🤔 Вопросы четвертого дня нашего квиз-марафона уже доступны на сайте!
Сегодня вас ждет викторина в лучших традициях «Черного зеркала». Поговорим о «цифре» и о том, как она влияет на нашу жизнь.
🧑💻 Сколько процентов россиян заклеивали камеры на своих ноутбуках в 2015 году?
🤯 Почему в 2022 году весь мир встревожило увольнение рядового сотрудника Google?
🔥 Из-за чего в 2017 году самовозгорались смартфоны Samsung Galaxy Note 7?
За правильные ответы на эти и другие вопросы вы получите по 4 балла. Ответить на них можно у нас на сайте: https://20.seclab.ru/
А если вы не успели ответить на вопросы предыдущих дней, то можете сделать это прямо сейчас:
— Первый день.
— Второй день.
— Третий день.
Сегодня вас ждет викторина в лучших традициях «Черного зеркала». Поговорим о «цифре» и о том, как она влияет на нашу жизнь.
🧑💻 Сколько процентов россиян заклеивали камеры на своих ноутбуках в 2015 году?
🤯 Почему в 2022 году весь мир встревожило увольнение рядового сотрудника Google?
🔥 Из-за чего в 2017 году самовозгорались смартфоны Samsung Galaxy Note 7?
За правильные ответы на эти и другие вопросы вы получите по 4 балла. Ответить на них можно у нас на сайте: https://20.seclab.ru/
А если вы не успели ответить на вопросы предыдущих дней, то можете сделать это прямо сейчас:
— Первый день.
— Второй день.
— Третий день.
❤9👍9⚡3🔥3💯2
Российские власти обсуждают ужесточение законов о доступе детей в интернет
— Основанием для этого может стать проведенное Государственным университетом управления масштабное исследование о поведении детей в Сети.
— Как показало исследование, 72% подростков смотрят в интернете материалы со сценами насилия и другим неприятным содержанием, 47% получали предложения попробовать наркотики, алкоголь или заработать, распространяя информацию о них, а 28% подвергались преследованиям и угрозам.
— Регистрацию в соцсетях авторы исследования предлагают проводить по паспортным данным с указанием подлинного имени и с предоставлением документа в электронном виде. При этом, регистрировать детей, которым меньше 14 лет, смогут только родители ребенка или его законные представители.
— За факты кибербуллинга авторы предлагают ввести административную и уголовную ответственность.
https://www.securitylab.ru/news/535366.php
— Основанием для этого может стать проведенное Государственным университетом управления масштабное исследование о поведении детей в Сети.
— Как показало исследование, 72% подростков смотрят в интернете материалы со сценами насилия и другим неприятным содержанием, 47% получали предложения попробовать наркотики, алкоголь или заработать, распространяя информацию о них, а 28% подвергались преследованиям и угрозам.
— Регистрацию в соцсетях авторы исследования предлагают проводить по паспортным данным с указанием подлинного имени и с предоставлением документа в электронном виде. При этом, регистрировать детей, которым меньше 14 лет, смогут только родители ребенка или его законные представители.
— За факты кибербуллинга авторы предлагают ввести административную и уголовную ответственность.
https://www.securitylab.ru/news/535366.php
SecurityLab.ru
Российские власти обсуждают ужесточение законов о доступе детей в интернет
Эксперты считают необходимым разработать и принять закон, согласно которому регистрацию в социальных сетях следует проводить по паспортным данным.
🤡65👍25👎9💩3🤣3❤1
В РФ могут создать межведомственную рабочую группу, которая проработает вопрос выделения частот для управления беспилотными летающими аппаратами.
— В группу плaнируют включить прeдстaвитeлeй Минпромторгa и Росaвиaции, a тaкжe иных зaинтeрeсовaнных вeдомств и прeдстaвитeлeй бизнeс-сообщeствa.
— В прeдвaритeльных мaтeриaлaх Госкомиссии скaзaно о возможности использовaния для упрaвлeния дронaми чaстот 1,7–1,8 ГГц. Сeйчaс грaждaнскиe бeспилотники по большeй чaсти упрaвляются и пeрeдaют видeодaнныe нa чaстотaх 2,4 ГГц — нa них жe рaботaeт WiFi.
— Выдeлeниe новых чaстот для дронов (чaстоты 1,7–1,8 ГГц, обознaчeнныe в мaтeриaлaх ГКРЧ, сeйчaс примeняются нa сeтях LTE) — шaг к тому, чтобы прeврaтить сотовыe сeти в полноцeнныe систeмы упрaвлeния дронaми, охвaтывaющиe прaктичeски всю стрaну, считают эксперты.
https://www.securitylab.ru/news/535363.php
— В группу плaнируют включить прeдстaвитeлeй Минпромторгa и Росaвиaции, a тaкжe иных зaинтeрeсовaнных вeдомств и прeдстaвитeлeй бизнeс-сообщeствa.
— В прeдвaритeльных мaтeриaлaх Госкомиссии скaзaно о возможности использовaния для упрaвлeния дронaми чaстот 1,7–1,8 ГГц. Сeйчaс грaждaнскиe бeспилотники по большeй чaсти упрaвляются и пeрeдaют видeодaнныe нa чaстотaх 2,4 ГГц — нa них жe рaботaeт WiFi.
— Выдeлeниe новых чaстот для дронов (чaстоты 1,7–1,8 ГГц, обознaчeнныe в мaтeриaлaх ГКРЧ, сeйчaс примeняются нa сeтях LTE) — шaг к тому, чтобы прeврaтить сотовыe сeти в полноцeнныe систeмы упрaвлeния дронaми, охвaтывaющиe прaктичeски всю стрaну, считают эксперты.
https://www.securitylab.ru/news/535363.php
SecurityLab.ru
В России для дронов могут выделить специальный диапазон
Для этого планируют создaть мeжвeдомствeнную рaбочую группу, в которую войдут прeдстaвитeлeй Минпромторгa и Росaвиaции.
👍33🤡22⚡5🔥3🤣2❤1💩1
Клавиатура Corsair научилась набирать текст без пользователя
— Компания Corsair подтвердила, что ее клавиатура K100 самостоятельно набирает ранее написанный текст.
— Причиной столь странного поведения является не вредоносное ПО, а ошибка в прошивке, из-за которой клавиатура набирает ранее введенный текст спустя несколько дней.
— В заявлении компании говорится, что клавиатуры иногда вводят текст самостоятельно из-за ошибки в функции записи макросов – K100 начинает случайно записывать макрос, который позже срабатывает при нажатии определенных клавиш.
https://www.securitylab.ru/news/535369.php
— Компания Corsair подтвердила, что ее клавиатура K100 самостоятельно набирает ранее написанный текст.
— Причиной столь странного поведения является не вредоносное ПО, а ошибка в прошивке, из-за которой клавиатура набирает ранее введенный текст спустя несколько дней.
— В заявлении компании говорится, что клавиатуры иногда вводят текст самостоятельно из-за ошибки в функции записи макросов – K100 начинает случайно записывать макрос, который позже срабатывает при нажатии определенных клавиш.
https://www.securitylab.ru/news/535369.php
SecurityLab.ru
Клавиатура Corsair научилась набирать текст без пользователя
Причиной столь странного поведения является не вредоносное ПО, а баг в прошивке клавиатуры.
🤣69👍11💩4⚡3❤1
🏁 Начинается финальный день квиз-марафона в честь нашего 20-летия!
Сегодня вас ждут самые сложные вопросы, ответить на которые под силу только участнику «Битвы экстрасенсов» или тому, кто реально живет проблемами сферы кибербезопасности.
🤔 Как назывался первый русский Linux-дистрибутив для хакеров?
🧑💻 Сколько времени потребовалось Мэттью Хики, эксперту компании Hacker House, чтобы обойти защиту «самой безопасной» Windows 10 S?
🛑 Чем промышлял закрытый в 2022 году хакерский форум RaidForums?
За правильные ответы на эти и другие вопросы вы получите по пять баллов! Ждем ваших ответов на сайте: https://20.seclab.ru/
Также сегодня последний шанс успеть ответить на вопросы предыдущих дней:
1️⃣ Первый день.
2️⃣ Второй.
3️⃣ Третий.
4️⃣ Четвертый.
Получить фирменный мерч SecurityLab участникам, которые наберут больше всего баллов, можно будет на закрытой вечеринке. Подробную информацию о мероприятии мы отправим на электронную почту!
#SecLab20
Сегодня вас ждут самые сложные вопросы, ответить на которые под силу только участнику «Битвы экстрасенсов» или тому, кто реально живет проблемами сферы кибербезопасности.
🤔 Как назывался первый русский Linux-дистрибутив для хакеров?
🧑💻 Сколько времени потребовалось Мэттью Хики, эксперту компании Hacker House, чтобы обойти защиту «самой безопасной» Windows 10 S?
🛑 Чем промышлял закрытый в 2022 году хакерский форум RaidForums?
За правильные ответы на эти и другие вопросы вы получите по пять баллов! Ждем ваших ответов на сайте: https://20.seclab.ru/
Также сегодня последний шанс успеть ответить на вопросы предыдущих дней:
1️⃣ Первый день.
2️⃣ Второй.
3️⃣ Третий.
4️⃣ Четвертый.
Получить фирменный мерч SecurityLab участникам, которые наберут больше всего баллов, можно будет на закрытой вечеринке. Подробную информацию о мероприятии мы отправим на электронную почту!
#SecLab20
🔥13👍9❤1💩1
Британские кибернетические силы набирает IT-экспертов и знатоков русского языка
— Национальные кибернетические силы (National Cyber Force, NCF) Великобритании ведут набор специалистов для совершения хакерских атак на другие государства. Об этом 21 декабря сообщило издание The Times.
— Как пишет издание, всего NCF планирует привлечь около 3 тыс. IT-специалистов. Преимуществом является знание языков программирования, таких как Python, C++, Java, JavaScript, Rust.
— Кроме того, спецслужба набирает людей с необычным мышлением, которые обладают познаниями в математике и точных науках и имеют «диплом об образовании по английскому, русскому и арабскому языкам».
https://www.securitylab.ru/news/535377.php
— Национальные кибернетические силы (National Cyber Force, NCF) Великобритании ведут набор специалистов для совершения хакерских атак на другие государства. Об этом 21 декабря сообщило издание The Times.
— Как пишет издание, всего NCF планирует привлечь около 3 тыс. IT-специалистов. Преимуществом является знание языков программирования, таких как Python, C++, Java, JavaScript, Rust.
— Кроме того, спецслужба набирает людей с необычным мышлением, которые обладают познаниями в математике и точных науках и имеют «диплом об образовании по английскому, русскому и арабскому языкам».
https://www.securitylab.ru/news/535377.php
SecurityLab.ru
Британские кибернетические силы набирает IT-экспертов и знатоков русского языка
Всего спецслужба планирует привлечь около 3 тыс. IT-специалистов.
🤡33👍19💩10❤8🔥8🤣2🖕2⚡1👎1
Правительство одобрило около 70 проектов ПО на замену западным аналогам
— 16 декабря 2022 года правительство утвердило «дорожную карту» развития «Нового общесистемного программного обеспечения» (НОПО) в России до 2030 года. Согласно документу, до 2030 года отечественные разработчики вложат в свои продукты и сервисы более 70 млрд руб. Сейчас в «дорожной карте» около 70 одобренных проектов.
— В число структур, причастных к реализации «карты», планируется включить 1С, «Лабораторию Касперского», VK и Центр компетенций по импортозамещению ИКТ.
— К 2030 году, следует из документов, 71% российского рынка общесистемного и прикладного ПО будет отечественным, ожидаемая выручка от проектов составит 211 млрд руб., а аудитория российских соцсетей и мессенджеров достигнет 120 млн пользователей.
https://www.securitylab.ru/news/535381.php
— 16 декабря 2022 года правительство утвердило «дорожную карту» развития «Нового общесистемного программного обеспечения» (НОПО) в России до 2030 года. Согласно документу, до 2030 года отечественные разработчики вложат в свои продукты и сервисы более 70 млрд руб. Сейчас в «дорожной карте» около 70 одобренных проектов.
— В число структур, причастных к реализации «карты», планируется включить 1С, «Лабораторию Касперского», VK и Центр компетенций по импортозамещению ИКТ.
— К 2030 году, следует из документов, 71% российского рынка общесистемного и прикладного ПО будет отечественным, ожидаемая выручка от проектов составит 211 млрд руб., а аудитория российских соцсетей и мессенджеров достигнет 120 млн пользователей.
https://www.securitylab.ru/news/535381.php
SecurityLab.ru
Правительство одобрило около 70 проектов ПО на замену западным аналогам
До 2030 года отечественные разработчики вложат в свои продукты и сервисы более 70 млрд руб.
🤡49👍30❤4💩4🤣2⚡1👎1🔥1
Пользователи LastPass: ваша информация и данные хранилища паролей теперь в руках хакеров
— Менеджер паролей LastPass предупредил клиентов , что в результате кибератаки на его системы в августе злоумышленники скопировали зашифрованные файлы, содержащие пароли.
— По словам компании, злоумышленники также скопировали данные «хранилища клиентов» — файл, который LastPass использует, чтобы клиенты могли записывать свои пароли.
— Это означает, что у злоумышленников есть пароли пользователей. Но они зашифрованы с помощью «256-битного AES-шифрования и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
https://www.securitylab.ru/news/535382.phpr=1
— Менеджер паролей LastPass предупредил клиентов , что в результате кибератаки на его системы в августе злоумышленники скопировали зашифрованные файлы, содержащие пароли.
— По словам компании, злоумышленники также скопировали данные «хранилища клиентов» — файл, который LastPass использует, чтобы клиенты могли записывать свои пароли.
— Это означает, что у злоумышленников есть пароли пользователей. Но они зашифрованы с помощью «256-битного AES-шифрования и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
https://www.securitylab.ru/news/535382.phpr=1
SecurityLab.ru
Пользователи LastPass: ваша информация и данные хранилища паролей теперь в руках хакеров
Опасения пользователей подтвердились, а LastPass попытался утешить клиентов.
🔥29💩21👍11🤣6❤3
Мишустин утвердил концепцию развития культуры кибербезопасности россиян
— Стратегической целью госполитики в повышении культуры информационной безопасности является формирование у граждан навыков противодействия киберугрозам и повышение общего уровня киберграмотности.
— Планируется регулярно проводить мониторинг уровня грамотности граждан, доносить до них информацию о возможных последствиях несоблюдения правил кибергигиены, повышать их доверие "к цифровым сервисам, в том числе государственным".
—Особое внимание в концепции уделено работе с гражданами до 18 и старше 45 лет, как "наиболее уязвимым категориям". Кроме того, предполагается и повышение киберграмотности чиновников.
https://www.securitylab.ru/news/535389.php
— Стратегической целью госполитики в повышении культуры информационной безопасности является формирование у граждан навыков противодействия киберугрозам и повышение общего уровня киберграмотности.
— Планируется регулярно проводить мониторинг уровня грамотности граждан, доносить до них информацию о возможных последствиях несоблюдения правил кибергигиены, повышать их доверие "к цифровым сервисам, в том числе государственным".
—Особое внимание в концепции уделено работе с гражданами до 18 и старше 45 лет, как "наиболее уязвимым категориям". Кроме того, предполагается и повышение киберграмотности чиновников.
https://www.securitylab.ru/news/535389.php
SecurityLab.ru
Мишустин утвердил концепцию развития культуры кибербезопасности россиян
Регионам рекомендовано опираться на нее при формировании собственных программ в сфере информационной безопасности.
🤣52👍33🤡16❤3💩3👎2💯2🖕1
Microsoft оштрафовали на 60 млн евро за нарушение использования файлов cookie
— Французский регулятор CNIL оштрафовал корпорацию Microsoft на 60 млн евро за нарушения, касающиеся использования cookie -файлов ее поисковым сервисом Bing.
— Штраф был наложен из-за того, что софтверный гигант не реализовал в своей поисковой системе Bing механизм, позволяющий пользователям легко отказываться от использования файлов cookie.
— Корпорации Microsoft дали три месяца на внесение изменений в практику использования cookie-файлов. В случае нарушения сроков за каждый день отсрочки Microsoft будет выплачивать штраф по 60 тысяч евро.
https://www.securitylab.ru/news/535392.php
— Французский регулятор CNIL оштрафовал корпорацию Microsoft на 60 млн евро за нарушения, касающиеся использования cookie -файлов ее поисковым сервисом Bing.
— Штраф был наложен из-за того, что софтверный гигант не реализовал в своей поисковой системе Bing механизм, позволяющий пользователям легко отказываться от использования файлов cookie.
— Корпорации Microsoft дали три месяца на внесение изменений в практику использования cookie-файлов. В случае нарушения сроков за каждый день отсрочки Microsoft будет выплачивать штраф по 60 тысяч евро.
https://www.securitylab.ru/news/535392.php
SecurityLab.ru
Microsoft оштрафовали на 60 млн евро за нарушение использования файлов cookie
Штраф был наложен из-за того, что софтверный гигант не реализовал в своей поисковой системе Bing механизм, позволяющий пользователям легко отказываться от использования файлов cookie.
👍61🔥13🤡9😈4⚡3❤1💩1
Спикер Госдумы Володин предлагает поднять налоги для уехавших айтишников
— Находящиеся за пределами страны специалисты, которые работают в российских компаниях на удаленном режиме, продолжают пользоваться всеми льготами, положенными им по российским законам.
— По мнению Володина, справедливым решением станет отмена преференций для покинувших Россию граждан и повышение для них налогов.
— «Так будет справедливо. Работаем над соответствующими изменениями в законодательство», – заключил политик.
https://www.securitylab.ru/news/535394.php
— Находящиеся за пределами страны специалисты, которые работают в российских компаниях на удаленном режиме, продолжают пользоваться всеми льготами, положенными им по российским законам.
— По мнению Володина, справедливым решением станет отмена преференций для покинувших Россию граждан и повышение для них налогов.
— «Так будет справедливо. Работаем над соответствующими изменениями в законодательство», – заключил политик.
https://www.securitylab.ru/news/535394.php
SecurityLab.ru
Спикер Госдумы Володин предлагает поднять налоги для уехавших айтишников
Абсолютно справедливо лишить таких людей преференции, которые им сейчас обеспечивает трудовое законодательство в рамках дистанционной работы из-за рубежа.
👍88💩85🤡50🤣8👎6💯2❤1
Компании заплатят до 500 млн рублей за утечки персональных данных
— Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных в компаниях, который предусматривает введение штрафов от пяти до 500 млн рублей.
— Штраф в 500 миллионов рублей будет назначаться компаниям, которые с момента принятия закона повторно допустили утечку данных или попыталась скрыть инцидент.
— Штраф будут рассчитывать от размера выручки компании за календарный год, предшествующий году, в котором была выявлена утечка.
https://www.securitylab.ru/news/535395.php
— Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных в компаниях, который предусматривает введение штрафов от пяти до 500 млн рублей.
— Штраф в 500 миллионов рублей будет назначаться компаниям, которые с момента принятия закона повторно допустили утечку данных или попыталась скрыть инцидент.
— Штраф будут рассчитывать от размера выручки компании за календарный год, предшествующий году, в котором была выявлена утечка.
https://www.securitylab.ru/news/535395.php
SecurityLab.ru
Компании заплатят до 500 млн рублей за утечки персональных данных
Максимальный штраф в 500 млн рублей будет назначаться компаниям, которые с момента принятия закона повторно допустили утечку данных или попыталась скрыть инцидент.
👍69🤡15🔥5❤4😈4⚡3🤣3
В следственном комитете России обсудили меры борьбы с киберпреступностью
— Глава ведомства Александр Бастрыкин поручил подчиненным сформулировать основные направления будущей программы развития СК в IT-сфере с использованием исключительно отечественных технологий.
— Бастрыкин также предложил проработать вопрос о заключении соглашений с некоторыми компаниями в сфере информационных технологий, кибербезопасности и "обладающих инструментами обработки больших объемов данных". «Такие соглашения ускорят обмен информацией по электронным каналам связи с этими компаниями. Возможности, которыми они располагают, значительно помогают следствию в расследовании преступлений», - отметил он.
— Кроме того, в ходе совещания в ведомстве обсудили идею создания единого криминалистического учета электронных следов. Как объяснили в СК, подобная база позволит улучшить взаимодействие между следователями из разных регионов, в случае если одни и те же лица совершали преступления в нескольких субъектах РФ.
https://www.securitylab.ru/news/535400.php
— Глава ведомства Александр Бастрыкин поручил подчиненным сформулировать основные направления будущей программы развития СК в IT-сфере с использованием исключительно отечественных технологий.
— Бастрыкин также предложил проработать вопрос о заключении соглашений с некоторыми компаниями в сфере информационных технологий, кибербезопасности и "обладающих инструментами обработки больших объемов данных". «Такие соглашения ускорят обмен информацией по электронным каналам связи с этими компаниями. Возможности, которыми они располагают, значительно помогают следствию в расследовании преступлений», - отметил он.
— Кроме того, в ходе совещания в ведомстве обсудили идею создания единого криминалистического учета электронных следов. Как объяснили в СК, подобная база позволит улучшить взаимодействие между следователями из разных регионов, в случае если одни и те же лица совершали преступления в нескольких субъектах РФ.
https://www.securitylab.ru/news/535400.php
SecurityLab.ru
В следственном комитете России обсудили меры борьбы с киберпреступностью
Бастрыкин поручил подчиненным сформулировать основные направления будущей программы развития СК в IT-сфере с использованием исключительно отечественных технологий.
🤣40👍18🤡5⚡4❤3
Цифровое самоповреждение – развивающаяся проблема среди подростков, которые большинство времени проводят в Интернете. Кто-то из них стал жертвой явления Self-Harm не по своей воле, а кто-то таким образом решает внутренние психологические проблемы. В любом случае такое деструктивное поведение не приносит пользы и требует поддержки со стороны родителей или психологов. В этой статье мы рассказали, как вы можете помочь своему ребенку и предупредить его самоповреждение в будущем.
https://www.securitylab.ru/analytics/535254.php?r=2
https://www.securitylab.ru/analytics/535254.php?r=2
SecurityLab.ru
Цифровое самоповреждение: что это и как перестать уничтожать самого себя?
Сейчас подростки общаются преимущественно в цифровой среде, поэтому родители должны задуматься о том, являются ли их дети жертвами кибербуллинга или цифрового самоповреждения.
👍21💩14🤡8🔥3❤1⚡1😍1
Сбер: Глобальный разум – одна из главных киберугроз будущего
— Аналитики «Сбера» дали прогноз влияния новых технологий на кибербезопасность. В число технологий с высоким уровнем угрозы для людей также попали глобальный разум, «психиатрия искусственного интеллекта» и квантовые компьютеры.
— Глобальный разум является планетарной информационно-коммуникационной сетью, объединяющую людей и компьютеры. «Глобальный разум потребует пересмотра большинства подходов и принципов к защите людей, информации и устройств от киберугроз», — сказано в отчете.
— Из-за развития квантовых компьютеров классические методы шифрования могут оказаться под угрозой.
— «Психиатрия искусственного интеллекта» (расстройства, схожие с нарушением психики людей) потенциально может нанести большой вред работе различных систем, управляемых ИИ.
https://www.securitylab.ru/news/535414.php
— Аналитики «Сбера» дали прогноз влияния новых технологий на кибербезопасность. В число технологий с высоким уровнем угрозы для людей также попали глобальный разум, «психиатрия искусственного интеллекта» и квантовые компьютеры.
— Глобальный разум является планетарной информационно-коммуникационной сетью, объединяющую людей и компьютеры. «Глобальный разум потребует пересмотра большинства подходов и принципов к защите людей, информации и устройств от киберугроз», — сказано в отчете.
— Из-за развития квантовых компьютеров классические методы шифрования могут оказаться под угрозой.
— «Психиатрия искусственного интеллекта» (расстройства, схожие с нарушением психики людей) потенциально может нанести большой вред работе различных систем, управляемых ИИ.
https://www.securitylab.ru/news/535414.php
SecurityLab.ru
Сбер: Глобальный разум – одна из главных киберугроз будущего
Аналитики «Сбера» дали прогноз влияния новых технологий на кибербезопасность.
🤡41👍19💩5💯3🔥2❤1👎1
Forwarded from SecAtor
Видимо в канун нового года не до обновлений, особенно когда в Интернет-магазинах на WordPress идет активная продажа подарочных карт через популярный плагин YITH WooCommerce Gift Cards Premium.
Как оказалась, не менее активные продажи и у хакеров, которые штудируют сеть и эксплуатируют критическую уязвимость плагина CVE-2022-45359 с оценкой 9,8 по CVSS, которая позволяет неаутентифицированным пользователям загружать файлы на уязвимые ресурсы, обеспечивая себе полный контроль.
По классике жанра, все что касается WordPress всегда славится масштабом угроз и ошибка в YITH WooCommerce Gift Cards Premium не исключение, так как плагин используется на более чем 50 000 сайтах.
Уязвимость обнаружена 22 ноября и затрагивает все версии плагина вплоть до 3.19.0.
Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0 и теперь настоятельно рекомендует обновляться именно до нее.
Исследователи Wordfence сообщают, что многие сайты, до сих пор используют уязвимую версию плагина, что к сожалению, не осталось без внимания злоумышленников, которые полным ходом эксплуатируют баг для загрузки бэкдоров, RCE и захвата чужих сайтов.
Специалисты разобрали эксплоит, который используют хакеры и выяснили, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init.
Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. В логах это отображается, как unexpected POST-запросы с неизвестных IP-адресов.
Wordfence выяснили, что на уязвимые сайты хакеры загружали следующие файлы:
• kon.php/1tes.php - загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);
• b.php — простой файл загрузчика;
• admin.php — защищенный паролем бэкдор.
Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.
Атаки продолжаются и до сих пор, в связи с чем необходимо как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.
Как оказалась, не менее активные продажи и у хакеров, которые штудируют сеть и эксплуатируют критическую уязвимость плагина CVE-2022-45359 с оценкой 9,8 по CVSS, которая позволяет неаутентифицированным пользователям загружать файлы на уязвимые ресурсы, обеспечивая себе полный контроль.
По классике жанра, все что касается WordPress всегда славится масштабом угроз и ошибка в YITH WooCommerce Gift Cards Premium не исключение, так как плагин используется на более чем 50 000 сайтах.
Уязвимость обнаружена 22 ноября и затрагивает все версии плагина вплоть до 3.19.0.
Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0 и теперь настоятельно рекомендует обновляться именно до нее.
Исследователи Wordfence сообщают, что многие сайты, до сих пор используют уязвимую версию плагина, что к сожалению, не осталось без внимания злоумышленников, которые полным ходом эксплуатируют баг для загрузки бэкдоров, RCE и захвата чужих сайтов.
Специалисты разобрали эксплоит, который используют хакеры и выяснили, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init.
Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. В логах это отображается, как unexpected POST-запросы с неизвестных IP-адресов.
Wordfence выяснили, что на уязвимые сайты хакеры загружали следующие файлы:
• kon.php/1tes.php - загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);
• b.php — простой файл загрузчика;
• admin.php — защищенный паролем бэкдор.
Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.
Атаки продолжаются и до сих пор, в связи с чем необходимо как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.
Wordfence
PSA: YITH WooCommerce Gift Cards Premium Plugin Exploited in the Wild
The Wordfence Threat Intelligence team has been tracking exploits targeting a Critical Severity Arbitrary File Upload vulnerability in YITH WooCommerce Gift Cards Premium, a plugin with over 50,000 installations according to the vendor. The vulnerability…
👍27🤣4⚡2❤1
Минцифры: Россия готова к партнерству с компаниями из других регионов - Азии, Латинской Америки, Ближнего Востока
— Потери ушедших с российского рынка зарубежных IТ-компаний составили около 650-700 млрд рублей. Об этом заявил глава Минцифры Максут Шадаев, выступая в ходе правительственного часа в Госдуме.
— По словам министра, Россия будет работать в области компьютерных технологий со странами, которые хотят развивать совместные проекты на основе честного партнерства.
— «Таких стран достаточно много. Мы сейчас видим большой запрос из стран Латинской Америки, Ближнего Востока, Азии на российские технологии, на совместные проекты. Поэтому мы здесь точно не будем изолированы, мы найдем возможность кооперации", - сказал Шадаев.
https://www.securitylab.ru/news/535415.php
— Потери ушедших с российского рынка зарубежных IТ-компаний составили около 650-700 млрд рублей. Об этом заявил глава Минцифры Максут Шадаев, выступая в ходе правительственного часа в Госдуме.
— По словам министра, Россия будет работать в области компьютерных технологий со странами, которые хотят развивать совместные проекты на основе честного партнерства.
— «Таких стран достаточно много. Мы сейчас видим большой запрос из стран Латинской Америки, Ближнего Востока, Азии на российские технологии, на совместные проекты. Поэтому мы здесь точно не будем изолированы, мы найдем возможность кооперации", - сказал Шадаев.
https://www.securitylab.ru/news/535415.php
SecurityLab.ru
Минцифры: потери ушедших с российского рынка зарубежных IТ-компаний составили около 650-700 млрд рублей
По словам Шадаева, РФ готова к партнерству с компаниями из других регионов - Азии, Латинской Америки, Ближнего Востока.
🤡49👍22⚡3❤2💩1
👁 Квиз-марафон в честь 20-летия SecurityLab завершился и самое время подвести его итоги!
🌎 В квизе приняли участие более 800 человек из России, Казахстана, Белоруссии, Канады, Таджикистана, Узбекистана и Вьетнама.
🌆 Больше всего участников было из Москвы (более 300 человек), Санкт-Петербурга (80 человек) и Самары (23 человека).
🔝 29 участников набрали максимальное количество баллов — 300!
🥳 Один участник набрал наименьшее количество баллов за квиз — 0 (Андрей из Москвы, поздравляем!)
Мы сейчас активно готовим нашу вечеринку, которая состоится в Москве 13 января. На ней участники смогут забрать свои призы. Все подробности о количестве баллов и о том, как попасть на вечеринку, мы отправили участникам на электронные почты 💌
Спасибо, что были с нами и до встречи на вечеринке! 🕺💃
🌎 В квизе приняли участие более 800 человек из России, Казахстана, Белоруссии, Канады, Таджикистана, Узбекистана и Вьетнама.
🌆 Больше всего участников было из Москвы (более 300 человек), Санкт-Петербурга (80 человек) и Самары (23 человека).
🔝 29 участников набрали максимальное количество баллов — 300!
🥳 Один участник набрал наименьшее количество баллов за квиз — 0 (Андрей из Москвы, поздравляем!)
Мы сейчас активно готовим нашу вечеринку, которая состоится в Москве 13 января. На ней участники смогут забрать свои призы. Все подробности о количестве баллов и о том, как попасть на вечеринку, мы отправили участникам на электронные почты 💌
Спасибо, что были с нами и до встречи на вечеринке! 🕺💃
👍40❤8⚡1🔥1
Пентест веб-приложений: этапы, методы и влияние на кибербезопасность
Пентест – смоделированная кибератака на компьютерную систему для её проверки на наличие уязвимостей. В контексте безопасности веб-приложений пентест обычно используется для усиления брандмауэра веб-приложений (WAF).
В этой статье мы рассмотрим этапы тестирования и какие виды пентеста существуют.
https://www.securitylab.ru/analytics/535396.php
Пентест – смоделированная кибератака на компьютерную систему для её проверки на наличие уязвимостей. В контексте безопасности веб-приложений пентест обычно используется для усиления брандмауэра веб-приложений (WAF).
В этой статье мы рассмотрим этапы тестирования и какие виды пентеста существуют.
https://www.securitylab.ru/analytics/535396.php
SecurityLab.ru
Пентест веб-приложений: этапы, методы и влияние на кибербезопасность
Пентест веб-приложений – попытка взлома прикладных систем (например, API-интерфейсов или внутренних серверов) для выявления уязвимостей, а в частности, незащищенных входных данных, которые подвержены атакам путем внедрения кода.
❤18👍8😍4🤣1