התגלו שני חולשות בלינוקס (במיוחד באובונטו, RHEL ו-Fedora) שמאפשרות לתוקף מקומי לגשת ל־password hashes מקובץ /etc/shadow דרך קבצי core dump.
הראשונה (CVE-2025-5054) מנצלת את מנגנון Apport של אובונטו והשנייה (CVE-2025-4598) את systemd-coredump. בשתיהן, התוקף מצליח לקבל גישה לזיכרון של תהליך עם הרשאות גבוהות, דרך יצירת קריסה מבוימת.
מומלץ לעדכן את המערכת.
כפתרון זמני, אפשר למנוע יצירת core dumps לתהליכי SUID עם הפקודה:
echo 0 > /proc/sys/fs/suid_dumpable
https://news.1rj.ru/str/CyberUpdatesIL/1561
הראשונה (CVE-2025-5054) מנצלת את מנגנון Apport של אובונטו והשנייה (CVE-2025-4598) את systemd-coredump. בשתיהן, התוקף מצליח לקבל גישה לזיכרון של תהליך עם הרשאות גבוהות, דרך יצירת קריסה מבוימת.
מומלץ לעדכן את המערכת.
echo 0 > /proc/sys/fs/suid_dumpable
https://news.1rj.ru/str/CyberUpdatesIL/1561
🔥1👏1
הרשויות בגרמניה חשפו את זהותו של מנהיג קבוצות הסייבר Trickbot ו-Conti, הידוע בכינוי "Stern", כוויטלי ניקולייביץ' קובאלב, אזרח רוסי בן 36.
קובאלב נחשב למייסד Trickbot, שפעלה כמו ארגון פשע מאורגן, תוך שימוש בכלים כמו BazarLoader, Ryuk ו-IcedID.
הקבוצה תקפה אלפי מוסדות, כולל בתי חולים ובתי ספר, וגרפה מאות מיליוני דולרים.
החשיפה התאפשרה במסגרת מבצע בינלאומי בשם Operation Endgame, שכלל ניתוח של תקשורות פנימיות שהודלפו מהקבוצות.
קובאלב כבר הועמד לדין בעבר בארה"ב תחת שמות אחרים, אך זו הפעם הראשונה שמקשרים אותו רשמית לכינוי "Stern". הוא מבוקש כעת בגרמניה, אך ככל הנראה שוהה ברוסיה, מה שמקשה על הסגרתו.
https://news.1rj.ru/str/CyberUpdatesIL/1562
קובאלב נחשב למייסד Trickbot, שפעלה כמו ארגון פשע מאורגן, תוך שימוש בכלים כמו BazarLoader, Ryuk ו-IcedID.
הקבוצה תקפה אלפי מוסדות, כולל בתי חולים ובתי ספר, וגרפה מאות מיליוני דולרים.
החשיפה התאפשרה במסגרת מבצע בינלאומי בשם Operation Endgame, שכלל ניתוח של תקשורות פנימיות שהודלפו מהקבוצות.
קובאלב כבר הועמד לדין בעבר בארה"ב תחת שמות אחרים, אך זו הפעם הראשונה שמקשרים אותו רשמית לכינוי "Stern". הוא מבוקש כעת בגרמניה, אך ככל הנראה שוהה ברוסיה, מה שמקשה על הסגרתו.
https://news.1rj.ru/str/CyberUpdatesIL/1562
❤4🔥2👍1
חדשנות
יפן נכנסה לחגיגה, Felo AI הוא מנוע חיפוש יפני חדש הבנוי על בינה מלאכותית.
מנוע חיפוש חכם, בדומה ל-Perplexity AI, אך עם יותר תכונות: הוא עוזר לך לחפש, ללמוד, לארגן ידע ואפילו ליצור מצגות מקבצים וקישורים.
הוא לא רק עונה, מנתח, מארגן ומספק תוכן אלא גם מוכן לעזור לכם עבודה או בלימודים.
אם מתחברים באמצעות חשבון גוגל, הממשק פשוט והאפליקציה זמינה באנדרואיד וב-iOS.
קישור לכלי: Felo.ai
https://news.1rj.ru/str/CyberUpdatesIL/1563
#AI
יפן נכנסה לחגיגה, Felo AI הוא מנוע חיפוש יפני חדש הבנוי על בינה מלאכותית.
מנוע חיפוש חכם, בדומה ל-Perplexity AI, אך עם יותר תכונות: הוא עוזר לך לחפש, ללמוד, לארגן ידע ואפילו ליצור מצגות מקבצים וקישורים.
הוא לא רק עונה, מנתח, מארגן ומספק תוכן אלא גם מוכן לעזור לכם עבודה או בלימודים.
אם מתחברים באמצעות חשבון גוגל, הממשק פשוט והאפליקציה זמינה באנדרואיד וב-iOS.
קישור לכלי: Felo.ai
https://news.1rj.ru/str/CyberUpdatesIL/1563
#AI
❤4👍1
חברת התכשיטים Cartier הודיע על פרצת אבטחה שהובילה לחשיפת מידע אישי של לקוחות.
בהודעה ללקוחות, נאמר כי גורם בלתי מורשה קיבל גישה למערכות החברה וגנב מידע הכולל שמות, כתובות אימייל והמדינה בה מתגורר הלקוח.
חברת Cartier מדגישה כי לא נחשף מידע רגיש יותר, כגון סיסמאות או פרטי תשלום.
החברה טיפלה באירוע, אך ממליצה ללקוחות להיות ערניים להודעות חשודות או ניסיונות פישינג.
https://news.1rj.ru/str/CyberUpdatesIL/1564
#אופנה
בהודעה ללקוחות, נאמר כי גורם בלתי מורשה קיבל גישה למערכות החברה וגנב מידע הכולל שמות, כתובות אימייל והמדינה בה מתגורר הלקוח.
חברת Cartier מדגישה כי לא נחשף מידע רגיש יותר, כגון סיסמאות או פרטי תשלום.
החברה טיפלה באירוע, אך ממליצה ללקוחות להיות ערניים להודעות חשודות או ניסיונות פישינג.
https://news.1rj.ru/str/CyberUpdatesIL/1564
#אופנה
👍1🔥1
חברת The North Face הודיעה סבלה מתקפת Credential Stuffing נגד אתר החברה, במסגרתה תוקפים השתמשו בפרטי התחברות שדלפו מאתרים אחרים כדי לנסות ולהיכנס לחשבונות של לקוחות.
במהלך המתקפה, נפרצו חשבונות והתקבל גישה למידע אישי כמו שמות, אימיילים, כתובות, היסטוריית רכישות, אך לא נחשפו פרטי אשראי, מאחר והחברה לא שומרת אותם במערכת.
החברה זיהתה את המתקפה ושלחה התראות למשתמשים שנפגעו, אפסה את כל הסיסמאות ודרשה מהלקוחות להגדיר סיסמה חדשה וגם להזין את פרטי התשלום בעת הרכישה הבאה.
https://news.1rj.ru/str/CyberUpdatesIL/1565
#אופנה
במהלך המתקפה, נפרצו חשבונות והתקבל גישה למידע אישי כמו שמות, אימיילים, כתובות, היסטוריית רכישות, אך לא נחשפו פרטי אשראי, מאחר והחברה לא שומרת אותם במערכת.
החברה זיהתה את המתקפה ושלחה התראות למשתמשים שנפגעו, אפסה את כל הסיסמאות ודרשה מהלקוחות להגדיר סיסמה חדשה וגם להזין את פרטי התשלום בעת הרכישה הבאה.
https://news.1rj.ru/str/CyberUpdatesIL/1565
#אופנה
👍2
עדכוני סייבר - אשר תמם
האתר של חברת ההלבשה התחתונה Victoria’s Secret.מושבתת כבר 3 ימים עקב תקרית אבטחה שלא פורטה. זוהי ההודעה המופיעה באתר האינטרנט שלהם. https://news.1rj.ru/str/CyberUpdatesIL/1558 #אופנה
זוכרים את זה 👆
ויקטוריה'ס סיקרט דוחה את פרסום הדו"חות הכספים עקב מתקפת הסייבר
המתקפה שגרמה להשבתת מערכות ואתר המכירות למשך מספר ימים.
האירוע לא השפיע על התוצאות הכספיות עצמן אבל על פרסומן, טרם פורסם מועד חדש לדו"ח.
ויקטוריה'ס סיקרט דוחה את פרסום הדו"חות הכספים עקב מתקפת הסייבר
המתקפה שגרמה להשבתת מערכות ואתר המכירות למשך מספר ימים.
האירוע לא השפיע על התוצאות הכספיות עצמן אבל על פרסומן, טרם פורסם מועד חדש לדו"ח.
👌3
עדכוני סייבר - אשר תמם
חברת Coinbase הודיעה על אירוע סייבר במערכות החברה דרך ספק חיצוני. התוצאה, דלף מידע אישי של כ-1 מיליון משתמשים. המידע שדלף כולל שמות מלאים, כתובות פיזיות, מספרי טלפון, כתובות אימייל, 4 הספרות האחרונות של מספרי ביטוח לאומי, פרטים חלקיים של חשבונות בנק, תמונות…
זוכרים את זה 👆
אז עובדי תמיכה של חברת TaskUs בהודו קבלו שוחד כדי כדי לספק מידע אישי של לקוחות
הנזק הכספי מוערך בין 180 ל-400 מיליון דולר.
אז עובדי תמיכה של חברת TaskUs בהודו קבלו שוחד כדי כדי לספק מידע אישי של לקוחות
הנזק הכספי מוערך בין 180 ל-400 מיליון דולר.
🔥3
גוגל פרסמה עדכון אבטחה משמעותי לאנדרואיד, שנועד לטפל ב-57 חולשות אבטחה, כולל אחת חמורה במיוחד שנוצלה בפועל, חולשה במנגנון Binder של אנדרואיד, שאפשרה לתוקף להריץ קוד זדוני על המכשיר מבלי שהמשתמש יידרש לבצע פעולה כלשהי.
הפגיעות הזו, כמו רבות אחרות שתוקנו בעדכון, השפיעה בעיקר על מכשירים המריצים אנדרואיד 13 ו-14 שלא עודכנו לגרסת האבטחה של חודש שעבר
העדכון כלל גם תיקונים למרכיבים קריטיים נוספים במערכת, גוגל ממליצה למשתמשים להימנע מהתקנת אפליקציות ממקורות לא אמינים.
https://news.1rj.ru/str/CyberUpdatesIL/1568
הפגיעות הזו, כמו רבות אחרות שתוקנו בעדכון, השפיעה בעיקר על מכשירים המריצים אנדרואיד 13 ו-14 שלא עודכנו לגרסת האבטחה של חודש שעבר
העדכון כלל גם תיקונים למרכיבים קריטיים נוספים במערכת, גוגל ממליצה למשתמשים להימנע מהתקנת אפליקציות ממקורות לא אמינים.
https://news.1rj.ru/str/CyberUpdatesIL/1568
🔥2👍1
ארגון Wireshark השיק הסמכה מקצועית חדשה Wireshark Certified Analyst (WCA-101), שמיועדת למהנדסי רשתות, אנליסטים בתחום הסייבר ואנשי IT שרוצים להעמיק ביכולות ניתוח תעבורת רשת באמצעות Wireshark.
ההסמכה מתמקדת בשימוש מעשי בכלי, עם דגש על פתרון תקלות בפרוטוקולים כמו TCP, UDP, DNS ו-DHCP ופענוח עומק של מנות רשת.
הבחינה עצמה כוללת ניתוח של תרחישי תקשורת אמיתיים, איתור תקלות ושימוש במסננים מתקדמים לאיתור חריגות כמו תקיפות SYN Flood או דליפות DNS.
היא מתאימה במיוחד למי שכבר שולט ביסודות הרשת (ברמת CCNA ומעלה), ורוצה להוכיח שליטה בכלי שהוא סטנדרט תעשייתי בתחום האנליזה והתגובה לאירועים.
למידע נוסף והרשמה: wireshark.org/certifications
https://news.1rj.ru/str/CyberUpdatesIL/1569
ההסמכה מתמקדת בשימוש מעשי בכלי, עם דגש על פתרון תקלות בפרוטוקולים כמו TCP, UDP, DNS ו-DHCP ופענוח עומק של מנות רשת.
הבחינה עצמה כוללת ניתוח של תרחישי תקשורת אמיתיים, איתור תקלות ושימוש במסננים מתקדמים לאיתור חריגות כמו תקיפות SYN Flood או דליפות DNS.
היא מתאימה במיוחד למי שכבר שולט ביסודות הרשת (ברמת CCNA ומעלה), ורוצה להוכיח שליטה בכלי שהוא סטנדרט תעשייתי בתחום האנליזה והתגובה לאירועים.
למידע נוסף והרשמה: wireshark.org/certifications
https://news.1rj.ru/str/CyberUpdatesIL/1569
שירות המודיעין הצבאי של אוקראינה (GUR) טוען כי ביצע פריצה למערכות של חברת טופולב, יצרנית המטוסים האסטרטגיים של רוסיה.
במהלך הפעולה, הושגו מסמכים טכניים, שרטוטים ונתונים על מטוסי קרב, כולל המפציץ העל-קולי Tu-22M3.
הנתונים שהושגו כוללים מידע על מערכות ניווט, מכ"ם, בקרת טיסה ומבנה המטוס בנוסף גם נחשפו פרטים על תקלות תפעוליות, תהליכי תחזוקה וניסויים במנועים.
ה-GUR מציין כי המידע שהושג יכול לסייע בזיהוי נקודות תורפה במטוסים הרוסיים, מה שעשוי להשפיע על יכולות ההגנה וההתקפה של רוסיה.
https://news.1rj.ru/str/CyberUpdatesIL/1570
במהלך הפעולה, הושגו מסמכים טכניים, שרטוטים ונתונים על מטוסי קרב, כולל המפציץ העל-קולי Tu-22M3.
הנתונים שהושגו כוללים מידע על מערכות ניווט, מכ"ם, בקרת טיסה ומבנה המטוס בנוסף גם נחשפו פרטים על תקלות תפעוליות, תהליכי תחזוקה וניסויים במנועים.
ה-GUR מציין כי המידע שהושג יכול לסייע בזיהוי נקודות תורפה במטוסים הרוסיים, מה שעשוי להשפיע על יכולות ההגנה וההתקפה של רוסיה.
https://news.1rj.ru/str/CyberUpdatesIL/1570
🔥2❤1
הרגולטור הגרמני להגנת מידע (BfDI) הטיל קנס של 45 מיליון אירו (כ-51.4 מיליון דולר) על חברת Vodafone GmbH, הסניף הגרמני של תאגיד התקשורת הבריטי, בשל הפרות חמורות של הגנת פרטיות ואבטחת מידע
הקנס מחולק לשניים :
1. 15 מיליון אירו בשל כשל בפיקוח על סוכנויות שותפות, שעובדיהן ביצעו שינויים לא מורשים בחוזים או שכנעו לקוחות לחתום על חוזים פיקטיביים
2. 30 מיליון אירו בשל חולשות באימות זהות במערכת "MeinVodafone" ובמוקד השירות, שאפשרו לתוקפים גישה לפרופילי eSIM של לקוחות
https://news.1rj.ru/str/CyberUpdatesIL/1571
#סלולר
הקנס מחולק לשניים :
1. 15 מיליון אירו בשל כשל בפיקוח על סוכנויות שותפות, שעובדיהן ביצעו שינויים לא מורשים בחוזים או שכנעו לקוחות לחתום על חוזים פיקטיביים
2. 30 מיליון אירו בשל חולשות באימות זהות במערכת "MeinVodafone" ובמוקד השירות, שאפשרו לתוקפים גישה לפרופילי eSIM של לקוחות
https://news.1rj.ru/str/CyberUpdatesIL/1571
#סלולר
❤3👍1
קבוצת תקיפה UNC6040 מבצעת קמפיין שמטרתו לגנוב מידע רגיש ממערכות Salesforce של ארגונים
התוקפים מתקשרים לעובדים בארגון ומתחזים לתמיכה של Salesforce, במהלך השיחה הם שולחים קישור להתקנת כלי בשם "Data Loader", אבל הקישור מוביל לגרסה מזויפת, ברגע שהעובד מתקין את הכלי ומאשר את הגישה, התוקפים מקבלים הרשאות גישה ל־Salesforce דרך ה-API.
משם הם שואבים מידע רגיש, פרטי לקוחות, מסמכים עסקיים ועוד. לפעמים הם משתמשים בגישה הזו גם כדי לחדור למערכות אחרות כמו Microsoft 365 ו-Slack.
הם לא משתמשים בקוד זדוני או חולשות, הכול מבוסס רק על הנדסה חברתית
https://news.1rj.ru/str/CyberUpdatesIL/1572
#הנדסה_חברתית
התוקפים מתקשרים לעובדים בארגון ומתחזים לתמיכה של Salesforce, במהלך השיחה הם שולחים קישור להתקנת כלי בשם "Data Loader", אבל הקישור מוביל לגרסה מזויפת, ברגע שהעובד מתקין את הכלי ומאשר את הגישה, התוקפים מקבלים הרשאות גישה ל־Salesforce דרך ה-API.
משם הם שואבים מידע רגיש, פרטי לקוחות, מסמכים עסקיים ועוד. לפעמים הם משתמשים בגישה הזו גם כדי לחדור למערכות אחרות כמו Microsoft 365 ו-Slack.
הם לא משתמשים בקוד זדוני או חולשות, הכול מבוסס רק על הנדסה חברתית
https://news.1rj.ru/str/CyberUpdatesIL/1572
#הנדסה_חברתית
👍1🔥1🤯1
בשורה סופר משמחת למפתחים, גוגל צפויה להשיק מודל חדש בשם Gemini Kingfall, למרות שלא פורסמו פרטים רשמיים על המודל, הוא הופיע לזמן קצר בפלטפורמת Google AI Studio לפני שהוסר, רמז לכך שמדובר במשהו חדש לגמרי ולא בשדרוג של אחד המודלים הקיימים כמו Gemini 2.5-Pro.
הדבר שהכי מושך תשומת לב ב-Kingfall הוא היכולת שלו לכתוב קוד ברמה יוצאת דופן. אחד הסיפורים של משתמש Reddit, שהצליח להפיק באמצעות המודל משחק דמוי Minecraft בתוך קובץ HTML אחד בלבד. כל מה שהוא סיפק למודל הייתה הנחיה של שלוש שורות, ומה שהוא קיבל בחזרה היה משחק שלם
אם המידע הזה מדויק, מדובר בקפיצת מדרגה אמיתית לכתיבת קוד.
https://news.1rj.ru/str/CyberUpdatesIL/1573
#AI
הדבר שהכי מושך תשומת לב ב-Kingfall הוא היכולת שלו לכתוב קוד ברמה יוצאת דופן. אחד הסיפורים של משתמש Reddit, שהצליח להפיק באמצעות המודל משחק דמוי Minecraft בתוך קובץ HTML אחד בלבד. כל מה שהוא סיפק למודל הייתה הנחיה של שלוש שורות, ומה שהוא קיבל בחזרה היה משחק שלם
אם המידע הזה מדויק, מדובר בקפיצת מדרגה אמיתית לכתיבת קוד.
https://news.1rj.ru/str/CyberUpdatesIL/1573
#AI
❤4
חברת Optima Tax Relief, המתמחה בפתרונות לבעיות מס בארה"ב, סובלת ממתקפת סייבר
ההאקרים טוענים כי גנבו כ-69 ג'יגה-בייט של מידע, הכולל קבצים פנימיים של החברה ותיקי לקוחות, וכעת מפרסמים אותם ברשת.
המתקפה כללה גם הצפנת שרתים וגניבת מידע לצד שיבוש פעילות.
המידע שנחשף כולל פרטים רגישים כמו מספרי תעודות זהות, כתובות ומספרי טלפון, נתונים שיכולים לשמש לגניבת זהות או הונאות נוספות.
נכון לעכשיו, החברה לא פרסמה תגובה פומבית בנוגע למתקפה או להיקף הפגיעה.
https://news.1rj.ru/str/CyberUpdatesIL/1574
ההאקרים טוענים כי גנבו כ-69 ג'יגה-בייט של מידע, הכולל קבצים פנימיים של החברה ותיקי לקוחות, וכעת מפרסמים אותם ברשת.
המתקפה כללה גם הצפנת שרתים וגניבת מידע לצד שיבוש פעילות.
המידע שנחשף כולל פרטים רגישים כמו מספרי תעודות זהות, כתובות ומספרי טלפון, נתונים שיכולים לשמש לגניבת זהות או הונאות נוספות.
נכון לעכשיו, החברה לא פרסמה תגובה פומבית בנוגע למתקפה או להיקף הפגיעה.
https://news.1rj.ru/str/CyberUpdatesIL/1574
👍2❤1
תוקפים פרצו לחשבון NPM של Gluestack והחדירו קוד זדוני ל־16 חבילות פופולריות ממשפחת react-native-aria, עם כמעט מיליון הורדות שבועיות.
הקוד איפשר שליטה מרחוק במחשבים של מפתחים שהתקינו את החבילות.
המתקפה נמשכה כמה שעות עד שזוהתה על ידי חברת Aikido Security ב־6 ביוני, אך אם מבוצע עדכון אוטומטי לספריות כדאי לבצע בדיקה
https://news.1rj.ru/str/CyberUpdatesIL/1575
#OSS
הקוד איפשר שליטה מרחוק במחשבים של מפתחים שהתקינו את החבילות.
המתקפה נמשכה כמה שעות עד שזוהתה על ידי חברת Aikido Security ב־6 ביוני, אך אם מבוצע עדכון אוטומטי לספריות כדאי לבצע בדיקה
https://news.1rj.ru/str/CyberUpdatesIL/1575
#OSS
❤2
מודל Kali-GPT הוא עוזר חכם חדש שמשולב בתוך Kali Linux והוא מיועד למומחי סייבר ולבודקי חדירה.
הוא מבוסס על GPT-4 ומאפשר להפעיל כלים כמו Nmap ו-Metasploit בצורה טבעית, להבין פקודות, לנתח תוצאות ולבנות תרחישי בדיקה אוטומטיים.
המטרה שלו היא לחסוך זמן, לפשט תהליכים מורכבים ולעזור גם למתחילים וגם למנוסים לעבוד בצורה יעילה וחכמה יותר.
בעתיד, הוא צפוי להפוך לבסיס לבדיקות ותגובה חצי-אוטומטיות לאיומים.
להתנסות לחץ כאן
https://news.1rj.ru/str/CyberUpdatesIL/1576
#AI
הוא מבוסס על GPT-4 ומאפשר להפעיל כלים כמו Nmap ו-Metasploit בצורה טבעית, להבין פקודות, לנתח תוצאות ולבנות תרחישי בדיקה אוטומטיים.
המטרה שלו היא לחסוך זמן, לפשט תהליכים מורכבים ולעזור גם למתחילים וגם למנוסים לעבוד בצורה יעילה וחכמה יותר.
בעתיד, הוא צפוי להפוך לבסיס לבדיקות ותגובה חצי-אוטומטיות לאיומים.
להתנסות לחץ כאן
https://news.1rj.ru/str/CyberUpdatesIL/1576
#AI
🤯9❤1
This media is not supported in your browser
VIEW IN TELEGRAM
#חדשנות
מי יותר טוב Gemini או ChatGPT ?
ההורדות של אפליקציית ג'מיני עברו את רף ChatGPT בין סוף אפריל לתחילת מאי
https://news.1rj.ru/str/CyberUpdatesIL/1578
#AI
מי יותר טוב Gemini או ChatGPT ?
ההורדות של אפליקציית ג'מיני עברו את רף ChatGPT בין סוף אפריל לתחילת מאי
https://news.1rj.ru/str/CyberUpdatesIL/1578
#AI
👍3👏1😁1
חוקר גילה פגיעות חמורה במערכת Salesforce שנבעה מאופן הטיפול בקלטים של משתמשים.
החוקר הצליח להחדיר קלט זדוני לשאילתות SOQL, מה שאיפשר לו לשלוף מידע רגיש ישירות ממסד הנתונים של הארגון (מדובר בפגיעות מסוג SOQL Injection, בדומה ל-SQL Injection הקלאסי, אך בסביבת Salesforce)
באמצעות טכניקות של fuzzing ו-blind injection, הוא הצליח לחשוף פרטי משתמשים, כתובות אימייל, מסמכים ועוד, גם בלי הרשאות גישה מורחבות. המשמעות היא שחברות רבות היו חשופות לאובדן מידע משמעותי.
חברת Salesforce תיקנה את הפגיעות בשקט וללא פרסום פומבי או הקצאת מזהה CVE, דבר שמעלה ביקורת על חוסר השקיפות😏
פעם שניה של Salesforce בערוץ השבוע🥴
https://news.1rj.ru/str/CyberUpdatesIL/1580
החוקר הצליח להחדיר קלט זדוני לשאילתות SOQL, מה שאיפשר לו לשלוף מידע רגיש ישירות ממסד הנתונים של הארגון (מדובר בפגיעות מסוג SOQL Injection, בדומה ל-SQL Injection הקלאסי, אך בסביבת Salesforce)
באמצעות טכניקות של fuzzing ו-blind injection, הוא הצליח לחשוף פרטי משתמשים, כתובות אימייל, מסמכים ועוד, גם בלי הרשאות גישה מורחבות. המשמעות היא שחברות רבות היו חשופות לאובדן מידע משמעותי.
חברת Salesforce תיקנה את הפגיעות בשקט וללא פרסום פומבי או הקצאת מזהה CVE, דבר שמעלה ביקורת על חוסר השקיפות
פעם שניה של Salesforce בערוץ השבוע
https://news.1rj.ru/str/CyberUpdatesIL/1580
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1🤬1
חברת United Natural Foods Inc. (UNFI), הספקית הראשית של Whole Foods,
ערבה מתקפת סייבר
החברה זיהתה פעילות זדונית במערכות ה-IT שלה בתגובה השביתה חלק מהמערכות, מה שהוביל לשיבושים ביכולת לעבד ולהפיץ הזמנות ליותר מ-30,000 נקודות מכירה בצפון אמריקה.
הפסקת המשלוחים גרמה למחסור במוצרי חלב וקפואים, והשפיעה על קמעונאים כמו Morton Williams.
מניית UNFI ירדה בכ-8.5% בעקבות האירוע
האירוע מצטרף לגל של מתקפות סייבר על קמעונאים גדולים
https://news.1rj.ru/str/CyberUpdatesIL/1581
#קמעונאות
ערבה מתקפת סייבר
החברה זיהתה פעילות זדונית במערכות ה-IT שלה בתגובה השביתה חלק מהמערכות, מה שהוביל לשיבושים ביכולת לעבד ולהפיץ הזמנות ליותר מ-30,000 נקודות מכירה בצפון אמריקה.
הפסקת המשלוחים גרמה למחסור במוצרי חלב וקפואים, והשפיעה על קמעונאים כמו Morton Williams.
מניית UNFI ירדה בכ-8.5% בעקבות האירוע
האירוע מצטרף לגל של מתקפות סייבר על קמעונאים גדולים
https://news.1rj.ru/str/CyberUpdatesIL/1581
#קמעונאות
❤1👍1🔥1