Свыше 100 тыс. репозиториев на портале GitHub допускают утечку токенов API и криптографических ключей, показало исследование, проведенное командой специалистов из Университета штата Северная Каролина (США). Исследование продолжалось в период с 31 октября 2017 года по 20 апреля 2018 года, за это время эксперты проанализировали 4 394 476 файлов в 681 784 репозиториях на GitHub и 2 312 763 353 файла в 3 374 973 репозиториях в базе данных Google BigQuery.
Более 100 тыс. репозиториев на GitHub раскрывали API или криптографические ключи

Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.


В Windows 10 закрыты две опасные уязвимости, найденные экспертом Positive Technologies

APT-группа OceanLotus, также известная как APT32, SeaLotus, APT-C-00 и Cobalt Kitty, вернулась на киберпреступную арену, вооружившись новыми эксплоитами, ловушками и самораспаковывающимися вредоносными архивами.
APT-группа OceanLotus эксплуатирует уязвимость в Microsoft Office

Министерство внутренней безопасности США предупредило о серьезной уязвимости в кардиодефибрилляторах производства компании Medtronic, позволяющей с помощью радиосигналов получить полный контроль над устройством.
Сотни тысяч дефибрилляторов Medtronic уязвимы ко взлому

ФГУП «Главный радиочастотный центр» (ГРЧЦ), подведомственный Роскомнадзору, разместил на сайте госзакупок заказ на создание автоматизированной системы по контролю за блокировкой запрещенных в РФ ресурсов.
«Дочка» РКН заказала разработку системы контроля за поисковиками и VPN

Как минимум две киберпреступные группировки активно эксплуатируют уязвимости в популярных плагинах для WordPress. Злоумышленники используют баги для создания на сайтах учетных записей администратора, служащих в качестве бэкдоров, и перенаправления трафика со взломанных ресурсов.
0Day-уязвимости в плагинах для WordPress эксплуатируют сразу несколько группировок

Из-за небрежности сотрудников Управления здравоохранения Липецкой области медицинские данные пациентов оказались в октрытом доступе. Как сообщается на странице «Пациентский контроль» в Facebook, в поисках аукционов на закупку медпрепаратов на сайте госзакупок активисты наткнулись на документы, содержащие персональные и медицинские данные пациентов.
Персональные данные пациентов в Липецкой области оказались в открытом доступе

В программном обеспечении Schneider Electric Triconex TriStation Emulator обнаружена серьезная уязвимость, позволяющая вызвать отказ в обслуживании эмулированного контроллера путем отправки специально сформированных TSAA (Triconex System Access Application) пакетов на порт UDP 1500.
Schneider Electric готовит патч для опасной уязвимости в эмуляторе Triconex TriStation

В Сети появился поддельный криптовалютный кошелек Wasabi – wasabibitcoinwallet.org (заходить на сайт не рекомендуется), предназначенный, очевидно, для кражи биткойнов. Об этом в четверг, 21 марта, на своей странице в Twitter предупредил разработчик Wasabi Адам Фичор (Adam Fichor), также известный как nopara73‏.
Мошенники распространяют поддельный криптовалютный кошелек Wasabi

Группа исследователей из южнокорейского научно-технического института KAIST обнаружила 36 новых уязвимостей в стандарте LTE (Long-Term Evolution), используемом тысячами мобильных сетей по всему миру. Найденные уязвимости позволяют нарушить работу базовых станций сетей мобильной связи, заблокировать входящие звонки, отключить пользователей от мобильной сети, отправлять фальшивые SMS-сообщения, а также перехватывать и манипулировать мобильным трафиком.
В протоколе LTE обнаружено 36 новых уязвимостей

От вымогательского ПО LockerGoga, использовавшегося в недавней атаке на крупного производителя алюминия Norsk Hydro, также пострадали две американские химические компании.
Атаковавший Norsk Hydro вредонос также атаковал две химические компании в США

Команда исследователей взломала электромобиль Tesla Model 3 в последний день соревнований Pwn2Own 2019, проходивших на прошлой неделе в Ванкувере (Канада).
Участники Pwn2Own 2019 взломали Tesla Model 3

Сотрудники Федерального агенства по управлению в чрезвычайных ситуациях США (Federal Emergency Management Agency, FEMA) предоставили одной из компаний-подрядчиков личную и финансовую информацию более 2,3 млн жителей, пострадавших от стихийных бедствий, показал доклад Управления главного инспектора (Office of the Inspector General, OIG). В частности, подрядчик получил персональные данные жертв ураганов Харви, Ирма и Мария, а также постравдавших от калифорнийских пожаров 2017 года, участвующих в программе Transitional Sheltering Assistance (TSA) по обеспечению временным жильем.
FEMA случайно раскрыло личные данные 2,3 млн пострадавших от стихийных бедствий американцев

В настоящее время большой популярностью у киберпреступников пользуются атаки через исправленную уязвимость в расширении Chrome для Cisco WebEx, сообщают исследователи компании WatchGuard.
Злоумышленники активно эксплуатируют старую уязвимость в расширении Chrome для Cisco WebEx

В реализации с открытым исходным кодом протокола TLS 1.3 от компании Facebook исправлена опасная DoS-уязвимость. С ее помощью злоумышленник может вызвать бесконечную петлю, что приведет к сбою в работе web-сервисов, использующих уязвимую реализацию протокола.
В Facebook Fizz исправлена опасная уязвимость

Спустя всего несколько дней после релиза крупного обновления Firefox 66 компания Mozilla выпустила обновление Firefox 66.0.1, исправляющее две опасные уязвимости, обнаруженные участниками соревнования Pwn2Own 2019.
Обновление Firefox 66.0.1 устраняет две опасные проблемы в браузере

Популярное приложение Family Locator, разработанное компанией React Apps, в течение нескольких недель раскрывало данные о местоположении более 200 тыс. пользователей. Причиной инцидента послужил сервер MongoDB, который разработчик не позаботился защитить паролем.
Приложение для отслеживания членов семьи раскрывало координаты пользователей

Производитель приложений для слежки потребительского класса, позволяющих перехватывать чужие телефонные звонки и сообщения, хранит более 95 тыс. изображений и 25 тыс. аудиозаписей в незащищенной базе данных. Получить доступ к БД через интернет может любой желающий, сообщает исследователь безопасности Трой Хант (Troy Hunt), первым изучивший ее содержимое.
Производитель шпионского ПО хранит перехваченные данные в открытой БД

В феврале нынешнего года правительство Швейцарии запустило программу выплаты вознаграждений за уязвимости, найденные в системе электронного голосования страны, предлагая награды в размере до $50 тыс. Несмотря на уверения властей в надежности системы, спустя буквально месяц после запуска программы эксперты обнаружили уязвимости, которые могли бы позволить злоумышленникам заменить легитимные голоса на фальшивые.
В швейцарской системе электронного голосования выявлена еще одна уязвимость

Минувшая неделя ознаменовалась очередным скандалом, связанным с компанией Facebook. Как оказалось, владелец одноименной соцсети хранил пароли сотен миллионов пользователей на внутреннем сервере в незашифрованном виде. В результате доступ к данной информации могли получать тысячи сотрудников Facebook. На данный момент неясно, как долго данные хранились в открытом виде, но некоторые из них датируются 2012 годом. Как заверили в компании, сейчас проблема уже решена.
Обзор инцидентов безопасности за период с 18 по 24 марта 2019 года

Европейский Союз намерен призвать правительства стран-участниц к обмену информацией для управления рисками безопасности беспроводных сетей 5G. Как сообщает Bloomberg, во вторник, 26 марта, ЕС опубликует рекомендации, согласно которым странам-участницам будет дано несколько месяцев на выявление и сообщение ЕС потенциальных угроз безопасности сетей 5G на их рынках. На базе этой информации будут разработаны минимальные стандарты безопасности, действительные на всей территории ЕС.
ЕС разработает стандарты безопасности для сетей 5G