Цифра дня: ₽1 трлн - сумма, которую потратят на развитие 5G в России до 2027 года.
Такую оценку стоимости дали эксперты аналитического кредитного рейтингового агентства.
Такую оценку стоимости дали эксперты аналитического кредитного рейтингового агентства.
Топ 10 уязвимостей в приложениях на твоём смартфоне
Сейчас в мире больше 3,5 млрд пользователей смартфонов. Количество приложений на рынке тоже растёт, а вместе с этим увеличивается количество уязвимостей, желающих их эксплуатировать и жертв атак.
OWASP сделал рейтинг 10-и самых актуальных уязвимостей в приложениях и параллельно способы их устранения.
Громких атак за последние годы было достаточно. В памяти сразу всплывает шпионское ПО Pegasus, благодаря которому хакеры смогли получить управление телефоном через WhatsApp. Нашумевшим был и взлом Pokémon Go, когда проводились манипуляции GPS-данными для ловли большего количества покемонов.
Сейчас в мире больше 3,5 млрд пользователей смартфонов. Количество приложений на рынке тоже растёт, а вместе с этим увеличивается количество уязвимостей, желающих их эксплуатировать и жертв атак.
OWASP сделал рейтинг 10-и самых актуальных уязвимостей в приложениях и параллельно способы их устранения.
Громких атак за последние годы было достаточно. В памяти сразу всплывает шпионское ПО Pegasus, благодаря которому хакеры смогли получить управление телефоном через WhatsApp. Нашумевшим был и взлом Pokémon Go, когда проводились манипуляции GPS-данными для ловли большего количества покемонов.
😁1
Это вам не аквадискотека!
Кто бы мог подумать, но IT-миллиардер Евгений Касперский в своём инстике, по бартеру очевидно, рекламирует скромные машины от «Рено» (все до 1,5 млн рублей).
Каспер ездил на народных авто по трассе «Колыма» в Магадан и Читу, может выбирал места для ссылки хакеров (или экзотической удалёнки своих сотрудников?).
Нас умиляет конечно, когда люди с возможностью вызвать джет куда угодно показательно ездят на ладах калинах и рено дастерах.
Кто бы мог подумать, но IT-миллиардер Евгений Касперский в своём инстике, по бартеру очевидно, рекламирует скромные машины от «Рено» (все до 1,5 млн рублей).
Каспер ездил на народных авто по трассе «Колыма» в Магадан и Читу, может выбирал места для ссылки хакеров (или экзотической удалёнки своих сотрудников?).
Нас умиляет конечно, когда люди с возможностью вызвать джет куда угодно показательно ездят на ладах калинах и рено дастерах.
This media is not supported in your browser
VIEW IN TELEGRAM
«Сбер» купил себе робопса от Boston Dynamics. Его хотят использовать в исследовательских и образовательных целях: например, изучать, как он ведёт себя «в естественной среде» и взаимодействует с человеком.
Похоже, Грефу не дают покоя амбиции и желание сделать из компании российский «Amazon»
Похоже, Грефу не дают покоя амбиции и желание сделать из компании российский «Amazon»
Facebook слил переписку пользователя ФБР
Компания начала предоставлять данные участников штурма Капитолия ФБР, в том числе переписки. Ордер на обыск позволил федералам получить доступ и к странице Кристофера Келли, его IP-адресам, номеру телефона, почте Google и личным сообщениям.
Например, информация об IP-адресах помогла федералам узнать, что в день штурма Келли уехал из Нью-Йорка в Силвер Спринг, оказавшись рядом с Вашингтоном.
В сообщениях были переписки с другими участниками штурма Капитолия. Келли упоминал в них Proud Boys (ультраправое движение), говорил о слезоточивом газе, полиции и ультралевом движение «Антифа». Также, в чате он публиковал фотографию с американским флагом, сделанную в Вашингтоне.
Компания начала предоставлять данные участников штурма Капитолия ФБР, в том числе переписки. Ордер на обыск позволил федералам получить доступ и к странице Кристофера Келли, его IP-адресам, номеру телефона, почте Google и личным сообщениям.
Например, информация об IP-адресах помогла федералам узнать, что в день штурма Келли уехал из Нью-Йорка в Силвер Спринг, оказавшись рядом с Вашингтоном.
В сообщениях были переписки с другими участниками штурма Капитолия. Келли упоминал в них Proud Boys (ультраправое движение), говорил о слезоточивом газе, полиции и ультралевом движение «Антифа». Также, в чате он публиковал фотографию с американским флагом, сделанную в Вашингтоне.
Для москвичей очередной сюрприз: ваши данные с госуслуг могли украсть
Специалисты компании Postuf сообщили о уязвимости в мобильном приложении Госуслуг для Android. Благодаря ей можно было получить доступ к аккаунту, зная только номер телефона человека.
Тут три интересных момента:
-С помощью уязвимостью можно было не только получить доступ к данным, но и менять их.
-Уязвимость на момент «публикации» устранена
-Компания, обнаружившая уязвимость, сначала сделала историю публичной и только потом сообщила о ней владельцам сайта.
В 2020 году у сайта «Госуслуги Москвы» было 2,3 млн пользователей. Уязвимость в приложении давала возможность получить всю информацию, которую пользователь указал на сайте Госуслуг: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др. Кстати, благодаря номеру полиса ОМС и дате рождения появлялся доступ к медицинской информации человека(какие лекарства вам прописаны, чем страдаете физически и ментально)
Основатель компании Бекхан Гендаргеноевский (да, это настоящая фамилия) решил нарушить этику специалистов по кибербезопасности в благих целях: компания сначала сделала информацию об уязвимости публичной, а потом уже сообщила в ДИТ Москвы, чтобы сначала доказать факт наличия уязвимости.
Платежных данных на сайте госуслуг нет, да и те, что имеются для мошенничества не сильно помогут, так как по большей части нужно подтверждать личность в МФЦ, но потрепать нервы кому-нибудь, добавив информацию о несуществующей машине или использовать данные для социальной инженерии вполне возможно.
Специалисты компании Postuf сообщили о уязвимости в мобильном приложении Госуслуг для Android. Благодаря ей можно было получить доступ к аккаунту, зная только номер телефона человека.
Тут три интересных момента:
-С помощью уязвимостью можно было не только получить доступ к данным, но и менять их.
-Уязвимость на момент «публикации» устранена
-Компания, обнаружившая уязвимость, сначала сделала историю публичной и только потом сообщила о ней владельцам сайта.
В 2020 году у сайта «Госуслуги Москвы» было 2,3 млн пользователей. Уязвимость в приложении давала возможность получить всю информацию, которую пользователь указал на сайте Госуслуг: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др. Кстати, благодаря номеру полиса ОМС и дате рождения появлялся доступ к медицинской информации человека(какие лекарства вам прописаны, чем страдаете физически и ментально)
Основатель компании Бекхан Гендаргеноевский (да, это настоящая фамилия) решил нарушить этику специалистов по кибербезопасности в благих целях: компания сначала сделала информацию об уязвимости публичной, а потом уже сообщила в ДИТ Москвы, чтобы сначала доказать факт наличия уязвимости.
Платежных данных на сайте госуслуг нет, да и те, что имеются для мошенничества не сильно помогут, так как по большей части нужно подтверждать личность в МФЦ, но потрепать нервы кому-нибудь, добавив информацию о несуществующей машине или использовать данные для социальной инженерии вполне возможно.
This media is not supported in your browser
VIEW IN TELEGRAM
Литреев пишет, что зашёл в админку сайта «Законодательство России» с паролем admin/admin 😂 или как легко можно получить 272 УК РФ.
Студенты в городах России, которые все-таки собираются прогуляться завтра со своими товарищами, хотят использовать для коммуникации оффлайн - мессенджер Bridgefy на случай, если будут проблемы с интернетом. Стало интересно, как у него с конфиденциальностью. Итог: есть end-to-end шифрование, но используются cookies, а данные о геолокации и многое другое передаётся третьим лицам
У Ростелекома наблюдаются проблемы со связью, у Билайна, МТС крупные сбои, также сбой произошёл у Twitter
👍1
Ещё один момент, связанный с социальной сетью Parler:
После штурма Капитолия ее взломали и скачали оттуда все видео. Все лица участников собрали с помощью специального софта, опубликовали их на отдельном сайте и подарили ФБР.
Технологии использовались опенсорсные, а значит - доступны всем. Теперь авторитарным властям будет проще находить участников митингов, которых система распознавания лиц по каким-то причинам не идентифицировала.
Такой вот мир будущего, уже в настоящем.
https://www.wired.com/story/faces-of-the-riot-capitol-insurrection-facial-recognition/
После штурма Капитолия ее взломали и скачали оттуда все видео. Все лица участников собрали с помощью специального софта, опубликовали их на отдельном сайте и подарили ФБР.
Технологии использовались опенсорсные, а значит - доступны всем. Теперь авторитарным властям будет проще находить участников митингов, которых система распознавания лиц по каким-то причинам не идентифицировала.
Такой вот мир будущего, уже в настоящем.
https://www.wired.com/story/faces-of-the-riot-capitol-insurrection-facial-recognition/
Wired
A Site Published Every Face From Parler's Capitol Riot Videos
Faces of the Riot used open source software to detect, extract, and deduplicate every face from the 827 videos taken from the insurrection on January 6.
Данные 2,28 млн пользователей аналога Tinder слили в сеть
Когда происходит крупная утечка, базы данных обогащаются, а значит их ещё проще сопоставить с уже имеющимися данными на конкретных людей.
Когда происходит утечка данных с сайта для знакомств, которые в наше нелегкое и суматошное время выполняют функцию сервиса для поиска партнера для секса, неприятности дополняются и тем, что можно пострадать от вымогателей и шантажа. Особенно это ощутимо, если у вас есть жена и дети.
У MeetMindful произошла как раз такая утечка. Дамп с 1,2 Гб данных опубликовали на хакерском форуме.
Утечка включают такие данные:
▪ настоящие имена;
▪ адреса электронной почты;
▪ сведения о городе, штате и почтовом индексе;
▪ информацию о физических данных;
▪ предпочтения на свиданиях;
▪ семейный статус;
▪ даты рождения;
▪ IP-адреса;
▪ хешированные пароли от аккаунтов (bcrypt);
▪ ID пользователей Facebook;
▪ токены аутентификации Facebook.
Этой информации вполне достаточно для того, чтобы пользователи столкнулись в ближайшем будущем с угрозами раскрыть их историю семье, если они не выплатят выкуп.
Когда происходит крупная утечка, базы данных обогащаются, а значит их ещё проще сопоставить с уже имеющимися данными на конкретных людей.
Когда происходит утечка данных с сайта для знакомств, которые в наше нелегкое и суматошное время выполняют функцию сервиса для поиска партнера для секса, неприятности дополняются и тем, что можно пострадать от вымогателей и шантажа. Особенно это ощутимо, если у вас есть жена и дети.
У MeetMindful произошла как раз такая утечка. Дамп с 1,2 Гб данных опубликовали на хакерском форуме.
Утечка включают такие данные:
▪ настоящие имена;
▪ адреса электронной почты;
▪ сведения о городе, штате и почтовом индексе;
▪ информацию о физических данных;
▪ предпочтения на свиданиях;
▪ семейный статус;
▪ даты рождения;
▪ IP-адреса;
▪ хешированные пароли от аккаунтов (bcrypt);
▪ ID пользователей Facebook;
▪ токены аутентификации Facebook.
Этой информации вполне достаточно для того, чтобы пользователи столкнулись в ближайшем будущем с угрозами раскрыть их историю семье, если они не выплатят выкуп.
Бот в Телеграме продает номера пользователей Facebook
У мошенников, создавших бот, оказалось в наличии более полумиллиарда номеров. База с номерами появилась в результате уязвимости, которую устранили ещё в 2019 году, но с того времени многие не меняли свои мобильные номера.
Бота обнаружил ИБ-исследователь Алон Гал. Он написал об этом у себя в Твиттере.
У бота есть две функции: если у покупателя есть ID-пользователя, он может узнать его номер телефона, если есть номер телефона, можно найти страницу в Facebook. Один номер телефона обойдётся в 1500 р. Если верить скришнотам Гала, бот работает с середины января. У злоумышленников в распоряжении есть персональные данные жителей Канады, США, Великобритании, России и т.д.
К слову, в России есть похожий бот, который за небольшую сумму или месячную подписку ищет информацию по фотографиям человека, его номеру телефона или номеру автомобиля. Называется «Глаз Бога» @EyeGodsBot
У мошенников, создавших бот, оказалось в наличии более полумиллиарда номеров. База с номерами появилась в результате уязвимости, которую устранили ещё в 2019 году, но с того времени многие не меняли свои мобильные номера.
Бота обнаружил ИБ-исследователь Алон Гал. Он написал об этом у себя в Твиттере.
У бота есть две функции: если у покупателя есть ID-пользователя, он может узнать его номер телефона, если есть номер телефона, можно найти страницу в Facebook. Один номер телефона обойдётся в 1500 р. Если верить скришнотам Гала, бот работает с середины января. У злоумышленников в распоряжении есть персональные данные жителей Канады, США, Великобритании, России и т.д.
К слову, в России есть похожий бот, который за небольшую сумму или месячную подписку ищет информацию по фотографиям человека, его номеру телефона или номеру автомобиля. Называется «Глаз Бога» @EyeGodsBot
⚡️ Основатель DDoS-Guard Евгений Марченко в интервью РБК опроверг информацию о том, что их компания предоставляет хостинг социальной сети Parler, но подтвердил, что обеспечивают информационную защиту сайту.
Мне кажется, у нас в стране более развиты информационные сервисы, чем в США - Марченко
У нас нет идеологических взглядов. Наша компания не пытается пропагандировать какую-то идеологию. У нас есть сервис, мы оказываем услуги информационной безопастности - Марченко на вопрос о возможности сотрудничества с Parler
Apple выпустила обновление. Оно устраняет три 0-day уязвимости
В новой версии компания пофиксила три уязвимости, которые активно эксплуатировались хакерами.
Две уязвимости нашли в движке браузера, на котором работает Safari. Они позволяли осуществить удалённое выполнение кода(RCE). Третья уязвимость была в ядре ОС.
Рекомендуем как можно скорее обновиться до iOS 14.4
https://support.apple.com/en-us/HT212146
В новой версии компания пофиксила три уязвимости, которые активно эксплуатировались хакерами.
Две уязвимости нашли в движке браузера, на котором работает Safari. Они позволяли осуществить удалённое выполнение кода(RCE). Третья уязвимость была в ядре ОС.
Рекомендуем как можно скорее обновиться до iOS 14.4
https://support.apple.com/en-us/HT212146
Apple Support
About the security content of iOS 14.4 and iPadOS 14.4
This document describes the security content of iOS 14.4 and iPadOS 14.4.