Уже несколько месяцев пользователи приложения My McD’s канадской сети McDonald’s жалуются на то, что кто-то через их учетные записи заказывает фастфуд на крупные суммы.


Неизвестные заказали еду на $2 тыс. через чужие аккаунты в приложении McDonald's

Данные 80 млн американских семей (более половины от общего числа семей в США) хранились на незащищенном облачном сервере Microsoft. Открытая база данных была обнаружена специалистами из vpnMentor при участии активистов Ноэма Ротема (Noam Rotem) и Рэна Локара (Ran Locar). Размер БД составляет 24 ГБ; установить ее владельца пока не удалось.
Данные более половины американских семей оказались в открытом доступе

Швейцарская ИБ-компания ImmuniWeb (ранее известная как High-Tech Bridge) выпустила бесплатное решение Website Security Test, предназначенное для проверки безопасности сайтов и соответствия стандартам PCI DSS, в частности, пунктам 6.2, 6.5 и 6.6.
Представлен бесплатный инструмент для проверки безопасности web-сайтов

Компания Vodafone обнаружила «скрытые бэкдоры» в домашних маршрутизаторах и оборудовании китайского производителя Huawei, используемого в части сетевой инфраструктуры оператора в Италии. Об этом сообщило агентство Bloomberg со ссылкой на знакомые с ситуацией источники. Уязвимости были выявлены в период с 2009 по 2011 годы. В настоящее время нет свидетельств, указывающих на компрометацию данных.
Bloomberg: Vodafone нашла «скрытые бэкдоры» в оборудовании Huawei

Советский районный суд города Воронежа вынес приговор киберпреступнику, зарабатывавшему на заказных взломах электронной почты и страниц в соцсетях. Согласно приговору, 21-летний Роман И. должен в течение одного года заниматься исправительными работами и ежемесячно отчислять в пользу государства 10% от заработной платы.
В Воронеже осужден местный житель, взламывавший пароли на заказ

«Профессия» хакера по-прежнему очень популярна среди пользователей Рунета. К такому выводу пришли специалисты «Яндекса» по результатам анализа поисковых запросов.
«Профессия» хакера попала в тройку самых популярных по версии «Яндекса»

Бывший сотрудник китайского производителя беспилотных летательных аппаратов DJI осужден на 6 месяцев лишения свободы за публикацию проприетарных исходных кодов на платформе GitHub. Также он должен выплатить штраф в размере 200 тыс. юаней ($29 тыс.).
Бывший инженер DJI получил полгода тюрьмы за публикацию исходных кодов

В утилите Dell SupportAssist, служащей для отладки, диагностики и автоматического обновления драйверов, обнаружена опасная уязвимость (CVE-2019-3719), позволяющая удаленно выполнить код с привилегиями администратора на компьютерах и лэптопах Dell. По оценкам экспертов, проблема затрагивает значительное количество устройств, поскольку инструмент Dell SupportAssist предустановлен на всех ПК и ноутбуках Dell, поставляемых с ОС Windows (системы, которые продаются без ОС, уязвимости не подвержены).
Уязвимость в предустановленной утилите ставит под угрозу взлома компьютеры Dell

Президент РФ Владимир Путин подписал так называемый закон об изоляции Рунета, призванный обеспечить стабильную работу российского сегмента интернета в случае отключения от всемирной Сети или скоординированных атак. Документ опубликован на официальном портале правовой информации.


Путин подписал закон о суверенном Рунете

На этой неделе из Нидерландов в США был экстрадирован гражданин Украины Алексей Иванов, заработавший миллионы на вредоносной рекламе. Американские власти обвиняют 31-летнего украинца в компьютерном мошенничестве, мошенничестве с использованием средств связи и заговоре с целью осуществления мошенничества.
Украинец заработал миллионы на вредоносной рекламе

Обеспечение кибербезопасности обходится компаниям в $2,3 тыс. в год за одного сотрудника. Такие данные приводятся в отчете специалистов Deloitte и Центра информационного обмена и анализа финансовых служб (Financial Services Information Sharing and Analysis Center, FS-ISAC).
Эксперты подсчитали, во сколько компаниям обходится обеспечение ИБ

В Бобруйске задержан киберпреступник, живший на широкую ногу за счет продажи краденых персональных и финансовых данных. Как сообщает белорусский телеканал «Общенациональное телевидение», некто под псевдонимом Сатоши (не имеет никакого отношения к создателю биткойна Сатоши Накамото) с помощью вредоносного ПО взламывал учетные записи пользователей популярных сервисов и похищал конфиденциальную информацию.
Сатоши из Бобруйска попался «на горячем»

Отныне российские пользователи мессенджеров обязаны проходить идентификацию по номеру телефона. Работать с приложениями для обмена сообщениями можно только после того, как сотовый оператор подтвердит, что номер действительно принадлежит пользователю. Новые правила вступили в силу в воскресенье, 5 мая.
Для пользователей в РФ вступили в силу новые правила идентификации

В рамках совместной операции, проведенной при участии ФБР и правоохранительных органов Германии, Нидерландов и других стран, Европол отключил две подпольные торговые площадки – Wall Street Market и Silkkitie (также известна как Valhalla), предлагающие различные товары – от наркотиков до вредоносного ПО. Также в Германии были арестованы трое предполагаемых операторов Wall Street Market – второго по величине рынка даркнета, чья аудитория составляет более 1 млн пользователей.
Европол закрыл две крупнейшие торговые площадки даркнета

Компания Mozilla выпустила обновление для своего браузера Firefox, исправляющее проблему с истекшим цифровым сертификатом.
Пользователи Firefox столкнулись с массовым отключением расширений

Неизвестные злоумышленники атаковали разработчиков, размещающих свои исходные коды на площадках Git. Атакующие удалили содержимое сотен Git-репозиториев в сервисах GitHub, Bitbucket, GitLab, заменив его требованием об уплате выкупа в размере 0,1 биткойна (примерно $560) за восстановление данных. Атаки начались в пятницу, 3 мая. В настоящее время неясно, как именно преступникам удалось получить доступ к аккаунтам.
Вымогатели удалили содержимое сотен Git-репозиториев

За последние несколько недель киберпреступник, известный в Сети как Subby, захватил контроль над 29 чужими IoT-ботнетами. Задачу преступнику облегчил тот факт, что операторы некоторых ботнетов использовали для авторизации на C&C-серверах ненадежные пароли или учетные данные по умолчанию.
Киберпреступник отобрал у скрипт-деток 29 ботнетов

Свыше сотни плагинов для открытого инструмента непрерывной интеграции ПО Jenkins содержат различные уязвимости в основном связанные с хранением паролей в незашифрованном виде, а также CSRF-баги, позволяющие украсть учетные данные или осуществить CSRF-атаки. Проблемы выявил специалист компании NCC Group Виктор Газдаг (Viktor Gazdag), проанализировавший несколько сотен плагинов Jenkins.
В более чем 100 плагинах Jenkins обнаружены уязвимости

Министерство обороны Японии начнет разработку кибероружия, которое будет использоваться исключительно для самообороны. Предполагается, что созданием вредоносного ПО займутся государственные подрядчики, а работа над ним будет завершена к концу текущего финансового года, сообщают местные СМИ.
Япония пополнит список стран, владеющих кибероружием

ИБ-эксперты советуют пользователям на время отказаться от использования функции удаленного доступа в камерах D-Link DCS-2132L, установленных в особо важных участках дома или компании. Причина – наличие уязвимостей, позволяющих перехватывать видеопоток и модифицировать прошивку устройств.
Уязвимости в камерах D-Link DCS-2132L открывают доступ к видеопотоку

На прошедших выходных пользователи браузера Mozilla Firefox столкнулись с серьезной проблемой, нарушившей работу расширений в браузере. Причиной неполадки стало истечение срока действия сертификата, используемого Mozilla для подписи расширений. В результате браузер больше не мог проверять подлинность локально установленных расширений и незамедлительно их отключил. Это привело к тому, что миллионы пользователей не могли ни возобновить работу расширений, ни установить новые. Производитель решил проблему с выпуском версий Firefox 66.0.4 для настольных компьютеров и Android-устройств и 60.6.2 для ESR.
Обзор инцидентов безопасности за период с 29 апреля по 5 мая 2019 года