Поставщик оборудования и продуктов безопасности Barracuda Networks после атак с использованием 0-day выкатил, пожалуй, самые эффективные и беспрецедентные меры по устранению последствий, порекомендовав своим клиентам полностью заменить взломанные устройства Email Security Gateway (ESG), заменить Карл!
Беда в том, что критический недостаток в устройствах (CVE-2023-2868, оценка CVSS: 9,8) эксплуатировался в течение, как минимум, семи месяцев с октября 2022 года для доставки вредоносного ПО и кражи данных.
На взломанных устройствах Barracuda были обнаружены вредоносные программы трех типов. Их назвали SaltWater, SeaSpy и SeaSide.
SaltWater позволяет злоумышленникам загружать и скачивать файлы, выполнять произвольные команды и использовать его в качестве прокси-сервера. SeaSpy обеспечивает функциональность бэкдора, а SeaSide используется для получения командной и управляющей информации (C2) и установки обратной оболочки.
Barracuda стало известно об атаках на устройства ESG, 18 мая. На следующий день компания обнаружила 0-day.
20 мая критическая бага была удаленно исправлена, а на следующий день доступ злоумышленников к скомпрометированным устройствам был отключен путем развертывания специального скрипта.
24 мая компания Barracuda предупредила клиентов, что их устройства ESG могли быть взломаны из-за ошибки CVE-2023-2868, и посоветовала им исследовать свою среду на наличие признаков вторжения. Первоначальные рекомендации Barracuda сводились к необходимости обновлений.
Но 6 июня компания выпустила новое уведомление, в котором пострадавшим клиентам предлагалось немедленно заменить свои устройства, независимо от их уровня исправления.
По всей видимости, либо обновления оказались не доработаны, либо реальные масштабы инцидента диктуют более радикальные меры.
Беда в том, что критический недостаток в устройствах (CVE-2023-2868, оценка CVSS: 9,8) эксплуатировался в течение, как минимум, семи месяцев с октября 2022 года для доставки вредоносного ПО и кражи данных.
На взломанных устройствах Barracuda были обнаружены вредоносные программы трех типов. Их назвали SaltWater, SeaSpy и SeaSide.
SaltWater позволяет злоумышленникам загружать и скачивать файлы, выполнять произвольные команды и использовать его в качестве прокси-сервера. SeaSpy обеспечивает функциональность бэкдора, а SeaSide используется для получения командной и управляющей информации (C2) и установки обратной оболочки.
Barracuda стало известно об атаках на устройства ESG, 18 мая. На следующий день компания обнаружила 0-day.
20 мая критическая бага была удаленно исправлена, а на следующий день доступ злоумышленников к скомпрометированным устройствам был отключен путем развертывания специального скрипта.
24 мая компания Barracuda предупредила клиентов, что их устройства ESG могли быть взломаны из-за ошибки CVE-2023-2868, и посоветовала им исследовать свою среду на наличие признаков вторжения. Первоначальные рекомендации Barracuda сводились к необходимости обновлений.
Но 6 июня компания выпустила новое уведомление, в котором пострадавшим клиентам предлагалось немедленно заменить свои устройства, независимо от их уровня исправления.
По всей видимости, либо обновления оказались не доработаны, либо реальные масштабы инцидента диктуют более радикальные меры.
Reddit
From the msp community on Reddit: Barracuda ESG Critical 0-Day Vulnerability (CVE-2023-2868)
Explore this post and more from the msp community
͏NASA разработало новый дизайн лунного автомобиля для предстоящих миссий на Луну в 2025 году. Видимо, к этому времени и павильон для съемок 2 сезона будет достроен.
Новый кастомный бэкдор, получивший название Stealth Soldier, обнаружили исследователи Check Point.
Он был развернут в рамках ряда целенаправленных шпионских атак в Северной Африке.
Stealth Soldier — это недокументированный бэкдор, который в основном выполняет функции наблюдения, включая такие как эксфильтрация файлов, запись экрана, активация микрофона, регистрация нажатий клавиш и кража информации из браузера.
Попавшая в поле зрения ресерчеров операция характеризуется использованием серверов С2, которые имитируют сайты, принадлежащие МИД Ливии.
Самые ранние артефакты, связанные с кампанией, датируются октябрем 2022 года.
Атаки начинаются с того, что потенциальные цели загружают поддельные двоичные файлы загрузчика, которые доставляются с помощью социнженерии и действуют как канал для извлечения Stealth Soldier, одновременно отображая пустой PDF-файл-приманку.
Пользовательский модульный имплантат обеспечивает возможности скрытого наблюдения,выполняя команды PowerShell.
Вредоносная программа использует различные типы команд: некоторые из них представляют собой плагины, которые загружаются с C2, а некоторые представляют собой модули внутри вредоносного ПО.
Check Point удалось обнаружить, как минимум три версий Stealth Soldier, что свидетельствует об активной поддержке ПО со стороны его операторов.
Некоторые компоненты более не доступны для извлечения, но, как говорят ресерчеры, плагины захвата экрана и кражи учетных данных браузера были основаны на базе ряда проектов с открытым исходным кодом на GitHub.
Инфраструктура Stealth Soldier частично совпадает с инфраструктурой, связанной с другой фишинговой кампанией, получившей название Eye on the Nile и нацеленной на египетских журналистов и правозащитников в 2019 году.
Совокупность артефактов указывает на возможное повторное ппроявление этого субъекта угрозы, предполагая, что группа нацелена, прежде всего, на наблюдение за целями в Египте и Ливии.
Учитывая модульность вредоносного ПО и использование нескольких этапов заражения, вполне вероятно, что злоумышленники продолжат развивать свою тактику и методы и развертывать новые версии этого вредоносного ПО в ближайшем будущем, полагают в Check Point.
Он был развернут в рамках ряда целенаправленных шпионских атак в Северной Африке.
Stealth Soldier — это недокументированный бэкдор, который в основном выполняет функции наблюдения, включая такие как эксфильтрация файлов, запись экрана, активация микрофона, регистрация нажатий клавиш и кража информации из браузера.
Попавшая в поле зрения ресерчеров операция характеризуется использованием серверов С2, которые имитируют сайты, принадлежащие МИД Ливии.
Самые ранние артефакты, связанные с кампанией, датируются октябрем 2022 года.
Атаки начинаются с того, что потенциальные цели загружают поддельные двоичные файлы загрузчика, которые доставляются с помощью социнженерии и действуют как канал для извлечения Stealth Soldier, одновременно отображая пустой PDF-файл-приманку.
Пользовательский модульный имплантат обеспечивает возможности скрытого наблюдения,выполняя команды PowerShell.
Вредоносная программа использует различные типы команд: некоторые из них представляют собой плагины, которые загружаются с C2, а некоторые представляют собой модули внутри вредоносного ПО.
Check Point удалось обнаружить, как минимум три версий Stealth Soldier, что свидетельствует об активной поддержке ПО со стороны его операторов.
Некоторые компоненты более не доступны для извлечения, но, как говорят ресерчеры, плагины захвата экрана и кражи учетных данных браузера были основаны на базе ряда проектов с открытым исходным кодом на GitHub.
Инфраструктура Stealth Soldier частично совпадает с инфраструктурой, связанной с другой фишинговой кампанией, получившей название Eye on the Nile и нацеленной на египетских журналистов и правозащитников в 2019 году.
Совокупность артефактов указывает на возможное повторное ппроявление этого субъекта угрозы, предполагая, что группа нацелена, прежде всего, на наблюдение за целями в Египте и Ливии.
Учитывая модульность вредоносного ПО и использование нескольких этапов заражения, вполне вероятно, что злоумышленники продолжат развивать свою тактику и методы и развертывать новые версии этого вредоносного ПО в ближайшем будущем, полагают в Check Point.
Check Point Research
Stealth Soldier Backdoor Used in Targeted Espionage Attacks in North Africa - Check Point Research
Key findings Introduction Check Point Research identified an ongoing operation against targets in North Africa involving a previously undisclosed multi-stage backdoor called Stealth Soldier. The malware Command and Control (C&C) network is part of a larger…
Хактивисты Anonymous Sudan, похоже, слов на ветер не бросают.
Объявив о начале кибератак на американские организации и пообещав цифровой армагедон, хактивисты сдержали слово, организовав DDoS на нескольких американских организаций.
В числе целей также оказалась и Microsoft.
Cyble Research & Intelligence Labs 5 мая 2023 г. наблюдала всплеск активности Anonymous Sudan в отношении объектов здравоохранения после заявления о проведении DDoS-атаки на поставщика мобильных услуг США 2 мая 2023 г.
Группа пригрозила продолжить мощные атаки на американские компании, если правительство США инициирует военные действия в Судане.
Впоследствии Anonymous Sudan заявили о проведении DDoS-атак, направленных на корпорацию Microsoft.
В качестве пруфов опубликовали скрины с сервисов Outlook, Teams, SharePoint Online, OneDrive и других служб Office365, которые периодически отключались более чем на четыре часа.
В тот же день Microsoft выпустила предупреждения EX571516 об обновлениях, затрагивающих Exchange и Outlook, а также MO571683 для Microsoft Teams, SharePoint Online и OneDrive.
В ответ на предупреждения Microsoft группа возобновила свою активность, опровергнув доводы корпорации о техническим сбое и назвав это результатом DDoS-атак.
У Microsoft затребовали 1 млн. долларов за прекращение атак, пригрозив повторным нападением 6 июня 2023 года.
Вероятно, получив отказ, 6 июня 2023 года Anonymous Sudan заявили о взломе систем Microsoft и краже данных более 30 миллионов ее клиентов, а также объявив о третьей волне атак на корпорацию.
Как выяснили ресерчеры, в арсенале группы DDoS-ботнеты прикладного уровня: SkyNet и Godzilla-Botnet.
Примечательно, что DDoS-атаки на уровне приложений используются для атак на приложения и сети, ориентированные на пользователя.
Они нацелены на протоколы прикладного уровня, нарушая работу служб и оставаясь незамеченными традиционными системами защиты.
Новая крупная цель последовала сразу после кампании, жертвой которой стала шведская Scandinavian Airlines, которая в результате серии DDoS-атак испытывала массовые сбои в работе веб-сервисов и мобильных приложений.
Выкуп с первоначальных 3500 долларов впоследствии был увеличен до 175 000.
Объявив о начале кибератак на американские организации и пообещав цифровой армагедон, хактивисты сдержали слово, организовав DDoS на нескольких американских организаций.
В числе целей также оказалась и Microsoft.
Cyble Research & Intelligence Labs 5 мая 2023 г. наблюдала всплеск активности Anonymous Sudan в отношении объектов здравоохранения после заявления о проведении DDoS-атаки на поставщика мобильных услуг США 2 мая 2023 г.
Группа пригрозила продолжить мощные атаки на американские компании, если правительство США инициирует военные действия в Судане.
Впоследствии Anonymous Sudan заявили о проведении DDoS-атак, направленных на корпорацию Microsoft.
В качестве пруфов опубликовали скрины с сервисов Outlook, Teams, SharePoint Online, OneDrive и других служб Office365, которые периодически отключались более чем на четыре часа.
В тот же день Microsoft выпустила предупреждения EX571516 об обновлениях, затрагивающих Exchange и Outlook, а также MO571683 для Microsoft Teams, SharePoint Online и OneDrive.
В ответ на предупреждения Microsoft группа возобновила свою активность, опровергнув доводы корпорации о техническим сбое и назвав это результатом DDoS-атак.
У Microsoft затребовали 1 млн. долларов за прекращение атак, пригрозив повторным нападением 6 июня 2023 года.
Вероятно, получив отказ, 6 июня 2023 года Anonymous Sudan заявили о взломе систем Microsoft и краже данных более 30 миллионов ее клиентов, а также объявив о третьей волне атак на корпорацию.
Как выяснили ресерчеры, в арсенале группы DDoS-ботнеты прикладного уровня: SkyNet и Godzilla-Botnet.
Примечательно, что DDoS-атаки на уровне приложений используются для атак на приложения и сети, ориентированные на пользователя.
Они нацелены на протоколы прикладного уровня, нарушая работу служб и оставаясь незамеченными традиционными системами защиты.
Новая крупная цель последовала сразу после кампании, жертвой которой стала шведская Scandinavian Airlines, которая в результате серии DDoS-атак испытывала массовые сбои в работе веб-сервисов и мобильных приложений.
Выкуп с первоначальных 3500 долларов впоследствии был увеличен до 175 000.
Cyble
Anonymous Sudan Launches Fresh Wave of DDoS Attacks on American Organizations Including Microsoft
Cyble analyzes recent hacktivism claims by Anonymous Sudan impacting US entities including Microsoft Corporation.
Forwarded from Russian OSINT
🥶📝 Cold Boot Attack с извлечением содержимого оперативной памяти с помощью самодельного криомеханического робота
Исследователи Анг Цуй и Юаньчжэ Ву создали🔬криомеханическгого робота стоимостью менее $1000, который способен извлекать содержимое оперативной памяти DDR3 с помощью низкой температуры. Cold boot attack является известным способом получения доступа к RAM, где используется эффект сохранения данных в памяти, который достигается так называемой холодной перезагрузкой — перезагрузкой без использования ПО, или, грубо говоря, аппаратной перезагрузкой.
Ресерчеры поясняют то, что производители современного оборудования усложняют процесс обратной разработки своих устройств, отключая отладочные интерфейсы JTAG и схемы UART, а также используют BGA и зашифрованную прошивку.
"Вместо того, чтобы пытаться "вносить неисправности", что мы делали в прошлом, или проводить очень инвазивный реинжиниринг с помощью лазерной абляции....мы создали очень доступного, удивительно точного робота, который буквально замораживает одну микросхему оперативной памяти устройства за раз. Мы извлекаем физическую память из устройства для того чтобы прочитать содержимое и вставляем её в наше маленькое приспособление FPGA. По сути, это чтение физической памяти путем захвата ее с устройства и последующего физического помещения в считывающее устройство. Такой способ работает на удивление хорошо", - комментирует Анг Цуй.
"При таком подходе вы получаете код, все данные, стек, кучу, всю физическую память", - рассказывает ресерчер.
👆Исследователи считают, что их метод применим к более сложным атакам и на DDR4 и DDR5, если использовать дорогую (около 10 000 долларов) платформу для считывания памяти на основе FPGA - стоимость которой, как они ожидают, со временем снизится. По словам Цуй, атакам холодной загрузки можно противостоять с помощью 🔐шифрования физической памяти.
Подробности — https://cfp.recon.cx/2023/talk/HCJHBW/
✋ @Russian_OSINT
Исследователи Анг Цуй и Юаньчжэ Ву создали🔬криомеханическгого робота стоимостью менее $1000, который способен извлекать содержимое оперативной памяти DDR3 с помощью низкой температуры. Cold boot attack является известным способом получения доступа к RAM, где используется эффект сохранения данных в памяти, который достигается так называемой холодной перезагрузкой — перезагрузкой без использования ПО, или, грубо говоря, аппаратной перезагрузкой.
Ресерчеры поясняют то, что производители современного оборудования усложняют процесс обратной разработки своих устройств, отключая отладочные интерфейсы JTAG и схемы UART, а также используют BGA и зашифрованную прошивку.
"Вместо того, чтобы пытаться "вносить неисправности", что мы делали в прошлом, или проводить очень инвазивный реинжиниринг с помощью лазерной абляции....мы создали очень доступного, удивительно точного робота, который буквально замораживает одну микросхему оперативной памяти устройства за раз. Мы извлекаем физическую память из устройства для того чтобы прочитать содержимое и вставляем её в наше маленькое приспособление FPGA. По сути, это чтение физической памяти путем захвата ее с устройства и последующего физического помещения в считывающее устройство. Такой способ работает на удивление хорошо", - комментирует Анг Цуй.
"При таком подходе вы получаете код, все данные, стек, кучу, всю физическую память", - рассказывает ресерчер.
👆Исследователи считают, что их метод применим к более сложным атакам и на DDR4 и DDR5, если использовать дорогую (около 10 000 долларов) платформу для считывания памяти на основе FPGA - стоимость которой, как они ожидают, со временем снизится. По словам Цуй, атакам холодной загрузки можно противостоять с помощью 🔐шифрования физической памяти.
Подробности — https://cfp.recon.cx/2023/talk/HCJHBW/
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из Kroll полагают, что исправленный 0-day в решении для управляемой передачи файлов (MFT) MOVEit Transfer вымогатели Clop ковыряли еще с 2021 года, пытаясь найти эффективные варианты эксплуатации.
Ресечреры обнаружили вредоносную активность, совпадающую с методом, используемым бандой для развертывания недавно обнаруженной оболочки LemurLoot.
Активность за период 27–28 мая представляла собой цепочку автоматизированных атак, которые в конечном итоге привели к развертыванию human2.aspx.
Эксплойт был задействован на взаимодействии между двумя законными компонентами MOVEit Transfer: moveitisapi/moveitisapi.dll и guestaccess.aspx.
Проверка журналов Microsoft Internet Information Services (IIS) позволила найти доказательства аналогичной активности, произошедшей в нескольких клиентских средах еще в прошлом году (апрель 2022 г.), а в некоторых случаях даже в июле 2021 г.
Они также заметили, что злоумышленники начали тестировать способы сбора и извлечения конфиденциальных данных со взломанных серверов MOVEit Transfer в апреле 2022 года, вероятно, с помощью автоматизированных инструментов.
Масштабы автоматизированной вредоносной активности усилились к 15 мая 2023 года, как раз перед тем, как 27 мая началась массовая эксплуатация 0-day.
Команды при этом были аналогичны тем, которые вводились вручную для серверов MOVEit Transfer в июле 2021 года, что указывает на то, что банда вымогателей все это время работала над инструментом, который и использовался в конце мая 2023.
Как и предполагалось, после разбора краденного и признания своего участия в инциденте, Clop приступили к главной части всей своей операции - вымогательству.
На своем DLS банда Clop опубликовала инструкции о том, как пострадавшим следует выплачивать выкуп, пригрозив в случае отказа от переговоров утечкой данных, которая запланирована на 14 июня.
Управились значительно быстрее, чем мы предполагали - менее месяца потребовалось для перехода в активную фазу.
Так что будем посмотреть, кто на этот раз украсит «доску почета».
Ресечреры обнаружили вредоносную активность, совпадающую с методом, используемым бандой для развертывания недавно обнаруженной оболочки LemurLoot.
Активность за период 27–28 мая представляла собой цепочку автоматизированных атак, которые в конечном итоге привели к развертыванию human2.aspx.
Эксплойт был задействован на взаимодействии между двумя законными компонентами MOVEit Transfer: moveitisapi/moveitisapi.dll и guestaccess.aspx.
Проверка журналов Microsoft Internet Information Services (IIS) позволила найти доказательства аналогичной активности, произошедшей в нескольких клиентских средах еще в прошлом году (апрель 2022 г.), а в некоторых случаях даже в июле 2021 г.
Они также заметили, что злоумышленники начали тестировать способы сбора и извлечения конфиденциальных данных со взломанных серверов MOVEit Transfer в апреле 2022 года, вероятно, с помощью автоматизированных инструментов.
Масштабы автоматизированной вредоносной активности усилились к 15 мая 2023 года, как раз перед тем, как 27 мая началась массовая эксплуатация 0-day.
Команды при этом были аналогичны тем, которые вводились вручную для серверов MOVEit Transfer в июле 2021 года, что указывает на то, что банда вымогателей все это время работала над инструментом, который и использовался в конце мая 2023.
Как и предполагалось, после разбора краденного и признания своего участия в инциденте, Clop приступили к главной части всей своей операции - вымогательству.
На своем DLS банда Clop опубликовала инструкции о том, как пострадавшим следует выплачивать выкуп, пригрозив в случае отказа от переговоров утечкой данных, которая запланирована на 14 июня.
Управились значительно быстрее, чем мы предполагали - менее месяца потребовалось для перехода в активную фазу.
Так что будем посмотреть, кто на этот раз украсит «доску почета».
Kroll
On June 5, 2023, the Clop ransomware group publicly claimed responsibility for exploitation of a zero-day vulnerability in the…
Бизнес нельзя поставить на паузу!
Управляемая защита в режиме 24/7, в которой так нуждаются современные компании — реальна. И протестировать ее можно уже сейчас.
⠀
Лаборатория Касперского дарит возможность воспользоваться сервисом Kaspersky MDR Expert и получить все преимущества круглосуточной защиты от киберугроз: от непрерывного мониторинга событий безопасности до оперативного реагирования на инциденты.
А в качестве бонуса вы можете получить ещё и 40 часов бесплатного использования сервиса Kaspersky Incident Response, который помогает не только воссоздать полную картину произошедшего инцидента, но и выявить дополнительные следы взлома и подготовить план устранения последствий атаки.
⠀
И главное: оставить заявку на участие в акции можно лишь до 30 июня!
Успевайте сделать это здесь и сейчас!
Управляемая защита в режиме 24/7, в которой так нуждаются современные компании — реальна. И протестировать ее можно уже сейчас.
⠀
Лаборатория Касперского дарит возможность воспользоваться сервисом Kaspersky MDR Expert и получить все преимущества круглосуточной защиты от киберугроз: от непрерывного мониторинга событий безопасности до оперативного реагирования на инциденты.
А в качестве бонуса вы можете получить ещё и 40 часов бесплатного использования сервиса Kaspersky Incident Response, который помогает не только воссоздать полную картину произошедшего инцидента, но и выявить дополнительные следы взлома и подготовить план устранения последствий атаки.
⠀
И главное: оставить заявку на участие в акции можно лишь до 30 июня!
Успевайте сделать это здесь и сейчас!
После того, как благодаря 0-day в решении в MOVEit Transfer для управляемой передачи файлов (MFT) сотни клиентов стали жертвами вымогателей Clop, разработчики Progress Software все же решили озаботиться безопасностью своего продукта и пригласили Huntress для проверки кода.
В результате аудита были найдены критические уязвимости SQL-инъекций, которые затрагивают все версии MOVEit Transfer и позволяют злоумышленникам, не прошедшим проверку подлинности, взламывать серверы, открытые в Интернете.
Клиентам MOVEit Transfer порекомендовали установить выпущенный 9 июня патч, а все кластеры MOVEit Cloud уже исправлены.
В компании заявляют, что в настоящее время не обнаружено признаков того, что вновь выявленные уязвимости были использованы в дикой природе.
Впрочем, и об эксплуатации CVE-2023-34362 в компании узнали только через два года с момента начала фактической эксплуатации, столкнувшись с последствиями ransomware-инцидента.
Тем временем, исследователи Horizon3 выпустили PoC для той роковой RCE-ошибки, которым банда вымогателей Clop злоупотребляет в атаках с кражей данных.
Как объясняют исследователи, POC злоупотребляет SQL-инъекцией для получения токена доступа к API системного администратора, а затем использует этот доступ для злоупотребления вызовом десериализации для удаленного выполнения кода.
Кроме того, представили технический анализ уязвимости и список индикаторов компрометации (IOC) для обнаружения эксплуатации на уязвимых серверах.
Безусловно, с выходом PoC к атакам Clop прибавятся и другие, создавая еще более серьезную угрозу для неисправленных серверов MOVEit Transfer в Интернете.
Но и первой волны хватило, чтобы взломать достаточно крупные компании. Манчестерский университет в Великобритании, Департамент инноваций и технологий Иллинойса и Департамент образования Миннесоты в США раскрыли нарушения (помимо тех, о которых мы сообщали ранее).
Руки вымогателей добрались и до Управления связи Великобритании (Ofcom). При этом злоумышленники выкрали конфиденциальную информацию о компаниях, находящихся в зоне наблюдения регулятора, а также данные на более чем 400 сотрудников.
Будем продолжать следить за ситуацией.
В результате аудита были найдены критические уязвимости SQL-инъекций, которые затрагивают все версии MOVEit Transfer и позволяют злоумышленникам, не прошедшим проверку подлинности, взламывать серверы, открытые в Интернете.
Клиентам MOVEit Transfer порекомендовали установить выпущенный 9 июня патч, а все кластеры MOVEit Cloud уже исправлены.
В компании заявляют, что в настоящее время не обнаружено признаков того, что вновь выявленные уязвимости были использованы в дикой природе.
Впрочем, и об эксплуатации CVE-2023-34362 в компании узнали только через два года с момента начала фактической эксплуатации, столкнувшись с последствиями ransomware-инцидента.
Тем временем, исследователи Horizon3 выпустили PoC для той роковой RCE-ошибки, которым банда вымогателей Clop злоупотребляет в атаках с кражей данных.
Как объясняют исследователи, POC злоупотребляет SQL-инъекцией для получения токена доступа к API системного администратора, а затем использует этот доступ для злоупотребления вызовом десериализации для удаленного выполнения кода.
Кроме того, представили технический анализ уязвимости и список индикаторов компрометации (IOC) для обнаружения эксплуатации на уязвимых серверах.
Безусловно, с выходом PoC к атакам Clop прибавятся и другие, создавая еще более серьезную угрозу для неисправленных серверов MOVEit Transfer в Интернете.
Но и первой волны хватило, чтобы взломать достаточно крупные компании. Манчестерский университет в Великобритании, Департамент инноваций и технологий Иллинойса и Департамент образования Миннесоты в США раскрыли нарушения (помимо тех, о которых мы сообщали ранее).
Руки вымогателей добрались и до Управления связи Великобритании (Ofcom). При этом злоумышленники выкрали конфиденциальную информацию о компаниях, находящихся в зоне наблюдения регулятора, а также данные на более чем 400 сотрудников.
Будем продолжать следить за ситуацией.
Progress.com
MOVEit Transfer and MOVEit Cloud Vulnerability
FreeWebTurkey сообщает об обнаружении веб-сайта под названием Sorgu Paneli (переводится как «Панель запросов»), через который зарегистрированным пользователям реализуется доступ к личным и финансовым данным более 85 миллионов граждан Турции.
Злоумышленники утверждают, что данные получены в результате взлома портала e-Devlet (электронное правительство Турции).
Утечка включает такие конфиденциальные данные как: полные имена, домашние адреса, идентификационные номера, номера телефонов, данные на недвижимость и информацию о членах семьи.
Помимо сайта доступ к пробиву осуществляется через Discord и Telegram, и причем, количество подписчиков в Telegram-канале платформы превысило пять тысяч.
Ресерчеры подтверждают достоверность образцов из базы данных, которая включают и личную информацию высокопоставленных чиновников, в том числе и главы государства.
Они полагают, что просочившиеся данные были украдены в ходе атаки, состоявшейся в апреле 2022 года, когда хакеры заявили, что взломали инфраструктуру электронного правительства Турции.
В свою очередь, турецкое правительство пока официально не подтверждает утечку. Несмотря на это, Турецкая ассоциация медийных и юридических исследований (MLSA) объявила о планах подать иск против МВД.
Что касается селлеров, то о них ничего известно, кроме того, что их сайт работает с 3 июня 2023 года и зарегистрирован на Северном Кипре.
Если потенциальное нарушение подтвердится, это будет крупнейшая утечка в истории страны, после инцидента со взлом базы данных регистрации избирателей в 2016 году.
Кроме того, сообщается, что утекло даже не 85 миллионов, а 101.
Злоумышленники утверждают, что данные получены в результате взлома портала e-Devlet (электронное правительство Турции).
Утечка включает такие конфиденциальные данные как: полные имена, домашние адреса, идентификационные номера, номера телефонов, данные на недвижимость и информацию о членах семьи.
Помимо сайта доступ к пробиву осуществляется через Discord и Telegram, и причем, количество подписчиков в Telegram-канале платформы превысило пять тысяч.
Ресерчеры подтверждают достоверность образцов из базы данных, которая включают и личную информацию высокопоставленных чиновников, в том числе и главы государства.
Они полагают, что просочившиеся данные были украдены в ходе атаки, состоявшейся в апреле 2022 года, когда хакеры заявили, что взломали инфраструктуру электронного правительства Турции.
В свою очередь, турецкое правительство пока официально не подтверждает утечку. Несмотря на это, Турецкая ассоциация медийных и юридических исследований (MLSA) объявила о планах подать иск против МВД.
Что касается селлеров, то о них ничего известно, кроме того, что их сайт работает с 3 июня 2023 года и зарегистрирован на Северном Кипре.
Если потенциальное нарушение подтвердится, это будет крупнейшая утечка в истории страны, после инцидента со взлом базы данных регистрации избирателей в 2016 году.
Кроме того, сообщается, что утекло даже не 85 миллионов, а 101.
Freewebturkey
Türkiye’de ikamet eden herkesin tüm kişisel verileri bir internet sitesinde açıktan yayımlanıyor: ‘Büyük ve korkunç bir suç’
Очень странное и интересное продолжение истории про Operation Triangulation, о которой мы писали совсем недавно.
Китайская инфосек компания Qihoo 360 в конце прошлой недели выпустила материал, в котором приписала Operation Triangulation новой прогосударственной хакерской группе Sand Eagle aka APT-C-63, которую китайские исследователи отслеживают с прошлого года. Qihoo 360 сообщили, что активность злоумышленников в рамках Триангуляции не ограничивается iOS и они зафиксировали также сложные атаки на устройства на базе Windows. Более того, китайцы выложили инструмент для выявления компрометации под Windows.
Однако вскоре после этого Qihoo 360 удалила как сам отчет, так и тулзу для выявления заражения, на данный момент они не доступны. Все, что мы смогли найти - статью по мотивам исследования на одном из китайских ресурсов (она как раз в закрепе).
Про саму группу Sand Eagle ничего толком не известно. Можем лишь заметить, что в классификации Qihoo 360 есть одна похожая по названию группа - Blind Eagle aka APT-C-36. Когда-то давно мы про нее писали здесь и здесь. Тогда мы предполагали, что эта прогосударственная APT работает на Венесуэлу.
Все чудесатее и чудесатее, как говорила Кэрроловская Алиса.
Китайская инфосек компания Qihoo 360 в конце прошлой недели выпустила материал, в котором приписала Operation Triangulation новой прогосударственной хакерской группе Sand Eagle aka APT-C-63, которую китайские исследователи отслеживают с прошлого года. Qihoo 360 сообщили, что активность злоумышленников в рамках Триангуляции не ограничивается iOS и они зафиксировали также сложные атаки на устройства на базе Windows. Более того, китайцы выложили инструмент для выявления компрометации под Windows.
Однако вскоре после этого Qihoo 360 удалила как сам отчет, так и тулзу для выявления заражения, на данный момент они не доступны. Все, что мы смогли найти - статью по мотивам исследования на одном из китайских ресурсов (она как раз в закрепе).
Про саму группу Sand Eagle ничего толком не известно. Можем лишь заметить, что в классификации Qihoo 360 есть одна похожая по названию группа - Blind Eagle aka APT-C-36. Когда-то давно мы про нее писали здесь и здесь. Тогда мы предполагали, что эта прогосударственная APT работает на Венесуэлу.
Все чудесатее и чудесатее, как говорила Кэрроловская Алиса.
CTF导航
APT-C-63(沙鹰)组织攻击检测工具发布 | CTF导航
APT-C-63(沙鹰)是360高级威胁研究院在2022年捕获的全新未知APT组织(2022年报已提及),该组织一直处于持续监测分析阶段,细节尚未公开披露。近日,卡巴斯基实验室披露了一起名为“Triangulation”的APT攻击活动...
Как оказалось Fortigate, который призван защищать, сам нуждается в защите, так как в Fortinet бьют тревогу и призывают немедленно установить последние обновления.
Дело в том, что критическая уязвимость FortiOS SSL VPN, которая была исправлена на прошлой неделе, могла быть использована в атаках на правительственные и производственные объекты, включая критическую инфраструктуру.
CVE-2023-27997 представляет собой уязвимость переполнения буфера в FortiOS и FortiProxy SSL-VPN, которая может позволить злоумышленникам, не прошедшим проверку подлинности воспроизвести RCE с помощью специально созданных запросов.
Недостаток был обнаружен во время аудита кода модуля SSL-VPN после другой недавней серии атак против правительственных организаций с использованием 0-day (СVE-2022-42475) в FortiOS.
Исправления безопасности были выпущены в конце прошлой неделе в версиях прошивки FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5., прежде чем раскрыть дополнительные подробности.
В компании не первый раз выпускают исправления перед раскрытием критических уязвимостей, чтобы дать время обезопасить свои устройства, прежде чем злоумышленники адаптируют их для создания эксплойтов. Спасибо, что не до, а так в пятницу все админы сидят и ждут, когда что-то новенькое выйдет.
Проблема на самом деле серьезная, ведь согласно Shodan в Интернете доступно более чем 250 000 брандмауэров Fortigate, и большинство из них, вероятно, уязвимы.
Более того, расследование специалистов показало, что о проблеме узнали не только в Fortinet и она могла быть использована в ограниченном числе случаев, кем-то еще.
На данный момент поставщик тесно сотрудничает с клиентами, чтобы отследить ситуацию.
Fortinet уже не в первой быть под прицелом APT. Компания известна взломом устройств Fortinet FortiGuard с помощью ранее неизвестной 0-day, посредством которой был получен доступ к сетям организаций в широком спектре критических секторов.
Тогда к атакам была причастна китайская Volt Typhoon, но имеет ли отношение группировка к использованию уязвимости CVE-2023-27997 доподлинно не известно.
Дело в том, что критическая уязвимость FortiOS SSL VPN, которая была исправлена на прошлой неделе, могла быть использована в атаках на правительственные и производственные объекты, включая критическую инфраструктуру.
CVE-2023-27997 представляет собой уязвимость переполнения буфера в FortiOS и FortiProxy SSL-VPN, которая может позволить злоумышленникам, не прошедшим проверку подлинности воспроизвести RCE с помощью специально созданных запросов.
Недостаток был обнаружен во время аудита кода модуля SSL-VPN после другой недавней серии атак против правительственных организаций с использованием 0-day (СVE-2022-42475) в FortiOS.
Исправления безопасности были выпущены в конце прошлой неделе в версиях прошивки FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5., прежде чем раскрыть дополнительные подробности.
В компании не первый раз выпускают исправления перед раскрытием критических уязвимостей, чтобы дать время обезопасить свои устройства, прежде чем злоумышленники адаптируют их для создания эксплойтов. Спасибо, что не до, а так в пятницу все админы сидят и ждут, когда что-то новенькое выйдет.
Проблема на самом деле серьезная, ведь согласно Shodan в Интернете доступно более чем 250 000 брандмауэров Fortigate, и большинство из них, вероятно, уязвимы.
Более того, расследование специалистов показало, что о проблеме узнали не только в Fortinet и она могла быть использована в ограниченном числе случаев, кем-то еще.
На данный момент поставщик тесно сотрудничает с клиентами, чтобы отследить ситуацию.
Fortinet уже не в первой быть под прицелом APT. Компания известна взломом устройств Fortinet FortiGuard с помощью ранее неизвестной 0-day, посредством которой был получен доступ к сетям организаций в широком спектре критических секторов.
Тогда к атакам была причастна китайская Volt Typhoon, но имеет ли отношение группировка к использованию уязвимости CVE-2023-27997 доподлинно не известно.
Cybersecurity-See
Fortinet addresses pre-auth RCE vulnerability in Fortigate firewalls – Urgent update required (CVE-2023-27997) | CyberSecurity…
Meta (*признанная в России экстремистской) создала на основе нейросети генератор музыки, который обучила на 20000 часах различных лицензионных композиций. Демоверсия, создающая сэмплы по 12 секунд, доступна здесь.
От себя добавим, что тру black hat музыка получается путем наложения "death metal with female growling" на композиции Аллы Пугачевой "Айсберг" и "Золотая Карусель".
От себя добавим, что тру black hat музыка получается путем наложения "death metal with female growling" на композиции Аллы Пугачевой "Айсберг" и "Золотая Карусель".
huggingface.co
MusicGen - a Hugging Face Space by facebook
This application lets you create music by entering a text description and optionally uploading a melody. It generates a short music clip based on your input, allowing you to customize the genre and...
Microsoft представила июньский патч с исправлением более 70 уязвимостей, из которых более 30 относятся к RCE, а 6 оцениваются как критические. Но на этот раз без 0-day.
Общее распределение ошибок по категориям выгляди следующим образом: 17 - это уязвимости повышения привилегий, 3 - обхода функций безопасности, 32 - RCE, 5 - раскрытия информации, 10 - DoS, 10 - спуфинг, 1 - уязвимость Chromium. Еще 16 ошибок исправлено в Microsoft Edge.
Среди наиболее значимых проблем следует отметить CVE-2023-29357 в Microsoft SharePoint Server, которая позволяла злоумышленникам получить привилегии других пользователей, включая администраторов. Ее обнаружил Jang (Nguyễn Tiến Giang) из StarLabs SG.
Злоумышленник, получивший доступ к поддельным токенам аутентификации JWT, может использовать их для выполнения сетевой атаки, которая обходит аутентификацию и позволяет им получить доступ к привилегиям аутентифицированного пользователя.
Несмотря на то, что ошибка активно эксплуатируется, Microsoft не разглашает подробностей злоупотреблений.
Другая CVE-2023-32031 представляет собой RCE-уязвимость в Microsoft Exchange Server.
Благодаря ей, будучи аутентифицированным, злоумышленник может попытаться запустить вредоносный код в контексте учетной записи сервера посредством сетевого вызова.
Сетевым администраторам Windows настоятельно рекомендуется обратить особое внимание на три критических ошибки в Windows Pragmatic General Multicast (PGM).
Все три уязвимости (CVE-2023-29363, CVE-2023-32014 и CVE- 2023-32015) имеют оценку серьезности CVSS 9,8/10 и могут быть использованы удаленным злоумышленником, не прошедшим проверку подлинности, для RCE в уязвимой системе.
Microsoft также выпустила обновления для Microsoft Office с исправлением уязвимостей, которые позволяли злоумышленникам использовать вредоносные документы Excel и OneNote для RCE.
Они отслеживаются как CVE-2023-33133, CVE-2023-33137 (Excel), CVE-2023-33140 (OneNote), CVE-2023-33131 (Outlook).
С полным списком уязвимостей, закрытых PatchTuesday, можно ознакомиться здесь.
Общее распределение ошибок по категориям выгляди следующим образом: 17 - это уязвимости повышения привилегий, 3 - обхода функций безопасности, 32 - RCE, 5 - раскрытия информации, 10 - DoS, 10 - спуфинг, 1 - уязвимость Chromium. Еще 16 ошибок исправлено в Microsoft Edge.
Среди наиболее значимых проблем следует отметить CVE-2023-29357 в Microsoft SharePoint Server, которая позволяла злоумышленникам получить привилегии других пользователей, включая администраторов. Ее обнаружил Jang (Nguyễn Tiến Giang) из StarLabs SG.
Злоумышленник, получивший доступ к поддельным токенам аутентификации JWT, может использовать их для выполнения сетевой атаки, которая обходит аутентификацию и позволяет им получить доступ к привилегиям аутентифицированного пользователя.
Несмотря на то, что ошибка активно эксплуатируется, Microsoft не разглашает подробностей злоупотреблений.
Другая CVE-2023-32031 представляет собой RCE-уязвимость в Microsoft Exchange Server.
Благодаря ей, будучи аутентифицированным, злоумышленник может попытаться запустить вредоносный код в контексте учетной записи сервера посредством сетевого вызова.
Сетевым администраторам Windows настоятельно рекомендуется обратить особое внимание на три критических ошибки в Windows Pragmatic General Multicast (PGM).
Все три уязвимости (CVE-2023-29363, CVE-2023-32014 и CVE- 2023-32015) имеют оценку серьезности CVSS 9,8/10 и могут быть использованы удаленным злоумышленником, не прошедшим проверку подлинности, для RCE в уязвимой системе.
Microsoft также выпустила обновления для Microsoft Office с исправлением уязвимостей, которые позволяли злоумышленникам использовать вредоносные документы Excel и OneNote для RCE.
Они отслеживаются как CVE-2023-33133, CVE-2023-33137 (Excel), CVE-2023-33140 (OneNote), CVE-2023-33131 (Outlook).
С полным списком уязвимостей, закрытых PatchTuesday, можно ознакомиться здесь.
На Ямайке хакеры поломали JamaicaEye.
Инцидент подтверждает Министерство национальной безопасности.
JamaicaEye - это общенациональная правительственная система видеонаблюдения, которая была создана в 2018 году и замкнула на себя фактически все частные и правительственные камеры в стране.
Система задействована в работе по обеспечению общественного порядка, мониторингу чрезвычайных ситуации и спецслужб.
Согласно сообщениям, произошел киберинцидент, который, предварительно, повлиял на работе веб-сайта JamaicaEye.
При этом он никоим образом не связан с центральной инфраструктурой системы наблюдения. Злоумышленникам якобы не удалось получить доступ ни к одному из видеопотоков JamaicaEye.
К настоящему времени MNS оценивает масштабы нарушения и проводит расследование.
Несмотря на все доводы о безопасности видеохранилища, представители спецслужбы пока даже не могут точно сказать, утекли ли вообще какие-либо данные JamaicaEye.
Вообще в стране пять центров наблюдения, один из которых находится в штаб-квартире Сил обороны Ямайки, а другой - в офисе комиссара полиции.
Теперь, вероятно, открылся еще один. Но будем посмотреть.
Инцидент подтверждает Министерство национальной безопасности.
JamaicaEye - это общенациональная правительственная система видеонаблюдения, которая была создана в 2018 году и замкнула на себя фактически все частные и правительственные камеры в стране.
Система задействована в работе по обеспечению общественного порядка, мониторингу чрезвычайных ситуации и спецслужб.
Согласно сообщениям, произошел киберинцидент, который, предварительно, повлиял на работе веб-сайта JamaicaEye.
При этом он никоим образом не связан с центральной инфраструктурой системы наблюдения. Злоумышленникам якобы не удалось получить доступ ни к одному из видеопотоков JamaicaEye.
К настоящему времени MNS оценивает масштабы нарушения и проводит расследование.
Несмотря на все доводы о безопасности видеохранилища, представители спецслужбы пока даже не могут точно сказать, утекли ли вообще какие-либо данные JamaicaEye.
Вообще в стране пять центров наблюдения, один из которых находится в штаб-квартире Сил обороны Ямайки, а другой - в офисе комиссара полиции.
Теперь, вероятно, открылся еще один. Но будем посмотреть.
Jamaica Observer
JamaicaEye hit by cyber attack - Security Ministry - Jamaica Observer
KINGSTON, Jamaica – The Ministry of National Security (MNS) on Sunday confirmed that a "cyber-incident" has affected access to the JamaicaEye website.
According to the ministry, there is no compromise...
According to the ministry, there is no compromise...
͏Не так давно мы сообщали об утечке данных 478 000 участников хакерской площадки RaidForums, которая засветилась на даркнет-форуме Exposed, запустившиемся с мая этого года в качестве альтернативы уже Breached.
Если Raid и Breached накрючили спецслужбы, то Exposed, как выяснилось, некренили конкуренты.
Изначально, форум был приостановлен на техническое обслуживание и на главной странице появилось сообщение о продаже площадки.
Впоследствии Dkota, администратор onniforums, заявил, что скомпрометировал Exposed, используя mybb 0-day.
По итогу получается, что Exposed, пришедший на замену Breached, уходит с молотка, а тем временем сам Breached торжественно возвращается.
Один из оставшихся на свободе его совладельцев, который работал с Pompompurin до его задержания, Baphomet решил возобновить проект, заручившись для этого поддержкой широко известной ShinyHunters.
Правда, как мы помним, сразу после силовой операции Baphomet дал заднюю, но, по всей видимости, ему придали ускорение.
Если Raid и Breached накрючили спецслужбы, то Exposed, как выяснилось, некренили конкуренты.
Изначально, форум был приостановлен на техническое обслуживание и на главной странице появилось сообщение о продаже площадки.
Впоследствии Dkota, администратор onniforums, заявил, что скомпрометировал Exposed, используя mybb 0-day.
По итогу получается, что Exposed, пришедший на замену Breached, уходит с молотка, а тем временем сам Breached торжественно возвращается.
Один из оставшихся на свободе его совладельцев, который работал с Pompompurin до его задержания, Baphomet решил возобновить проект, заручившись для этого поддержкой широко известной ShinyHunters.
Правда, как мы помним, сразу после силовой операции Baphomet дал заднюю, но, по всей видимости, ему придали ускорение.
͏Новый zero-day для VMware ESXi в руках китайской APT.
Проблему обнаружили специалисты из Mandiant, которые нашли уязвимость в гипервизоре, причем, как оказалось активно эксплуатируемой китайским актором.
Уязвимость использовалась злоумышленниками для взлома виртуальных машин Windows и Linux, кражи данных и установки вредоносного ПО на серверах жертв.
Однако в VMware посчитали, что уязвимость ESXi имеет «низкую серьезность», поскольку для эксплуатации требуется, чтобы злоумышленник уже получил root-доступ к целевой системе.
Активное использование уязвимости в Mandiant приписывают китайской группе UNC3886.
Сам недостаток отслеживается как CVE-2023-20867 и представляет собой обход аутентификации, который можно использовать, когда полностью скомпрометированный хост ESXi может заставить VMware Tools не аутентифицировать операции между хостами, влияя на конфиденциальность и целостность гостевой виртуальной машины.
В своем исследовании Mandiant сообщила, что для использования уязвимости злоумышленнику необходимо иметь доступ с привилегированной учетной записью к хосту ESXi, а на целевой гостевой машине должно быть установлено приложение для управления ПО VMware Tools.
И как только злоумышленник получит этот доступ, уязвимость позволит ему выполнить привилегированные действия на скомпрометированном хосте ESXi без необходимости аутентификации.
И даже несмотря на попытки VMware занизить оценку значимости уязвимости, инфосек-общественнность бомбит совсем по другому поводу.
Все дело в том, что Mandiant решили не заморачиваться и не давать IOC, ссылаясь на то, что этот конкретный злоумышленник менял индикаторы, упомянутые в публикациях, менее чем через неделю после их выпуска 👇
Проблему обнаружили специалисты из Mandiant, которые нашли уязвимость в гипервизоре, причем, как оказалось активно эксплуатируемой китайским актором.
Уязвимость использовалась злоумышленниками для взлома виртуальных машин Windows и Linux, кражи данных и установки вредоносного ПО на серверах жертв.
Однако в VMware посчитали, что уязвимость ESXi имеет «низкую серьезность», поскольку для эксплуатации требуется, чтобы злоумышленник уже получил root-доступ к целевой системе.
Активное использование уязвимости в Mandiant приписывают китайской группе UNC3886.
Сам недостаток отслеживается как CVE-2023-20867 и представляет собой обход аутентификации, который можно использовать, когда полностью скомпрометированный хост ESXi может заставить VMware Tools не аутентифицировать операции между хостами, влияя на конфиденциальность и целостность гостевой виртуальной машины.
В своем исследовании Mandiant сообщила, что для использования уязвимости злоумышленнику необходимо иметь доступ с привилегированной учетной записью к хосту ESXi, а на целевой гостевой машине должно быть установлено приложение для управления ПО VMware Tools.
И как только злоумышленник получит этот доступ, уязвимость позволит ему выполнить привилегированные действия на скомпрометированном хосте ESXi без необходимости аутентификации.
И даже несмотря на попытки VMware занизить оценку значимости уязвимости, инфосек-общественнность бомбит совсем по другому поводу.
Все дело в том, что Mandiant решили не заморачиваться и не давать IOC, ссылаясь на то, что этот конкретный злоумышленник менял индикаторы, упомянутые в публикациях, менее чем через неделю после их выпуска 👇
Поезд хайпа ИИ мчит на всех парах.
Reuters
France's Mistral AI raises 105 million euros shortly after being set up
French technology and artificial intelligence company Mistral AI has raised 105 million euros ($113.4 million) just a month after being set up, the company said on Tuesday, giving a boost to France's plans to market itself as a major global tech hub.
Microsoft пробивает очередное дно конфиденциальности со своими улучшениями в Edge после очередного обновления.
Новая история последовала сразу после того, как ранее в этом году пользователи обнаружили, что Edge пропускает часть своей истории просмотров в API Bing.
Теперь же анонсирована новая функция улучшения изображений.
Дело в том, что в отличие от Video Super Resolution, которое использует локальные ресурсы для улучшения качества видео, она отправляет URL-адреса изображений, которые пользователи загружают в свой браузер, обратно в Microsoft.
Она предназначена для масштабирования изображений с низким разрешением, делая их более четкими, а также улучшая освещение и контрастность.
При этом изображения кэшируются на 30 дней для повышения производительности.
Безусловно, это вызывало у сообщества серьезные опасения по поводу конфиденциальности после того, как в описании функции появились небольшие уточнения.
Причем опция включена по умолчанию, и пользователям необходимо вручную ее деактивировать, если они не хотят, чтобы их изображения отправлялись.
И это далеко не единственная серьезная проблема конфиденциальности в браузере: у BornCity есть хорошая подборка всех последних улучшений проблем.
Новая история последовала сразу после того, как ранее в этом году пользователи обнаружили, что Edge пропускает часть своей истории просмотров в API Bing.
Теперь же анонсирована новая функция улучшения изображений.
Дело в том, что в отличие от Video Super Resolution, которое использует локальные ресурсы для улучшения качества видео, она отправляет URL-адреса изображений, которые пользователи загружают в свой браузер, обратно в Microsoft.
Она предназначена для масштабирования изображений с низким разрешением, делая их более четкими, а также улучшая освещение и контрастность.
При этом изображения кэшируются на 30 дней для повышения производительности.
Безусловно, это вызывало у сообщества серьезные опасения по поводу конфиденциальности после того, как в описании функции появились небольшие уточнения.
Причем опция включена по умолчанию, и пользователям необходимо вручную ее деактивировать, если они не хотят, чтобы их изображения отправлялись.
И это далеко не единственная серьезная проблема конфиденциальности в браузере: у BornCity есть хорошая подборка всех последних
Malwarebytes
Edge browser feature sends images you view back to Microsoft
A new Edge feature labelled 'Enhance images in Microsoft Edge' has raised some privacy concerns because it sends information to Microsoft.
͏На фоне последних событий объявился Omnipotent, администратор печально известного RaidForums, который выкатил свои объяснения по поводу происхождения утечки данных более 400 тысяч пользователей подконтрольной ему в прошлом площадки.
Если вкратце, то Рафик ни в чем не виноват. RaidForums был захвачен и переведен в автономный режим ФБР. В настоящее время у него нет никаких планов по созданию замены.
Пытавшийся оседлать аудиторию RaidForums, задержанный американскими спецслужбами Помпомпурин предпринял попытку самоубийства.
Текущую ситуацию после операций правоохранителей назвал довольно плохой, усомнившись в этичности некоторых действий властей в этом вопросе и отметив, что США долгая история аморальных действий, что вцелом не удивляет. По поводу альтернативных площадок он не смог поручиться за их безопасность или надежность.
Утечка стала для него весьма неожиданной, поскольку никому никогда не предоставлялся доступ к базе данных. Одним из возможных сценариев утечки назвал: ранее незамеченный эксплойт, временный административный надзор за разрешениями, позволяющий загрузить резервную копию, или, возможно, вмешательство спецслужб.
Версию от автора утечки с загрузкой через панель администратора воспринимает с долей скептицизма, посетовав на дальнейшую судьбу тех пользователей, кто были небрежен со своим opsec. Для протокола: утечка базы данных, по-видимому, является подлинной и датируется концом 2020 года.
Впрочем, все как мы и предполагали. Но будем следить посмотреть.
Если вкратце, то Рафик ни в чем не виноват. RaidForums был захвачен и переведен в автономный режим ФБР. В настоящее время у него нет никаких планов по созданию замены.
Пытавшийся оседлать аудиторию RaidForums, задержанный американскими спецслужбами Помпомпурин предпринял попытку самоубийства.
Текущую ситуацию после операций правоохранителей назвал довольно плохой, усомнившись в этичности некоторых действий властей в этом вопросе и отметив, что США долгая история аморальных действий, что вцелом не удивляет. По поводу альтернативных площадок он не смог поручиться за их безопасность или надежность.
Утечка стала для него весьма неожиданной, поскольку никому никогда не предоставлялся доступ к базе данных. Одним из возможных сценариев утечки назвал: ранее незамеченный эксплойт, временный административный надзор за разрешениями, позволяющий загрузить резервную копию, или, возможно, вмешательство спецслужб.
Версию от автора утечки с загрузкой через панель администратора воспринимает с долей скептицизма, посетовав на дальнейшую судьбу тех пользователей, кто были небрежен со своим opsec. Для протокола: утечка базы данных, по-видимому, является подлинной и датируется концом 2020 года.
Впрочем, все как мы и предполагали. Но будем следить посмотреть.
