Уязвимость в системе электронных заказов позволила двум австралийцам бесплатно заказывать еду в McDonald's. На прошлых выходных молодые люди выложили видео, демонстрирующее заказ 11 гамбургеров, за которые система «забыла» взыскать плату, и с тех пор ролик набрал более 1,6 млн просмотров на YouTube.
Уязвимость в терминале McDonald's позволила двум друзьям получить бесплатные гамбургеры

Как ранее сообщал SecurityLab, подготовленные ко второму чтению поправки в закон о суверенном Рунете предусматривают шифрование данных с использованием только отечественных средств. Однако во вторник, 9 апреля, председатель комитета Госдумы РФ по информационной политике, информационным технологиям и связи Леонид Левин пояснил, что требование использовать исключительно отечественное шифрование коснется только государственных органов.
Депутат пояснил, кто будет обязан использовать только отечественное шифрование

В рамках апрельского «вторника исправлений» компания Microsoft выпустила пакет обновлений, устраняющих в общей сложности 74 бага, включая две уязвимости нулевого дня, в различных продуктах. В минувшем месяце производитель также исправил две уязвимости в Windows, активно атакуемые злоумышленниками.
Microsoft исправила две 0Day-уязвимости в Windows

Производитель популярных телематических систем для автомобилей оставил вшитые учетные данные в своих мобильных приложениях, поставив под угрозу десятки тысяч машин. Уязвимость (CVE-2019-9493) была обнаружена в системе MyCar производства канадской компании Automobility Distribution и в настоящее время уже исправлена.
Уязвимость в телематической системе MyCar поставила под угрозу десятки тысяч машин

Разработчик Чарльз Фол (Charles Fol) разместил на портале GitHub PoC-код для обнаруженной им уязвимости Carpe Diem (CVE-2019-0211) в Apache HTTP Server 2.4, позволяющей при определенных обстоятельствах выполнить код с правами суперпользователя и перехватить управление сервером.
Опубликован PoC-код для уязвимости в Apache HTTP Server

На станциях скорой медицинской помощи (ССМП) Подмосковья предположительно произошла утечка данных. Правоохранительные органы начали доследственную проверку сообщений об инциденте.
Данные пациентов «скорой» из Подмосковья утекли в Сеть

Роскомнадзор готов применять новые полномочия, которые передаются ведомству в рамках законопроекта об устойчивой работе Рунета. Об этом заявил руководитель надзорной службы Александр Жаров на заседании комитета Госдумы по информационной политике, информационным технологиям и связи.
В РКН заявили о готовности работы в рамках закона о суверенном Рунете

Мощная вредоносная программа Triton для компрометации автоматизированных промышленных систем, получившая известность после атак на нефтехимический завод в Саудовской Аравии несколько лет назад, использовалась в кампании, направленной на еще одно предприятие критической инфраструктуры, сообщили специалисты FireEye. Они не раскрыли информацию ни о названии пострадавшей компании, ни о том, в какой стране она находится.
Мощный вредонос для АСУ ТП продолжает атаковать промышленные предприятия

Правительство РФ добавило новый пункт в правила формирования Единого реестра российского ПО, согласно которому гарантийным обслуживанием, технической поддержкой и модернизацией, включенного в перечень программного обеспечения могут заниматься только российские коммерческие или некоммерческие организации без преобладающего иностранного участия либо граждане России. Соответствующее постановление опубликовано на портале правовой информации.
В реестр отчественного ПО будут допускаться только решения с российской техподдержкой

Экспертная группа Европейского союза по вопросам искусственного интеллекта опубликовала обновленную версию этических принципов доверия искусственному интеллекту (ИИ). Первая версия проекта была опубликована в декабре прошлого года и с тех пор получила 500 комментариев.
В ЕС опубликована новая версия этических принципов для ИИ

Исследователи «Лаборатории Касперского» раскрыли подробности о высокотехнологичном шпионском ПО, остававшемся незамеченным в течение пяти лет. APT-фреймворк TajMahal представляет собой модульный инструментарий, который не только поддерживает множество плагинов для шпионажа, но также использует ранее неизвестные и до конца непонятные техники.
Передовое шпионское ПО TajMahal в течение пяти лет оставалось незамеченным

Юбилейный 10-й Российский форум по управлению интернетом (RIGF 2019) состоялся 8 апреля в Москве. Открыл форум Сергей Кириенко - Первый заместитель Руководителя Администрации Президента РФ, который зачитал поздравление Президента РФ В. В. Путина участникам форума и обозначил основные направления дискуссии в рамках последующей панельной сессии, а также поздравил всех с 25-летием Рунета.


Президент России Владимир Путин поздравил участников RIGF 2019 с 25-летием Рунета

Федеральная служба безопасности РФ не считает смартфон и ручку с видеокамерой специальными техническими средствами для негласного сбора информации. Тем не менее, аудиозапись, видео- или фотосъемка человека без его согласия может рассматриваться как нарушение неприкосновенности личной жизни. Об этом в среду, 10 апреля, депутатам Госдумы пояснил заместитель директора ФСБ статс-секретарь Александр Купряжкин, пишут «Известия».
ФСБ не считает смартфон и ручку с видеокамерой шпионскими гаджетами

Команда Firefox тестирует новые функции безопасности для защиты пользователей от криптоджекинга и слежки со стороны сайтов. Интернет-ресурсы больше не смогут делать цифровые отпечатки и отслеживать пользователей даже после удаления файлов cookie. Кроме того, Firefox будет автоматически блокировать скрипты для майнинга криптовалюты. Обе функции сначала появятся в ночной и бета-версии браузера.
В Firefox появятся функции защиты от криптоджекинга и слежки

Не прошло и года с момента запуска стандарта WPA3 (Wi-Fi Protected Access III), призванного устранить технические недостатки протокола WPA2, который долгое время считался небезопасным и уязвимым к атаке реинсталляции ключей (Key Reinstallation Attack, KRACK), как исследователи выявили ряд серьезных уязвимостей в стандарте, позволяющих извлечь пароль Wi-Fi и проникнуть в сеть.
Уязвимости в протоколе WPA3 позволяют получить пароль Wi-Fi

Киберпреступная группировка, уступающая своим собратьям в финансировании и технологиях, ухитрилась запустить политически мотивированную операцию, жертвами которой стали 240 человек в 39 странах.
Киберпреступники использовали Pastebin для распространения RAT

Исследователь в области безопасности Набил Ахмед (Nabeel Ahmed) опубликовал демонстрационный эксплоит для уязвимости (CVE-2019-0841) повышения привилегий в Windows, вызванной некорректной обработкой жестких ссылок сервисом AppX Deployment Service (AppXSVC), используемым для запуска приложений Windows Apps, а также для установки и деинсталляции данных приложений.
В Сети доступен PoC-код для уязвимости в Windows

Разработчики Google Chrome рассматривают возможность реализации в браузере функции, по умолчанию блокирующей загрузку файлов по незащищенному протоколу HTTP на сайтах, использующих HTTPS.
Инженеры Google задумались о функции блокировки загрузки файлов по HTTP в Chrome

Сотрудники лондонской полиции арестовали основателя портала WikiLeaks Джулиана Ассанжа. Согласно заявлению полиции, правоохранителей пригласили в посольство Эквадора, где Ассанж находился с 2012 года, после того, как эквадорское правительство отозвало у него право на убежище.


Основатель WikiLeaks Джулиан Ассанж арестован в Лондоне

Cynet Threat Assessment – бесплатная программа оценки состояния уровня кибербезопасности от компании Cynet, предназначенная для крупных и средних организаций. С помощью инструмента организации могут определить критические поверхности атак и получить данные о происходящих в настоящее время атаках.
Новые ИБ-решения недели: 11 апреля 2019 года

Сотрудники Amazon слушают, что владельцы смарт-колонок Echo говорят голосовому помощнику Alexa. По данным Bloomberg, в целях улучшения работы Alexa компания наняла тысячи людей по всему миру для прослушивания аудиозаписей разговоров пользователей с голосовым помощником.
Тысячи сотрудников Amazon слушают разговоры пользователей с Alexa