#news После своего успеха с перехватом управления .mobi безопасники из watchTowr Labs вошли во вкус. Как выяснилось, выкуп заброшенных доменов можно превратить в ещё одно занимательное исследование. На этот раз они набрали веб-шеллов, де-обфусцировали код и выкупили пачку связанных с ними доменов.
На 40+ доменов по ~20 баксов за каждый пришлось более 4000 скомпрометированных систем, включая государственные. В сущности это может позволить злоумышленникам использовать чужие бэкдоры для доступа к уязвимой инфраструктуре. И получить свободный доступ к тысячам когда-то взломанных систем. Иными словами, с устареванием интернета пустыри истёкших доменов рискуют превратиться во всё более серьёзную проблему. Вчера это был WHOIS-сервер от глобального TLD, сегодня — домены в бэкдорах, завтра окажется заброшенная инфраструктура для обновления популярного софта. И тогда мало не покажется.
@tomhunter
На 40+ доменов по ~20 баксов за каждый пришлось более 4000 скомпрометированных систем, включая государственные. В сущности это может позволить злоумышленникам использовать чужие бэкдоры для доступа к уязвимой инфраструктуре. И получить свободный доступ к тысячам когда-то взломанных систем. Иными словами, с устареванием интернета пустыри истёкших доменов рискуют превратиться во всё более серьёзную проблему. Вчера это был WHOIS-сервер от глобального TLD, сегодня — домены в бэкдорах, завтра окажется заброшенная инфраструктура для обновления популярного софта. И тогда мало не покажется.
@tomhunter
🔥6😁5❤3🤡1
#news Взлом Gravy Analytics ещё не раз засветится в новостях, а пока в утечке интересный инсайд. А именно первое публичное подтверждение, что значительную часть данных, которые у брокеров идут на продажу, собирают не через сами приложения. А через рекламную экосистему.
От мобильных игр и VPN до фитнес-трекеров и Tinder — тысячи приложений сливают геоданные брокерам через рекламу. При этом ни юзеры, ни разработчики об этом не знают: последние не внедряли код для сбора данных и не в курсе, что их собирают через их приложения. Также многие упоминают, что сторонняя реклама у них идёт в счёт поддержки бесплатных версий. Так что в сущности за использование «бесплатных» приложений приходится расплачиваться своей приватностью. И финансировать многомиллионную индустрию брокеров данных, превративших рекламу в инструмент массовой слежки. Поискать любимое приложение на службе Gravy Analytics можно здесь.
@tomhunter
От мобильных игр и VPN до фитнес-трекеров и Tinder — тысячи приложений сливают геоданные брокерам через рекламу. При этом ни юзеры, ни разработчики об этом не знают: последние не внедряли код для сбора данных и не в курсе, что их собирают через их приложения. Также многие упоминают, что сторонняя реклама у них идёт в счёт поддержки бесплатных версий. Так что в сущности за использование «бесплатных» приложений приходится расплачиваться своей приватностью. И финансировать многомиллионную индустрию брокеров данных, превративших рекламу в инструмент массовой слежки. Поискать любимое приложение на службе Gravy Analytics можно здесь.
@tomhunter
🔥11😁3🤯2❤1
#news Пока из Штатов доносятся вести об оттепели в деле интернет-цензуры на известных экстремистских платформах, консервативный аналитический центр The Heritage Foundation задумал деанонимизацию и преследование редакторов Википедии. Причина проста: политические ветра в США меняются, а вот любовь неоконов к Израилю — нет.
Как можно догадаться, охоту объявили на авторов антисемитских правок. Организация хочет использовать распознавание лиц, утёкшие базы данных и социнженерию. Для этого на Вики создадут подставные учётки под HUMINT и накидают искомым лицам ссылок для идентификации. Проще говоря, анонимных антисемитов ждёт фишинг, дальнейший деанон и обвинения в разжигании ненависти в придачу. Во главе же проекта бывший агент ФБР. Когда мечтал защищать родину, а вместо этого деанонишь авторов правок на Вики и прочих доморощенных экстремистов из американской университетской среды. Небольшая презентация центра с методологией под задачу здесь (PDF).
@tomhunter
Как можно догадаться, охоту объявили на авторов антисемитских правок. Организация хочет использовать распознавание лиц, утёкшие базы данных и социнженерию. Для этого на Вики создадут подставные учётки под HUMINT и накидают искомым лицам ссылок для идентификации. Проще говоря, анонимных антисемитов ждёт фишинг, дальнейший деанон и обвинения в разжигании ненависти в придачу. Во главе же проекта бывший агент ФБР. Когда мечтал защищать родину, а вместо этого деанонишь авторов правок на Вики и прочих доморощенных экстремистов из американской университетской среды. Небольшая презентация центра с методологией под задачу здесь (PDF).
@tomhunter
😁5🤡5👍3😱1
#news Возвращение к серым рабочим будням разбавляет Торвальдс в своей привычной экстравагантной манере. В его еженедельный пост об обновлении ядра закралась пасхалка: возможность получить собранную Линусом гитарную педаль. Что? Да.
Торвальдс сообщил, что вместо сборки Lego на праздниках увлёкся пайкой педалей. А чтобы проверить, кто вообще читает его обновления, он предложил мейнтейнерам ядра отправить ему письмо с темой «ХОЧУ ГИТАРНУЮ ПЕДАЛЬ». И случайному счастливчику достанется неординарный подарок. При этом Торвальдс за качество пайки не ручается, так что рекомендует держать свои ожидания низкими. Увы, с учётом попадания рассылки в новости чистота эксперимента явно нарушена. Но возможность обзавестись занятным артефактом компенсирует резкий наплыв любопытствующих в рассылку. Chiptune на примочке от Линуса — есть у 2025-го в запасе и хорошие новости.
@tomhunter
Торвальдс сообщил, что вместо сборки Lego на праздниках увлёкся пайкой педалей. А чтобы проверить, кто вообще читает его обновления, он предложил мейнтейнерам ядра отправить ему письмо с темой «ХОЧУ ГИТАРНУЮ ПЕДАЛЬ». И случайному счастливчику достанется неординарный подарок. При этом Торвальдс за качество пайки не ручается, так что рекомендует держать свои ожидания низкими. Увы, с учётом попадания рассылки в новости чистота эксперимента явно нарушена. Но возможность обзавестись занятным артефактом компенсирует резкий наплыв любопытствующих в рассылку. Chiptune на примочке от Линуса — есть у 2025-го в запасе и хорошие новости.
@tomhunter
😁12❤1
#cve Декабрь ушёл в прошлое, а уязвимости остались. Особенно на непатченных системах. Так что давайте подводить итоги последнего месяца года ключевыми уязвимостями, оставшимися нам на память о 2024-м.
Десяточкой по CVSS и ещё полудюжиной критических уязвимостей отметились продукты Apache. Критические CVE также были справлены в Sophos Firewall, включая две под RCE. Патчевый вторник принёс исправление нулевого дня на повышение привилегий в драйвере Windows. Серьёзные уязвимости также пропатчили в Mitel MiCollab, Adobe ColdFusion, софте для удалённого доступа от BeyondTrust, ОС от OpenWRT и PAN-OS. Об этом и других интересных CVE декабря читайте на Хабре!
@tomhunter
Десяточкой по CVSS и ещё полудюжиной критических уязвимостей отметились продукты Apache. Критические CVE также были справлены в Sophos Firewall, включая две под RCE. Патчевый вторник принёс исправление нулевого дня на повышение привилегий в драйвере Windows. Серьёзные уязвимости также пропатчили в Mitel MiCollab, Adobe ColdFusion, софте для удалённого доступа от BeyondTrust, ОС от OpenWRT и PAN-OS. Об этом и других интересных CVE декабря читайте на Хабре!
@tomhunter
❤4👍1
#news Троим гражданам России предъявлены обвинения в работе криптомиксеров Blender[.]io и Sinbad[.]io. Двоих, Романа Остапенко и Александра Олейника, арестовали ещё 1 декабря. Один, Антон Тарасов, остаётся на свободе.
Blender и Sinbad попали под санкции и отжим инфраструктуры в мае 2022-го и ноябре 2023-го, соответственно. Sinbad подняли после перехвата первого. Через эти миксеры отмывали крипту от рансомварь-группировок и с наркомаркетов, включая Гидру, но настоящие проблемы у них начались, когда на них зашли криптостахановцы из КНДР — на этом моменте судьба любого миксера предрешена. Где приняли предполагаемых операторов и что там по экстрадиции, не сообщается. Но оцените иронию. Ты оператор киберпреступного сервиса с лёгким налётом порядочности. По фамилии Остапенко. «Но я, знаете, не финансист… Я не только трудился. Я даже пострадал».
@tomhunter
Blender и Sinbad попали под санкции и отжим инфраструктуры в мае 2022-го и ноябре 2023-го, соответственно. Sinbad подняли после перехвата первого. Через эти миксеры отмывали крипту от рансомварь-группировок и с наркомаркетов, включая Гидру, но настоящие проблемы у них начались, когда на них зашли криптостахановцы из КНДР — на этом моменте судьба любого миксера предрешена. Где приняли предполагаемых операторов и что там по экстрадиции, не сообщается. Но оцените иронию. Ты оператор киберпреступного сервиса с лёгким налётом порядочности. По фамилии Остапенко. «Но я, знаете, не финансист… Я не только трудился. Я даже пострадал».
@tomhunter
😁9👍2👎1
#news В Великобритании предложили законодательно запретить рансомварь-выплаты для госсектора и критической инфраструктуры. В теории это должно сделать организации непривлекательными целями для финансово мотивированных группировок.
Кроме того, обязательными должны стать уведомления государству об атаках. А также, самое главное, о планируемых выплатах выкупов. Затем чиновники проведут оценку и будут иметь возможность заблокировать любые выплаты — например, если группировка под санкциями или работает на подсанкционную страну. В своём безграничном милосердии британские чиновники пока размышляют, должны ли под это попасть весь бизнес и физлица, или стоит ввести пороги, а физлиц из-под отчётности вывести. Но в перспективе лучшие традиции законодательства Великобритании могут породить и что-то в духе «Oi mate, do you have that ransomware payment licence?» Бизнес от такого будет в полном восторге.
@tomhunter
Кроме того, обязательными должны стать уведомления государству об атаках. А также, самое главное, о планируемых выплатах выкупов. Затем чиновники проведут оценку и будут иметь возможность заблокировать любые выплаты — например, если группировка под санкциями или работает на подсанкционную страну. В своём безграничном милосердии британские чиновники пока размышляют, должны ли под это попасть весь бизнес и физлица, или стоит ввести пороги, а физлиц из-под отчётности вывести. Но в перспективе лучшие традиции законодательства Великобритании могут породить и что-то в духе «Oi mate, do you have that ransomware payment licence?» Бизнес от такого будет в полном восторге.
@tomhunter
😁11🤡7❤1
#news К новым рекордам 2025-го: через киберпреступный хаб HuiOne суммарно прошли $24 миллиарда. Таким образом, платформа превзошла покойную Гидру и стала самым масштабным маркетплейсом из существовавших.
Несмотря на вызывающее определённые ассоциации название, HuiOne отношения к СНГ не имеет. Он связан с Юго-Восточной Азией, а заправляет им, как считается, камбоджийский правящий клан. HuiOne служит хабом для отмывания средств и эскроу-услуг, на него также завязаны многочисленные мошеннические схемы. Включая те, в которых люди тысячами сидят в рабстве и участвуют в криптовалютных скамах. В последнее время Huione обзавелся собственным мессенджером, биржей и стейблкоином. Платформа пока ещё завязана на Telegram и Tether, но если она уйдёт на собственную инфраструктуру, положить её будет порядком сложнее. И регион в итоге станет центром ещё одной колоритной дистопии в придачу к обеим Кореям.
@tomhunter
Несмотря на вызывающее определённые ассоциации название, HuiOne отношения к СНГ не имеет. Он связан с Юго-Восточной Азией, а заправляет им, как считается, камбоджийский правящий клан. HuiOne служит хабом для отмывания средств и эскроу-услуг, на него также завязаны многочисленные мошеннические схемы. Включая те, в которых люди тысячами сидят в рабстве и участвуют в криптовалютных скамах. В последнее время Huione обзавелся собственным мессенджером, биржей и стейблкоином. Платформа пока ещё завязана на Telegram и Tether, но если она уйдёт на собственную инфраструктуру, положить её будет порядком сложнее. И регион в итоге станет центром ещё одной колоритной дистопии в придачу к обеим Кореям.
@tomhunter
😁8🔥3👍1🤡1
#news Очередной пример засвета военными конфиденциальных данных через Strava, на этот раз из Франции. Прямиком с базы ядерных подводных лодок. За последние 10 лет по её территории бегали 450 юзеров приложения. Многие с реальными именами и публичными профилями.
По логам нескольких бегунов в приложении видно, что в определённый день они пропали в базы на пару месяцев. А условный Поль даже оставил по возвращению комментарий, указывающий на причину отсутствия. В итоге логи банально выдают даты, когда лодки уходят в патруль. Электронику и телефоны на базе сдают на входе, но умные часы, очевидно, через кордон просочились. Впрочем, с учётом многочисленных скандалов со Strava, на секретных объектах они теперь явно отправятся в утиль. А Поля и компанию ждут дополнительные часы караула и курсов по опсеку.
@tomhunter
По логам нескольких бегунов в приложении видно, что в определённый день они пропали в базы на пару месяцев. А условный Поль даже оставил по возвращению комментарий, указывающий на причину отсутствия. В итоге логи банально выдают даты, когда лодки уходят в патруль. Электронику и телефоны на базе сдают на входе, но умные часы, очевидно, через кордон просочились. Впрочем, с учётом многочисленных скандалов со Strava, на секретных объектах они теперь явно отправятся в утиль. А Поля и компанию ждут дополнительные часы караула и курсов по опсеку.
@tomhunter
🔥10😁8👍1
#news Microsoft начинает год с продуктивного патчевого вторника: в продуктах компании исправлены 161 уязвимость. Крупнейшее месячное исправление CVE как минимум с 2017-го года.
Из этих уязвимостей 11 критические и 149 — с высоким рейтингом. Среди них восемь нулевых дней, три из которых активно эксплуатируют в сетевых дебрях. Все три в гипервизоре Hyper-V. Как обычно, подробностей об эксплойте нет, известно только, что они на повышение привилегий до System. Ряд уязвимостей под RCE исправлены в Excel и Access. Что интересно, несколько багов среди пропатченных отловили с помощью Unpatched[.]ai — платформы для поиска уязвимостей с помощью ИИ-моделей. Так что пока юзеры не очень удачно используют под это ChatGPT, успешные репорты из контролируемой среды всё чаще просачиваются в новости. Сегодня ИИ ассистирует нам, через несколько лет ассистировать ему будем уже мы. Если повезёт.
@tomhunter
Из этих уязвимостей 11 критические и 149 — с высоким рейтингом. Среди них восемь нулевых дней, три из которых активно эксплуатируют в сетевых дебрях. Все три в гипервизоре Hyper-V. Как обычно, подробностей об эксплойте нет, известно только, что они на повышение привилегий до System. Ряд уязвимостей под RCE исправлены в Excel и Access. Что интересно, несколько багов среди пропатченных отловили с помощью Unpatched[.]ai — платформы для поиска уязвимостей с помощью ИИ-моделей. Так что пока юзеры не очень удачно используют под это ChatGPT, успешные репорты из контролируемой среды всё чаще просачиваются в новости. Сегодня ИИ ассистирует нам, через несколько лет ассистировать ему будем уже мы. Если повезёт.
@tomhunter
👍5🔥4😁3
#news Microsoft заявила, что поддержка офисных приложений под Windows 10 закончится вместе с поддержкой самой системы 14 октября. Если хотите продолжать ими пользоваться официально — переходите на пресловутую 11. В отдельном, менее заметном документе формулировки более щадящие: приложения продолжат работу, но могут возникнуть проблемы с производительностью и прочим.
Громкие заявления Microsoft явно вызваны неспешностью юзеров в переходе на свежую систему: до первого этапа отправки десятки в утиль меньше года, а на ней всё ещё крутятся ~63% систем в мире. На долю 11 приходятся 34%. Клиенты не спешат обновляться ввиду требования поддержки TPM 2.0. На днях Microsoft даже объявила 2025-й «Годом обновления до Windows 11», но пока у него есть все шансы стать годом массовой подписки на расширенные обновления безопасности. Отдельный респект 0,23% убеждённых юзеров WinXP — к вам вопросов нет.
@tomhunter
Громкие заявления Microsoft явно вызваны неспешностью юзеров в переходе на свежую систему: до первого этапа отправки десятки в утиль меньше года, а на ней всё ещё крутятся ~63% систем в мире. На долю 11 приходятся 34%. Клиенты не спешат обновляться ввиду требования поддержки TPM 2.0. На днях Microsoft даже объявила 2025-й «Годом обновления до Windows 11», но пока у него есть все шансы стать годом массовой подписки на расширенные обновления безопасности. Отдельный респект 0,23% убеждённых юзеров WinXP — к вам вопросов нет.
@tomhunter
😁13👍4🤡2
#news У новой хакерской группировки стандартный заход на сцену: злоумышленники опубликовали данные 15 тысяч устройств FortiGate. Конфигурационные файлы, айпишники и данные от VPN (часть паролей простым текстом), частный бизнес и госсектор. Архив на 1,6 GB с сортировкой по странам и айпи. Всё это, как водится, чтобы набить репутацию.
Самое интересное, утечка связана с нулевым днём из 2022-го. Данные собрали в октябре того года, а спустя 2,5 года у них релиз в публичный доступ. Так что это в сущности не крупная утечка 2025-го, а проверка на вшивость для админов. 2,5 года на то, чтобы сменить правила файрволов и данные доступа после публичного раскрытия уязвимости и утечки конфигов. Кто не успел, тот проиграл. И судя по отдельным случаям реагирования на инцидент, где данные из утечки бьются с текущими конфигами систем клиента, проверку пройдут далеко не все.
@tomhunter
Самое интересное, утечка связана с нулевым днём из 2022-го. Данные собрали в октябре того года, а спустя 2,5 года у них релиз в публичный доступ. Так что это в сущности не крупная утечка 2025-го, а проверка на вшивость для админов. 2,5 года на то, чтобы сменить правила файрволов и данные доступа после публичного раскрытия уязвимости и утечки конфигов. Кто не успел, тот проиграл. И судя по отдельным случаям реагирования на инцидент, где данные из утечки бьются с текущими конфигами систем клиента, проверку пройдут далеко не все.
@tomhunter
😁9👍4
#news Вновь всплывшая в США в последние дни интрига: запретят ли наконец власти TikTok. И на фоне политических разборок во многом незамеченным остаётся главный бенефициар блокировки: Марк Цукерберг и его техгигант, прямым конкурентом которого TikTok и является.
Цукерберг уже много лет добивается запрета платформы. Флюгер его политических предпочтений активно вращается, но продавливание китайской угрозы демократическому интернету неизменно. Так, в 2024-м экстремисты из Meta потратили рекордные суммы на лоббирование по темам нацбезопасности и опасности TikTok для детей. Ценности у китайского интернета, конечно, другие, но это не мешает 6 из 10 крупнейших интернет-компаний быть китайскими. Что на пользу Meta и её платформам, само собой, не идёт. В общем, это новость из рубрики «Их нравы». Без внезапно деградирующих серверов и с работой против конкурентов совсем иного уровня. Но суть та же.
@tomhunter
Цукерберг уже много лет добивается запрета платформы. Флюгер его политических предпочтений активно вращается, но продавливание китайской угрозы демократическому интернету неизменно. Так, в 2024-м экстремисты из Meta потратили рекордные суммы на лоббирование по темам нацбезопасности и опасности TikTok для детей. Ценности у китайского интернета, конечно, другие, но это не мешает 6 из 10 крупнейших интернет-компаний быть китайскими. Что на пользу Meta и её платформам, само собой, не идёт. В общем, это новость из рубрики «Их нравы». Без внезапно деградирующих серверов и с работой против конкурентов совсем иного уровня. Но суть та же.
@tomhunter
😁5💯5🔥4❤1😱1🤡1
#news В сетевых дебрях распространяется новый фишинговый тулкит, получивший название Sneaky2FA. RaaS-операция активна минимум с октября, тулкит заточен в основном под кражу данных доступа от Microsoft 365. Под его работу подняты боты в Телеграме.
Из интересного, подставные страницы для логина редиректят подозрительные айпишники на вики-статью Microsoft — на неё уходят айпи с облаков, VPN, прокси и из дата-центров. Кроме того, в исходниках тулкита отсылки к коду нашумевшей W3LL Panel и схожая система лицензирования с деплоем клиентами собственной инфраструктуры из обфусцированного кода и её стуком по серверу для проверки подписки. Так что, скорее всего, новинка основана на коде уже известного тулкита. Судя по ранее светившимся доменам, часть злоумышленников мигрировала на новый сервис с тех же Greatness и Evilginx2. Подробнее о функциональности Sneaky2FA в отчёте.
@tomhunter
Из интересного, подставные страницы для логина редиректят подозрительные айпишники на вики-статью Microsoft — на неё уходят айпи с облаков, VPN, прокси и из дата-центров. Кроме того, в исходниках тулкита отсылки к коду нашумевшей W3LL Panel и схожая система лицензирования с деплоем клиентами собственной инфраструктуры из обфусцированного кода и её стуком по серверу для проверки подписки. Так что, скорее всего, новинка основана на коде уже известного тулкита. Судя по ранее светившимся доменам, часть злоумышленников мигрировала на новый сервис с тех же Greatness и Evilginx2. Подробнее о функциональности Sneaky2FA в отчёте.
@tomhunter
❤4👍3
#news General Motors достигла соглашения по иску о сборе личных данных водителей и их передаче сторонним компаниям. GM обвиняют в том, что автопроизводитель собирал геолокацию с точностью до сантиметров каждые 3 секунды и всевозможные данные 9 миллионов клиентов. И с 2016-го они шли на продажу.
При этом многие автовладельцы об этом даже не знали — как обычно, договоры были составлены так, что попыткой продраться через канцелярит никто не заморачивался. По итогам разбирательств GM обязана ввести возможность отказа от слежки, сделать политику по сбору данных прозрачной и понятной и прекратить их продажу брокерам. Но только на пять лет. Видимо, в 2030-м эту статью доходов можно будет с чистой совестью вернуть в бюджет. А мораль этих нескончаемых исков против автоконцернов проста: водитель, помни, бортовой компьютер и прочая электроника в авто тебе не друг! Он тебе как брат. Но большой.
@tomhunter
При этом многие автовладельцы об этом даже не знали — как обычно, договоры были составлены так, что попыткой продраться через канцелярит никто не заморачивался. По итогам разбирательств GM обязана ввести возможность отказа от слежки, сделать политику по сбору данных прозрачной и понятной и прекратить их продажу брокерам. Но только на пять лет. Видимо, в 2030-м эту статью доходов можно будет с чистой совестью вернуть в бюджет. А мораль этих нескончаемых исков против автоконцернов проста: водитель, помни, бортовой компьютер и прочая электроника в авто тебе не друг! Он тебе как брат. Но большой.
@tomhunter
💯10😁4❤1👍1
#news Директор контрразведки и безопасности США между делом сообщил, что около 100 стран приобрели шпионское ПО для взлома телефонов и активно его используют. Цифра интересная. И довольно неутешительная.
Число стран, вкладывающихся в спайварь, стабильно растёт. Выгодно, надёжно, работает из коробки с вежливыми израильскими партнёрами, обслуживающими развёрнутую инфраструктуру 24/7. Так что бум рынка объяснить легко: собственными силами разработка спайвари обходится гораздо затратнее, национальное шпионское ПО для повседневных нужд — удел Китая и прочих гегемонов. Что ещё тревожнее, к спайвари присматриваются криминальные группировки и прочие рансомварщики, и отговорки пиар-отделов разработчиков здесь явно не работают — кто заплатил, тот и заказывает взломы. Так что в ближайшие годы спайварь в арсенале государств рискует стать такой же нормой, как и софт для «цифровой экспертизы». Ползучий цифровой концлагерь как он есть.
@tomhunter
Число стран, вкладывающихся в спайварь, стабильно растёт. Выгодно, надёжно, работает из коробки с вежливыми израильскими партнёрами, обслуживающими развёрнутую инфраструктуру 24/7. Так что бум рынка объяснить легко: собственными силами разработка спайвари обходится гораздо затратнее, национальное шпионское ПО для повседневных нужд — удел Китая и прочих гегемонов. Что ещё тревожнее, к спайвари присматриваются криминальные группировки и прочие рансомварщики, и отговорки пиар-отделов разработчиков здесь явно не работают — кто заплатил, тот и заказывает взломы. Так что в ближайшие годы спайварь в арсенале государств рискует стать такой же нормой, как и софт для «цифровой экспертизы». Ползучий цифровой концлагерь как он есть.
@tomhunter
🤬8🔥2💯2❤1👍1
#news Злоумышленники из «Silent Crow» заявили о взломе Ростелекома. Как они утверждают, выкачаны базы с двух сайтов компании. Ранее от них же были заявления о взломе Росреестра. Снова громкий взлом, снова же, видимо, и сомнительный выхлоп помимо сенсационных заголовков. Но тем не менее.
В сэмпле относительно свежие таблицы от сентября с некоторыми данными пользователей, 154 тысячи уникальных почт и 101 тысяча телефонов. Между тем Ростелеком подтвердил взлом и рекомендует юзерам сбросить пароли и включить двухфакторку. Как обычно, предварительно ничего особо чувствительного на пользователей в утечке нет, произошла она, вероятно, у подрядчика, масштабы проблемы устанавливают. Но оперативность реакции на взлом немного настораживает. У нас здесь так не принято. Так что меняйте явки и пароли, лишним явно не будет.
@tomhunter
В сэмпле относительно свежие таблицы от сентября с некоторыми данными пользователей, 154 тысячи уникальных почт и 101 тысяча телефонов. Между тем Ростелеком подтвердил взлом и рекомендует юзерам сбросить пароли и включить двухфакторку. Как обычно, предварительно ничего особо чувствительного на пользователей в утечке нет, произошла она, вероятно, у подрядчика, масштабы проблемы устанавливают. Но оперативность реакции на взлом немного настораживает. У нас здесь так не принято. Так что меняйте явки и пароли, лишним явно не будет.
@tomhunter
😁7👍2🔥1😱1🎉1
#news Запитанный от ИИ-моделей софт победным маршем шагает по планете. Теперь он пришёл за осинтерами-геолокаторами. GeoSpy за секунды определяет геолокацию, так что наши красноглазые мастера GeoGuesser рискуют остаться не у дел.
Инструмент натаскан на миллионах фото и определяет локацию по почве, архитектуре, расстоянию между зданиями, растительности и иным параметрам. Вплоть до «На полицейской машине SFPD, значит, мы в Сан-Франциско». Результаты по предварительным тестам впечатляют: модели можно скормить размытое фото с камеры наблюдения и получить точное местоположение. GeoSpy идёт как демо, но уже набирает популярность — на днях его интегрировали в Maltego. Инструмент пока по инвайтам, но с бумом такого софта каждый станет сам себе осинтер. И тайные знания определения геолокации с точностью до сотни метров по столбу электропередач на горизонте и тени от ветки дерева в полдень будут утрачены.
@tomhunter
Инструмент натаскан на миллионах фото и определяет локацию по почве, архитектуре, расстоянию между зданиями, растительности и иным параметрам. Вплоть до «На полицейской машине SFPD, значит, мы в Сан-Франциско». Результаты по предварительным тестам впечатляют: модели можно скормить размытое фото с камеры наблюдения и получить точное местоположение. GeoSpy идёт как демо, но уже набирает популярность — на днях его интегрировали в Maltego. Инструмент пока по инвайтам, но с бумом такого софта каждый станет сам себе осинтер. И тайные знания определения геолокации с точностью до сотни метров по столбу электропередач на горизонте и тени от ветки дерева в полдень будут утрачены.
@tomhunter
😁16👍8😱3❤2🔥1
#news Краулер ChatGPT можно использовать для DDoS-атак. Одним HTTP-запросом по API модели злоумышленник может запустить атаку на 20-5,000 запросов в секунду. Едва ли, конечно, этим удастся положить сайт, но сама возможность в наличии.
При этом проблема в кривом коде — том, как API обрабатывает POST-запросы. Если скормить ему длинный список разных ссылок на один сайт, краулер начнёт стучать по ним всем одновременно. Ни проверки на наличие ссылок на тот же ресурс, ни лимита на их число нет. Так что стук по ним идёт одним запросом, а целевой сайт видит ChatGPT-бота, долбящегося по нему с пары десятков айпи. API также уязвим к инъекциям в запросы. Исследователь сообщил OpenAI об уязвимости по всем каналам, но ответа пока так и нет. Алармисты обещали, что расцвет LLM-ок приведёт к обрушению качества кода. Что сказать, в какой-то мере они точно были правы.
@tomhunter
При этом проблема в кривом коде — том, как API обрабатывает POST-запросы. Если скормить ему длинный список разных ссылок на один сайт, краулер начнёт стучать по ним всем одновременно. Ни проверки на наличие ссылок на тот же ресурс, ни лимита на их число нет. Так что стук по ним идёт одним запросом, а целевой сайт видит ChatGPT-бота, долбящегося по нему с пары десятков айпи. API также уязвим к инъекциям в запросы. Исследователь сообщил OpenAI об уязвимости по всем каналам, но ответа пока так и нет. Алармисты обещали, что расцвет LLM-ок приведёт к обрушению качества кода. Что сказать, в какой-то мере они точно были правы.
@tomhunter
👍7😁6❤1
#news В 7-Zip исправили уязвимость, позволяющую обходить метку Mark of the Web на распаковываемых файлах. А она, как водится, не только выдаёт юзеру назойливую плашку с призывом не открывать что попало, но и обрубает макросы в офисных файлах, если всё же открыл.
Уязвимость забавная: если на самом архиве уже есть MotW, файлы из него эту метку не получают. Исправили её ещё в ноябре, но так как автообновления у 7-Zip нет и приоритетными они мало у кого являются, у большинства всё ещё крутятся старые версии. Так что если вы все эти годы ждали знака, чтобы обновить 7-Zip, это он. Отсутствие MotW — не самая большая потеря для ИБ-параноика, но парочка других уязвимостей, которые исправили в архиваторе за последнее время, точно заждались патча.
@tomhunter
Уязвимость забавная: если на самом архиве уже есть MotW, файлы из него эту метку не получают. Исправили её ещё в ноябре, но так как автообновления у 7-Zip нет и приоритетными они мало у кого являются, у большинства всё ещё крутятся старые версии. Так что если вы все эти годы ждали знака, чтобы обновить 7-Zip, это он. Отсутствие MotW — не самая большая потеря для ИБ-параноика, но парочка других уязвимостей, которые исправили в архиваторе за последнее время, точно заждались патча.
@tomhunter
😁7👍5❤2
#news ИБ-новости с теневой стороны интернета. На даркнет-маркете DrugHub обнаружили россыпь уязвимостей. И суммарно они рисуют живописную картину «Как не надо держать незаконный маркетплейс».
В EXIF-данных лого отсылки к Adobe Illustrator устаревшей версии от 2019-го года. Айпи их прокси в верхнем интернете открыт всем желающим. В публичной документации засвечен порт 5222 их Jabber-сервера, доступного через зеркала и в даркнете, и в верхнем интернете. Криво настроенные сервера же стоят в Дубае, а у США и ОАЭ что? Соглашение по экстрадиции и прочее сопутствующее. Иными словами, по запросу из США в ОАЭ могут предоставить доступ к серверам. Внимание, вопрос: каковы шансы, что безопасники в погонах уже их скопировали, имеют доступ к переписке и ведут расследование? Казалось бы, если у тебя миллионные обороты с криминала, можно нанять для поднятия инфраструктуры кого-то компетентного. Особенно с учётом ставок. Но это явно не тот случай.
@tomhunter
В EXIF-данных лого отсылки к Adobe Illustrator устаревшей версии от 2019-го года. Айпи их прокси в верхнем интернете открыт всем желающим. В публичной документации засвечен порт 5222 их Jabber-сервера, доступного через зеркала и в даркнете, и в верхнем интернете. Криво настроенные сервера же стоят в Дубае, а у США и ОАЭ что? Соглашение по экстрадиции и прочее сопутствующее. Иными словами, по запросу из США в ОАЭ могут предоставить доступ к серверам. Внимание, вопрос: каковы шансы, что безопасники в погонах уже их скопировали, имеют доступ к переписке и ведут расследование? Казалось бы, если у тебя миллионные обороты с криминала, можно нанять для поднятия инфраструктуры кого-то компетентного. Особенно с учётом ставок. Но это явно не тот случай.
@tomhunter
😁12🔥2❤1👍1