Специалист в области безопасности Виктор Геверс (Victor Gevers) обнаружил внушительную базу данных с личной перепиской миллионов жителей Китая в популярных мессенджерах, таких как WeChat и QQ. Доступ к базе мог получить любой, кому известен соответствующий IP-адрес.
Личные сообщения более 300 млн жителей Китая оказались в открытом доступе

Пользователи устройств на базе Android TV привыкли видеть на экране телевизора в режиме ожидания фотографии из своих альбомов в Google Photos. Однако из-за ошибки в приложении Google Home на экране начали отображаться сотни чужих учетных записей.
Google отключила Google Photos для Android TV из-за угрозы конфиденциальности

Исследователь безопасности Алан Мони (Alan Monie) из Pen Test Partners обнаружил уязвимости в смарт-наушниках Outdoor Tech CHIPS, которые можно надевать под горнолыжный шлем.
Уязвимости в смарт-наушниках Outdoor Tech CHIPS превращают гаджет в шпионское устройство

Специалисты Positive Technologies подготовили статистику уязвимостей, обнаруженных в ходе проведения работ по тестированию безопасности веб-приложений в 2018 году. Исследование показало, что в среднем на одно веб-приложение приходится 33 уязвимости, шесть из которых имеют высокий уровень риска.


Positive Technologies: число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза

Специалисты ИБ-компании FireEye обнаружили кибершпионскую операцию, продолжающуюся в течение пяти лет. Операция проводится финансируемой правительством КНР хакерской группировкой APT40, а ее целью является укрепление военно-морской мощи Пекина.
Китайские кибершпионы пять лет атакуют оборонные предприятия

Сотни доступных через интернет уязвимых хостов Docker стали жертвами криптоджекинга. Злоумышленники взломали их с помощью эксплоита для недавно обнаруженной уязвимости CVE-2019-5736 и устанавливают майнеры криптовалют.
Злоумышленники взламывают хосты Docker и устанавливают криптомайнеры

Потеря криптовалюты из-за ошибок разработчиков уже становится трендом. В конце прошлого месяца пользователь лишился порядка $60-70 тыс. из-за бага в криптовалютном кошельке Coinomi. Теперь же о потере средств сообщил пользователь аппаратного кошелька Ledger Nano S.
Пользователь Ledger Nano S лишился $80 тыс. в Monero из-за бага в ПО

Агентство национальной безопасности (АНБ) США обнародовало инструмент под названием Ghidra, который ведомство уже в течение 10 лет использует для проведения обратного инжиниринга. В настоящее время программа доступна только на официальном сайте АНБ, однако агентство намерено в ближайшем будущем разместить исходный код инструмента на GitHub.
АНБ открыло доступ к одному из своих инструментов для реверс-инжиниринга

Популярные Android-приложения, в том числе Yelp и Duolingo, отправляют персонально идентифицируемые данные пользователей непосредственно Facebook сразу же после авторизации. Передача данных осуществляется даже в случае, если пользователь не авторизован в приложении Facebook на устройстве или вовсе не имеет активной учетной записи в соцсети.
Android-приложения отправляют Facebook данные своих пользователей

Компания Zerodium, специализирующаяся на купле/продаже эксплоитов для уязвимостей нулевого дня в различном ПО, предложила $500 тыс. за информацию об уязвимостях в облачных технологиях, в частности, Microsoft Hyper-V и VMware vSphere.
Zerodium заплатит до $500 тыс. за 0Day-уязвимости в Hyper-V и vSphere

Компания Google выпустила обновление, устраняющее критическую уязвимость (CVE-2019-5786) в браузере Chrome, которая уже активно эксплуатируется злоумышленниками. Проблема, позволяющая удаленно выполнить код на системе, затрагивает версии интернет-обозревателя для всех основных десктопных платформ - Microsoft Windows, Apple macOS и Linux.
В Google Chrome обнаружена критическая 0Day-уязвимость

В 2018 году примерно 90% атак на системы управления контентом пришлись на сайты под управлением WordPress, далее со значительным отрывом следуют Magento (4,6%), Joomla (4,3%) и Drupal (3,7%). Такая статистика приводится в новом отчете компании Sucuri, посвященном трендам в области взлома сайтов в минувшем году.
WordPress оказалась самой взламываемой CMS в 2018 году

Специалисты «Лаборатории Касперского» раскрыли подробности о вредоносной кампании, обнаруженной ими в начале текущего года. В ходе кампании злоумышленники распространяют через торрент-трекер The Pirate Bay вредоносное ПО под видом взломанных версий платных программ.
«Пиратская матрешка» атакует пользователей The Pirate Bay

Президент РФ Владимир Путин подписал закон, запрещающий военнослужащим передавать СМИ и публиковать в интернете данные о себе и своих сослуживцах, в том числе информацию, позволяющую идентифицировать ведомство, к которому они относятся, часть или место несения службы. Документ опубликован на официальном портале правовой информации.
Президент РФ подписал закон о запрете военным использовать смартфоны на службе

ИБ-эксперт Патрик Уордл (Patrick Wardle) разработал инновационный способ обнаружения и блокировки вредоносного ПО и эксплоитов на Mac. В качестве антивирусного продукта Уордл предложил использовать игровой движок от компании Apple, пишет The Register.
Исследователь превратил игровой движок в антивирус

На первый взгляд «ji32k7au4a83» кажется намного более надежным паролем по сравнению с популярным «qwerty12345». Из-за произвольно расположенных символов может показаться, что «ji32k7au4a83» сгенерирован автоматической системой наподобие генератора паролей браузера или менеджера паролей. Тем не менее, эта комбинация символов используется в качестве учетных данных гораздо чаще, чем может показаться.
Что делает комбинацию «ji32k7au4a83» ужасным паролем?

Компания Check Point наконец-то представила подробности об уязвимости в Windows Server, исправленной Microsoft в прошлом ноябре. Уязвимость позволяет злоумышленникам взломать установку Windows Server и через Windows Deployment Services (WDS) получить контроль над сервером и даже установить вредоносные версии Windows.
Windows Server можно взломать с помощью TFTP-пакетов

Киберпреступная группировка из Сербии активно использует уязвимость (CVE-2017-11882) в редакторе формул Microsoft Equation для обхода песочниц и антивирусов. В прошедшие месяцы специалисты команды Mimecast Research Labs заметили несколько вариантов вредоносного кода, эксплуатирующего вышеозначенную уязвимость совместно с другим, еще неисправленным багом в MS Word.
Киберпреступники используют баг в Microsoft Equation для обхода антивирусов

Специалисты «Лаборатории Касперского» опубликовали отчет по статистике мобильных киберугроз за 2018 год. Среди основных трендов исследователи отметили рост популярности дропперов, волну атак с использованием банковских троянов, три APT-кампании против пользователей мобильных устройств и пр.
«Лаборатория Касперского» опубликовала статистику по мобильным угрозам за 2018 год

Разработчики Mozilla намерены добавить в Firefox новую функцию, обеспечивающую защиту пользователей от отслеживания. Речь идет о технике под названием «Letterboxing», уже знакомой пользователям браузера Tor (функционал появился в январе 2015 года).
В Firefox появится новая функция защиты от слежки

Компания Rockwell Automation выпустила обновление, устраняющее опасную уязвимость в программном обеспечении RSLinx Classic, позволяющую вызвать отказ в обслуживании устройства и потенциально выполнить код на атакуемом устройстве. Степень опасности уязвимости оценена в 10 из 10 возможных баллов по шкале CVSS v3.
В решении Rockwell Automation RSLinx Classic исправлена опасная уязвимость