#news У CISA в США не прекращается чёрная полоса: в 2026-м ему хотят сократить бюджет на скромные 500 миллионов долларов. Это почти одна пятая годового бюджета агентства.
CISA попала в немилость текущей администрации, которая именует агентство «цензурным промышленным комплексом». Якобы вместо защиты систем страны CISA занимается чем-то не тем, отслеживая фейки и дезинформацию в сети. Попутно CISA пропадает с ключевых ИБ-конференций, и на них агентство называют «Министерством Правды». В общем, бюджет ключевого надзорного ИБ-органа идёт под нож, так как он заигрался в цензуру и борьбу с фейками вместо ловли китайских апэтэшечек в сетях страны. Хочешь так же? Увы, ты не в Америке. Между тем децентрализацией CVE-программы, похоже, занялись совсем не зря.
@tomhunter
CISA попала в немилость текущей администрации, которая именует агентство «цензурным промышленным комплексом». Якобы вместо защиты систем страны CISA занимается чем-то не тем, отслеживая фейки и дезинформацию в сети. Попутно CISA пропадает с ключевых ИБ-конференций, и на них агентство называют «Министерством Правды». В общем, бюджет ключевого надзорного ИБ-органа идёт под нож, так как он заигрался в цензуру и борьбу с фейками вместо ловли китайских апэтэшечек в сетях страны. Хочешь так же? Увы, ты не в Америке. Между тем децентрализацией CVE-программы, похоже, занялись совсем не зря.
@tomhunter
😁8👍5💯3❤1😢1
#news Наметился прорыв в деле противостояния спайвари: суд обязал NSO Group выплатить известным экстремистам из WhatsApp 167 миллионов долларов за взлом аккаунтов пользователей.
Дело WhatsApp против NSO тянулось с 2019-го года, и это первая крупная победа на фронте борьбы с коммерческим шпионским ПО, рынок которого последние годы бесконтрольно растёт. Meta уже выступила с заявлением, что будет добиваться судебного решения, согласно которому NSO получит запрет совать свои эксплойты в WhatsApp. Остаётся надеяться, что это решение станет первым прецедентом в деле контроля рынка спайвари, и в итоге обслуживать людоедские режимы под маской борьбы с преступностью NSO и компании станет просто невыгодно. В общем, сегодня в офисе разрабов Pegasus без праздничных танцев. А вот у любителей приватности и прочих пережитков прошлого день задался.
@tomhunter
Дело WhatsApp против NSO тянулось с 2019-го года, и это первая крупная победа на фронте борьбы с коммерческим шпионским ПО, рынок которого последние годы бесконтрольно растёт. Meta уже выступила с заявлением, что будет добиваться судебного решения, согласно которому NSO получит запрет совать свои эксплойты в WhatsApp. Остаётся надеяться, что это решение станет первым прецедентом в деле контроля рынка спайвари, и в итоге обслуживать людоедские режимы под маской борьбы с преступностью NSO и компании станет просто невыгодно. В общем, сегодня в офисе разрабов Pegasus без праздничных танцев. А вот у любителей приватности и прочих пережитков прошлого день задался.
@tomhunter
🎉9🔥4👍2😁2
#news По следам скандала со вскрытым сервером TeleMessage исследователи изучили и исходники приложения. Результаты занятные: архив сообщений с телефонов топовых штатовских чиновников лежал на сервере… в незашифрованном виде.
Кастомные версии мессенджеров от TeleMessage архивируют все сообщения — этого требуют надзорные органы. Но при этом сводят на нет преимущества сквозного шифрования, и сообщения улетают на вскрытый за 15 минут сервер, где хранятся простым текстом. Серьёзность ситуации все улавливают? На телефонах чиновников вплоть до минобороны США стоит невнятное поделие с бэкдором, доступ к архивам которого получает случайный хакер, ковырнувший от скуки эндпоинт из исходников. И они лежали на сайте TeleMessage в открытом доступе. Вот это уровень инфобеза на вершине штатовской администрации. Вы думали, журналист в чатике Signal — это для них предел некомпетентности? Как видите, им ещё найдётся чем удивить.
@tomhunter
Кастомные версии мессенджеров от TeleMessage архивируют все сообщения — этого требуют надзорные органы. Но при этом сводят на нет преимущества сквозного шифрования, и сообщения улетают на вскрытый за 15 минут сервер, где хранятся простым текстом. Серьёзность ситуации все улавливают? На телефонах чиновников вплоть до минобороны США стоит невнятное поделие с бэкдором, доступ к архивам которого получает случайный хакер, ковырнувший от скуки эндпоинт из исходников. И они лежали на сайте TeleMessage в открытом доступе. Вот это уровень инфобеза на вершине штатовской администрации. Вы думали, журналист в чатике Signal — это для них предел некомпетентности? Как видите, им ещё найдётся чем удивить.
@tomhunter
😁24👍4🔥3
#events 22-24 мая в Москве пройдёт ежегодный киберфестиваль «Positive Hack Days Fest» — одно из крупнейших ИБ-событий России. Три дня инфобеза для всех желающих и закрытая часть со спикерами из числа ключевых экспертов индустрии.
От T.Hunter на «Positive Hack Days Fest» 22 мая будет директор нашего департамента киберрасследований Игорь Бедеров, он примет участие в воркшопе «Как обнаруживать дипфейки». Спикеры обсудят растущую роль ИИ в киберпреступлениях, методы и инструменты для обнаружения дипфейков, а также использование OSINT для поиска их источников и смежные темы.
А 23 мая с двумя докладами выступит один из инженеров T.Hunter Кирилл Гриневич — он расскажет о принципах работы Bad USB и разберёт атаку Rowhammer. Присоединяйтесь и до встречи на конференции!
@tomhunter
От T.Hunter на «Positive Hack Days Fest» 22 мая будет директор нашего департамента киберрасследований Игорь Бедеров, он примет участие в воркшопе «Как обнаруживать дипфейки». Спикеры обсудят растущую роль ИИ в киберпреступлениях, методы и инструменты для обнаружения дипфейков, а также использование OSINT для поиска их источников и смежные темы.
А 23 мая с двумя докладами выступит один из инженеров T.Hunter Кирилл Гриневич — он расскажет о принципах работы Bad USB и разберёт атаку Rowhammer. Присоединяйтесь и до встречи на конференции!
@tomhunter
👍8🤡3🔥2🤝2
#news LockBit взломали. Кого, спросите вы? Так LockBit. Все админ-панели группировки дефейснули, вместо интерфейса повесили «Don't do crime CRIME IS BAD xoxo from Prague». И бонусом шёл свежий дамп MySQL-базы админки. Сервер крутился на PHP 8.1.2 с уязвимостью под RCE.
В архиве двадцать таблиц — раздолье для исследователей. Одна с биткоин-адресами, ~60к штук, связанных с операциями LockBit. В другой информация о билдах с публичными ключами. Табличка на ~4,5к сообщений из переписки с жертвами за последние полгода. Ещё одна с 75 юзерами, включая админов и партнёров группировки. С паролями в открытом виде формата «Weekendlover69» и «Lockbitproud231». О — опсек. В общем, мечты о триумфальном возвращении разбились о суровую реальность. И месседж хороший. Не лезьте в киберпреступность, господа. Оно вам не надо. XOXO from T.Hunter.
@tomhunter
В архиве двадцать таблиц — раздолье для исследователей. Одна с биткоин-адресами, ~60к штук, связанных с операциями LockBit. В другой информация о билдах с публичными ключами. Табличка на ~4,5к сообщений из переписки с жертвами за последние полгода. Ещё одна с 75 юзерами, включая админов и партнёров группировки. С паролями в открытом виде формата «Weekendlover69» и «Lockbitproud231». О — опсек. В общем, мечты о триумфальном возвращении разбились о суровую реальность. И месседж хороший. Не лезьте в киберпреступность, господа. Оно вам не надо. XOXO from T.Hunter.
@tomhunter
😁22👍6🔥3🤡2
#news Поставщик софта для школ в Северной Америке недавно выплатил выкуп после взлома. Компания получила видео от злоумышленника с доказательством удаления баз данных клиентов. И что вы думаете? Опять обманули.
Взломщики пошли с требованием выкупа по школам, чьи данные стянули у поставщика — 6 тысяч учебных заведений по всему континенту, так что есть где разгуляться. В новом шантаже используют старые данные из утечки, так что либо они оказались у кого-то ещё в прошлый раз, либо те же злоумышленники решили поднять ещё немного отпускных. Так что, как часто бывает, на выплате выкупа злоключения жертвы не закончились. Может, однажды бизнес поймёт, что регулярный аудит от ИБ-фирм дешевле и практичнее, чем разбор последствий взломов и утечек в надежде на честь среди киберворов? И к другим несбыточным фантазиям в нашей среде…
@tomhunter
Взломщики пошли с требованием выкупа по школам, чьи данные стянули у поставщика — 6 тысяч учебных заведений по всему континенту, так что есть где разгуляться. В новом шантаже используют старые данные из утечки, так что либо они оказались у кого-то ещё в прошлый раз, либо те же злоумышленники решили поднять ещё немного отпускных. Так что, как часто бывает, на выплате выкупа злоключения жертвы не закончились. Может, однажды бизнес поймёт, что регулярный аудит от ИБ-фирм дешевле и практичнее, чем разбор последствий взломов и утечек в надежде на честь среди киберворов? И к другим несбыточным фантазиям в нашей среде…
@tomhunter
😁11👍3💯3
#news Ещё один разработчик не выдержал потока липовых BB-репортов от LLM’ок. Создатель cURL Даниэль Стенберг сообщил о добавлении новой галочки на H1: сгенерирован ли отчёт ИИ-моделью. Если горе-багхантер её отметит, он получит уточняющие вопросы и требование проверки концепции, прежде чем отчёт уйдёт команде.
Стенберг сравнил поток псевдоразумных репортов на H1 с DDoS-атакой. Времени на их анализ уходит чрезвычайно много, при этом ни один якобы найденный LLM’кой баг за последние 6 лет не был валидным. Бедняга окончательно сломался на репорте об RCE, который звучал правдоподобно, но… вёл на несуществующие функции. При этом прислал его багхантер с репутацией, так что его не забанили моментально, как делают с остальными восходящими BB-звёздами. В общем, урок для всех мечтателей от мира багханта: общедоступные LLM’ки пока уязвимости не находят. А когда начнут, BB-выплаты, возможно, уже перестанут существовать как явление. Так что пожалейте разрабов, не дудосьте их ИИ-слопом.
@tomhunter
Стенберг сравнил поток псевдоразумных репортов на H1 с DDoS-атакой. Времени на их анализ уходит чрезвычайно много, при этом ни один якобы найденный LLM’кой баг за последние 6 лет не был валидным. Бедняга окончательно сломался на репорте об RCE, который звучал правдоподобно, но… вёл на несуществующие функции. При этом прислал его багхантер с репутацией, так что его не забанили моментально, как делают с остальными восходящими BB-звёздами. В общем, урок для всех мечтателей от мира багханта: общедоступные LLM’ки пока уязвимости не находят. А когда начнут, BB-выплаты, возможно, уже перестанут существовать как явление. Так что пожалейте разрабов, не дудосьте их ИИ-слопом.
@tomhunter
😁11👍7🤝3
#news Исследователи раскрыли масштабную фишинговую операцию по краже крипты. Серьёзная инфраструктура, почти 40 тысяч поддоменов, работа по криптовладельцам на протяжение уже несколько лет.
Кампания получила название «FreeDrain». Жертва гуглит информацию о своём кошельке, попадает на фишинговую страницу с копией интерфейса, вводит данные и моментально лишается цифровых монеток. Хостинг на бесплатных платформах, манипуляции с SEO под выдачу и, конечно, генерация текстового контента через ChatGPT. Операция активна с 2022-го года, и с учётом масштабов инфраструктуры украденные суммы должны быть внушительными. Кто стоит за «FreeDrain»? Коммиты на GitHub по будням в IST, так что киберпреступные мастера криптовалютного дрейна, видимо, сидят в одном из индийских технологических хабов. Подробнее об операции в отчёте. Берегите свои кошельки!
@tomhunter
Кампания получила название «FreeDrain». Жертва гуглит информацию о своём кошельке, попадает на фишинговую страницу с копией интерфейса, вводит данные и моментально лишается цифровых монеток. Хостинг на бесплатных платформах, манипуляции с SEO под выдачу и, конечно, генерация текстового контента через ChatGPT. Операция активна с 2022-го года, и с учётом масштабов инфраструктуры украденные суммы должны быть внушительными. Кто стоит за «FreeDrain»? Коммиты на GitHub по будням в IST, так что киберпреступные мастера криптовалютного дрейна, видимо, сидят в одном из индийских технологических хабов. Подробнее об операции в отчёте. Берегите свои кошельки!
@tomhunter
👍5🔥4😁2🤯2
#news Ещё одна сомнительная криптобиржа пошла под нож органов. На этот раз досталось eXch. За пару недель до этого операторы объявили о закрытии, узнав об идущем расследовании. Но не успели: инфраструктура перехвачена, 8 TB данных у полиции, 34 миллиона евро отжаты.
eXch была активна с 2014-го года и набила себе репутацию в кругах киберкриминала нулевой KYC и отказом взаимодействовать с властями. Так что выражая искреннее удивление своим криминальным статусом, админы биржи просто кокетничают — они годами продвигали свои услуги в даркнете. А разгадка внезапного падения eXch проста: через неё прошла часть эфира со взлома ByBit, и замораживать средства операторы отказались. Казалось бы, за последние годы можно было осознать, что соучастие в финансировании КНДР через Lazarus и компанию — это та черта, перейдя которую, ты мгновенно теряешь свою криптолавочку и улетаешь попутным рейсом на экстрадицию. Но Неуловимые Джо от мира криптомиксеров сообразительностью не отличаются.
@tomhunter
eXch была активна с 2014-го года и набила себе репутацию в кругах киберкриминала нулевой KYC и отказом взаимодействовать с властями. Так что выражая искреннее удивление своим криминальным статусом, админы биржи просто кокетничают — они годами продвигали свои услуги в даркнете. А разгадка внезапного падения eXch проста: через неё прошла часть эфира со взлома ByBit, и замораживать средства операторы отказались. Казалось бы, за последние годы можно было осознать, что соучастие в финансировании КНДР через Lazarus и компанию — это та черта, перейдя которую, ты мгновенно теряешь свою криптолавочку и улетаешь попутным рейсом на экстрадицию. Но Неуловимые Джо от мира криптомиксеров сообразительностью не отличаются.
@tomhunter
😁11👍3👎2💯1
#news Исследователь обнаружил уязвимости под RCE в софте ASUS для установки драйверов, автоматически активируемом через BIOS. DriverHub позволял злоумышленнику зарегистрировать поддомен домена, по которому стучится софт, захостить на нём вредонос и в один клик доставить юзеру через эндпоинт в DriverHub.
ASUS уязвимости признала, выписала им две критических CVE и исправила. Но без конфузов не обошлось. Скоуп проблемы преуменьшили, а вместо «уязвимость под RCE» получилось невнятное «недоверенные источники могут повлиять на поведение системы». Классика. BB-выплаты для автора у ASUS тоже не нашлось — только упоминание в «Зале Славы». Оно и понятно, ASUS — маленький стартап, загнать в BIOS бэкдор, по которому может стукнуть любой желающий с поддомена и получить RCE, они могут себе позволить. А вот BB-выплату нет. Спасибо, багхантер, сегодня без трёх соток — ищи себя в почётных упоминаниях зала славы ASUS.
@tomhunter
ASUS уязвимости признала, выписала им две критических CVE и исправила. Но без конфузов не обошлось. Скоуп проблемы преуменьшили, а вместо «уязвимость под RCE» получилось невнятное «недоверенные источники могут повлиять на поведение системы». Классика. BB-выплаты для автора у ASUS тоже не нашлось — только упоминание в «Зале Славы». Оно и понятно, ASUS — маленький стартап, загнать в BIOS бэкдор, по которому может стукнуть любой желающий с поддомена и получить RCE, они могут себе позволить. А вот BB-выплату нет. Спасибо, багхантер, сегодня без трёх соток — ищи себя в почётных упоминаниях зала славы ASUS.
@tomhunter
😁21👍2🤯2🤔1🤝1
#news ClickFix приспособили под Linux. Вариация атаки была замечена в сетевых дебрях в исполнении пакистанских умельцев. Поднятный ими фишинговый сайт проверял систему юзера и подсовывал соответствующие инструкции под Windows и Linux.
В случае последней жертва попадала на страницу с капчей, которая копировала shell-команду в буфер и предлагала выполнить её через Alt + F2. Скрипт подтягивал с С2-сервера jpeg вместо вредоноса, так что, судя по всему, злоумышленники тестировали эффективность социнженерии по линуксоидам. Можно предположить, что с ними ClickFix срабатывает не очень — когда ты осваиваешь командную строку раньше, чем базовые социальные навыки, попытка подсунуть тебе какой-то левый скрипт вызывает только снисходительное хихиканье. Так или иначе, ClickFix теперь замечен во всех трёх основных осях, хоть и наверняка будет чумой преимущественно уверенных пользователей ПК на винде.
@tomhunter
В случае последней жертва попадала на страницу с капчей, которая копировала shell-команду в буфер и предлагала выполнить её через Alt + F2. Скрипт подтягивал с С2-сервера jpeg вместо вредоноса, так что, судя по всему, злоумышленники тестировали эффективность социнженерии по линуксоидам. Можно предположить, что с ними ClickFix срабатывает не очень — когда ты осваиваешь командную строку раньше, чем базовые социальные навыки, попытка подсунуть тебе какой-то левый скрипт вызывает только снисходительное хихиканье. Так или иначе, ClickFix теперь замечен во всех трёх основных осях, хоть и наверняка будет чумой преимущественно уверенных пользователей ПК на винде.
@tomhunter
😁12👍4❤2💯1
#news Злоумышленники используют приманку в виде бесплатных ИИ-инструментов для доставки ранее неизвестного вредоноса. Вместо плодов работы услужливой LLM’ки жертвы получают инфостилер Noodlophile.
Инфостилер многофункциональный — кража данных доступа, выкачивание кошельков и удалённый доступ в качестве бонуса. Написан неким «увлечённым разработчиком малвари из Вьетнама». Подставные сайты продвигают инструменты для создания видео, логотипов, картинок и целых сайтов. Так что на приманку могут попасться не только случайные юзеры, но и бизнес, решивший сэкономить на маркетинге. И у компаний уже были случаи заражения, так что вектор не теоретический. Так что не экономьте на дизайнерах, наймите хотя бы фрилансера! Если он пойдёт искать ИИ-приблуду, чтобы поскорее выполнить заказ, инфостилер достанется ему, а не окажется в корпоративной сети! Уроки управления ИБ-рисками от T.Hunter.
@tomhunter
Инфостилер многофункциональный — кража данных доступа, выкачивание кошельков и удалённый доступ в качестве бонуса. Написан неким «увлечённым разработчиком малвари из Вьетнама». Подставные сайты продвигают инструменты для создания видео, логотипов, картинок и целых сайтов. Так что на приманку могут попасться не только случайные юзеры, но и бизнес, решивший сэкономить на маркетинге. И у компаний уже были случаи заражения, так что вектор не теоретический. Так что не экономьте на дизайнерах, наймите хотя бы фрилансера! Если он пойдёт искать ИИ-приблуду, чтобы поскорее выполнить заказ, инфостилер достанется ему, а не окажется в корпоративной сети! Уроки управления ИБ-рисками от T.Hunter.
@tomhunter
❤8😁6👍4🔥1
#news Европейское агентство по кибербезу ENISA представило собственную базу уязвимостей, EUVD. Она создана для повышения устойчивости и автономии инфополя по CVE. База доступна всем желающим бесплатно, информация в неё подтягивается в том же формате, что и по CVE-программе и KEV-каталогу.
В сущности EUVD дублирует функциональность программы от MITRE, но после недавнего инцидента с финансированием лишней она точно не будет. Как минимум у нас разработанная в партнёрстве с MITRE база, которая позволит глобальной экосистеме сообщения об уязвимостях в случае чего не уйти оффлайн. Как максимум, если EUVD будет работать эффективно, бонусом может повыситься скорость реагирования на инциденты. Можно, конечно, поворчать, что нам не надо больше баз — только лишняя фрагментация и лаг между источниками. Но вот завтра распустит CISA один эксцентричный оранжевый человек, и что вы будете делать? То-то же.
@tomhunter
В сущности EUVD дублирует функциональность программы от MITRE, но после недавнего инцидента с финансированием лишней она точно не будет. Как минимум у нас разработанная в партнёрстве с MITRE база, которая позволит глобальной экосистеме сообщения об уязвимостях в случае чего не уйти оффлайн. Как максимум, если EUVD будет работать эффективно, бонусом может повыситься скорость реагирования на инциденты. Можно, конечно, поворчать, что нам не надо больше баз — только лишняя фрагментация и лаг между источниками. Но вот завтра распустит CISA один эксцентричный оранжевый человек, и что вы будете делать? То-то же.
@tomhunter
😁7👍6🔥3
#news Google расширила свою запитанную от ИИ фичу Scam Detection в Android под обнаружение всевозможного скама: крипта, подарочные карты, техподдержка и прочее. Android теперь обнаруживает ~2 миллиарда мошеннических сообщений в месяц.
Кроме того, антискам-модель сможет анализировать длительные переписки: когда красотка предложит вложиться в крипту, LLM’ка превентивно разобьёт жертве сердечко и сохранит средства. Из интересного, в Google упомянули, что у них идёт тестирование обнаружения скама в звонках. Скоро юзеры смогут прямо на созвоне получать предупреждения о мошенничестве, а скам-центрам придётся переписывать сценарии под обход прозорливого искусственного болванчика. Модель также рассчитывают интегрировать в сторонние мессенджеры помимо Google Messages. Так что в идеале LLM’ка убережёт и от Тараса из ФСБ, и от тарелочницы из Тиндера, и от другого романтического и не очень мошенничества. Ну а пока обнаруживаем по старинке.
@tomhunter
Кроме того, антискам-модель сможет анализировать длительные переписки: когда красотка предложит вложиться в крипту, LLM’ка превентивно разобьёт жертве сердечко и сохранит средства. Из интересного, в Google упомянули, что у них идёт тестирование обнаружения скама в звонках. Скоро юзеры смогут прямо на созвоне получать предупреждения о мошенничестве, а скам-центрам придётся переписывать сценарии под обход прозорливого искусственного болванчика. Модель также рассчитывают интегрировать в сторонние мессенджеры помимо Google Messages. Так что в идеале LLM’ка убережёт и от Тараса из ФСБ, и от тарелочницы из Тиндера, и от другого романтического и не очень мошенничества. Ну а пока обнаруживаем по старинке.
@tomhunter
👍7😁7❤2🤡2🔥1
#news Штатовская компания Flock, поставляющая камеры для распознавания автономеров, работает над любопытным ПО. Платформа Nova даст полиции возможность пробить по номеру авто всю информацию о владельце.
Для этого Nova подтягивает данные из кучи источников: из открытых, с камер и полицейских баз, от инфроброкеров, кредитных бюро, публичных реестров и прочего. Самое интересное, один из источников — утёкшие базы данных. Судя по чатам Flock, от этого неловко и самим разрабам. В общем, пока наши скромные боты для пробива существуют в полулегальном поле, в Штатах спокойно клепают премиальный «Глаз Дяди Сэма» для полиции и всех причастных, запитывая от утёкших в даркнет баз. Как минимум платформа сильно упростит OSINT-работу органов, как максимум станет очередным кошмаром для приватности. Вся инфа о тебе в одном клике — что может пойти не так?
@tomhunter
Для этого Nova подтягивает данные из кучи источников: из открытых, с камер и полицейских баз, от инфроброкеров, кредитных бюро, публичных реестров и прочего. Самое интересное, один из источников — утёкшие базы данных. Судя по чатам Flock, от этого неловко и самим разрабам. В общем, пока наши скромные боты для пробива существуют в полулегальном поле, в Штатах спокойно клепают премиальный «Глаз Дяди Сэма» для полиции и всех причастных, запитывая от утёкших в даркнет баз. Как минимум платформа сильно упростит OSINT-работу органов, как максимум станет очередным кошмаром для приватности. Вся инфа о тебе в одном клике — что может пойти не так?
@tomhunter
😁8👍4😱4🤔2🔥1
#news Coinbase стала жертвой шантажа. Неизвестный злоумышленник потребовал у биржи $20 миллионов за отказ от публикации стянутых данных юзеров. Coinbase вместо этого предлагает ту же сумму за информацию о шантажисте.
Пикантности ситуации добавляет происхождение данных: злоумышленник убедил работников техподдержки на аутсорсе в Индии скопировать данные клиентов из их внутренних инструментов. Цель — собрать список криптовладельцев, которых можно заскамить от лица Coinbase. Те, кто в курсе, сколько криптостартапы платят сотрудникам в экзотических странах, здесь только понимающе ухмыльнулись. Когда у тебя в техподдержке 2/2 по 12 часов сидят люди с окладом едва в 500 баксов, уговаривать их совершить шалость особо и не нужно — они и сами справятся. Криптостартапы из СНГ с миллионными оборотами, зарплатами в виде ветки и регулярными интересными инцидентами не дадут соврать.
@tomhunter
Пикантности ситуации добавляет происхождение данных: злоумышленник убедил работников техподдержки на аутсорсе в Индии скопировать данные клиентов из их внутренних инструментов. Цель — собрать список криптовладельцев, которых можно заскамить от лица Coinbase. Те, кто в курсе, сколько криптостартапы платят сотрудникам в экзотических странах, здесь только понимающе ухмыльнулись. Когда у тебя в техподдержке 2/2 по 12 часов сидят люди с окладом едва в 500 баксов, уговаривать их совершить шалость особо и не нужно — они и сами справятся. Криптостартапы из СНГ с миллионными оборотами, зарплатами в виде ветки и регулярными интересными инцидентами не дадут соврать.
@tomhunter
😁14💯5👍2
#news В США оригинальный прецедент по делу против хакера. Коннор Фитцпатрик, более известный как Pompompurin, выплатит ~$700 тысяч по гражданскому иску от страховой компании Nonstop Health, чьи данные слили на Breachforums в 2023-м.
Это первый случай, когда злоумышленник предстал ответчиком в гражданском судебном процессе и выплатит по нему штраф, который уйдёт не в госкубышку, а жертвам взлома. Случай уникальный по множеству причин: не всякого хакера удаётся поймать и экстрадировать, далеко не каждого принимают с суммами, которые можно стрясти по гражданскому иску, а даже если деньги и найдутся, обычно их конфискуют в пользу государства по криминальным делам. Впрочем, в силу необычных обстоятельств следствия над Pompompurin’ом кейс может так и остаться единичным. Скорее всего, на сделку он пошёл в попытке съехать со срока — новый приговор за плохое поведение Коннору вынесут в начале июня. Между тем на фото он. Вглядитесь в лицо международной киберпреступности. Страшно?
@tomhunter
Это первый случай, когда злоумышленник предстал ответчиком в гражданском судебном процессе и выплатит по нему штраф, который уйдёт не в госкубышку, а жертвам взлома. Случай уникальный по множеству причин: не всякого хакера удаётся поймать и экстрадировать, далеко не каждого принимают с суммами, которые можно стрясти по гражданскому иску, а даже если деньги и найдутся, обычно их конфискуют в пользу государства по криминальным делам. Впрочем, в силу необычных обстоятельств следствия над Pompompurin’ом кейс может так и остаться единичным. Скорее всего, на сделку он пошёл в попытке съехать со срока — новый приговор за плохое поведение Коннору вынесут в начале июня. Между тем на фото он. Вглядитесь в лицо международной киберпреступности. Страшно?
@tomhunter
😁12👍5🔥2
#news Экстремисты из Meta планируют обучать свои ИИ-модели на пользовательских данных с 27 мая. При этом отказ от обработки данных юзеры должны дать в формате opt-out и до часа X — с указанной даты кто не отказался, тот пищей для мозгов LLM’ки остался.
Компания активно сопротивляется попыткам запретить ей использовать данные пользователей — год назад её пощипал ирландский регулятор, и сбор приостановили. А теперь жернова инфернальной ИИ-машины запустили вновь. Австрийская noyb пытается продавить запрет и как минимум выбить на сбор opt-in, но где маленькие некоммерческие организации любителей приватности и прочих диковинок и где многомиллиардные корпорации. Так что рано или поздно всё, что ты постил в сети, юзернейм, будет использовано против тебя. А перед этим пережёвано, переосмыслено и выдано дистиллятом по какому-нибудь релевантному запросу очередной версией ChatGPT. И никакой opt-out от этого не убережёт.
@tomhunter
Компания активно сопротивляется попыткам запретить ей использовать данные пользователей — год назад её пощипал ирландский регулятор, и сбор приостановили. А теперь жернова инфернальной ИИ-машины запустили вновь. Австрийская noyb пытается продавить запрет и как минимум выбить на сбор opt-in, но где маленькие некоммерческие организации любителей приватности и прочих диковинок и где многомиллиардные корпорации. Так что рано или поздно всё, что ты постил в сети, юзернейм, будет использовано против тебя. А перед этим пережёвано, переосмыслено и выдано дистиллятом по какому-нибудь релевантному запросу очередной версией ChatGPT. И никакой opt-out от этого не убережёт.
@tomhunter
😁9🤡6😱4💯4
#news Горячая тема этих выходных — Commit Stomping на Git. Исследователи вспомнили о том, что в репозиториях можно изменять временные метки коммитов, и на фоне недавних инцидентов, это навело на определённые мысли. Как обычно, невесёлые.
Commit Stomping — не баг, а фича архитектуры Git. Но в эпоху мощных атак на цепочку поставок и кротов в опенсорсе фича может стать проблемой. Скажем, если злоумышленник внедряет вредоносный код и меняет даты коммитов, чтобы запутать аудит и расследование инцидентов. Уязвимость в сущности в том, что Git выстроен на доверии к юзеру. Но не всякий юзер одинаково полезен, и когда в возможном сценарии хронологией коммитов начинает манипулировать не сеньор с острой фазой прокрастинации, а злоумышленник, приходится задуматься о защите. Подробнее о Commit Stomping и методах борьбы с ним в отчёте.
@tomhunter
Commit Stomping — не баг, а фича архитектуры Git. Но в эпоху мощных атак на цепочку поставок и кротов в опенсорсе фича может стать проблемой. Скажем, если злоумышленник внедряет вредоносный код и меняет даты коммитов, чтобы запутать аудит и расследование инцидентов. Уязвимость в сущности в том, что Git выстроен на доверии к юзеру. Но не всякий юзер одинаково полезен, и когда в возможном сценарии хронологией коммитов начинает манипулировать не сеньор с острой фазой прокрастинации, а злоумышленник, приходится задуматься о защите. Подробнее о Commit Stomping и методах борьбы с ним в отчёте.
@tomhunter
🔥5😁5👍2
#news В Берлине завершился традиционный Pwn2Own. В этом году белошляпочники унесли 1,078,750 долларов и эксплойтнули 29 нулевых дней. Берлинский Pwn2Own был про корпоративный софт, и на нём впервые появилась категория под решения на базе LLM’ок. Куда уж без них.
Из интересного, впервые за всю историю Pwn2Own был взломан гипервизор VMware ESXi. За этот 0-day на целочисленное переполнение хакеры унесли $150 тысяч — самая дорогая уязвимость конференции. Помимо этого, были взломаны Windows 11, Oracle VirtualBox, Red Hat Enterprise Linux и Mozilla. Ну и приметы эпохи: на конфе были два тестовых стенда со свежими моделями Tesla, но ни одной заявки на их взлом не подали. Даже ребята из Synacktiv решили отказаться от традиционного пополнения своего автопарка. Так что товарищ Маск умудрился стать настолько токсичным, что даже в ИБ-среде, богатой на интересных персонажей, в его поделия больше никто не хочет тыкать палочкой. На следующем Pwn2Own поди и стенды уберут.
@tomhunter
Из интересного, впервые за всю историю Pwn2Own был взломан гипервизор VMware ESXi. За этот 0-day на целочисленное переполнение хакеры унесли $150 тысяч — самая дорогая уязвимость конференции. Помимо этого, были взломаны Windows 11, Oracle VirtualBox, Red Hat Enterprise Linux и Mozilla. Ну и приметы эпохи: на конфе были два тестовых стенда со свежими моделями Tesla, но ни одной заявки на их взлом не подали. Даже ребята из Synacktiv решили отказаться от традиционного пополнения своего автопарка. Так что товарищ Маск умудрился стать настолько токсичным, что даже в ИБ-среде, богатой на интересных персонажей, в его поделия больше никто не хочет тыкать палочкой. На следующем Pwn2Own поди и стенды уберут.
@tomhunter
😁13🤡6🔥3👍2
#news После недавнего скандала со взломом форка Signal с телефонов чиновников США возник вопрос: как случайный исследователь вскрыл сервер за 20 минут? Ожидаемо, ответ оказался очень неловкий для разрабов: у них был открыт эндпоинт
Так что взломщику хватило пары сканов по серверу, чтобы выйти на эндпоинт и получить Java Heap Dump с учётками случайных пользователей, логами и ключами шифрования. Помимо этого, пароли юзеров кэшировались на клиентской стороне с помощью MD5, а на сайте был замечен старичок JSP. Иными словами, форк оказался с подвохом и детскими уязвимостями. Штатовской администрации ещё сильно повезло, что сервер вскрыл относительно дружелюбный хакер вместо китайской апэтэшечки. А то опять бы сидели в Конгрессе с постными лицами, отвечая на очень неудобные вопросы.
@tomhunter
/heapdump. Классика развёртывания на Spring Boot, в общем.Так что взломщику хватило пары сканов по серверу, чтобы выйти на эндпоинт и получить Java Heap Dump с учётками случайных пользователей, логами и ключами шифрования. Помимо этого, пароли юзеров кэшировались на клиентской стороне с помощью MD5, а на сайте был замечен старичок JSP. Иными словами, форк оказался с подвохом и детскими уязвимостями. Штатовской администрации ещё сильно повезло, что сервер вскрыл относительно дружелюбный хакер вместо китайской апэтэшечки. А то опять бы сидели в Конгрессе с постными лицами, отвечая на очень неудобные вопросы.
@tomhunter
🔥11😁6👍4❤1