Из-за неправильной конфигурации сервера номера налогоплательщиков (Cadastro de Pessoas Físicas, CPF) 120 млн жителей Бразилии находились в открытом доступе в течение неопределенного периода времени.
Номера налогоплательщиков 120 млн бразильцев были доступны любому желающему

Неизвестные злоумышленники взломали сайт Министерства Европы и иностранных дел Франции, созданный для граждан, выезжающих за границу, и похитили базу данных для экстренной связи, содержащую персональную информацию более 540 тыс. лиц.
Киберпреступники похитили данные более 540 тыс. пользователей с сайта МИД Франции

Специалист Google Project Zero Тэвис Орманди (Tavis Ormandy) выявил уязвимость в одном из приложений Logitech, предоставляющую возможность удаленно инициировать нажатия клавиш на компьютере пользователя (так называемая атака keystroke injection).
Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш

Американское подразделение международной некоммерческой организации Save the Children стало жертвой киберпреступников, похитивших у фонда порядка $1 млн. Об этом рассказали представители организации в интервью изданию The Boston Globe.
Кибермошенники выманили $1 млн у благотворительной организации

25 декабря пройдет регулярная встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC для обмена опытом и идеями про практические аспекты актуальной проблемы, привлекающей все больше внимания из-за развития технологий и ландшафта киберугроз, требований законодательства. Непрерывное обучение, встречи и обмен опытом — это то, что позволяет держать руку на пульсе проблемы и помогает искать решения. Вход бесплатный, регистрация обязательна. Во время мероприятия будет вестись онлайн-трансляция на канале YouTube.


25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC

Корпоративные ноутбуки и другие устройства, которые используются сотрудниками компаний за пределами офиса, могут стать средством злоумышленников для компрометации всей корпоративной инфраструктуры. Один из таких случаев описали специалисты компании Crowdstrike в своем отчете Cyber Intrusion Services Casebook 2018.
Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети

Морские суда становятся жертвами кибератак гораздо чаще, чем можно себе представить. Корабли сталкиваются с теми же проблемами с кибербезопасностью, что и представители других отраслей. В связи с этим было выпущено специальное руководство по обеспечению кибербезопасности на борту кораблей.
Морские суда часто подвергаются кибератакам

В пятницу, 14 декабря, в Госдуму РФ был внесен законопроект об обеспечении автономной работы Рунета на случай отключения от глобальной инфраструктуры интернета. Одной из причин подготовки документа послужил «агрессивный характер принятой в сентябре 2018 года стратегии национальной кибербезопасности США». В частности, его авторов насторожил принцип «сохранения мира силой», а отношения между США и Россией в киберпространстве весьма напряженные.
Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети

Компания Facebook сообщила об ошибке в программном интерфейсе, из-за которой сторонние разработчики могли получить доступ к личным фотографиям порядка 6,8 млн пользователей. Ошибка присутствовала в коде Photo API в период с 13 по 25 сентября 2018 года.
Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей

Системы противоракетной обороны США не защищены должным образом от кибератак. Такие данные приводятся в опубликованном на этой неделе отчете Главного инспектора Министерства обороны США.


Системы ПРО США уязвимы к кибератакам

В течение последних 18 месяцев участились случаи кибератак китайских хакеров на американских военных подрядчиков с целью похищения информации, связанной с военными технологиями. Киберпреступники атакуют все подразделения Вооруженных сил США, но больше всего их интересуют подрядчики военно-воздушных и военно-морских сил.
Китайские кибершпионы похитили у ВМС США секретные военные технологии

До 2021 года российские государственные компании должны разработать план поэтапного перехода на преимущественно отечественное программное обеспечение (доля российского ПО должна превысить 50%). Данное требование содержится в директиве госпредставителям в советах директоров, подписанной первым зампредом правительства и главой Министерства финансов РФ Антоном Силуановым, сообщают «Ведомости». Факт подписания документа подтвердил представитель вице-премьера Андрей Лавров.
Глава Минфина подписал директиву о переходе госкомпаний на российское ПО

Уязвимость в популярной встраиваемой СУБД SQLite ставит под угрозу тысячи десктопных и мобильных приложений. Проблема, обнаруженная исследователями из Tencent Blade, позволяет запускать на атакуемом компьютере вредоносный код. Менее опасные сценарии предполагают утечку памяти приложения и аварийное завершение его работы.
В SQLite исправлена критическая уязвимость

Тысячи, а то и больше, серверов Jenkins уязвимы к атакам с целью захвата контроля, похищения данных и майнинга криптовалюты. Атаки возможны благодаря двум уязвимостям, позволяющим повысить привилегии до администратора или авторизоваться на сервере с недействительными учетными данными.
Тысячи серверов Jenkins уязвимы к кибератакам

Компания Microsoft запустила программу по разработке алгоритма, который сможет предсказывать, какие типы компьютеров на базе Windows вероятнее всего могут быть заражены вредоносным ПО. Проект запущен совместными усилиями исследовательской команды Microsoft, Северо-Восточного университета и Технологического института штата Джоджия, а его призовой фонд составляет $25 тыс.
Microsoft задумалась о создании ИИ, способного прогнозировать риск заражения ПК

В социальной сети Twitter устранена ошибка, раскрывавшая личную переписку пользователей сторонним лицам. Проблема проявлялась при использовании приложений, запрашивающих PIN-код для завершения процесса авторизации, вместо применения протокола Oauth. В результате, некоторые разрешения, например, на доступ к личным сообщениям, оставались скрытыми для пользователей Twitter.
Ошибка в Twitter предоставляла доступ к личным сообщениям пользователей

Исследователь безопасности из SANS ICS Ксавье Мертенс (Xavier Mertens) обнаружил новую фишинговую кампанию, входе которой злоумышленники рассылают поддельные уведомления якобы от Office 365 о невозможности доставить сообщение.
Мошенники рассылают фишинговые уведомления о невозможности доставить письмо

Создатель магазина приложений для взломанных iPhone Джей Фримен (Jay Freeman), более известный как Saurik, объявил о закрытии проекта Cydia. Saurik намеревался полностью прекратить поддержку сервиса в конце текущего года, однако передвинул сроки в связи с обнаружением серьезной уязвимости, которая могла поставить под угрозу пользователей.


Создатель Cydia ускорит закрытие магазина из-за опасной уязвимости

На минувшей неделе сразу две крупные технологические компании сообщили об ошибках в API своих социальных платформ, которые стали причиной утечки данных пользователей. 10 декабря компания Google опубликовала пресс-релиз, в котором призналась в наличии ошибки в Google+ API, позволявшей сторонним разработчикам получить доступ к некоторым персональным данным пользователей соцсети. В общей сложности инцидент затронул 52,5 млн человек. В результате Google приняла решение перенести срок закрытия социальной платформы с августа 2019 года на апрель.
Обзор инцидентов безопасности за период с 10 по 16 декабря 2018 года

Журналисту удалось успешно обойти систему распознавания лица на нескольких высококлассных смартфонах под управлением ОС Android с помощью напечатанной на 3D-принтере модели головы.
Журналист разблокировал четыре Android-смартфона с помощью гипсовой головы

В связи с появлением новых угроз информационной безопасности Министерства иностранных дел РФ в ведомстве будет создан новый отдел, занимающийся вопросами ИБ. Об этом в понедельник, 17 декабря, заявил постпред РФ в Вене Михаил Ульянов в эфире видеомоста в МИА «Россия сегодня».
В МИД РФ будет создан новый департамент по вопросам ИБ