Одиннадцать организаций обратились к крупнейшим торговым компаниям США с просьбой прекратить продажу подключаемых к интернету устройств, не соответствующих минимальным требованиям безопасности и защиты конфиденциальности.
Mozilla и общественные организации призвали ретейлеров прекратить продажу небезопасных IoT-устройств

Германия вступила в ряды стран НАТО, предоставивших альянсу кибервозможности для оказания помощи в борьбе с кибервзломами и электронной войной, сообщило информационное агентство Agence France-Presse.
Германия поделится с НАТО своими кибервозможностями

Правительство РФ утвердило правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (ПД). Соответствующий документ опубликован на портале правовой информации.
Правительство РФ утвердило правила осуществления госконтроля за обработкой ПД

Плохие новости для пользователей Windows – инструмент с открытым исходным кодом для восстановления паролей HashCat теперь может взломать хеш восьмизначного пароля NTLM менее чем за два с половиной часа.
Восьмизначный пароль Windows NTLM можно взломать за два с половиной часа

Киберпреступник под псевдонимом Gnosticplayers выставил на продажу в даркнете очередной, уже третий за последнее время, массив похищенных данных. На этот раз он предлагает данные пользователей GfyCat, Legendas.tv, Jobandtalent, Onebip, StoryBird, StreetEasy, ClassPass и Pizap. Примечательно, что ни одна из вышеупомянутых платформ об утечке данных не сообщала.
Gnosticplayers выставил на продажу третий массив похищенных данных

Ошибка в системе оплаты на сайте Etsy стала причиной списания крупных сумм с банковских счетов ряда продавцов. Инцидент имел место в пятницу, 15 февраля. По словам представителей Etsy проблема была успешно решена, и никаких мошеннических действий с деньгами затронутых продавцов зафиксировано не было.
С банковских счетов продавцов на сайте Etsy были списаны крупные суммы

Власти Тайваня пытаются замять связанный с безопасностью военных объектов скандал после того, как в приложении Google Карты появились секретные военные базы страны. Приложение было обновлено в минувшую среду картами четырех крупных городов Тайваня – Тайбэя, Нового Тайбэя, Таоюаня и Тайчуаня.
Google Карты случайно раскрыли местоположение секретных военных баз Тайваня

Устройства для «умного» дома Nest блокируют доступ своим владельцам в случае, если их пароль мог быть взломан. На прошлой неделе производитель начал рассылать электронные письма пользователям, чьи учетные записи могли быть скомпрометированы злоумышленниками. Согласно письму, если устройство «не пускает» владельца в учетную запись, нужно сменить пароль в приложении Nest.
Смарт-устройства Nest блокируют доступ своим владельцам, если их пароли могли быть взломаны

Инженеры Google работают над новым API для браузера Chrome, который призван защитить пользователей от определенного типа XSS-атак, в частности, XSS через DOM (DOM Based XSS). Специалисты планируют протестировать функцию под названием Trusted Types на протяжении 2019 года (в версиях Chrome 73 - 76) и, если все пойдет как положено, новый функционал станет постоянным.
В Chrome появится защита от XSS-атак через DOM

Специалист в области кибербезопасности, известный в сети под псевдонимом Samm0uda, обнаружил CSRF-уязвимость (межсайтовая подделка запроса) в Facebook, с помощью которой злоумышленник мог бы перехватить контроль над учетными записями пользователей, просто заставив жертву кликнуть на вредоносную ссылку.
Уязвимость в Facebook позволяла скомпрометировать учетные записи пользователей

Компания Twitter годами хранит удаленные пользователями сообщения, в том числе данные, отправленные с или на деактивированные или отключенные учетные записи.
Twitter годами хранит удаленные личные сообщения пользователей

Защитить от эксплуатации уязвимостей класса Spectre, затрагивающих большинство современных процессоров, с помощью одного лишь программного обеспечения невозможно. К такому выводу пришли специалисты компании Google по результатам анализа Spectre.
Защититься от Spectre на уровне одного лишь ПО невозможно

В минувший понедельник на одной из крупнейших торговых площадок даркнета появился массив данных, включающий 617 млн учетных записей, похищенных у пользователей 16 взломанных сайтов, в том числе Dubsmash, MyFitnessPal, 500px, Armor Games, DataCamp и прочих. Продавец БД, некто под псевдонимом Gnosticplayers, запросил всего $20тыс. в биткойнах. Спустя несколько дней Gnosticplayers выставил на продажу второй архив, включающий 127 млн украденных учетных записей пользователей 8 сайтов, предлагая его по цене 4 биткойна (примерно $14,5 тыс.). О некоторых утечках данных уже было известно ранее, например, MyFitnessPal, однако многие стали сюрпризом не только для сообщества ИБ-специалистов, но и для самих пострадавших компаний.
Обзор инцидентов безопасности за период с 11 по 17 февраля 2019 года

В будущих версиях браузера Chrome компания Google закроет «лазейку», позволяющую web-сайтам детектировать и блокировать доступ пользователям в режиме «инкогнито».
Chrome больше не позволит сайтам определять использование режима «инкогнито»

Американский разработчик программного обеспечения для обработки и анализа машинно-генерируемых данных компания Splunk неожиданно приняла решение уйти с российского рынка. Производитель продолжит выполнять свои обязательства по техническому обслуживанию ПО и сервисов согласно действующим контрактам, но больше не будет принимать заявки на расширение или продление контрактов. Об этом компания сообщила в коротком уведомлении в своем официальном блоге.
Компания Splunk неожиданно ушла с российского рынка

По данным экспертов, в IV квартале 2018 года продолжило расти число уведомлений об утечках персональных данных, социальная инженерия использовалась в каждой третьей атаке, а специалисты экспертного центра безопасности Positive Technologies обнаружили новую хакерскую группу, нацеленную на российские банки.


Positive Technologies: социальная инженерия используется в каждой третьей атаке

По данным специалистов компании Group-IB, 74% российских банков не готовы эффективно противостоять кибератакам. Как сообщают эксперты, 70% от всех хакерских атак в прошлом году пришлось именно на банки. Оставшиеся 30% пришлось преимущественно на компании топливно-энергетического сектора и промышленные предприятия.
70% от всех кибератак в РФ в 2018 году пришлось на банки

На портале GitHub опубликован PoC-код для уязвимости (CVE-2019-5736) в инструменте для запуска изолированных контейнеров RunC, затрагивающей популярные облачные платформы, включая AWS и Google Cloud, а также ряд дистрибутивов Linux.
Опубликован эксплоит для уязвимости в RunC

Специалисты Римского университета Сапиенца разработали алгоритм, способный, по их словам, выявлять используемые Android-приложения путем анализа трафика Tor с точностью до 97%. Алгоритм не является скриптом для деанонимизации пользователей, поскольку не способен раскрывать реальные IP-адреса или другую идентифицируемую информацию. Тем не менее, с его помощью можно определить, работает ли пользователь Tor с каким-либо Android-приложением.
Алгоритм машинного обучения распознает Android-приложения внутри трафика Tor

Начиная с 16 июля 2019 года, Microsoft не будет поставлять обновления на устройства под управлением Windows 7 и Windows Server 2008, на которых не реализована поддержка алгоритма хеширования SHA-2.
С июля пользователи Windows 7 не смогут получать обновления без наличия поддержки SHA-2

В приложении LG Device Manager обнаружена уязвимость повышения привилегий, позволяющая повысить права на системе до уровня SYSTEM.
В LG Device Manager обнаружена уязвимость повышения привилегий