, организовали преступное сообщество с целью личного обогащения и совершения преступлений. «Соучастники разработали инфраструктуру в виде анонимной платежной системы «UAPS», криптовалютной биржи «Cryptex» и 33 онлайн-сервисов, предназначенных для реализации незаконной банковской деятельности, неправомерного оборота средств платежей и неправомерного доступа к охраняемой законом компьютерной информации», — говорится в сообщении СК. 📖Прочитать
Telegraph
14 регионов, 148 обысков: СК раскрывает сеть Cryptex
Следователи возбудили уголовное дело против создателей анонимной платежной системы UAPS и криптовалютной биржи Cryptex , сообщает пресс-служба Следственного комитета России. Им предъявлены обвинения в организации преступного сообщества и участии в нем, неправомерном…
CosmicSting: как 4275 онлайн-магазинов были захвачены за считанные секунды
📖Прочитать
По данным экспертов из компании Sansec, в течение этого лета киберпреступники взломали около 5% всех магазинов на Adobe Commerce и Magento, включая такие крупные бренды, как Ray-Ban, National Geographic, Cisco, Whirlpool и Segway. Атаки были осуществлены семью разными группами, использующими уязвимость CosmicSting для внедрения вредоносного кода. Исследование показало, что с момента публикации уязвимости CVE-2024-34102 (также известной как CosmicSting) в июне хакеры взломали более 4275 онлайн-магазинов. Несмотря на предупреждения об угрозе, многие бизнесы оказались в зоне риска и подверглись атакам с использованием платёжных скиммеров на страницах оплаты. 📖Прочитать
Telegraph
CosmicSting: как 4275 онлайн-магазинов были захвачены за считанные секунды
По данным экспертов из компании Sansec, в течение этого лета киберпреступники взломали около 5% всех магазинов на Adobe Commerce и Magento, включая такие крупные бренды, как Ray-Ban, National Geographic, Cisco, Whirlpool и Segway. Атаки были осуществлены…
Опубликован PoC захвата контроля над принтером Xerox через RCE-уязвимость
📖Посмотреть
Раскрыты детали уязвимости в принтерах Xerox, которая позволяет повысить права админа до root и полностью скомпрометировать сетевое устройство. Обновления прошивок и патчи доступны на сайте производителя.Проблема CVE-2024-6333 (7,2 балла CVSS) актуальна для МФУ семейств EC80xx, AltaLink, VersaLink, WorkCentre. Список затронутых моделей и новых прошивок представлен в бюллетене Xerox (PDF).📖Посмотреть
Telegraph
Опубликован PoC захвата контроля над принтером Xerox через RCE-уязвимость
Раскрыты детали уязвимости в принтерах Xerox, которая позволяет повысить права админа до root и полностью скомпрометировать сетевое устройство. Обновления прошивок и патчи доступны на сайте производителя.
🔥1
Кампания по раздаче стилеров через фейковые CAPTCHA расширила охват
📖Прочитать
Злоумышленники активно распространяют стилеров, используя фальшивый тест CAPTCHA для загрузки. Ведущая на такие страницы реклама, по данным «Лаборатории Касперского», размещается на сайтах с кряками, порно, аниме и в файлообменниках.На старте вредоносная кампания была ориентирована лишь на геймеров; им раздавали инфостилера Lumma через сайты с пиратскими копиями игр. Позднее в ход пошел также троян Amadey, а вместо фейка CAPTCHA иногда стали использоваться ложные сообщения об ошибке браузера.📖Прочитать
Telegraph
Кампания по раздаче стилеров через фейковые CAPTCHA расширила охват
Злоумышленники активно распространяют стилеров, используя фальшивый тест CAPTCHA для загрузки. Ведущая на такие страницы реклама, по данным «Лаборатории Касперского», размещается на сайтах с кряками, порно, аниме и в файлообменниках.
🗿2❤1👍1
Крупного французского провайдера Free взломали и похитили данные
📖Прочитать
Второй по величине интернет-провайдер Франции, компания Free сообщила, что пострадала от хакерской атаки, и злоумышленникам удалось похитить личные данные клиентов.Free является второй по величине телекоммуникационной компанией во Франции (более 22,9 млн абонентов) и дочерним предприятием Iliad Group — шестого по количеству абонентов оператора мобильной связи в Европе.📖Прочитать
Telegraph
Крупного французского провайдера Free взломали и похитили данные
Второй по величине интернет-провайдер Франции, компания Free сообщила, что пострадала от хакерской атаки, и злоумышленникам удалось похитить личные данные клиентов.
👍1
(Не) безопасный дайджест Halloween Edition: стажер против «Скайнета», зарплаты призракам, монстры в открытом доступе
📖Посмотреть
В октябрьском дайджесте собрали инциденты, которые точно пощекотали нервы ИБ-отделам пострадавших компаний. На хэллоуинской повестке – миллионная афера с мертвыми душами, хакер, смертельно обиженный непризнанием заслуг, и страшно частые атаки на геймдев.Что случилось: производитель кухонной утвари Williams Sonoma потерял более $10 млн из-за мошенничества сотрудника.📖Посмотреть
Telegraph
(Не) безопасный дайджест Halloween Edition: стажер против «Скайнета», зарплаты призракам, монстры в открытом доступе
В октябрьском дайджесте собрали инциденты, которые точно пощекотали нервы ИБ-отделам пострадавших компаний. На хэллоуинской повестке – миллионная афера с мертвыми душами, хакер, смертельно обиженный непризнанием заслуг, и страшно частые атаки на геймдев.
👍2
Как я одержал победу над создателем чита для MMO-игры
В конце 2000-х я работал в нишевой компании, разрабатывавшей MMO-игру. У нас была небольшая команда и скромная прибыль, зато верная аудитория. Игра опиралась именно на навыки, не предлагая привычных усилений, и игрокам такая система нравилась.
Так вот, однажды до нас дошли слухи, что для нашей игры появился чит, который начал вызывать у игроков негодование. На тот момент у нас трудилось всего четыре программиста, а поскольку этот факт кому-то нужно было расследовать, я выступил добровольцем. Игроки были уверены, что противникам удавалось убить их в игре исключительно благодаря читу. Мы старались убедить людей, что изучаем проблему, но при этом понятия не имели, насколько велик её масштаб.
📖Посмотреть
В конце 2000-х я работал в нишевой компании, разрабатывавшей MMO-игру. У нас была небольшая команда и скромная прибыль, зато верная аудитория. Игра опиралась именно на навыки, не предлагая привычных усилений, и игрокам такая система нравилась.
Так вот, однажды до нас дошли слухи, что для нашей игры появился чит, который начал вызывать у игроков негодование. На тот момент у нас трудилось всего четыре программиста, а поскольку этот факт кому-то нужно было расследовать, я выступил добровольцем. Игроки были уверены, что противникам удавалось убить их в игре исключительно благодаря читу. Мы старались убедить людей, что изучаем проблему, но при этом понятия не имели, насколько велик её масштаб.
📖Посмотреть
Telegraph
Как я одержал победу над создателем чита для MMO-игры
Наши проекты: - Кибер новости: the Matrix • Cyber News- Хакинг: /me Hacker
🔥5
«Здравствуйте, это служба безопасности вашего банка» или «Shut up and take my money!»
📖Прочитать
"Алло, это служба безопасности банка! У вас замечена подозрительная операция..."Наверняка, многим из вас приходилось слышать такую фразу по телефону, и хорошо, если в этот момент вы положили трубку и не продолжили разговор.📖Прочитать
Telegraph
«Здравствуйте, это служба безопасности вашего банка» или «Shut up and take my money!»
"Алло, это служба безопасности банка! У вас замечена подозрительная операция..." Наверняка, многим из вас приходилось слышать такую фразу по телефону, и хорошо, если в этот момент вы положили трубку и не продолжили разговор. В этой статье я хотел бы вместе…
👍6
Фантомная симка: мошенники обокрали счет умершего россиянина на 1,2 млн рублей
📖Прочитать
Житель Москвы Анатолий скончался весной 2024 года. Однако только спустя полгода его вдова обнаружила, что с банковского счета мужа было списано 1 271 700 рублей. Как выяснилось, преступники восстановили eSIM-карту Анатолия и получили доступ к его счету. Злоумышленники смогли каким-то образом получить данные паспорта умершего, после чего пришли в салон связи на «Бауманской» и оформили дубликат SIM-карты. С помощью этой симки им удалось снять все деньги с банковского счета. 📖Прочитать
Telegraph
Фантомная симка: мошенники обокрали счет умершего россиянина на 1,2 млн рублей
Житель Москвы Анатолий скончался весной 2024 года. Однако только спустя полгода его вдова обнаружила, что с банковского счета мужа было списано 1 271 700 рублей. Как выяснилось, преступники восстановили eSIM-карту Анатолия и получили доступ к его счету. Злоумышленники…
😈4👍1😢1
Обход OTP и захват панели администратора через Header Injection
📖Прочитать
Самое лучшее для исследователя в области баг-баунти, — это знания, который предоставляет сам процесс анализа.Если помимо работы инженером в области безопасности вы занимаетесь баг-баунти в свободное время, всегда старайтесь применять полученные знания в своей основной работе, внедряя соответствующие механизмы защиты. Кроме того, делитесь своими находками с сообществом информационной безопасности через блоги и публикации.📖Прочитать
Telegraph
Обход OTP и захват панели администратора через Header Injection
Самое лучшее для исследователя в области баг-баунти, — это знания, который предоставляет сам процесс анализа. Если помимо работы инженером в области безопасности вы занимаетесь баг-баунти в свободное время, всегда старайтесь применять полученные знания в…
👍2
Топ новостей инфобеза за ноябрь 2024 года
📖Прочитать
Всем привет! Это наш традиционный дайджест интересных новостей ушедшего месяца. В ноябре закрутился сюжет вокруг прослушки телефонов политиков в США, а судебный разборки Whatsapp против Pegasus пролили свет на внутреннюю кухню разработчика спайвари.В сеть утекли документы по возможностям Graykey — софта для взлома смартфонов криминалистами. Также у нас засветился первый UEFI-буткит под Linux, игровой движок Godot приспособили под доставку малвари, а повреждённые файлы Word стали новым перспективным методом обхода обнаружения в фишинге. Об этом и других горячих событиях промозглого ноября читайте под катом!📖Прочитать
Telegraph
Топ новостей инфобеза за ноябрь 2024 года
Всем привет! Это наш традиционный дайджест интересных новостей ушедшего месяца. В ноябре закрутился сюжет вокруг прослушки телефонов политиков в США, а судебный разборки Whatsapp против Pegasus пролили свет на внутреннюю кухню разработчика спайвари. В сеть…
👍5
IDOR в cookie-сессии, приводящий к массовому захвату аккаунтов
📖Прочитать
Если вы знакомы с концепцией IDOR (Insecure Direct Object Reference), то знаете, что эта уязвимость может быть где угодно: в URL, теле запроса, запросах GET или POST, а также в cookie.Я участвовал в одной приватной программе. начала, я начал изучать логику работы приложения. Обычно это дает возможность (но не всегда), обнаружить много уязвимостей. Именно это и произошло у меня … В итоге я занял место в рейтинге программы, сразу за несколькими известными хакерами. :)📖Прочитать
Telegraph
IDOR в cookie-сессии, приводящий к массовому захвату аккаунтов
Если вы знакомы с концепцией IDOR (Insecure Direct Object Reference), то знаете, что эта уязвимость может быть где угодно: в URL, теле запроса, запросах GET или POST, а также в cookie. Я участвовал в одной приватной программе. начала, я начал изучать логику…
👍1
Взлом без пароля: 8 новых уязвимостей угрожают корпоративным сетям
📖Прочитать
В ноябре 2024 года эксперты Positive Technologies отнесли к трендовым восемь уязвимостей. Это недостатки безопасности в продуктах Microsoft, системе централизованного управления и мониторинга FortiManager, программном обеспечении PAN-OS, операционной системе Ubuntu Server и межсетевых устройствах Zyxel. Согласно данным , уязвимости в Windows могут затронуть до миллиарда устройств. В зону риска попадают пользователи устаревших версий Windows, включая Windows 10 и Windows 11. 📖Прочитать
Telegraph
Взлом без пароля: 8 новых уязвимостей угрожают корпоративным сетям
В ноябре 2024 года эксперты Positive Technologies отнесли к трендовым восемь уязвимостей. Это недостатки безопасности в продуктах Microsoft, системе централизованного управления и мониторинга FortiManager, программном обеспечении PAN-OS, операционной системе…
😈1
Небезопасная десериализация в PHP: Как создать собственный эксплойт
📖Посмотреть
Привет, ! Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.Сериализация — это процесс преобразования объекта в формат, который можно легко сохранить или передать, например, в виде строки. Этот процесс широко используется в языках программирования, таких как Java, PHP или .NET. Обратный процесс, называемый десериализацией, позволяет восстановить объект из сериализованного формата, возвращая его в первоначальное состояние.📖Посмотреть
Telegraph
Небезопасная десериализация в PHP: Как создать собственный эксплойт
Привет, ! Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.
Обход OTP на крупнейшем индийском сайте для обмена видео
📖Посмотреть
Я нашел сайт социальной сети, позволяющий пользователям делиться видео, который был аналогичен TikTok и имел более 50 миллионов активных пользователей. Я решил не разглашать его название и будем обозначать его как example.com.Начало атаки📖Посмотреть
Telegraph
Обход OTP на крупнейшем индийском сайте для обмена видео
Я нашел сайт социальной сети, позволяющий пользователям делиться видео, который был аналогичен TikTok и имел более 50 миллионов активных пользователей. Я решил не разглашать его название и будем обозначать его как example.com. Начало атаки Я начал атаку с…
👍2
От карты до СБП: 9,3 млрд рублей исчезли со счетов россиян за 90 дней
📖Посмотреть
В третьем квартале 2024 года российские банки зафиксировали 348,6 тыс. операций, совершенных без согласия клиентов-физических и юридических лиц, на сумму 9,3 млрд рублей, сообщил Центробанк России. Этот квартальный показатель стал рекордным за весь период раскрытия статистики, начиная с 2020 года. В сравнении с третьим кварталом 2023 года объем мошеннических транзакций увеличился в 2,6 раза, а по сравнению с уровнем второго квартала 2024 года — почти в два раза. 98,6% от общего объема хищений (9,2 млрд рублей) составляют кражи средств физических лиц. Рост числа таких операций в ЦБ объясняют тем, что с середины лета банки начали отчетность о мошеннических операциях по обновленной форме. С 25 июля 2024 года вступил в силу закон о противодействии мошенническим переводам, который изменил определение операции без согласия клиента. Согласно новому закону, под эту категорию теперь попадают переводы, совершенные вследствие обмана или злоупотребления доверием. До этого банки учитывали такие операции на основе трех признаков, теперь их шесть. 📖Посмотреть
Telegraph
От карты до СБП: 9,3 млрд рублей исчезли со счетов россиян за 90 дней
В третьем квартале 2024 года российские банки зафиксировали 348,6 тыс. операций, совершенных без согласия клиентов-физических и юридических лиц, на сумму 9,3 млрд рублей, сообщил Центробанк России. Этот квартальный показатель стал рекордным за весь период…
👏5