DRUPAL-CERT-IL-W-1217.pdf
284.1 KB
מערך הסייבר הלאומי:
פגיעויות במערכת ניהול התוכן Drupal
פרויקט Drupal פרסם לאחרונה התרעת אבטחה נוספת עבור 2 פגיעויות קריטיות העלולות לאפשר לתוקף הרצת קוד מרחוק.
מומלץ לבחון ולעדכן גרסת התוכנה בהקדם האפשרי.
פגיעויות במערכת ניהול התוכן Drupal
פרויקט Drupal פרסם לאחרונה התרעת אבטחה נוספת עבור 2 פגיעויות קריטיות העלולות לאפשר לתוקף הרצת קוד מרחוק.
מומלץ לבחון ולעדכן גרסת התוכנה בהקדם האפשרי.
חולשה באוטו דיפו חשפה פרטים של לקוחות
חוקרי אבטחה הורידו בקלות מהאתר של הרשת כ-600 אלף חשבוניות, הכוללות שמות מלאים, כתובות, מספרי תעודת זהות וארבע ספרות אחרונות של כרטיס האשראי.
החברה ומערך הסייבר עודכנו וככל הידוע החולשה תוקנה
https://m.ynet.co.il/articles/58525310
חוקרי אבטחה הורידו בקלות מהאתר של הרשת כ-600 אלף חשבוניות, הכוללות שמות מלאים, כתובות, מספרי תעודת זהות וארבע ספרות אחרונות של כרטיס האשראי.
החברה ומערך הסייבר עודכנו וככל הידוע החולשה תוקנה
https://m.ynet.co.il/articles/58525310
לקראת Cyber Monday ערכה חברת סייברארק סקר בנוגע לרכישות אונליין ולסיכונים הכרוכים בכך.
ממצאים לדוגמא:
🔹 65% מהצרכנים שומרים סיסמאות ומספרי כרטיסי אשראי בטלפון הנייד
🔹 57% מאשרים כי הם מוכנים לקנות אונליין בחנויות לא מוכרות בשביל להשיג את המתנה המושלמת במחיר משתלם.
🔹 רק 26% מהצרכנים מאמינים כי ביכולת הספק לשמור על נתוני המשתמשים בצורה מאובטחת.
https://www.cyberark.com/resources/blog/when-every-day-is-cyber-monday-attackers-can-score-big
ממצאים לדוגמא:
🔹 65% מהצרכנים שומרים סיסמאות ומספרי כרטיסי אשראי בטלפון הנייד
🔹 57% מאשרים כי הם מוכנים לקנות אונליין בחנויות לא מוכרות בשביל להשיג את המתנה המושלמת במחיר משתלם.
🔹 רק 26% מהצרכנים מאמינים כי ביכולת הספק לשמור על נתוני המשתמשים בצורה מאובטחת.
https://www.cyberark.com/resources/blog/when-every-day-is-cyber-monday-attackers-can-score-big
מחוז דלאוור שבפנסילבניה ישלם חצי מיליון דולר להאקרים בכדי להשתחרר ממתקפת כופרה.
לטענת המחוז, התשלום יבוצע על ידי חברת הביטוח.
https://securityaffairs.co/wordpress/111654/cyber-crime/delaware-county-doppelpaymer-ransomware.html
לטענת המחוז, התשלום יבוצע על ידי חברת הביטוח.
https://securityaffairs.co/wordpress/111654/cyber-crime/delaware-county-doppelpaymer-ransomware.html
עכשיו זה מוכח מחקרית: חשיפת אירוע סייבר תעלה פחות מההסתרה שלו.
מחקר חדש מגלה נתון שרק מי שמבין בתפישת חוסן בסייבר מכיר - חשיפה גלויה של התמודדות עם מתקפת סייבר, בדגש על דלף מידע, תעלה לארגון כ-40% פחות מאשר עלות הסתרת האירוע, או גילויו באמצעות ערוצי המדיה השונים.
המחקר של קספרסקי (Kaspersky), "כיצד עסקים יכולים למזער את העלות של אירוע דלף מידע", מציג מתאם בין האופן בו נחשף דלף המידע – לבין סך ההפסדים הכספיים.
מניתוח הנתונים עולה כי קיים פער של 40%: 93,000 דולרים – הנזק שנגרם לארגונים שבחרו בדיווח שקוף לבעלי העניין; לעומת 155,000 דולרים – הנזק שנגרם לארגונים שבחרו להסתיר זאת.
https://www.pc.co.il/featured/326853/
מחקר חדש מגלה נתון שרק מי שמבין בתפישת חוסן בסייבר מכיר - חשיפה גלויה של התמודדות עם מתקפת סייבר, בדגש על דלף מידע, תעלה לארגון כ-40% פחות מאשר עלות הסתרת האירוע, או גילויו באמצעות ערוצי המדיה השונים.
המחקר של קספרסקי (Kaspersky), "כיצד עסקים יכולים למזער את העלות של אירוע דלף מידע", מציג מתאם בין האופן בו נחשף דלף המידע – לבין סך ההפסדים הכספיים.
מניתוח הנתונים עולה כי קיים פער של 40%: 93,000 דולרים – הנזק שנגרם לארגונים שבחרו בדיווח שקוף לבעלי העניין; לעומת 155,000 דולרים – הנזק שנגרם לארגונים שבחרו להסתיר זאת.
https://www.pc.co.il/featured/326853/
חברת הענק הצרפתית Banijay, המחזיקה בכ-120 חברות, נפלה קרבן למתקפת כופרה.
לפי הדיווחים, מלבד ההצפנה, התוקפים גם גנבו מידע רגיש, בשלב זה החברה לא מתכוונת לשלם את דמי הכופר שסכומם לא פורסם.
https://www.infosecurity-magazine.com/news/masterchef-producer-double
לפי הדיווחים, מלבד ההצפנה, התוקפים גם גנבו מידע רגיש, בשלב זה החברה לא מתכוונת לשלם את דמי הכופר שסכומם לא פורסם.
https://www.infosecurity-magazine.com/news/masterchef-producer-double
ב-11 לפברואר 2021 יתקיים כנס וירטואלי בנושא אבטחת מידע וסייבר במפעלים תעשייתיים.
הכנס יתקיים בין השעות 10:00-14:00 שעון ישראל.
מוזמנים להירשם ללא עלות כאן
הכנס יתקיים בין השעות 10:00-14:00 שעון ישראל.
מוזמנים להירשם ללא עלות כאן
מרוצים מהערוץ?
שתפו עם חברים:
@CyberSecurityIL
https://news.1rj.ru/str/joinchat/AAAAAFUSsJ2_fpPAkiIs3w
שתפו עם חברים:
@CyberSecurityIL
https://news.1rj.ru/str/joinchat/AAAAAFUSsJ2_fpPAkiIs3w
CISCO-CERT-IL-W-1218.pdf
303.9 KB
מערך הסייבר הלאומי:
פגיעויות במוצרי CISCO
חברת סיסקו פרסמה חמש התרעות אבטחה עבור פגיעויות שהתגלו במוצרים Webex Meetings ו- Identity Services Engine מתוצרתה.
אחת הפגיעויות (CVE-2020-3551) עלולה לאפשר הרצת קוד, בעוד פגיעות אחרת (CVE-2020-27122) עלולה לאפשר העלאת הרשאות ל-Root.
מומלץ לבחון ולהתקין בהקדם את הגרסאות העדכניות שפורסמו על-ידי החברה.
פגיעויות במוצרי CISCO
חברת סיסקו פרסמה חמש התרעות אבטחה עבור פגיעויות שהתגלו במוצרים Webex Meetings ו- Identity Services Engine מתוצרתה.
אחת הפגיעויות (CVE-2020-3551) עלולה לאפשר הרצת קוד, בעוד פגיעות אחרת (CVE-2020-27122) עלולה לאפשר העלאת הרשאות ל-Root.
מומלץ לבחון ולהתקין בהקדם את הגרסאות העדכניות שפורסמו על-ידי החברה.
קבוצת Black Shadow מפרסמת כי היא פרצה למאגר הנתונים של חברת "שירביט-חברה לביטוח" וכי מאגר הנתונים של לקוחות ועובדי החברה נגנב.
https://mobile.twitter.com/blacksh56710724
https://mobile.twitter.com/blacksh56710724
במשך שבעה חודשים גנבו האקרים סכום מצטבר של 800,000€ מכספומטים ברחבי איטליה.
https://gbhackers.com/hackers-steal-money/amp/
https://gbhackers.com/hackers-steal-money/amp/
מבקר המדינה מבקש לשכור האקרים - כדי שיפרצו למאגרים ממשלתיים
במטרה לאתר פרצות במאגרי הנתונים, בהם מידע רב על אזרחי ישראל, הוחלט לשכור פצחנים שינסו לבצע חדירות. ההאקרים יידרשו לקבל אישור מהשב"כ. עלות הפרויקט - מיליוני שקלים
https://13news.co.il/item/news/tech-digital-science/hackers-hired-1169383/
במטרה לאתר פרצות במאגרי הנתונים, בהם מידע רב על אזרחי ישראל, הוחלט לשכור פצחנים שינסו לבצע חדירות. ההאקרים יידרשו לקבל אישור מהשב"כ. עלות הפרויקט - מיליוני שקלים
https://13news.co.il/item/news/tech-digital-science/hackers-hired-1169383/
אזרח הודי נשפט בארה"ב ל-20 שנות מאסר וקנס של 9 מיליון דולר בגין ניהול מערך הונאות טלפוני.
האזרח, Hitesh Madhubhai Patel, ניהל במשך מספר שנים מרכזים טלפוניים שהתחזו לגורמים רשמיים בארה"ב (רשות המיסים ורשויות ההגירה) וגבו מאזרחי ארה"ב מיליוני דולרים.
https://thehackernews.com/2020/11/indian-national-gets-20-year-jail-in.html?m=1
האזרח, Hitesh Madhubhai Patel, ניהל במשך מספר שנים מרכזים טלפוניים שהתחזו לגורמים רשמיים בארה"ב (רשות המיסים ורשויות ההגירה) וגבו מאזרחי ארה"ב מיליוני דולרים.
https://thehackernews.com/2020/11/indian-national-gets-20-year-jail-in.html?m=1
בתאריך 8.12 בשעה 21:00 שעון ישראל תקיים חברת פאלו אלטו וובינר שיעסוק בהתפתחות מוצרי ההגנה על תחנות הקצה והמעבר מ-EDR ל-XDR.
מוזמנים להירשם כאן
מוזמנים להירשם כאן
הרשות הצרפתית להגנה על נתונים (CNIL) קנסה את ענקית הקמעונאות Carrefour בסכום של 3.7 מיליון דולר.
הקנס הושת על החברה בשל הפרה של תקנות הפרטיות GDPR ואי שמירה נאותה על מידע של לקוחות.
https://www.infosecurity-magazine.com/news/carrefour-handed-37-million-gdpr
הקנס הושת על החברה בשל הפרה של תקנות הפרטיות GDPR ואי שמירה נאותה על מידע של לקוחות.
https://www.infosecurity-magazine.com/news/carrefour-handed-37-million-gdpr
קרן השקעות הפועלת באיי קיימן השאירה מידע רגיש של לקוחות בענן של מייקרוסופט ללא הגנה.
המידע שהיה חשוף אונליין כולל בין השאר צילומי דרכונים, מסמכים הקשורים למשקיעים וכן מידע רגיש נוסף בקשור לפעילות החשבונאית של החברה.
( אני מצרף בתגובות חלק מהתמונות של הקבצים שנחשפו )
https://www.theregister.com/AMP/2020/12/01/auster_capital_data_breach
המידע שהיה חשוף אונליין כולל בין השאר צילומי דרכונים, מסמכים הקשורים למשקיעים וכן מידע רגיש נוסף בקשור לפעילות החשבונאית של החברה.
( אני מצרף בתגובות חלק מהתמונות של הקבצים שנחשפו )
https://www.theregister.com/AMP/2020/12/01/auster_capital_data_breach
חברת iHLS תקיים בתאריכים 8-9.12 את הכנס השישי לביטחון המולדת, חדשנות וסייבר.
הכנס ביוזמת מכון היצוא ומינהל סחר חוץ במשרד הכלכלה והתעשייה.
למעוניינים, ניתן להירשם ללא עלות כאן.
הכנס ביוזמת מכון היצוא ומינהל סחר חוץ במשרד הכלכלה והתעשייה.
למעוניינים, ניתן להירשם ללא עלות כאן.
נסיקה דרמטית של 440% בפישינג של מתחזים לחברות משלוחים מובילות בעולם
על פי חוקרי צ'ק פוינט, המגמה העולמית רלוונטית גם לישראל, שבה נצפתה עלייה של 103% בין חודש נובמבר לאוקטובר, כאשר מרבית המיילים הללו, 56%, זייפו הודעות הקשורות למשלוחים של אמזון, 36% של DHL ו-18% של פדקס
https://www.pc.co.il/featured/327010/
על פי חוקרי צ'ק פוינט, המגמה העולמית רלוונטית גם לישראל, שבה נצפתה עלייה של 103% בין חודש נובמבר לאוקטובר, כאשר מרבית המיילים הללו, 56%, זייפו הודעות הקשורות למשלוחים של אמזון, 36% של DHL ו-18% של פדקס
https://www.pc.co.il/featured/327010/
WesternDigital-CERT-IL-W-1219.pdf
292.2 KB
מערך הסייבר הלאומי:
התרעת אבטחה של חברת Western Digital
חברת Western Digital שחררה לאחרונה את גרסת הקושחה 5.04.114 עבור כוננים מסדרת My Cloud שמתוצרתה.
גרסה זו כוללת מספר שינויים בקושחה, ותיקונים למספר פגיעויות שנתגלו במוצר.
התרעת אבטחה של חברת Western Digital
חברת Western Digital שחררה לאחרונה את גרסת הקושחה 5.04.114 עבור כוננים מסדרת My Cloud שמתוצרתה.
גרסה זו כוללת מספר שינויים בקושחה, ותיקונים למספר פגיעויות שנתגלו במוצר.
חברת NTreatment המתפעלת את מערך הצילומים הרפואיים למספר בתי חולים השאירה מאגר מידע ללא הגנה המכיל מידע רפואי
מאגר המידע היה חשוף בענן של מייקרוסופט (Azure) ללא הגנה או מגבלה כלשהי, במאגר היו למעלה מ-100k צילומים רפואיים של לקוחות.
https://techcrunch.com/2020/12/01/ntreatment-lab-results-medical-records-exposed/amp/
מאגר המידע היה חשוף בענן של מייקרוסופט (Azure) ללא הגנה או מגבלה כלשהי, במאגר היו למעלה מ-100k צילומים רפואיים של לקוחות.
https://techcrunch.com/2020/12/01/ntreatment-lab-results-medical-records-exposed/amp/
יצאה לסבב קניות- חברת ivanti המספקת פתרונות טכנולוגיה, אוטומציה ואבט"מ לארגונים רכשה את חברות Pulse Secure ו- Mobile iron.
את חברת Mobile iron רכשה חברת ivanti תמורת 872 מיליון דולר.
המחיר תמורת Pulse Secure לא פורסם.
(למי שלא מכיר, חברת Pulse Secure מספקת פתרונות גישה מאובטחת מרחוק לרשת הארגונית.
חברת Mobile iron מספקת פתרונות לניהול ואבטחה של מכשירי סלולר).
https://www.ivanti.com/company/press-releases/2020/ivanti-acquires-mobileiron-and-pulse-secure
את חברת Mobile iron רכשה חברת ivanti תמורת 872 מיליון דולר.
המחיר תמורת Pulse Secure לא פורסם.
(למי שלא מכיר, חברת Pulse Secure מספקת פתרונות גישה מאובטחת מרחוק לרשת הארגונית.
חברת Mobile iron מספקת פתרונות לניהול ואבטחה של מכשירי סלולר).
https://www.ivanti.com/company/press-releases/2020/ivanti-acquires-mobileiron-and-pulse-secure