Есть тут спецы по вордпрессу? Чисто пару вопросов задать, напишите в бота или в чат если не влом
Forwarded from Информация опасносте
История о том, как в приложении Grinder, которое популярно в LGBTQ-сообществе для поиска партнеров, была обнаружена уязвимость, позволявшая получить контроль над чужим аккаунтом, зная адрес электронной почты пользователя. А все было просто — страница сброса пароля содержала в себе токен для этого самого сброса. То есть тот, кто знал имейл пользователя, мог затриггерить сброс пароля, выцепить токен из страницы, и войти в аккаунт. Упс.
https://techcrunch.com/2020/10/02/grindr-account-hijack-flaw/
https://www.troyhunt.com/hacking-grindr-accounts-with-copy-and-paste/
https://techcrunch.com/2020/10/02/grindr-account-hijack-flaw/
https://www.troyhunt.com/hacking-grindr-accounts-with-copy-and-paste/
Troy Hunt
Hacking Grindr Accounts with Copy and Paste
Sexuality, relationships and online dating are all rather personal things. They're aspects of our lives that many people choose to keep private or at the very least, share only with people of our choosing. Grindr is "The World's Largest Social Networking…
Forwarded from noTieinIT - Об IT без галстуков
🐒 Не хочешь программировать - стань разработчиком. Дно пробито.
Для нашего рекрутмента давно уже есть определенные маркеры по кандидатам. Да и собеседующие смотрят на предыдущий опыт и образование. Когда у человека в CV указано, что он выпускние курсов GoIT, компьютерной академии ШАГ, SkillUP, ITEA, то это индикатор того, что с высокой вероятностью будет “все плохо”. Я уже молчу про зашквары самих курсов, а сужу по опыту прошлых собеседований. Вроде по CV все хорошо и закрываем глаза на “сомнительный опыт” таких курсов… доходим по собеседования и в очередной раз убеждаемся, что это было зря потраченное время. После очередной попытки просто перестали смотреть людей с такой “черной меткой”.
Еще ни один человек из знакомых не заявил, что нашел адекватов после этих курсов. Так что если кто из подписчиков выбирает пойти ли на курсы, то задумайтесь. Помимо потраченных денег и времени есть вероятность, что и другие компании не будут серьезно воспринимать как кандидата.
Ниже картинка с рекламы GoIT. Отлично характеризует их контингент и целевую аудиторию… Спасибо, не нужны такие.
Для нашего рекрутмента давно уже есть определенные маркеры по кандидатам. Да и собеседующие смотрят на предыдущий опыт и образование. Когда у человека в CV указано, что он выпускние курсов GoIT, компьютерной академии ШАГ, SkillUP, ITEA, то это индикатор того, что с высокой вероятностью будет “все плохо”. Я уже молчу про зашквары самих курсов, а сужу по опыту прошлых собеседований. Вроде по CV все хорошо и закрываем глаза на “сомнительный опыт” таких курсов… доходим по собеседования и в очередной раз убеждаемся, что это было зря потраченное время. После очередной попытки просто перестали смотреть людей с такой “черной меткой”.
Еще ни один человек из знакомых не заявил, что нашел адекватов после этих курсов. Так что если кто из подписчиков выбирает пойти ли на курсы, то задумайтесь. Помимо потраченных денег и времени есть вероятность, что и другие компании не будут серьезно воспринимать как кандидата.
Ниже картинка с рекламы GoIT. Отлично характеризует их контингент и целевую аудиторию… Спасибо, не нужны такие.
Ищу iOS дева, strong junior - middle, удаленка, парт-тайм, почасовая оплата. Пишите в бота или @deepest_void
Forwarded from Информация опасносте
Ладно, а помните историю, когда взломали Твиттер, и там от аккаунтов известных личностей (типа Обамы, Маска и Безоса) и крупных компаний (типа Apple) раздавались призывы переводить биткойны?
Расследование-то продолжается, и вот опубликованы детали этого расследования. Для затравки — как произошёл «взлом»: чуваки звонили сотрудникам Твиттера, представлялись службой IT-поддержки и предлагали решить проблемы c VPN (которые тогда после перехода на удалённую работу встречались часто). Затем направляли сотрудников на фишинговый вебсайт, который был похож на настоящий вебсайт VPN, используемый сотрудниками. Таким образом они перехватывали данные аккаунтов, включая 2ФА коды, которые вводили некоторые сотрудники. Аппаратные ключи — вот что спасло бы Твиттер
https://www.dfs.ny.gov/Twitter_Report
Расследование-то продолжается, и вот опубликованы детали этого расследования. Для затравки — как произошёл «взлом»: чуваки звонили сотрудникам Твиттера, представлялись службой IT-поддержки и предлагали решить проблемы c VPN (которые тогда после перехода на удалённую работу встречались часто). Затем направляли сотрудников на фишинговый вебсайт, который был похож на настоящий вебсайт VPN, используемый сотрудниками. Таким образом они перехватывали данные аккаунтов, включая 2ФА коды, которые вводили некоторые сотрудники. Аппаратные ключи — вот что спасло бы Твиттер
https://www.dfs.ny.gov/Twitter_Report
Department of Financial Services
Twitter Investigation Report
Report on Investigation of Twitter’s July 15, 2020 Cybersecurity Incident and the Implications for Election Security
Forwarded from 10xer
YouTube
Introducing VSCode Stories
I made stories for VSCode that way you can make fun coding stories and share them with your fellow developers.
extension: https://marketplace.visualstudio.com/items?itemName=benawad.stories
code: https://github.com/benawad/vscode-stories
#benawad #vscode…
extension: https://marketplace.visualstudio.com/items?itemName=benawad.stories
code: https://github.com/benawad/vscode-stories
#benawad #vscode…
Forwarded from Backlog
Excel и потерянные деньги💸
Исследования показывают, что около 90% электронных таблиц содержат ошибки. Только малая часть из них критична, но может привести к многомиллионным убыткам если их вовремя не обнаружить.
- 16 тысяч covid случаев в Британии не было зарегистрировано из-за того, что разработчики экспортировали данные в устаревший формат xls, который ограничен по количеству колонок.
- Производитель марихуаны Canopy Growth переоценил квартальную прибыль на 47 миллионов долларов из-за неправильной формулы в Excel которая считала разницу расходов и доходов.
- Boeing слил личные данные сотрудника в скрытой колонке таблицы.
- 10 тысяч несуществующих билетов было продано на Олимпийские игры в Лондоне. Всё из-за того, что сотрудник написал в таблице 20000 вместо 10000.
- Электроэнергетическая компания TransAlta потеряла 24 миллиона долларов, потому что приобрела больше договоров хеджирования чем нужно. Сотрудник компании использовал Excel функцию cut-and-paste, но неправильно выровнял ряды.
- Инвестиционный банк Lazard Ltd недооценил SolarCity на $400 млн., консультируя их при выкупе компанией Tesla, так как неправильно посчитал входные данные используя формулу Excel
Так вот, сегодня я узнал, что существуют целые компании, которые только тем и занимаются, что исправляют ошибки в электронных таблицах. Их клиентами являются крупные банки, регулирующие органы и транснациональные компании. Процесс изучения каждой электронной таблицы уникален. Для аудита сложных таблиц они используют ПО, которое построчно выявляет ошибки в структуре, формулах, неправильном формате данных. Один из основных тестов состоит в том, чтобы изменить входные данные и посмотреть, реагируют ли выходные данные так, как ожидалось. Но автоматизация, к сожалению, не помогает поймать логические проблемы. Для этого эксперты должны не только идеально разбираться в электронных таблицах, но и знать отрасль в которой работает их клиент. Короче говоря, это означает, что их работа сводится к тому, чтобы проводить дни за чтением таблиц и документов.
А есть такие же консультанты, которые посмотрят на код и скажут, что в будущем эта строчка будет стоить нам миллионных убытков? Я бы нанял
Исследования показывают, что около 90% электронных таблиц содержат ошибки. Только малая часть из них критична, но может привести к многомиллионным убыткам если их вовремя не обнаружить.
- 16 тысяч covid случаев в Британии не было зарегистрировано из-за того, что разработчики экспортировали данные в устаревший формат xls, который ограничен по количеству колонок.
- Производитель марихуаны Canopy Growth переоценил квартальную прибыль на 47 миллионов долларов из-за неправильной формулы в Excel которая считала разницу расходов и доходов.
- Boeing слил личные данные сотрудника в скрытой колонке таблицы.
- 10 тысяч несуществующих билетов было продано на Олимпийские игры в Лондоне. Всё из-за того, что сотрудник написал в таблице 20000 вместо 10000.
- Электроэнергетическая компания TransAlta потеряла 24 миллиона долларов, потому что приобрела больше договоров хеджирования чем нужно. Сотрудник компании использовал Excel функцию cut-and-paste, но неправильно выровнял ряды.
- Инвестиционный банк Lazard Ltd недооценил SolarCity на $400 млн., консультируя их при выкупе компанией Tesla, так как неправильно посчитал входные данные используя формулу Excel
Так вот, сегодня я узнал, что существуют целые компании, которые только тем и занимаются, что исправляют ошибки в электронных таблицах. Их клиентами являются крупные банки, регулирующие органы и транснациональные компании. Процесс изучения каждой электронной таблицы уникален. Для аудита сложных таблиц они используют ПО, которое построчно выявляет ошибки в структуре, формулах, неправильном формате данных. Один из основных тестов состоит в том, чтобы изменить входные данные и посмотреть, реагируют ли выходные данные так, как ожидалось. Но автоматизация, к сожалению, не помогает поймать логические проблемы. Для этого эксперты должны не только идеально разбираться в электронных таблицах, но и знать отрасль в которой работает их клиент. Короче говоря, это означает, что их работа сводится к тому, чтобы проводить дни за чтением таблиц и документов.
А есть такие же консультанты, которые посмотрят на код и скажут, что в будущем эта строчка будет стоить нам миллионных убытков? Я бы нанял
Forwarded from Чемпіонат Файних Хлопців
https://www.google.com/search?q=db_password+filetype%3Aenv
(не боян, а классика)
(не боян, а классика)
Forwarded from Информация опасносте
Go SMS Pro, популярный мессенджер на Андроид, при пересылке картинок или файлов между пользователями закачивает их на свой сервер, чтобы ссылка была доступна для просмотра даже без приложения. Но нумерация этих файлов идёт по порядку, и при желании можно перебором просматривать чужие файлы, которые могут содержать конфиденциальную информацию. Попытки связаться с разработчиками не увенчались успехом, проблема остаётся неисправленной
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-media-file-theft/
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-media-file-theft/
Лайк если пропало больше 30% коллекции)
https://www.vice.com/en/article/jgqjjy/pornhub-suspended-all-unverified-videos-content
https://www.vice.com/en/article/jgqjjy/pornhub-suspended-all-unverified-videos-content
VICE
Pornhub Just Purged All Unverified Content From the Platform
After changing its policies to ban unverified uploaders and Mastercard and Visa's decision to drop the platform entirely, Pornhub has removed millions of videos.