#news Поставщик софта для школ в Северной Америке недавно выплатил выкуп после взлома. Компания получила видео от злоумышленника с доказательством удаления баз данных клиентов. И что вы думаете? Опять обманули.
Взломщики пошли с требованием выкупа по школам, чьи данные стянули у поставщика — 6 тысяч учебных заведений по всему континенту, так что есть где разгуляться. В новом шантаже используют старые данные из утечки, так что либо они оказались у кого-то ещё в прошлый раз, либо те же злоумышленники решили поднять ещё немного отпускных. Так что, как часто бывает, на выплате выкупа злоключения жертвы не закончились. Может, однажды бизнес поймёт, что регулярный аудит от ИБ-фирм дешевле и практичнее, чем разбор последствий взломов и утечек в надежде на честь среди киберворов? И к другим несбыточным фантазиям в нашей среде…
@tomhunter
Взломщики пошли с требованием выкупа по школам, чьи данные стянули у поставщика — 6 тысяч учебных заведений по всему континенту, так что есть где разгуляться. В новом шантаже используют старые данные из утечки, так что либо они оказались у кого-то ещё в прошлый раз, либо те же злоумышленники решили поднять ещё немного отпускных. Так что, как часто бывает, на выплате выкупа злоключения жертвы не закончились. Может, однажды бизнес поймёт, что регулярный аудит от ИБ-фирм дешевле и практичнее, чем разбор последствий взломов и утечек в надежде на честь среди киберворов? И к другим несбыточным фантазиям в нашей среде…
@tomhunter
😁11👍3💯3
#news Ещё один разработчик не выдержал потока липовых BB-репортов от LLM’ок. Создатель cURL Даниэль Стенберг сообщил о добавлении новой галочки на H1: сгенерирован ли отчёт ИИ-моделью. Если горе-багхантер её отметит, он получит уточняющие вопросы и требование проверки концепции, прежде чем отчёт уйдёт команде.
Стенберг сравнил поток псевдоразумных репортов на H1 с DDoS-атакой. Времени на их анализ уходит чрезвычайно много, при этом ни один якобы найденный LLM’кой баг за последние 6 лет не был валидным. Бедняга окончательно сломался на репорте об RCE, который звучал правдоподобно, но… вёл на несуществующие функции. При этом прислал его багхантер с репутацией, так что его не забанили моментально, как делают с остальными восходящими BB-звёздами. В общем, урок для всех мечтателей от мира багханта: общедоступные LLM’ки пока уязвимости не находят. А когда начнут, BB-выплаты, возможно, уже перестанут существовать как явление. Так что пожалейте разрабов, не дудосьте их ИИ-слопом.
@tomhunter
Стенберг сравнил поток псевдоразумных репортов на H1 с DDoS-атакой. Времени на их анализ уходит чрезвычайно много, при этом ни один якобы найденный LLM’кой баг за последние 6 лет не был валидным. Бедняга окончательно сломался на репорте об RCE, который звучал правдоподобно, но… вёл на несуществующие функции. При этом прислал его багхантер с репутацией, так что его не забанили моментально, как делают с остальными восходящими BB-звёздами. В общем, урок для всех мечтателей от мира багханта: общедоступные LLM’ки пока уязвимости не находят. А когда начнут, BB-выплаты, возможно, уже перестанут существовать как явление. Так что пожалейте разрабов, не дудосьте их ИИ-слопом.
@tomhunter
😁11👍7🤝3
#news Исследователи раскрыли масштабную фишинговую операцию по краже крипты. Серьёзная инфраструктура, почти 40 тысяч поддоменов, работа по криптовладельцам на протяжение уже несколько лет.
Кампания получила название «FreeDrain». Жертва гуглит информацию о своём кошельке, попадает на фишинговую страницу с копией интерфейса, вводит данные и моментально лишается цифровых монеток. Хостинг на бесплатных платформах, манипуляции с SEO под выдачу и, конечно, генерация текстового контента через ChatGPT. Операция активна с 2022-го года, и с учётом масштабов инфраструктуры украденные суммы должны быть внушительными. Кто стоит за «FreeDrain»? Коммиты на GitHub по будням в IST, так что киберпреступные мастера криптовалютного дрейна, видимо, сидят в одном из индийских технологических хабов. Подробнее об операции в отчёте. Берегите свои кошельки!
@tomhunter
Кампания получила название «FreeDrain». Жертва гуглит информацию о своём кошельке, попадает на фишинговую страницу с копией интерфейса, вводит данные и моментально лишается цифровых монеток. Хостинг на бесплатных платформах, манипуляции с SEO под выдачу и, конечно, генерация текстового контента через ChatGPT. Операция активна с 2022-го года, и с учётом масштабов инфраструктуры украденные суммы должны быть внушительными. Кто стоит за «FreeDrain»? Коммиты на GitHub по будням в IST, так что киберпреступные мастера криптовалютного дрейна, видимо, сидят в одном из индийских технологических хабов. Подробнее об операции в отчёте. Берегите свои кошельки!
@tomhunter
👍5🔥4😁2🤯2
#news Ещё одна сомнительная криптобиржа пошла под нож органов. На этот раз досталось eXch. За пару недель до этого операторы объявили о закрытии, узнав об идущем расследовании. Но не успели: инфраструктура перехвачена, 8 TB данных у полиции, 34 миллиона евро отжаты.
eXch была активна с 2014-го года и набила себе репутацию в кругах киберкриминала нулевой KYC и отказом взаимодействовать с властями. Так что выражая искреннее удивление своим криминальным статусом, админы биржи просто кокетничают — они годами продвигали свои услуги в даркнете. А разгадка внезапного падения eXch проста: через неё прошла часть эфира со взлома ByBit, и замораживать средства операторы отказались. Казалось бы, за последние годы можно было осознать, что соучастие в финансировании КНДР через Lazarus и компанию — это та черта, перейдя которую, ты мгновенно теряешь свою криптолавочку и улетаешь попутным рейсом на экстрадицию. Но Неуловимые Джо от мира криптомиксеров сообразительностью не отличаются.
@tomhunter
eXch была активна с 2014-го года и набила себе репутацию в кругах киберкриминала нулевой KYC и отказом взаимодействовать с властями. Так что выражая искреннее удивление своим криминальным статусом, админы биржи просто кокетничают — они годами продвигали свои услуги в даркнете. А разгадка внезапного падения eXch проста: через неё прошла часть эфира со взлома ByBit, и замораживать средства операторы отказались. Казалось бы, за последние годы можно было осознать, что соучастие в финансировании КНДР через Lazarus и компанию — это та черта, перейдя которую, ты мгновенно теряешь свою криптолавочку и улетаешь попутным рейсом на экстрадицию. Но Неуловимые Джо от мира криптомиксеров сообразительностью не отличаются.
@tomhunter
😁11👍3👎2💯1
#news Исследователь обнаружил уязвимости под RCE в софте ASUS для установки драйверов, автоматически активируемом через BIOS. DriverHub позволял злоумышленнику зарегистрировать поддомен домена, по которому стучится софт, захостить на нём вредонос и в один клик доставить юзеру через эндпоинт в DriverHub.
ASUS уязвимости признала, выписала им две критических CVE и исправила. Но без конфузов не обошлось. Скоуп проблемы преуменьшили, а вместо «уязвимость под RCE» получилось невнятное «недоверенные источники могут повлиять на поведение системы». Классика. BB-выплаты для автора у ASUS тоже не нашлось — только упоминание в «Зале Славы». Оно и понятно, ASUS — маленький стартап, загнать в BIOS бэкдор, по которому может стукнуть любой желающий с поддомена и получить RCE, они могут себе позволить. А вот BB-выплату нет. Спасибо, багхантер, сегодня без трёх соток — ищи себя в почётных упоминаниях зала славы ASUS.
@tomhunter
ASUS уязвимости признала, выписала им две критических CVE и исправила. Но без конфузов не обошлось. Скоуп проблемы преуменьшили, а вместо «уязвимость под RCE» получилось невнятное «недоверенные источники могут повлиять на поведение системы». Классика. BB-выплаты для автора у ASUS тоже не нашлось — только упоминание в «Зале Славы». Оно и понятно, ASUS — маленький стартап, загнать в BIOS бэкдор, по которому может стукнуть любой желающий с поддомена и получить RCE, они могут себе позволить. А вот BB-выплату нет. Спасибо, багхантер, сегодня без трёх соток — ищи себя в почётных упоминаниях зала славы ASUS.
@tomhunter
😁21👍2🤯2🤔1🤝1
#news ClickFix приспособили под Linux. Вариация атаки была замечена в сетевых дебрях в исполнении пакистанских умельцев. Поднятный ими фишинговый сайт проверял систему юзера и подсовывал соответствующие инструкции под Windows и Linux.
В случае последней жертва попадала на страницу с капчей, которая копировала shell-команду в буфер и предлагала выполнить её через Alt + F2. Скрипт подтягивал с С2-сервера jpeg вместо вредоноса, так что, судя по всему, злоумышленники тестировали эффективность социнженерии по линуксоидам. Можно предположить, что с ними ClickFix срабатывает не очень — когда ты осваиваешь командную строку раньше, чем базовые социальные навыки, попытка подсунуть тебе какой-то левый скрипт вызывает только снисходительное хихиканье. Так или иначе, ClickFix теперь замечен во всех трёх основных осях, хоть и наверняка будет чумой преимущественно уверенных пользователей ПК на винде.
@tomhunter
В случае последней жертва попадала на страницу с капчей, которая копировала shell-команду в буфер и предлагала выполнить её через Alt + F2. Скрипт подтягивал с С2-сервера jpeg вместо вредоноса, так что, судя по всему, злоумышленники тестировали эффективность социнженерии по линуксоидам. Можно предположить, что с ними ClickFix срабатывает не очень — когда ты осваиваешь командную строку раньше, чем базовые социальные навыки, попытка подсунуть тебе какой-то левый скрипт вызывает только снисходительное хихиканье. Так или иначе, ClickFix теперь замечен во всех трёх основных осях, хоть и наверняка будет чумой преимущественно уверенных пользователей ПК на винде.
@tomhunter
😁12👍4❤2💯1
#news Злоумышленники используют приманку в виде бесплатных ИИ-инструментов для доставки ранее неизвестного вредоноса. Вместо плодов работы услужливой LLM’ки жертвы получают инфостилер Noodlophile.
Инфостилер многофункциональный — кража данных доступа, выкачивание кошельков и удалённый доступ в качестве бонуса. Написан неким «увлечённым разработчиком малвари из Вьетнама». Подставные сайты продвигают инструменты для создания видео, логотипов, картинок и целых сайтов. Так что на приманку могут попасться не только случайные юзеры, но и бизнес, решивший сэкономить на маркетинге. И у компаний уже были случаи заражения, так что вектор не теоретический. Так что не экономьте на дизайнерах, наймите хотя бы фрилансера! Если он пойдёт искать ИИ-приблуду, чтобы поскорее выполнить заказ, инфостилер достанется ему, а не окажется в корпоративной сети! Уроки управления ИБ-рисками от T.Hunter.
@tomhunter
Инфостилер многофункциональный — кража данных доступа, выкачивание кошельков и удалённый доступ в качестве бонуса. Написан неким «увлечённым разработчиком малвари из Вьетнама». Подставные сайты продвигают инструменты для создания видео, логотипов, картинок и целых сайтов. Так что на приманку могут попасться не только случайные юзеры, но и бизнес, решивший сэкономить на маркетинге. И у компаний уже были случаи заражения, так что вектор не теоретический. Так что не экономьте на дизайнерах, наймите хотя бы фрилансера! Если он пойдёт искать ИИ-приблуду, чтобы поскорее выполнить заказ, инфостилер достанется ему, а не окажется в корпоративной сети! Уроки управления ИБ-рисками от T.Hunter.
@tomhunter
❤8😁6👍4🔥1
#news Европейское агентство по кибербезу ENISA представило собственную базу уязвимостей, EUVD. Она создана для повышения устойчивости и автономии инфополя по CVE. База доступна всем желающим бесплатно, информация в неё подтягивается в том же формате, что и по CVE-программе и KEV-каталогу.
В сущности EUVD дублирует функциональность программы от MITRE, но после недавнего инцидента с финансированием лишней она точно не будет. Как минимум у нас разработанная в партнёрстве с MITRE база, которая позволит глобальной экосистеме сообщения об уязвимостях в случае чего не уйти оффлайн. Как максимум, если EUVD будет работать эффективно, бонусом может повыситься скорость реагирования на инциденты. Можно, конечно, поворчать, что нам не надо больше баз — только лишняя фрагментация и лаг между источниками. Но вот завтра распустит CISA один эксцентричный оранжевый человек, и что вы будете делать? То-то же.
@tomhunter
В сущности EUVD дублирует функциональность программы от MITRE, но после недавнего инцидента с финансированием лишней она точно не будет. Как минимум у нас разработанная в партнёрстве с MITRE база, которая позволит глобальной экосистеме сообщения об уязвимостях в случае чего не уйти оффлайн. Как максимум, если EUVD будет работать эффективно, бонусом может повыситься скорость реагирования на инциденты. Можно, конечно, поворчать, что нам не надо больше баз — только лишняя фрагментация и лаг между источниками. Но вот завтра распустит CISA один эксцентричный оранжевый человек, и что вы будете делать? То-то же.
@tomhunter
😁7👍6🔥3
#news Google расширила свою запитанную от ИИ фичу Scam Detection в Android под обнаружение всевозможного скама: крипта, подарочные карты, техподдержка и прочее. Android теперь обнаруживает ~2 миллиарда мошеннических сообщений в месяц.
Кроме того, антискам-модель сможет анализировать длительные переписки: когда красотка предложит вложиться в крипту, LLM’ка превентивно разобьёт жертве сердечко и сохранит средства. Из интересного, в Google упомянули, что у них идёт тестирование обнаружения скама в звонках. Скоро юзеры смогут прямо на созвоне получать предупреждения о мошенничестве, а скам-центрам придётся переписывать сценарии под обход прозорливого искусственного болванчика. Модель также рассчитывают интегрировать в сторонние мессенджеры помимо Google Messages. Так что в идеале LLM’ка убережёт и от Тараса из ФСБ, и от тарелочницы из Тиндера, и от другого романтического и не очень мошенничества. Ну а пока обнаруживаем по старинке.
@tomhunter
Кроме того, антискам-модель сможет анализировать длительные переписки: когда красотка предложит вложиться в крипту, LLM’ка превентивно разобьёт жертве сердечко и сохранит средства. Из интересного, в Google упомянули, что у них идёт тестирование обнаружения скама в звонках. Скоро юзеры смогут прямо на созвоне получать предупреждения о мошенничестве, а скам-центрам придётся переписывать сценарии под обход прозорливого искусственного болванчика. Модель также рассчитывают интегрировать в сторонние мессенджеры помимо Google Messages. Так что в идеале LLM’ка убережёт и от Тараса из ФСБ, и от тарелочницы из Тиндера, и от другого романтического и не очень мошенничества. Ну а пока обнаруживаем по старинке.
@tomhunter
👍7😁7❤2🤡2🔥1
#news Штатовская компания Flock, поставляющая камеры для распознавания автономеров, работает над любопытным ПО. Платформа Nova даст полиции возможность пробить по номеру авто всю информацию о владельце.
Для этого Nova подтягивает данные из кучи источников: из открытых, с камер и полицейских баз, от инфроброкеров, кредитных бюро, публичных реестров и прочего. Самое интересное, один из источников — утёкшие базы данных. Судя по чатам Flock, от этого неловко и самим разрабам. В общем, пока наши скромные боты для пробива существуют в полулегальном поле, в Штатах спокойно клепают премиальный «Глаз Дяди Сэма» для полиции и всех причастных, запитывая от утёкших в даркнет баз. Как минимум платформа сильно упростит OSINT-работу органов, как максимум станет очередным кошмаром для приватности. Вся инфа о тебе в одном клике — что может пойти не так?
@tomhunter
Для этого Nova подтягивает данные из кучи источников: из открытых, с камер и полицейских баз, от инфроброкеров, кредитных бюро, публичных реестров и прочего. Самое интересное, один из источников — утёкшие базы данных. Судя по чатам Flock, от этого неловко и самим разрабам. В общем, пока наши скромные боты для пробива существуют в полулегальном поле, в Штатах спокойно клепают премиальный «Глаз Дяди Сэма» для полиции и всех причастных, запитывая от утёкших в даркнет баз. Как минимум платформа сильно упростит OSINT-работу органов, как максимум станет очередным кошмаром для приватности. Вся инфа о тебе в одном клике — что может пойти не так?
@tomhunter
😁8👍4😱4🤔2🔥1
#news Coinbase стала жертвой шантажа. Неизвестный злоумышленник потребовал у биржи $20 миллионов за отказ от публикации стянутых данных юзеров. Coinbase вместо этого предлагает ту же сумму за информацию о шантажисте.
Пикантности ситуации добавляет происхождение данных: злоумышленник убедил работников техподдержки на аутсорсе в Индии скопировать данные клиентов из их внутренних инструментов. Цель — собрать список криптовладельцев, которых можно заскамить от лица Coinbase. Те, кто в курсе, сколько криптостартапы платят сотрудникам в экзотических странах, здесь только понимающе ухмыльнулись. Когда у тебя в техподдержке 2/2 по 12 часов сидят люди с окладом едва в 500 баксов, уговаривать их совершить шалость особо и не нужно — они и сами справятся. Криптостартапы из СНГ с миллионными оборотами, зарплатами в виде ветки и регулярными интересными инцидентами не дадут соврать.
@tomhunter
Пикантности ситуации добавляет происхождение данных: злоумышленник убедил работников техподдержки на аутсорсе в Индии скопировать данные клиентов из их внутренних инструментов. Цель — собрать список криптовладельцев, которых можно заскамить от лица Coinbase. Те, кто в курсе, сколько криптостартапы платят сотрудникам в экзотических странах, здесь только понимающе ухмыльнулись. Когда у тебя в техподдержке 2/2 по 12 часов сидят люди с окладом едва в 500 баксов, уговаривать их совершить шалость особо и не нужно — они и сами справятся. Криптостартапы из СНГ с миллионными оборотами, зарплатами в виде ветки и регулярными интересными инцидентами не дадут соврать.
@tomhunter
😁14💯5👍2
#news В США оригинальный прецедент по делу против хакера. Коннор Фитцпатрик, более известный как Pompompurin, выплатит ~$700 тысяч по гражданскому иску от страховой компании Nonstop Health, чьи данные слили на Breachforums в 2023-м.
Это первый случай, когда злоумышленник предстал ответчиком в гражданском судебном процессе и выплатит по нему штраф, который уйдёт не в госкубышку, а жертвам взлома. Случай уникальный по множеству причин: не всякого хакера удаётся поймать и экстрадировать, далеко не каждого принимают с суммами, которые можно стрясти по гражданскому иску, а даже если деньги и найдутся, обычно их конфискуют в пользу государства по криминальным делам. Впрочем, в силу необычных обстоятельств следствия над Pompompurin’ом кейс может так и остаться единичным. Скорее всего, на сделку он пошёл в попытке съехать со срока — новый приговор за плохое поведение Коннору вынесут в начале июня. Между тем на фото он. Вглядитесь в лицо международной киберпреступности. Страшно?
@tomhunter
Это первый случай, когда злоумышленник предстал ответчиком в гражданском судебном процессе и выплатит по нему штраф, который уйдёт не в госкубышку, а жертвам взлома. Случай уникальный по множеству причин: не всякого хакера удаётся поймать и экстрадировать, далеко не каждого принимают с суммами, которые можно стрясти по гражданскому иску, а даже если деньги и найдутся, обычно их конфискуют в пользу государства по криминальным делам. Впрочем, в силу необычных обстоятельств следствия над Pompompurin’ом кейс может так и остаться единичным. Скорее всего, на сделку он пошёл в попытке съехать со срока — новый приговор за плохое поведение Коннору вынесут в начале июня. Между тем на фото он. Вглядитесь в лицо международной киберпреступности. Страшно?
@tomhunter
😁12👍5🔥2
#news Экстремисты из Meta планируют обучать свои ИИ-модели на пользовательских данных с 27 мая. При этом отказ от обработки данных юзеры должны дать в формате opt-out и до часа X — с указанной даты кто не отказался, тот пищей для мозгов LLM’ки остался.
Компания активно сопротивляется попыткам запретить ей использовать данные пользователей — год назад её пощипал ирландский регулятор, и сбор приостановили. А теперь жернова инфернальной ИИ-машины запустили вновь. Австрийская noyb пытается продавить запрет и как минимум выбить на сбор opt-in, но где маленькие некоммерческие организации любителей приватности и прочих диковинок и где многомиллиардные корпорации. Так что рано или поздно всё, что ты постил в сети, юзернейм, будет использовано против тебя. А перед этим пережёвано, переосмыслено и выдано дистиллятом по какому-нибудь релевантному запросу очередной версией ChatGPT. И никакой opt-out от этого не убережёт.
@tomhunter
Компания активно сопротивляется попыткам запретить ей использовать данные пользователей — год назад её пощипал ирландский регулятор, и сбор приостановили. А теперь жернова инфернальной ИИ-машины запустили вновь. Австрийская noyb пытается продавить запрет и как минимум выбить на сбор opt-in, но где маленькие некоммерческие организации любителей приватности и прочих диковинок и где многомиллиардные корпорации. Так что рано или поздно всё, что ты постил в сети, юзернейм, будет использовано против тебя. А перед этим пережёвано, переосмыслено и выдано дистиллятом по какому-нибудь релевантному запросу очередной версией ChatGPT. И никакой opt-out от этого не убережёт.
@tomhunter
😁9🤡6😱4💯4
#news Горячая тема этих выходных — Commit Stomping на Git. Исследователи вспомнили о том, что в репозиториях можно изменять временные метки коммитов, и на фоне недавних инцидентов, это навело на определённые мысли. Как обычно, невесёлые.
Commit Stomping — не баг, а фича архитектуры Git. Но в эпоху мощных атак на цепочку поставок и кротов в опенсорсе фича может стать проблемой. Скажем, если злоумышленник внедряет вредоносный код и меняет даты коммитов, чтобы запутать аудит и расследование инцидентов. Уязвимость в сущности в том, что Git выстроен на доверии к юзеру. Но не всякий юзер одинаково полезен, и когда в возможном сценарии хронологией коммитов начинает манипулировать не сеньор с острой фазой прокрастинации, а злоумышленник, приходится задуматься о защите. Подробнее о Commit Stomping и методах борьбы с ним в отчёте.
@tomhunter
Commit Stomping — не баг, а фича архитектуры Git. Но в эпоху мощных атак на цепочку поставок и кротов в опенсорсе фича может стать проблемой. Скажем, если злоумышленник внедряет вредоносный код и меняет даты коммитов, чтобы запутать аудит и расследование инцидентов. Уязвимость в сущности в том, что Git выстроен на доверии к юзеру. Но не всякий юзер одинаково полезен, и когда в возможном сценарии хронологией коммитов начинает манипулировать не сеньор с острой фазой прокрастинации, а злоумышленник, приходится задуматься о защите. Подробнее о Commit Stomping и методах борьбы с ним в отчёте.
@tomhunter
🔥5😁5👍2
#news В Берлине завершился традиционный Pwn2Own. В этом году белошляпочники унесли 1,078,750 долларов и эксплойтнули 29 нулевых дней. Берлинский Pwn2Own был про корпоративный софт, и на нём впервые появилась категория под решения на базе LLM’ок. Куда уж без них.
Из интересного, впервые за всю историю Pwn2Own был взломан гипервизор VMware ESXi. За этот 0-day на целочисленное переполнение хакеры унесли $150 тысяч — самая дорогая уязвимость конференции. Помимо этого, были взломаны Windows 11, Oracle VirtualBox, Red Hat Enterprise Linux и Mozilla. Ну и приметы эпохи: на конфе были два тестовых стенда со свежими моделями Tesla, но ни одной заявки на их взлом не подали. Даже ребята из Synacktiv решили отказаться от традиционного пополнения своего автопарка. Так что товарищ Маск умудрился стать настолько токсичным, что даже в ИБ-среде, богатой на интересных персонажей, в его поделия больше никто не хочет тыкать палочкой. На следующем Pwn2Own поди и стенды уберут.
@tomhunter
Из интересного, впервые за всю историю Pwn2Own был взломан гипервизор VMware ESXi. За этот 0-day на целочисленное переполнение хакеры унесли $150 тысяч — самая дорогая уязвимость конференции. Помимо этого, были взломаны Windows 11, Oracle VirtualBox, Red Hat Enterprise Linux и Mozilla. Ну и приметы эпохи: на конфе были два тестовых стенда со свежими моделями Tesla, но ни одной заявки на их взлом не подали. Даже ребята из Synacktiv решили отказаться от традиционного пополнения своего автопарка. Так что товарищ Маск умудрился стать настолько токсичным, что даже в ИБ-среде, богатой на интересных персонажей, в его поделия больше никто не хочет тыкать палочкой. На следующем Pwn2Own поди и стенды уберут.
@tomhunter
😁13🤡6🔥3👍2
#news После недавнего скандала со взломом форка Signal с телефонов чиновников США возник вопрос: как случайный исследователь вскрыл сервер за 20 минут? Ожидаемо, ответ оказался очень неловкий для разрабов: у них был открыт эндпоинт
Так что взломщику хватило пары сканов по серверу, чтобы выйти на эндпоинт и получить Java Heap Dump с учётками случайных пользователей, логами и ключами шифрования. Помимо этого, пароли юзеров кэшировались на клиентской стороне с помощью MD5, а на сайте был замечен старичок JSP. Иными словами, форк оказался с подвохом и детскими уязвимостями. Штатовской администрации ещё сильно повезло, что сервер вскрыл относительно дружелюбный хакер вместо китайской апэтэшечки. А то опять бы сидели в Конгрессе с постными лицами, отвечая на очень неудобные вопросы.
@tomhunter
/heapdump. Классика развёртывания на Spring Boot, в общем.Так что взломщику хватило пары сканов по серверу, чтобы выйти на эндпоинт и получить Java Heap Dump с учётками случайных пользователей, логами и ключами шифрования. Помимо этого, пароли юзеров кэшировались на клиентской стороне с помощью MD5, а на сайте был замечен старичок JSP. Иными словами, форк оказался с подвохом и детскими уязвимостями. Штатовской администрации ещё сильно повезло, что сервер вскрыл относительно дружелюбный хакер вместо китайской апэтэшечки. А то опять бы сидели в Конгрессе с постными лицами, отвечая на очень неудобные вопросы.
@tomhunter
🔥11😁6👍4❤1
#news Ранее подавшая на банкротство 23andMe ушла с молотка. Компанию приобрёл фармацевтический гигант Regeneron. Само собой, вместе со всеми данными клиентов, коих набралось около 15 миллионов.
Расшифровкой ДНК Regeneron занимается и сама, так что 23andMe купили в первую очередь для получения собранных ими генетических данных. Причём эксперты называют эту сделку не самым плохим вариантом для приватности: компания вместе с накопленным банком данных могла достаться и какой-нибудь более сомнительной конторке. А так, отправленные ранее 23andMe биоматериалы послужат разработке новых лекарств. К слову, в пересчёте на отдельного клиента, данные каждые по итогам сделки обошлись всего в 17 баксов. Многие ли из клиентов 23andMe рассчитывали, что их биоматериал окажется в такой щекотливой ситуации? Полагаю, что нет.
@tomhunter
Расшифровкой ДНК Regeneron занимается и сама, так что 23andMe купили в первую очередь для получения собранных ими генетических данных. Причём эксперты называют эту сделку не самым плохим вариантом для приватности: компания вместе с накопленным банком данных могла достаться и какой-нибудь более сомнительной конторке. А так, отправленные ранее 23andMe биоматериалы послужат разработке новых лекарств. К слову, в пересчёте на отдельного клиента, данные каждые по итогам сделки обошлись всего в 17 баксов. Многие ли из клиентов 23andMe рассчитывали, что их биоматериал окажется в такой щекотливой ситуации? Полагаю, что нет.
@tomhunter
😁10👍6🔥2🤯1
#news Разработчик рансомвари VanHelsing выставил на рампе на продажу всю инфраструктуру за 10к долларов. Ключи к сервисам в Tor, админ-панель, файловый сервер и блог с утечками, а также билдеры и базы данных. Но подзаработать не удалось — следом пришли операторы и слили часть в открытый доступ.
Как утверждают, бывший разраб пошёл в разнос, и обещают взамен версию 2.0 лучше прежней. В слитом не хватает билдера под Linux и баз данных, но так тоже ничего. Между тем VanHelsing появилась всего пару месяцев назад и едва набила 8 взломов, как уже успела вляпаться вот в такую неловкую историю. В общем, киберпреступная карьера с ходу не задалась. Операторы обещают больше не нанимать сторонних разрабов надёжности ради, но если хочется гарантий и прочих плюшек, нужно было ответственнее выбирать рабочую стезю. Высокие риски — высокая награда, все дела. Ну или не очень высокая, как в случае с VanHelsing. Тут уж как повезёт.
@tomhunter
Как утверждают, бывший разраб пошёл в разнос, и обещают взамен версию 2.0 лучше прежней. В слитом не хватает билдера под Linux и баз данных, но так тоже ничего. Между тем VanHelsing появилась всего пару месяцев назад и едва набила 8 взломов, как уже успела вляпаться вот в такую неловкую историю. В общем, киберпреступная карьера с ходу не задалась. Операторы обещают больше не нанимать сторонних разрабов надёжности ради, но если хочется гарантий и прочих плюшек, нужно было ответственнее выбирать рабочую стезю. Высокие риски — высокая награда, все дела. Ну или не очень высокая, как в случае с VanHelsing. Тут уж как повезёт.
@tomhunter
😁8🤯6🔥2💯1
#news Исследователи опубликовали базу сообщений Discord. На 2 миллиарда записей от почти 5 миллионов юзеров с 3,167 публичных серверов за период с 2015-го по 2024-й годы. Это 10% публичной переписки на платформе.
Как и зачем? Сообщения наскрапили с помощью API через фичу Discovery. Как сообщают, целью было создать датабазу онлайн-дискуссий для социсследований и обучения ботов. Так как скрапингом занималась команда учёных, формально этические вопросы учли: данные анонимизировали, убрав ники и айди. Так что можно можно не переживать, что в огромном датасете лежат следы твоего щитпостинга — лежат, но анонимно. Впрочем, ничего не мешает через ту же фичу наскрапить сообщения уже со всех публичных серверов и без всякой анонимизации. Вполне возможно, что это уже и неоднократно сделали, и сейчас на коллективном разуме юзеров Дискорда обучают очередную LLM’ку. И её остаётся только пожалеть.
@tomhunter
Как и зачем? Сообщения наскрапили с помощью API через фичу Discovery. Как сообщают, целью было создать датабазу онлайн-дискуссий для социсследований и обучения ботов. Так как скрапингом занималась команда учёных, формально этические вопросы учли: данные анонимизировали, убрав ники и айди. Так что можно можно не переживать, что в огромном датасете лежат следы твоего щитпостинга — лежат, но анонимно. Впрочем, ничего не мешает через ту же фичу наскрапить сообщения уже со всех публичных серверов и без всякой анонимизации. Вполне возможно, что это уже и неоднократно сделали, и сейчас на коллективном разуме юзеров Дискорда обучают очередную LLM’ку. И её остаётся только пожалеть.
@tomhunter
😁12🤯4😱4🤬3❤1
#news Инфраструктура Lumma Stealer пошла под снос. Перехвачены ~2,300 доменов одного из главных инфостилеров на рынке, включая пять, на которых висели логин-панели.
Операция прошла при поддержке Microsoft: компания сыграла ключевую роль в перехвате и получила судебное решение на блокировку доменов 13 мая. Microsoft насчитала ~400 тысяч заражённых Lumma машин на Windows, связь с которыми потеряла перехваченная инфраструктура. Тем временем Минюст США наложил руки на домены с админками. Основной разраб, увы, сидит в стране, из которой выдачи нет, но юзерам самое время напрячься. В 2023-м товарищ Shamel передавал привет кибербезу, работающему по Lumma. «Привет, Shamel!» — уверенно ответил кибербез.
@tomhunter
Операция прошла при поддержке Microsoft: компания сыграла ключевую роль в перехвате и получила судебное решение на блокировку доменов 13 мая. Microsoft насчитала ~400 тысяч заражённых Lumma машин на Windows, связь с которыми потеряла перехваченная инфраструктура. Тем временем Минюст США наложил руки на домены с админками. Основной разраб, увы, сидит в стране, из которой выдачи нет, но юзерам самое время напрячься. В 2023-м товарищ Shamel передавал привет кибербезу, работающему по Lumma. «Привет, Shamel!» — уверенно ответил кибербез.
@tomhunter
😁9🔥3❤2
#news В Signal под Windows 11 добавили говорящую фичу: мессенджер теперь по умолчанию блокирует функциональность Windows Recall. На него повесили DRM-флаг, который также закроет доступ к содержимому Signal другим приложениям и функциям ОС от Microsoft.
Как дипломатично отметил разработчик Signal: «Хотя Microsoft откликнулась на критику, Recall всё ещё ставит под угрозу приватность Signal. Так что пришлось добавить костыль — Microsoft не оставила нам выбора». Между тем на скрине предупреждение, которое получит пользователь, если попытается отключить блокировку. Прямолинейнее некуда. Signal заботится о твоей приватности, юзернейм. Позаботься о ней и ты — удали всю блоатварь из своей Windows и не пользуйся Recall! Попутно можно почитать публикацию о новой фиче в блоге Signal — разрабы от Recall сильно не в восторге. «Надеемся, в Microsoft в будущем будут думать головой, прежде чем пихать такое в свою ОС». Что уж здесь добавить.
@tomhunter
Как дипломатично отметил разработчик Signal: «Хотя Microsoft откликнулась на критику, Recall всё ещё ставит под угрозу приватность Signal. Так что пришлось добавить костыль — Microsoft не оставила нам выбора». Между тем на скрине предупреждение, которое получит пользователь, если попытается отключить блокировку. Прямолинейнее некуда. Signal заботится о твоей приватности, юзернейм. Позаботься о ней и ты — удали всю блоатварь из своей Windows и не пользуйся Recall! Попутно можно почитать публикацию о новой фиче в блоге Signal — разрабы от Recall сильно не в восторге. «Надеемся, в Microsoft в будущем будут думать головой, прежде чем пихать такое в свою ОС». Что уж здесь добавить.
@tomhunter
🔥10👍6😁5