Разработчики китайского приложения TikTok исправили две уязвимости, эксплуатация которых могла позволить злоумышленникам перехватить контроль над учетными записями одним щелчком мыши.

Немецкий исследователь безопасности Мухаммед Таскиран обнаружил уязвимость отраженного межсайтового выполнения сценариев (XSS) в параметре URL-адреса TikTok, отражающем его значение без надлежащей очистки. Проблема также могла привести к утечке данных во время фаззинга доменов компании tiktok.com и m.tiktok.com.

Эксперт также обнаружил, что конечная точка API TikTok уязвима к атакам с подделкой межсайтовых запросов (CSRF), которые позволяют изменять пароли учетных записей пользователей, зарегистрированных с помощью сторонних приложений.

https://www.securitylab.ru/news/514308.php

Общение машины и человека всегда происходило без юмора. Однако это правило в скором времени перестанет действовать. Китайские специалисты разработали новую технологию, благодаря которой искусственный интеллект научится распознавать сарказм в высказываниях людей.

Cарказм — одна из самых сложных форм человеческого самовыражения и, следовательно, одна из самых сложных для обучения системам. Ученые смогли обнаружить эту уникальную человеческую лингвистическую черту в устной или письменной беседе.


https://www.securitylab.ru/news/514318.php

Окружная прокуратура округа Санта-Клара (штат Калифорния) сообщила, что большое жюри предъявило обвинение во взяточничестве руководителю службы безопасности Apple Томасу Мойеру и двум помощникам шерифа.


https://www.securitylab.ru/news/514322.php

Мэрия Москвы разработает систему, которая будет собирать детальный «цифровой профиль» пользователей всех городских услуг и сможет изучать активность москвичей в отдельно взятых районах и на «городских объектах». «Обогащённый профиль» пользователя будет включать в себя данные о задолженности и штрафах, информацию о проездном документе и соцкарте, система будет сопоставлять это с информацией из общественных точек доступа к Wi-Fi и от операторов, отслеживать «территориальные запреты» и «медицинские нарушения», а также учитывать данные соцопросов в разрезе отдельных районов города.

Объявленный тендер подразумевает масштабное расширение возможностей сбора информации о жителях, следует из закупочной документации. Заявленной целью доработки является «создание инструментов непрерывного мониторинга активности пользователей на территориях и объектах города Москвы», включая разработку «профилей активности по направлениям деятельности», «оперативное выявление возникающих трендов», «получение детальной аналитики и интегральных показателей по различным сферам деятельности пользователей» и «возможность оперативного реагирования на изменения ситуации в городе». Как подчёркивается в документации, все собираемые данные являются обезличенными и привязываются к уникальному идентификатору профиля, не содержащему такие данные как Ф. И.О. или место рождения.

Модуль «обогащения данных» должен будет обеспечивать «сопоставление и привязку» данных базовых профилей москвичей с данными Wi-Fi сессий в общественном транспорте, разрешений в части доступа к территории или объектам, обращений и результатов соцопросов по вопросам здравоохранения, образования, ЖКХ и работы общественного транспорта, а также обращений, связанных с личным автотранспортом и участием в городских событиях.

https://www.securitylab.ru/news/514323.php

Исследователи безопасности ИБ-компании Digital Defense обнаружили серьезную уязвимость в ПО для управления сайтами cPanel, пользующемся большой популярностью у хостинговых компаний. С ее помощью злоумышленник может обойти реализованный в cPanel механизм двухфакторной аутентификации для защиты учетных записей.



https://www.securitylab.ru/news/514325.php

В приложениях Baidu Maps и Baidu Search Box обнаружена проблема, связанная со сбором конфиденциальных данных.

https://www.securitylab.ru/news/514326.php

Отчет Hi-Tech Crime Trends 2020-2021 исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ретейла, производства, энергетики. Также авторы отчета анализируют кампании, развернутые против объектов критической инфраструктуры, которые все чаще становятся целью для спецслужб разных государств.



https://www.securitylab.ru/news/514328.php

В ходе киберучений, проводимых НАТО в Эстонии 16-20 ноября, специалисты упражнялись в поимке финансируемых правительствами хакеров с помощью специально расставленных ловушек.

https://www.securitylab.ru/news/514329.php

Сотрудники Московского уголовного розыска совместно с коллегами из Центрального округа столицы пресекли деятельность группы, удаленно похищавшей денежные средства со счетов граждан с помощью социальной инженерии.

Как сообщает пресс-служба МВД РФ, злоумышленники действовали следующим образом: звонили клиентам банков и, представившись сотрудниками службы безопасности финансово-кредитной организации, сообщали им, будто их банковские карты были взломаны. Затем мошенники предлагали заблокировать ее, и просили продиктовать для этого номер карты и коды, которые приходили в SMS-сообщениях. Получив все нужные данные, злоумышленники регистрировали чужие карты в системе бесконтактной оплаты на свои мобильные телефоны и пользовались денежными средствами. В общей сложности мошенники причинили ущерб на сумму, превышающую 12 млн руб.
https://www.securitylab.ru/news/514354.php

Национальную квантовую лабораторию в рамках реализации федерального проекта, направленного на развитие квантовых технологий, построят в России, заявил руководитель проектного офиса по квантовым технологиям госкорпорации «Росатом» Руслан Юнусов 25 ноября на пресс-конференции журналистам.

Новая структура объединит усилия и ресурсы ключевых университетов, научных центров, технологических компаний, финансовых организаций, стартапов и команд-разработчиков в области создания квантовых компьютеров. Участники создаваемого консорциума займутся развитием необходимой инфраструктуры для проведения работ в области квантовых вычислений, а также обеспечат подготовку кадров.

https://www.securitylab.ru/news/514355.php

На платформе 0patch стало доступно бесплатное временное исправление для уязвимости локального повышения привилегий в Windows 7 и Server 2008 R2. Уязвимыми являются все устройства, участвующие в программе расширенной поддержки Microsoft (Extended Security Updates, ESU), поэтому их администраторам рекомендуется установить патч от 0patch, пока Microsoft не выпустит официальное обновление. Пользователям, не участвующим в программе ESU, также рекомендуется установить исправление от 0patch.

https://www.securitylab.ru/news/514363.php

Исследователь безопасности Джо Словик (Joe Slowik) из компании DomainTools призвал западных ИБ-специалистов более внимательно отслеживать кибероперации, связанные с локальными конфликтами в регионах, которые, как правило, не привлекают внимания в США и Европе. Как считает специалист, это поможет лучше подготовиться к потенциальным атакам.

https://www.securitylab.ru/news/514366.php

Компания Facebook выплатила штраф в размере 4 млн рублей за нарушение закона о защите персональных данных. Техногигант не предоставил сведения о локализации баз данных российских пользователей. «Штраф выплачен, суд получил постановление об окончании исполнительного производства», — сообщила пресс-секретарь.

https://www.securitylab.ru/news/514375.php

Компания Microsoft добавила в Office Suite 365 новые функции, позволяющие организациям осуществлять мониторинг действий своих сотрудников.



https://www.securitylab.ru/news/514365.php

В ходе совместной операции Интерпола, компании Group-IB и правоохранительных органов Нигерии была ликвидирована крупная киберпреступная группировка. В частности, на территории Нигерии были арестованы трое местных жителей, подозреваемых в участии в крупной организованной преступной группе, занимающейся распространением вредоносного ПО, рассылкой фишинговых писем и BEС-атаками.

https://www.securitylab.ru/news/514391.php

В закрытой бета-версии iOS специалисты обнаружили функцию, которая при первом запуске iPhone предлагает пользователю установить приложения сторонних разработчиков.

Эта опция позволит Apple выполнить требования закона о предустановке российского ПО для продажи смартфонов в нашей стране. Но до сих пор остается открытым вопрос о доступе платежной системы «Мир» к модулю бесконтактной оплаты в iPhone. Apple все еще не разрешает установку сторонних платежных систем на свою продукцию. Но эксперты полагают, что вскоре все изменится, так как любой зарубежный оператор, в том числе и Apple, заинтересован в работе собственных платежных систем на территории Российской Федерации.

https://www.securitylab.ru/news/514393.php

На прошлых выходных на одном из хакерских форумов были опубликованы эксплоиты для уязвимости в VPN-устройствах Fortinet (CVE-2018-13379) и IP-адреса порядка 50 тыс. уязвимых устройств, принадлежащих крупным банкам, телекоммуникационным компаниям и правительственным организациям по всему миру. В то время опубликовавший их киберпреступник заявлял, что в его распоряжении также имеются учетные данные для этих уязвимых устройств, и теперь он выложил их в открытый доступ.

https://www.securitylab.ru/news/514394.php