Тысячи предприятий, использующих программное обеспечение Oracle E-Business, находятся в зоне риска атак в связи с содержащимися в нем уязвимостями. По данным компании Onapsis, примерно половина организаций, использующих Oracle EBS, все еще не применила обновления, устраняющие уязвимости CVE-2019-2648 и CVE-2019-2633, несмотря на то, что производитель выпустил соответствующие патчи еще в минувшем апреле.

Старые уязвимости в Oracle E-Business подвергают компании риску атак

В СМИ стала появляться информация о новой, ранее неизвестной технологии GPS-спуфинга, предположительно тестируемой правительством КНР. Уже более года жертвами новой атаки становятся суда в порту Шанхая и его окрестностях.
Ранее неизвестная атака на GPS создает «корабли-призраки»

Исследователи безопасности из Unit 42 компании Palo Alto Networks опубликовали PoC-код для критической уязвимости в программном обеспечении Docker. Уязвимость CVE-2019-14271 затрагивает реализацию в Docker команды «cp» (copy) и ее эксплуатация позволяет злоумышленнику выполнить код на системе с правами суперпользователя.
Опубликован PoC-код для критической уязвимости в Docker

Бывшая представительница США в ООН Никки Хейли отправляла секретную информацию о проводимых КНДР испытаниях ядерных ракет по незащищенным каналам связи. Причина, заставившая Хейли пойти в обход защищенного канала связи, – политик забыла свой пароль.
Экс-представительница США в ООН отправляла секретную информацию по незащищенным каналам

Создатель мессенджера Telegram заявил, что ранее в WhatsApp нашли уязвимость, которая позволяет хакерам и правительственным спецслужбам получить доступ к данным пользователей

Дуров рекомендует удалить WhatsApp со смартфонов

Компания Microsoft опровергла слухи, будто ее платформа Microsoft Teams использовалась киберпреступниками для заражения корпоративных сетей вымогательским ПО.
Microsoft: Microsoft Teams и BlueKeep не использовались в атаках DoppelPaymer

Иранские киберпреступники за последнее десятилетие совершили одни из самых разрушительных кибератак, уничтожив целые компьютерные сети по всему Ближнему Востоку и в США. Однако теперь одна из наиболее активных киберпреступных группировок в Иране, похоже, сменила свои цели и вместо стандартных IT-сетей нацелилась на физические системы управления, используемые в электроэнергетике, на производстве и на нефтеперерабатывающих заводах.
Иранская группировка APT33 нацелилась на системы промышленного контроля

Совсем скоро начнется сезон зимних праздников – время обмена подарками и… персональными данными, предупреждают эксперты. Выбирая новогодние подарки для родных и близких, или гоняясь за скидками в «черную пятницу», физически невозможно ознакомиться с условиями пользования и политиками безопасности каждого электронного гаджета с целью убедиться, что он не несет угрозу конфиденциальности данных.
Mozilla опубликовала новый выпуск руководства по выбору подарков

Французская больница Университэр де Руан (Hôpital Charles-Nicolle de Rouen) стала жертвой атаки с использованием вымогательского ПО, последствия которой сравнимы с WannaCry, поразившего больницы Национальной службы здравоохранения Великобритании в 2017 году.
Французская больница понесла ущерб от вымогателей, сравнимый с атакой WannaCry

В Ставрополе вынесен приговор сотруднику банка, пользовавшегося своим служебным положением для продажи персональных данных клиентов.
В Ставрополе сотрудник банка фотографировал монитор и продавал данные клиентов

Некоммерческая организация Amnesty International опубликовала отчет, в котором предложила техногигантам Facebook и Google изменить свою бизнес-модель и перестать полагаться на данные пользователей. Как сообщается в отчете, постоянное наблюдение за миллиардами людей во всем мире со стороны компаний угрожает правам человека и свободе слова.
Практика наблюдения Facebook и Google угрожает правам человека

Реализовывая сегодня изменения в той или иной своей технологии или отдельной функции, мы имеем четкое представление о том, в каком направлении хотим развить и улучшить ее завтра. https://www.securitylab.ru/analytics/502778.php

Linux-серверы, на которых установлено уязвимое программное обеспечение Webmin, подвергаются кибератакам и попадают под контроль нового однорангового (peer-to-peer, P2P) ботнета, получившего название Roboto.
Linux-cерверы Webmin атакованы ботнетом Roboto

Безопасность? Пентест? Реверс? Хакинг? Участвуй в онлайн-соревновании от Otus и VolgaCTF + СTF.Moscow

Отус Онлайн-образование, VolgaCTF и СTF.Moscow приглашают всех заинтересованных испытать свои силы в любом из трех направлений нашего онлайн CTF. Узнайте подробности о конкурсе, направлениях и наградах на открытом вебинаре “Всё о CTF онлайн” 4 декабря в 20.00 (мск). Регистрируйтесь сейчас - и примите участие! https://otus.pw/bNi4/

Ждем всех, кто имеет опыт и кому профессионально интересны:
Безопасность Linux + Безопасная разработка
Пентест
Реверс-инжиниринг


Приходите! Задачи будут непростыми, а награды - достойными.
https://otus.pw/ekGI/https://otus.pw/bNi4/

В четверг, 21 ноября, Госдума РФ приняла в третьем, окончательном чтении закон об обязательной предустановке отечественного ПО на смарт-устройства, а также закон, вводящий крупные штрафы за невыполнение требований о хранении в РФ персональных данных россиян.
Госдума приняла закон о предустановке российского ПО

Житель Приморья использовал майнинговую ферму для добычи криптовалюты и случайно вызвал пожары в квартирах соседей. Причиной возгорания стала сильная нагрузка на блоки питания, вызванная работой майнинговой фермы.
Владелец майнинговой фермы в Приморье сжег квартиры соседей

Даже после выпуска обновлений популярные приложения остаются неисправленными в интернет-каталоге Google Play Store, выяснили специалисты компании Check Point в рамках проведенного исследования. В частности, говорят они, злоумышленники могут получать данные о местоположении из Instagram, изменять сообщения в Facebook и читать сообщения в WeChat.
Приложения Facebook, Instagram и WeChat не обновляются в Google Play Store

Компания Google предприняла запоздалую попытку оправдать свой «Проект Найтингейл» (Project Nightingale), в рамках которого она собирала медицинские данные пациентов в США. Как сообщает Google, сбор данных пациентов сети больниц Ascension осуществлялся на законных основаниях в рамках договора о деловом сотрудничестве. Договор разрешает обмениваться некоторыми данными пациентов в соответствии с действующим законодательством.
Google попыталась оправдать свою программу по сбору данных пациентов

Французская компания Edenred сообщила о кибератаке с применением вредоносного ПО, затронувшей неизвестное количество компьютерных систем. Компания начала расследование на предмет установления степени заражения.
Поставщик платежных решений Edenred стал жертвой кибератаки

Соцсеть Twitter позволила своим пользователям деактивировать включенную по умолчанию двухфакторную аутентификацию по SMS. Отметим, ранее такая возможность отсутствовала.
В Twitter появилась возможность отключать двухфакторную аутентификацию по SMS

Гражданин России Станислав Витальевич Лисов, известный также как Black и Blackf, был признан федеральным судом Южного округа штата Нью-Йорк виновным в сговоре с целью заражения компьютеров жертв вредоносным ПО NeverQuest для похищения их учетных данных online-банкинга и хранящихся на счетах средств. За совершенные преступления суд приговорил 34-летнего россиянина к четырем годам лишения свободы, трем годам условно и штрафу в размере $50 тыс. Также суд обязал его выплатить $481 тыс. компенсации.
Оператор ботнета NeverQuest приговорен к 4 годам тюрьмы