#news Апдейт по крупнейшей утечке личных данных из Китая. В деле оказался замешан человеческий фактор. И какой, ух.
Как выяснилось, разработчик на госслужбе написал пост для блога на китайском профильном сайте CSDN и… умудрился опубликовать в нём захардкоженные данные доступа к базе данных. Об этом сообщил CEO Binance и опубликовал скриншот из блога в качестве подтверждения.
23 терабайта личных данных из полицейской базы на миллиард китайцев утекли в сеть из-за такого вот детского косяка. Бедняге-разработчику теперь точно не позавидуешь: одна миска риса раз в три дня от благодарной партии до конца жизни — это ещё, полагаю, удачный для него исход.
@tomhunter
Как выяснилось, разработчик на госслужбе написал пост для блога на китайском профильном сайте CSDN и… умудрился опубликовать в нём захардкоженные данные доступа к базе данных. Об этом сообщил CEO Binance и опубликовал скриншот из блога в качестве подтверждения.
23 терабайта личных данных из полицейской базы на миллиард китайцев утекли в сеть из-за такого вот детского косяка. Бедняге-разработчику теперь точно не позавидуешь: одна миска риса раз в три дня от благодарной партии до конца жизни — это ещё, полагаю, удачный для него исход.
@tomhunter
😁16🔥3
#news Занятный пример социнженерии по следам легендарной кражи $625 миллионов с сайдчейна Ronin.
Как выяснилось, северокорейские хакеры рассылали по сотрудникам Sky Mavis фейковые предложения о работе через LinkedIn. Один из инженеров позарился на щедрый оффер и открыл присланный PDF-файл. А в нём был вредонос, давший хакерам доступ к четырём валидаторам.
Пятый же они угнали у Axie DAO, децентрализованной автономной организации, подписывавшей часть их транзакций. Громкое название, а на деле бардак: подписывать прекратили ещё в прошлом году, а доступ к allowlist им отключить забыли. Теперь чудом оставшаяся на плаву Sky Mavis обещает довести число валидаторов до ста. Ну, надеюсь, хоть это им поможет.
@tomhunter
Как выяснилось, северокорейские хакеры рассылали по сотрудникам Sky Mavis фейковые предложения о работе через LinkedIn. Один из инженеров позарился на щедрый оффер и открыл присланный PDF-файл. А в нём был вредонос, давший хакерам доступ к четырём валидаторам.
Пятый же они угнали у Axie DAO, децентрализованной автономной организации, подписывавшей часть их транзакций. Громкое название, а на деле бардак: подписывать прекратили ещё в прошлом году, а доступ к allowlist им отключить забыли. Теперь чудом оставшаяся на плаву Sky Mavis обещает довести число валидаторов до ста. Ну, надеюсь, хоть это им поможет.
@tomhunter
❤5🔥3😁1
Собрал для вас в традиционный дайджест самые крупные события в мире инфосека за первый летний месяц. Он выдался довольно жарким: госсети целого итальянского города ушли оффлайн на несколько недель после рансомварь-атаки, первые ласточки крупномасштабного исследования трекера Meta Pixel принесли довольно занятные результаты, на киберпреступный рынок вернулся печально известный Racoon Stealer в новой итерации… Обо всём этом и других важных новостях июня в дайджесте. Приятного чтения!
❤4🔥3
#news Тем временем тут назревает небольшой митрегейт. Наблюдательные пользователи приметили, что MITRE, дочерняя организация CVE project, помимо описания уязвимостей и проверок концепций порою умудрялась публиковать в своих CVE-бюллетенях ссылки на уязвимые устройства. Чтобы наверняка, так сказать. Низкий им за это поклон от злоумышленников.
В одном случае, например, был и вовсе просто копипаст ссылок с чужого гитхаба. В самой же MITRE в ответ на вопрос, что за дела они творят, простодушно ответили: «А что такого? Мы часто так делаем». Публикуем ссылки на дюжины уязвимых устройств под описанием эксплойта в постах, которые затем расходятся по всем профильным ресурсам, с кем не бывает. Вскоре, правда, все подобные ссылки из своего гитхаб-репозитория и из базы они почему-то оперативно потёрли. А что случилось?
@tomhunter
В одном случае, например, был и вовсе просто копипаст ссылок с чужого гитхаба. В самой же MITRE в ответ на вопрос, что за дела они творят, простодушно ответили: «А что такого? Мы часто так делаем». Публикуем ссылки на дюжины уязвимых устройств под описанием эксплойта в постах, которые затем расходятся по всем профильным ресурсам, с кем не бывает. Вскоре, правда, все подобные ссылки из своего гитхаб-репозитория и из базы они почему-то оперативно потёрли. А что случилось?
@tomhunter
😁12🔥4🤔1🤯1
#news Майкрософт внезапно откатил автоблокировку макросов для скачанных файлов в офисных приложениях.
Никаких деталей или предупреждений пользователям об откате, только скупой комментарий от менеджера мелкософта в формате «Анжела, отмена!» под февральским постом с анонсом изменений.
Это при том, что апдейты с изменениями окончательно вошли в оборот ещё только в июне. С чем связан откат, неясно. Речь якобы о полученных отрицательных отзывах. Видимо, кнопку включения макросов юзеров так и не приучили находить. Или бедняги устали на неё кликать. А тут ещё и админы про какую-то фоллину талдычат. Непорядок!
@tomhunter
Никаких деталей или предупреждений пользователям об откате, только скупой комментарий от менеджера мелкософта в формате «Анжела, отмена!» под февральским постом с анонсом изменений.
Это при том, что апдейты с изменениями окончательно вошли в оборот ещё только в июне. С чем связан откат, неясно. Речь якобы о полученных отрицательных отзывах. Видимо, кнопку включения макросов юзеров так и не приучили находить. Или бедняги устали на неё кликать. А тут ещё и админы про какую-то фоллину талдычат. Непорядок!
@tomhunter
🤔7
#news В сети распространяется новая суицидальная игра - Blackout Challenge. Данный челлендж якобы "побуждает пользователей душить себя ремнями, кошельковыми шнурками или чем-либо подобным до потери сознания".
Предположительными жертвами Blackout Challenge стало уже 7 детей из США, Австралии и Италии. Основным средством распространения опасного контента признан TikTok, популярный среди подростков. Социальную сеть обвиняют в том, что она размещала подобный контент прямо в рекомендациях.
@tomhunter
Предположительными жертвами Blackout Challenge стало уже 7 детей из США, Австралии и Италии. Основным средством распространения опасного контента признан TikTok, популярный среди подростков. Социальную сеть обвиняют в том, что она размещала подобный контент прямо в рекомендациях.
@tomhunter
🤯15😁8🤬5🔥1🤔1
#news Госдума приняла в третьем чтении документ, направленный на противодействие возможности использования цифровых финансовых активов (ЦФА) и утилитарных цифровых прав (УЦП) в качестве средства платежа.
@tomhunter
@tomhunter
🤬12🤔5🎉4🔥2❤1😁1
#news В эфире классика инфобезопасности. Известный хакер pompompurin взломал крупный сайт для чтения комиксов Mangatoon и стянул личные данные 23 миллионов пользователей. Ну как сказать, взломал. По его словам, их база на Elasticsearch была защищена могучим паролем «password».
При этом хакер утверждает, что написал им письмо после взлома, владельцы сменили пароль, но пользователям ничего не сообщили. А в базе ники, почтовые ящики, соцсети и токены от логина из них и хешированные пароли. На запросы журналистов они сейчас тоже не отвечают. Такая вот низкая культура инфосека от любителей комиксов.
@tomhunter
При этом хакер утверждает, что написал им письмо после взлома, владельцы сменили пароль, но пользователям ничего не сообщили. А в базе ники, почтовые ящики, соцсети и токены от логина из них и хешированные пароли. На запросы журналистов они сейчас тоже не отвечают. Такая вот низкая культура инфосека от любителей комиксов.
@tomhunter
😁15🔥2
#news СМИ публикуют части кода приложения для обмена зашифрованными сообщениями Anom, которым тайно управляло ФБР для мониторинга организованной преступности в глобальном масштабе. Код показывает, что сообщения пользователей тайно перенаправлялись в ФБР, номер которого был скрыт от списков контактов пользователей.
Напомню, что в прошлом году ФБР и его партнеры объявили об операции «Троянский щит», в ходе которой ФБР в течение многих лет тайно управляло зашифрованной телефонной компанией под названием Anom и использовало ее для сбора десятков миллионов сообщений от пользователей Anom. Anom был продан преступникам и оказался в руках более 300 преступных синдикатов по всему миру. Эта знаменательная операция привела к аресту более 1000 человек, включая предполагаемых крупных торговцев наркотиками, а также к массовым изъятиям оружия, наличных денег, наркотиков и роскошных автомобилей.
@tomhunter
Напомню, что в прошлом году ФБР и его партнеры объявили об операции «Троянский щит», в ходе которой ФБР в течение многих лет тайно управляло зашифрованной телефонной компанией под названием Anom и использовало ее для сбора десятков миллионов сообщений от пользователей Anom. Anom был продан преступникам и оказался в руках более 300 преступных синдикатов по всему миру. Эта знаменательная операция привела к аресту более 1000 человек, включая предполагаемых крупных торговцев наркотиками, а также к массовым изъятиям оружия, наличных денег, наркотиков и роскошных автомобилей.
@tomhunter
🔥13😢1
#news Рансомварь-история со счастливым концом. В 2019-м году Маастрихтский университет в Нидерландах заплатил злоумышленникам $200 тысяч выкупа биткоинами после взлома. Но через пару месяцев правоохранительные органы отследили кошелёк, на который ушли деньги, и заморозили вместе с частью оставшихся на нём средств — на тот момент около 40к долларов.
А теперь после затянувшегося расследования университет получит часть своих битков обратно. Вот только стоят они сейчас около $500 тысяч. Так, неожиданно для себя университет удачно вложился в крипту на зависть всем мечтательным спекулянтам. Отбитые средства пойдут на создание фонда помощи студентам, а окрылённый успехом совет директоров вуза ушёл в криптотрейдеры.
@tomhunter
А теперь после затянувшегося расследования университет получит часть своих битков обратно. Вот только стоят они сейчас около $500 тысяч. Так, неожиданно для себя университет удачно вложился в крипту на зависть всем мечтательным спекулянтам. Отбитые средства пойдут на создание фонда помощи студентам
@tomhunter
😁18🔥5
#news Сайт Службы Безопасности Украины (СБУ) лежит уже более 4-х часов подряд... Авторы атаки пока никак не заявили о себе. Очевидно, следует ожидать утечку конфиденциальных данных украинской спецслужбы в ближайшие дни.
@tomhunter
@tomhunter
🔥24💩13🤬12😁3🤔2❤1🤯1
В ходе пентеста веб-приложений специалист по тестированию на проникновение достаточно часто сталкивается с необходимостью тестировать API. И все чаще и чаще встречается API на основе GraphQL. Мы скомпилировали полученную информацию об объекте тестирования и методиках в одном месте. Делимся ею с читателями Хабра. Приятного чтения!
❤11🔥4🤔2
#news Исследователи обнаружили уязвимость в дюжине новых моделей Honda, позволяющую открыть и завести машину перехваченным сигналом.
В автоматике плавающие коды, но при последовательном получении команд открыть/закрыть идёт рассинхрон. Эти коды остаются в системе, и если их позже подать на машину, она их примет. Более того, коды вообще не обнуляются и остаются валидны и через несколько месяцев.
Между тем компания вновь показывает мастер-класс, как не надо реагировать на такое. На их сайте не обнаружилось формы, чтобы сообщить об уязвимости, а на письмо в техподдержку никто не ответил. А потом они и вовсе заявили, что ваши пруфы — не пруфы, и этого не может быть, потому что этого не может быть никогда. Да только независимые исследователи подтвердили эксплойт. Вот незадача.
@tomhunter
В автоматике плавающие коды, но при последовательном получении команд открыть/закрыть идёт рассинхрон. Эти коды остаются в системе, и если их позже подать на машину, она их примет. Более того, коды вообще не обнуляются и остаются валидны и через несколько месяцев.
Между тем компания вновь показывает мастер-класс, как не надо реагировать на такое. На их сайте не обнаружилось формы, чтобы сообщить об уязвимости, а на письмо в техподдержку никто не ответил. А потом они и вовсе заявили, что ваши пруфы — не пруфы, и этого не может быть, потому что этого не может быть никогда. Да только независимые исследователи подтвердили эксплойт. Вот незадача.
@tomhunter
🔥10😁3🤯2
#news Новая фишинговая кампания на просторах сети. Теперь неугомонные злоумышленники выдают себя за безопасников нескольких известных фирм. Жертва получает письмо, заверяющее, что системы компании были взломаны, и нужно срочно позвонить по номеру для связи со специалистом фирмы, обслуживающей их сети на аутосорсе. Якобы IT-отдел уже поставлен в известность, нужно лишь по их указке проверить компьютер пользователя.
На деле же на звонок отвечает злоумышленник, отправляющий жертву на подставной сайт с малварью. Скорее всего, что-нибудь для удалённого доступа и дальнейшей отправки рансомвари. Выглядит всё достаточно убедительно, чтобы необученный юзер купился на дружелюбного спеца из техподдержки. Так письмо о взломе становится своеобразным самоисполняющимся пророчеством.
@tomhunter
На деле же на звонок отвечает злоумышленник, отправляющий жертву на подставной сайт с малварью. Скорее всего, что-нибудь для удалённого доступа и дальнейшей отправки рансомвари. Выглядит всё достаточно убедительно, чтобы необученный юзер купился на дружелюбного спеца из техподдержки. Так письмо о взломе становится своеобразным самоисполняющимся пророчеством.
@tomhunter
🔥11
#news Министерство внутренних дел решило следить за правопорядком в метавселенных и готовится открыть специальный отдел по виртуальным пространствам. Территориально он будет находиться в столице.
Официально новый орган назвали «отдел внутренних дел по метавселенным и информационно-телекоммуникационным сетям». В первое время его сотрудники займутся поиском неплательщиков налогов, которые обладают крупными цифровыми активами. В перспективе новый отдел будет расследовать любые виды метапреступлений, начиная от торговли поддельными NFT, заканчивая мошенничеством при торговле в виртуальных мирах. Кража личности, упоминания экстремистской организации Meta без маркировки, изготовление и распространение метапорнографии.
@tomhunter
Официально новый орган назвали «отдел внутренних дел по метавселенным и информационно-телекоммуникационным сетям». В первое время его сотрудники займутся поиском неплательщиков налогов, которые обладают крупными цифровыми активами. В перспективе новый отдел будет расследовать любые виды метапреступлений, начиная от торговли поддельными NFT, заканчивая мошенничеством при торговле в виртуальных мирах. Кража личности, упоминания экстремистской организации Meta без маркировки, изготовление и распространение метапорнографии.
@tomhunter
💩15😁11🤔4
#news У пользователей одного из крупнейших криптообменников Uniswap украли $8 миллионов в ETH.
Изначально подозревали, что это у Uniswap какая-то уязвимость, но дело оказалось в обычном фишинге. Скамеры получили доступ к провайдерам ликвидности Uniswap через зловредный смарт-контракт, который распространили эйрдропом — предлагали участникам бесплатные 400 UNI-токенов (около $2200). Пользователи подключали к «эйрдропу» свои кошельки и подписывали транзакции, и в этот момент хакеры забирали все их средства.
Затронуто оказалось около 74 тысяч кошельков, с которых украли более 7500 ETH.
@tomhunter
Изначально подозревали, что это у Uniswap какая-то уязвимость, но дело оказалось в обычном фишинге. Скамеры получили доступ к провайдерам ликвидности Uniswap через зловредный смарт-контракт, который распространили эйрдропом — предлагали участникам бесплатные 400 UNI-токенов (около $2200). Пользователи подключали к «эйрдропу» свои кошельки и подписывали транзакции, и в этот момент хакеры забирали все их средства.
Затронуто оказалось около 74 тысяч кошельков, с которых украли более 7500 ETH.
@tomhunter
🔥9
#news Фишинговые атаки с мошенническими звонками в моде этим летом. Исследователи приметили новую работающую по этой части группировку и дали ей романтичное название «Лунный мотылёк».
Скамеры рассылают письма о возобновлении платной подписки на таких сервисах, как Zoho, MasterClass и Duolingo, побуждая жертву позвонить по указанному номеру. Итогом проваленной проверки на сообразительность становится скачанный RAT-софт.
В арсенале у злоумышленников ничего примечательного: сотня подставных доменов, ящики на gmail и коммерческий софт для удалённого доступа. Тем не менее, успехов они добиваются и малым. Что интересно, пошёл тренд на кражу данных без шифрования взломанных систем — стянутая инфа либо идёт на продажу, либо используется для шантажа.
@tomhunter
Скамеры рассылают письма о возобновлении платной подписки на таких сервисах, как Zoho, MasterClass и Duolingo, побуждая жертву позвонить по указанному номеру. Итогом проваленной проверки на сообразительность становится скачанный RAT-софт.
В арсенале у злоумышленников ничего примечательного: сотня подставных доменов, ящики на gmail и коммерческий софт для удалённого доступа. Тем не менее, успехов они добиваются и малым. Что интересно, пошёл тренд на кражу данных без шифрования взломанных систем — стянутая инфа либо идёт на продажу, либо используется для шантажа.
@tomhunter
🔥6
#news И ещё немного о фишинге. Майкрософт опубликовала отчёт о более впечатляющей кампании. AiTM-атаки идут на пользователей Office 365 с помощью прокси между юзером и страницей логина в аккаунт. Получив фишинговое уведомление о голосовом сообщении, жертва вводит данные на подставной странице, которая затем перенаправляет его на реальную, а его пароли, куки и сессию — злоумышленнику.
Такая атака интересна тем, что позволяет обойти и двухфакторку. Далее злоумышленники используют взломанные ящики для скрытного мошенничества с платежами в имеющихся цепочках писем. Из занятного, фейковая страница автоматически подставляет адрес ящика жертвы для большей правдоподобности. Масштабы кампании тоже впечатляют: с сентября скомпрометировать пытались больше 10,000 организаций.
@tomhunter
Такая атака интересна тем, что позволяет обойти и двухфакторку. Далее злоумышленники используют взломанные ящики для скрытного мошенничества с платежами в имеющихся цепочках писем. Из занятного, фейковая страница автоматически подставляет адрес ящика жертвы для большей правдоподобности. Масштабы кампании тоже впечатляют: с сентября скомпрометировать пытались больше 10,000 организаций.
@tomhunter
🔥5🤔3
#news У очередной малвари со скрытыми премиальными подписками Autolycos в магазине Гугла 3 миллиона скачиваний. Больше полудюжины вредоносных приложений, два из которых были доступны ещё сегодня, и их оперативно снесли после публикации в сетях. Какое совпадение.
А вот сообщили компании об этом зловредном семействе ещё в прошлом июне. Шесть приложений Гугл убрал только через полгода. И если бы исследователь не выложил инфу в открытый доступ, остававшийся вредонос так бы и висел в магазине, видимо. Между тем его активно продвигали на фейсбуке — для только одного из тех приложений насчитали 74 рекламных кампании. От чего тебе весело, «Весёлая камера» из гуглстора? От того, что меня снесли только через полмиллиона скачиваний и год после репорта!
@tomhunter
А вот сообщили компании об этом зловредном семействе ещё в прошлом июне. Шесть приложений Гугл убрал только через полгода. И если бы исследователь не выложил инфу в открытый доступ, остававшийся вредонос так бы и висел в магазине, видимо. Между тем его активно продвигали на фейсбуке — для только одного из тех приложений насчитали 74 рекламных кампании. От чего тебе весело, «Весёлая камера» из гуглстора? От того, что меня снесли только через полмиллиона скачиваний и год после репорта!
@tomhunter
😁8💩2
#news Cloudflare, сообщившая о рекордной DDoS-атаке в июне, опубликовала обновление по задействованному в ней ботнету.
Напомню, всего пять тысяч устройств, но 26 миллионов запросов в секунду и всё это по HTTPS. В общем, это мощнейший ботнет из известных, всё за счёт входящих в него серверов и виртуальных машин. В честь своих выдающихся способностей он получил название Mantis. И за один только июнь с ботнета провели 3,000 атак по клиентам компании, половина из них — интернет-провайдеры и новостные агентства.
Любопытны и данные по DDoS-атакам за второй квартал этого года по России и Украине. У них под ударом в основном провайдеры и СМИ, в России же на первом месте банковский сектор. И что интересно, на втором по числу атак — почти треть от всех зафиксированных Cloudflare — у нас оказались компании, занимающиеся криптовалютой. Какой простор для конспирологии, кхм.
@tomhunter
Напомню, всего пять тысяч устройств, но 26 миллионов запросов в секунду и всё это по HTTPS. В общем, это мощнейший ботнет из известных, всё за счёт входящих в него серверов и виртуальных машин. В честь своих выдающихся способностей он получил название Mantis. И за один только июнь с ботнета провели 3,000 атак по клиентам компании, половина из них — интернет-провайдеры и новостные агентства.
Любопытны и данные по DDoS-атакам за второй квартал этого года по России и Украине. У них под ударом в основном провайдеры и СМИ, в России же на первом месте банковский сектор. И что интересно, на втором по числу атак — почти треть от всех зафиксированных Cloudflare — у нас оказались компании, занимающиеся криптовалютой. Какой простор для конспирологии, кхм.
@tomhunter
💩335🔥4🤯3
#news Скучали по сливам от российских компаний? Сегодня в эфире вновь СДЭК. В открытом доступе три базы с заказами и клиентскими данными: 25 миллионов номеров телефонов и сведения об отправителях, база на триста тысяч заказов буквально со всей инфой по ним, информация по десятку тысяч контрагентов компании…
Судя по датам в одной из баз, дамп настолько свежий, что, может, ещё не все заказы в руки получателям-то успели попасть. После такого желающих обзавестись СДЭК ID по паспорту, полагаю, должно поубавиться. Иначе главной привилегией продвинутого юзера их сервиса станет обнаружить свои паспортные данные в очередной утечке вместе с уникальным кодом на получение посылок. Быстро, выгодно, удобно! Но есть нюанс.
@tomhunter
Судя по датам в одной из баз, дамп настолько свежий, что, может, ещё не все заказы в руки получателям-то успели попасть. После такого желающих обзавестись СДЭК ID по паспорту, полагаю, должно поубавиться. Иначе главной привилегией продвинутого юзера их сервиса станет обнаружить свои паспортные данные в очередной утечке вместе с уникальным кодом на получение посылок. Быстро, выгодно, удобно! Но есть нюанс.
@tomhunter
❤8😁5🔥2