#news Минцифры планирует запустить реестр недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры (КИИ). Реестр будет открытым. В него могут попасть взлом официальной страницы или рассылка ложных данных от имени организации.
@tomhunter
@tomhunter
😁13💩4🎉2🔥1😢1
#news В открытом доступе оказалась информация пользователей OneTwoTrip. Что говорит компания? Мы нечаянно порт открыли, а там всё равно только данные по активности части юзеров за короткий срок. Что показывает исследователь? У OneTwoTrip был незапароленный Elasticsearch-сервер с 21 миллиардом записей. Судя по всему, вся их инфраструктура, включая клиентскую базу.
На скрине примеры инфы, найденной по запросам на сервере. Можно ли назвать это «активностью пользователей»? Ну, юзеры активно делились с OneTwoTrip личными данными, этого не отнять. ФИО, номера телефонов, почты, данные паспортов, частично инфа с карт. Компания не ответила на запрос исследователя и зашевелилась только после его публикации в Твиттере. Заявляют, что утечек не было. Верим?
@tomhunter
На скрине примеры инфы, найденной по запросам на сервере. Можно ли назвать это «активностью пользователей»? Ну, юзеры активно делились с OneTwoTrip личными данными, этого не отнять. ФИО, номера телефонов, почты, данные паспортов, частично инфа с карт. Компания не ответила на запрос исследователя и зашевелилась только после его публикации в Твиттере. Заявляют, что утечек не было. Верим?
@tomhunter
😁14🤬5🤡4❤1🤯1🎉1💩1
#news Злоумышленники, стоящие за крупномасштабной фишинговой кампанией , нацеленной на корпоративных пользователей почтовых сервисов Microsoft, также нацелились на пользователей Google Workspace. Сообщается, что фишинговые атаки AiTM начались в середине июля 2022 года по тому же принципу, что и кампания социальной инженерии, направленная на перехват учетных данных пользователей Microsoft и даже на обход многофакторной аутентификации.
@tomhunter
@tomhunter
❤7
В новой статье на хабре поговорим о простых приемах предупреждения и расследования утечек информации. Вероятно, защита конфиденциальной информации предполагает использование DLP-систем, но это не решает все проблемы. Всегда будут сотрудники, стоящие выше системы безопасности, да и снимок с экрана никто не отменял. Акцент, как всегда, я сделаю на общедоступном и бесплатном программном обеспечении.
❤7
#news Бывший глава безопасности Твиттера опубликовал критику внутренней кухни медиа-гиганта. Крайне занятное чтиво. По его словам, в половине систем платформы (250 тысяч серверов) нет шифрования из-за устаревшего и непатченного софта. Компания врала на аудитах, игнорирует запросы юзеров на удаление их данных из-за техограничений, не может посчитать фейки и ботов по той же причине. Пентест отсутствует как таковой, в системах проходной двор, а среди работников затесалась агентура чужих стран. Автор также утверждает, что топ-менеджеры скрывали его отчёты от совета директоров.
Звучит довольно правдоподобно. Компания открестилась от осведомителя и назвала его недовольным и паршивым сотрудником. А речь о полулегендарном товарище, известном как Mudge. Кто победит, индусское девелоперское лобби или хакерский реликт из 90-х?
@tomhunter
Звучит довольно правдоподобно. Компания открестилась от осведомителя и назвала его недовольным и паршивым сотрудником. А речь о полулегендарном товарище, известном как Mudge. Кто победит, индусское девелоперское лобби или хакерский реликт из 90-х?
@tomhunter
🔥17😁6🤔2
#news По PyPi-репозиторию прошлась первая фишинговая атака. Юзеры получили письма с запросом пройти валидацию, иначе их пакеты будут удалены. Часть на это клюнула, перешла на подставной сайт на Google Sites, и в скомпрометированные пакеты угнанных аккаунтов запихали неизвестную малварь. В репозитории также обнаружили несколько сотен тайпсквот-версий с той же начинкой.
Атака произошла на фоне новых мер безопасности, вроде обязательной двухфакторки, которые репозитории вводят после крупных инцидентов с угоном библиотек, как было весной с ctx. Это объясняет убедительность фишинговых писем — владельцы пакетов, что-то слышавшие про закручивание гаек, вполне могли купиться.
@tomhunter
Атака произошла на фоне новых мер безопасности, вроде обязательной двухфакторки, которые репозитории вводят после крупных инцидентов с угоном библиотек, как было весной с ctx. Это объясняет убедительность фишинговых писем — владельцы пакетов, что-то слышавшие про закручивание гаек, вполне могли купиться.
@tomhunter
🔥7😁3
#news Неизвестные злоумышленники проникли в системы LastPass со скомпрометированного аккаунта разработчика и стянули их исходники и техдокументацию. Последние пару недель компания в авральном порядке разбиралась с утечкой, не спеша выходить на связь с пронюхавшими о ней журналистами.
Вчера LastPass подтвердила взлом и заявила, что данные пользователей и хранилища с паролями никак не затронуты. Подробности атаки не раскрывают. Но сообщений о скомпрометированных мастер-паролях пока действительно не было. Так что 33 миллиона юзеров и 100 тысяч бизнесов, по заявлениям компании пользующихся их менеджером паролей, могут выдыхать.
@tomhunter
Вчера LastPass подтвердила взлом и заявила, что данные пользователей и хранилища с паролями никак не затронуты. Подробности атаки не раскрывают. Но сообщений о скомпрометированных мастер-паролях пока действительно не было. Так что 33 миллиона юзеров и 100 тысяч бизнесов, по заявлениям компании пользующихся их менеджером паролей, могут выдыхать.
@tomhunter
🔥10🤔1
#news На Def Con анонсировали кабель O. MG Elite, внешне похожий на обычный Lightning или USB-C, который может взломать устройства на разных ОС. Он может регистрировать нажатия клавиш, выполнять атаки и даже незаметно передавать данные с устройств по собственной Wi-Fi сети.
@tomhunter
@tomhunter
🎉10🤔4🔥3
#news В открытом доступе обнаружилась база пользователей онлайн-кинотеатра Start. Из ключевого ФИО, почты, айпишники и хешированные пароли почти на 44 миллиона пользователей из нескольких стран. Дамп не старше года, вероятно, из MongoDB. Видимо, очередной нечаянно открытый порт и незапароленный сервер.
Уже сбился со счёту, сколько раз за последние месяцы была инфа о всевозможных слитых базах наших компаний. С азами инфобезопасности не справляются, поблажки к закону о сливе персональных данных продавили… Осталось разве что дружно ополчиться на независимых спецов, нагло раскачивающих ИБ-лодку.
@tomhunter
Уже сбился со счёту, сколько раз за последние месяцы была инфа о всевозможных слитых базах наших компаний. С азами инфобезопасности не справляются, поблажки к закону о сливе персональных данных продавили… Осталось разве что дружно ополчиться на независимых спецов, нагло раскачивающих ИБ-лодку.
@tomhunter
🔥10😁5
#news Занятная новинка из мира скама на ниве play-to-earn криптоигр. Злоумышленники скопировали сайт проекта Alchemic World с их ресурсами и продвигали под видом собственного. Купившиеся на предложение протестировать игру за эфир получали по коду с сайта малварь для кражи криптокошельков, Racoon Stealer или пару аналогов.
Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.
@tomhunter
Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.
@tomhunter
🔥10😁4
#news Шутки про ни дня без утечек ещё не скрипят на зубах? В открытом доступе найдены базы данных пользователей CDEK.Shopping и «СДЭК.Маркет». По сравнению с их предыдущими сливами всё довольно скромно: суммарно 120 тысяч строк с ФИО, логинами, почтами, телефонами и хешированными паролями. Базы свежие: в первой обновления до середины августа, во второй — до марта.
Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «слей все свои базы до принятия закона и живи спокойно».
@tomhunter
Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «слей все свои базы до принятия закона и живи спокойно».
@tomhunter
🔥9😁5🤔1
#news Сетевая инфраструктура Черногории понемногу сыпется под кибератаками. Бьют по электросетям и водоснабжению, транспорту и госпорталам. Несколько электростанций перешли на ручной режим работы, а госсети отключили, чтобы сдержать атаки. Дошло до того, что посольство штатов рекомендует своим гражданам ограничить поездки и ожидать проблем на границе и в аэропортах.
В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.
@tomhunter
В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.
@tomhunter
🤔13🤡9🔥2❤1🤬1
#news Нет, ну вы только вчитайтесь... Федеральная торговая комиссия США (FTC) объявила сегодня, что она подала иск против базирующегося в Айдахо брокера данных о местоположении Kochava за продажу конфиденциальных и точных данных геолокации (в метрах), собранных с сотен миллионов мобильных устройств.
Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...
@tomhunter
Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...
@tomhunter
🔥11😁1
#news Думаете, что тема ограничилась одной Kochava? Фигушки... Неизвестные хакеры взломали системы коммуникационных сервисов компании Twilio. Результаты своего взлома были моментально использованы для атак на пользователей мессенджера Signal. Взломав системы Twilio, хакеры могли читать текстовые сообщения жертв. Это потенциально дало хакерам возможность завладеть любыми учетными записями жертв, которые были привязаны к их номеру телефона в сервисах, использующих Twilio.
Twilio предоставляет услуги проверки текста для приложения для обмена зашифрованными сообщениями Signal. Когда пользователь регистрирует свой номер телефона в Signal, Twilio отправляет ему SMS-сообщение с кодом подтверждения, который он затем вводит в Signal. Signal заявила, что хакеры атаковали около 1900 ее пользователей. Это означает, что для этих пользователей хакеры могли зарегистрировать их номера на своем собственном устройстве и, по сути, выдать себя за них, или перехватить код подтверждения SMS, который Signal использует для регистрации пользователей. Занавес...
@tomhunter
Twilio предоставляет услуги проверки текста для приложения для обмена зашифрованными сообщениями Signal. Когда пользователь регистрирует свой номер телефона в Signal, Twilio отправляет ему SMS-сообщение с кодом подтверждения, который он затем вводит в Signal. Signal заявила, что хакеры атаковали около 1900 ее пользователей. Это означает, что для этих пользователей хакеры могли зарегистрировать их номера на своем собственном устройстве и, по сути, выдать себя за них, или перехватить код подтверждения SMS, который Signal использует для регистрации пользователей. Занавес...
@tomhunter
❤9😁7🤯3
#news Вместе с несколькими популярными настольными приложениями вроде Google/Yandex-переводчика и MP3-загрузчика распространяют криптомайнер. И что занятно, он скачивается только через месяц, чтобы не быть замеченным.
На той же Софтопедии у одного вредоноса больше 100к скачиваний, он же в первых результатах выдачи. Юзер получает легитимный софт, который в течение месяца подтягивает нагрузку, чистит логи и правит файрвол. Наконец, вредонос отправляет запросы на C2-сервер по своему функционалу. Интересно, прописали ли в нём выбор, что майнить. А то пока терпеливый криптошахтёр ждёт отправки, ещё не добытые нечестным путём цифровые активы десять раз обвалиться успеют.
@tomhunter
На той же Софтопедии у одного вредоноса больше 100к скачиваний, он же в первых результатах выдачи. Юзер получает легитимный софт, который в течение месяца подтягивает нагрузку, чистит логи и правит файрвол. Наконец, вредонос отправляет запросы на C2-сервер по своему функционалу. Интересно, прописали ли в нём выбор, что майнить. А то пока терпеливый криптошахтёр ждёт отправки, ещё не добытые нечестным путём цифровые активы десять раз обвалиться успеют.
@tomhunter
😁11🔥3
Август 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр!
❤8
#news У Брайана Кребса вышел обзорный пост по следам фишинговой кампании 0ktapus, так же известной в узких кругах наших читателей как «Good day sir, please login». За летние месяцы целью кампании стали несколько сотен организаций и сервисов, и многие их работники слили свои личные данные в «продвинутой» фишинговой атаке. Состоявшей из смски с мимикрирующей под компанию ссылкой.
Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».
@tomhunter
Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».
@tomhunter
🔥9❤3
#news Исследователи насчитали почти две тысячи яблочных приложений с захардкоженными AWS-данными. Три четверти из них с валидными токенами, больше восьмисот — с доступом к базам на миллионы записей.
А какие среди них занятные примеры! B2B-компания, обслуживающая 15,000 малых и средних бизнесов. SDK нескольких банковских приложений с уязвимыми облаками с инфой на клиентов вплоть до биометрии. Платформа-тотализатор, которой пользуются 16 приложений для ставок со всей их инфраструктурой и облачными сервисами доступными с админскими правами. В общем, потенциальных кандидатов на горячие инфобез-новости хоть отбавляй.
@tomhunter
А какие среди них занятные примеры! B2B-компания, обслуживающая 15,000 малых и средних бизнесов. SDK нескольких банковских приложений с уязвимыми облаками с инфой на клиентов вплоть до биометрии. Платформа-тотализатор, которой пользуются 16 приложений для ставок со всей их инфраструктурой и облачными сервисами доступными с админскими правами. В общем, потенциальных кандидатов на горячие инфобез-новости хоть отбавляй.
@tomhunter
🔥11
#news Фишинговые кампании, которые мы заслужили… Тысячи пользователей Инстаграма получили письма с грамматическими ошибками и предложением обзавестись галочкой к своему профилю. Достаточно подтвердить аккаунт, слив логин, почту, телефон и пароль.
Домен под верификационный, знакомые логотипы, ограничения по времени в письме напополам с чувством гордости и достижения — всё для заманухи желающих поднять свой сетевой соцстатус инстадив. Злоумышленники не первый раз пытаются сыграть на тщеславии твиттерно-инстаграмных пользователей — такие кампании стабильно идут каждый год. Шутка ли, заветная голубая галочка как у лучших людей платформы.
@tomhunter
Домен под верификационный, знакомые логотипы, ограничения по времени в письме напополам с чувством гордости и достижения — всё для заманухи желающих поднять свой сетевой соцстатус инстадив. Злоумышленники не первый раз пытаются сыграть на тщеславии твиттерно-инстаграмных пользователей — такие кампании стабильно идут каждый год. Шутка ли, заветная голубая галочка как у лучших людей платформы.
@tomhunter
😁11❤3
#news Новости о приключениях Телеграма в Индии. Там суд обязал мессенджер раскрыть телефоны и IP-адреса пользователей, нарушающих авторские права. Учительнице английского не понравились каналы, продающие её пособия и лекции по дешёвке. Телеграм давил на то, что это нарушит законы Сингапура, где базируются сервера мессенджера, но суд счёл это неубедительным и дал две недели на исполнение требований.
Компания пока молчит, но вот станет ли она бодаться с индусским лобби при потенциальном миллиарде пользователей? Прецедент интересный: в начале лета были слухи про слив данных МВД Германии, а теперь пробуют на прочность копирайтом. Как бы горделивые заходы про «0 байтов переданных пользовательских данных» скоро не пришлось отовсюду уже и официально вымарывать.
@tomhunter
Компания пока молчит, но вот станет ли она бодаться с индусским лобби при потенциальном миллиарде пользователей? Прецедент интересный: в начале лета были слухи про слив данных МВД Германии, а теперь пробуют на прочность копирайтом. Как бы горделивые заходы про «0 байтов переданных пользовательских данных» скоро не пришлось отовсюду уже и официально вымарывать.
@tomhunter
❤7😁3🤯2🤔1
#news Подвергшаяся в последние недели масштабной кибератаке Черногория на самом высоком уровне утверждала, что за ней стоят вездесущие русские хакеры, и это вопрос международной безопасности. А теперь говорят, что атака — всего лишь дело рук рансомварь-группировки и их «особого вируса».
Ответственность за атаку взяли на себя хакеры из шайки Cuba, опубликовав в свободном доступе стянутые у их правительства финдокументы, налоговые декларации, переписку с банками и прочее вплоть до исходников. Злоумышленники якобы требуют от Черногории $10 миллионов выкупа. Что ж, сегодня без геополитических скандалов, осторожнее с заявлениями в следующий раз.
@tomhunter
Ответственность за атаку взяли на себя хакеры из шайки Cuba, опубликовав в свободном доступе стянутые у их правительства финдокументы, налоговые декларации, переписку с банками и прочее вплоть до исходников. Злоумышленники якобы требуют от Черногории $10 миллионов выкупа. Что ж, сегодня без геополитических скандалов, осторожнее с заявлениями в следующий раз.
@tomhunter
😁14🔥6