Исследователи в области кибербезопасности опубликовали предупреждение об обнаружении в инструментах для шифрования PGP и S/Mime нескольких опасных уязвимостей, которые позволяют просматривать содержимое зашифрованных писем в виде простого текста. По словам специалистов, в настоящее время не существует исправлений, устраняющих данные проблемы.
Уязвимости в PGP и S/MIME позволяют просматривать зашифрованные электронные письма

Организация OWASP опубликовала документ «Top 10 Proactive Controls for Software developers» («Топ-10 проактивных инструментов управления для разработчиков программного обеспечения»), описывающий наиболее критические аспекты, на которых должны сосредоточиться разработчики ПО. Документ содержит список техник по обеспечению безопасности, обязательных для реализации при разработке каждого нового проекта.
OWASP опубликовала список обязательных требований для разработчиков ПО

На минувшей неделе группа исследователей кибербезопасности обнаружила опасную уязвимость в протоколе OpenFlow, позволяющую злоумышленнику перехватить коммуникации между затронутыми SDN -контроллерами при условии, что заранее скомпрометированное устройство будет внедрено в сеть. Как сообщает издание The Register, ответственная за поддержку протокола организация Open Networking Foundation (ONF) не будет вносить изменения в OpenFlow, ограничившись рядом рекомендаций, позволяющих снизить риск эксплуатации.
Разработчики OpenFlow не будут вносить изменения в протокол ради исправления уязвимости

В процессе тестирования исследователи обнаружили отсутствие разделения между сетями для пассажиров, сотрудников железной дороги и для управления поездом. Получив доступ к пассажирской сети, исследователям затем удалось получить доступ и к управлению поездом.
https://www.securitylab.ru/news/493276.php

Ученые из Кембриджского университета использовали данные, собранные через популярное приложение для определения типа личности myPersonality, в качестве основы для инструмента, подбирающего рекламу. Доступ к инструменту был только у тех, кто заплатил за него, однако сами данные были бесплатно размещены в Сети без должной анонимизации их владельцев.
Исследователи раскрыли конфиденциальные данные 3 млн пользователей Facebook

Как сообщал SecurityLab в понедельник, 14 мая, исследователи безопасности обнаружили уязвимости в инструментах для шифрования электронной почты PGP и S/Mime, позволяющие просматривать зашифрованные письма в открытом виде. Эксперты обещали раскрыть подробности о них позднее, однако не дождались намеченного срока и опубликовали детали раньше времени.
Представлены подробности атак с помощью уязвимостей в PGP и S/Mime

Ранее Securitylab сообщал об обнаружении опасной уязвимости в популярном приложении для обмена зашифрованными сообщениями Signal для ОС Windows и Linux. Проблема может быть проэксплуатирована удаленным злоумышленником для выполнения вредоносного кода путем отправки специально сформированной ссылки, не требуя какого-либо взаимодействия с пользователем.
Опубликованы подробности об опасной уязвимости в мессенджере Signal

Компания Onapsis расширила функционал платформы Onapsis Security Platform (OSP) с выпуском модуля Enforce and Protect. Теперь платформа OSP предоставляет ИБ-специалистам и командам SAP возможность обеспечить соблюдение требований и защиту критических бизнес-приложений.
Новые ИБ-решения недели: 15 мая 2018 года

В течение последних нескольких недель ряд мексиканских банков стали жертвами хакеров, похитивших огромные суммы денег. Как сообщает Reuters, с помощью поддельных запросов злоумышленники перевели средства на подставные счета, а затем быстро обналичили их. Хакеры отправили сотни поддельных запросов на перевод сумм от десятков тысяч до сотен тысяч песо со счетов мексиканских банков на подставные счета в других банках, после чего быстро обналичили их в десятках банковских филиалов.
Хакеры похитили сотни миллионов у банков Мексики

С сайта Таганского суда удалена отметка о вступлении в силу решения о блокировке мессенджера Telegram на территории РФ. Как сообщается на официальном портале судов общей юрисдикции Москвы, данное решение еще не вступило в силу и подлежит обжалованию.
Решение о блокировке Telegram не вступило в законную силу

Австралийская комиссия по вопросам конкуренции и защиты потребителей (АССС) проводит расследование деятельности Google в связи с утверждениями о том, что компания собирает данные миллионов пользователей Android-смартфонов, которые невольно должны платить провайдерам телекоммуникационных услуг за гигабайты переданных данных. Об этом сообщило информагентство Reuters.
В Австралии Google обвинили в сборе данных за счет пользователей

В некоторых случаях утечка персональных данных происходит не по вине хакеров или недобросовестных инсайдеров, а из-за слишком старательных уборщиц. Как сообщает «Интерфакс», в одном из мусорных баков Екатеринбурга были обнаружены банковские документы с персональными данными, и речь идет не об одном-двух документах, а о целых пакетах с анкетами на получение кредитов и справками о доходах с данными клиентов «ОТБ Банка».
Причиной утечки данных клиентов «ОТБ Банка» стала слишком старательная уборщица

Отсрочить установку обновления можно, только оставив компьютер включенным в режиме сна или гибернации.
https://www.securitylab.ru/news/493306.php

Сотрудники отдела вневедомственной охраны Росгвардии задержали в Буденновске (Ставропольский край) хакера, взломавшего банковский терминал и похитившего с него 455 тыс. руб. Им оказался 30-летний житель Нижнекамска (Республика Татарстан), также причастный к другим аналогичным преступлениям.
В Ставропольском крае задержан хакер за взлом банкоматов и хищение средств

В деле о крупнейшей за всю историю ЦРУ утечке данных, известной как Vault 7, появился главный подозреваемый. Как сообщает The Washington Post со ссылкой на судебные документы, им является бывший сотрудник ЦРУ Джошуа Адам Шульте (Joshua Adam Schulte).
Выявлен главный подозреваемый в деле о крупнейшей утечке данных ЦРУ

В реализации DHCP-клиента дистрибутива Red Hat Linux и его веток, таких как Fedora, обнаружена критическая уязвимость, позволяющая выполнить произвольные команды с привилегиями суперпользователя на целевой системе.
В DHCP-клиенте Red Hat Linux обнаружена критическая уязвимость

Киберпреступники экспериментируют с новым методом обхода ряда решений по защите от DDoS-атак, используя протокол Universal Plug and Play (UPnP), чтобы замаскировать исходный порт сетевых пакетов, отправленных в ходе атаки.
Хакеры используют протокол UPnP для осуществления DDoS-атак

Тайваньский производитель встраиваемых систем и систем автоматизации Advantech исправил ряд уязвимостей в своем продукте WebAccess. Уязвимости позволяют осуществить SQL-инъекцию, переполнение буфера в стеке, переполнение буфера в куче, обход каталога, обход механизма авторизации, разыменование недоверенного указателя, а также повысить привилегии и получить контроль над именами файлов или путями.
В Advantech WebAccess исправлены критические уязвимости

Компания Siemens сообщила об обнаружении в ряде программируемых логических контроллеров SIMATIC S7-400 серьезной уязвимости CVE-2018-4850, позволяющей добиться отказа в обслуживании.
В ПЛК Siemens SIMATIC S7-400 обнаружена серьезная уязвимость

Четыре крупнейших оператора сотовой связи США (AT&T, Verizon, T-Mobile и Sprint) продают данные о местоположении клиентов в реальном времени сторонней компании LocationSmart. Об этом сообщило издание ZDNet.
Крупнейшие сотовые операторы США продают доступ к данным о местоположении клиентов