Hacker exige US$ 5 milhões da Pemex antes de 30 de novembro

(Bloomberg) -- O hacker por trás de um ataque cibernético que paralisou os sistemas de informática da Petróleos Mexicanos desde o fim de semana está exigindo quase US$ 5 milhões da empresa e parece ter estipulado um prazo até 30 de novembro para receber o pagamento.
A Pemex tem outros planos. A petroleira disse que não pagará o resgate e espera resolver o problema do ataque cibernético hoje, segundo comentários do ministro de Energia do México, Rocio Nahle, na quarta-feira.
A gigante petrolífera mexicana é alvo de um hacker desconhecido que usa o nome "Joseph Atkins" em um endereço de e-mail - quase certamente um pseudônimo. Em resposta a um e-mail da Bloomberg News, a pessoa não quis comentar sobre a Pemex até 30 de novembro, último dia do prazo de três semanas

Fonte https://economia.uol.com.br/noticias/bloomberg/2019/11/14/hacker-exige-us-5-milhoes-da-pemex-antes-de-30-de-novembro.htm

🌎@RubyOfSec

Falha na câmera do Android permitia que hackers espionassem sua vida pessoal

Uma nova vulnerabilidade encontrada pelos pesquisadores da Checkmarx e que foi revelada publicamente nesta terça-feira (19) deve colocar milhões de usuários Android em alerta, já que ela permite que aplicativos tenham acesso à câmera dos smartphones sem a permissão expressa dos usuários.

A partir dessa falha, apps que, em seus termos de uso, não necessitariam do acesso à câmera, conseguiriam usar da brecha para abrir o Google Camera e o Samsung Camera e, assim, tirar fotos, gravar vídeos e até extrair dados de localização GPS sem a permissão ou mesmo conhecimento do dono do celular.
Normalmente, para se ter acesso à câmera do aparelho, um aplicativo precisa que o usuário conceda a ele permissão para acessar a câmera, gravar áudio e acessar a localização GPS do dispositivo. No entanto, a falha batizada pela Checkmarx de CVE-2019-2234 permitia que qualquer app que tivesse a permissão para armazenar e acessar arquivos na memória interna do smartphone e nos cartões SD do aparelh tivesse caminho livre para executar os aplicativos de câmera da Google e da Samsung como bem entendessem, desde que, obviamente, estivessem instalados no telefone. E, como qualquer foto tirada pelo celular também possui metadados de GPS, também seria possível ter acesso à localização do aparelho.
Assim, um cibercriminoso poderia criar um aplicativo inocente, como um organizador de cartão SD, um joguinho de corrida ou mesmo um app de previsão do tempo, e a partir dele ter acesso total à câmera do aparelho remotamente, podendo tirar fotos e gravar vídeos comprometedores que poderiam ser usados para chantagens. Isso porque a permissão de acesso para armazenar e acessar arquivos é o tipo mais comum para qualquer app...

Fonte http://paraiba.com.br/2019/11/20/falha-na-camera-do-android-permitia-que-hackers-espionassem-sua-vida-pessoal/

🌎@RubyOfSec

Google Offers Up to $1.5 Million Bounty for Remotely Hacking Titan M Chip

With its latest announcement to increase bug bounty rewards for finding and reporting critical vulnerabilities in the Android operating system, Google yesterday set up a new challenging level for hackers that could let them win a bounty of up to $1.5 million.

Starting today, Google will pay $1 million for a "full chain remote code execution exploit with persistence which compromises the Titan M secure element on Pixel devices," the tech giant said in a blog post published on Thursday.

Moreover, if someone manages to achieve the same in the developer preview versions of Android, Google will pay an additional $500,000, making the total to $1.5 million—that's 7.5 times more than the previous top Android reward.

Introduced within the Pixel 3 smartphones last year, Google's Titan M secure element is a dedicated security chip that sits alongside the main processor, primarily designed to protect devices against the boot-time attacks.

In other words, Titan M chip is a separate hardware component to Android Verified Boot that also takes care of sensitive data, lock-screen passcode verification, factory-reset policies, private keys, and also offers secure API for critical operations like payment and app transactions.

Considering this, it's usually tough to find a 1-click remote code execution exploit chain on the Pixel 3 and 4 devices, and, until now, only one cybersecurity researcher, Guang Gong of Qihoo 360, has been able to do that...

🌎@RubyOfSec

Fonte : https://thehackernews.com/2019/11/google-pixel-titan-m-chip.html

Hackers que invadiram a conta do CEO do Twitter estão presos

Prisões foram confirmadas por "Debug", lider do grupo hacker Chuckling Squad. Conta de Jack Dorsey foi usada para postar ameaças de bomba, mensagens racistas e material anti-semita.

Um dos hackers que invadiu a conta do CEO do Twitter, Jack Dorsey, na rede social foi preso há cerca de duas semanas. A informação foi confirmada ao site Motherboard por “Debug”, líder do grupo Chuckling Squad, ao qual o hacker pertencia.

A conta de Dorsey foi invadida em setembro deste ano usando uma técnica chamada SIM Swap. Essencialmente, os hackers convenceram a operadora a atribuir o número de telefone de Dorsey a um novo SIM Card que eles controlavam. Durante a invasão o grupo usou a conta do executivo, com mais de 4,3 milhões de seguidores, para postar ameaças de bomba, mensagens racistas e material anti-semita...

🌎@RubyOfSec

Fonte : https://olhardigital.com.br/fique_seguro/noticia/hackers-que-invadiram-a-conta-do-ceo-do-twitter-estao-presos/93387

Nubank alerta usuários para não pagarem fatura com o próprio cartão

Algumas pessoas estão tentando pagar os valores por meio de aplicativos como PicPay e RecargaPay

O Nubank aparentemente percebeu que alguns usuários estavam tentando inovar na hora de pagar a fatura do cartão. Em vez de gerar o boleto e pagar em banco, como seria o normal, eles estavam utilizando aplicativos de carteiras digitais como PicPay e RecargaPay para pagar a fatura utilizando o próprio cartão do Nubank cadastrado nestes apps. A empresa decidiu emitir um alerta para que seus clientes não façam isso.

A ideia do usuário que recorre a uma medida do tipo é simples: ao utilizar esses apps para pagar a fatura, ele estaria apenas adiando o pagamento sem precisar pagar os altos juros do cartão de crédito. No entanto, o Nubank explica que essa ideia não funciona no mundo real.
Essa prática faz com que o pagamento da fatura seja sempre adiado, assim os débitos não são quitados e sim inseridos novamente na fatura seguinte como valor de compras”, diz o blog do Nubank. “Ou seja: ao pagar a fatura do cartão com o próprio cartão, o cliente está aumentando a sua dívida”, conclui.

O Nubank também diz que tentar utilizar o cartão desta forma pode fazer com que ele seja cancelado, se for constatado que o cliente está fazendo uso indevido do serviço...

Mais em

Fonte : https://olhardigital.com.br/noticia/nubank-alerta-usuarios-para-nao-pagarem-fatura-com-o-proprio-cartao/93650

Olá, você já pode jogar o CAPÍTULO 2 do HACKTHEPLANET CTF.
~ Prepara o teclado, porque que vai aqueçer.

Para concluir este CTF você deve encontrar 4 flags e enviar para o email:
capturetheflag@hakspace.com

Para iniciar, acessa o link abaixo:
http://hakspace.com/capturetheflag

PRÊMIO: VPS (VIRTUAL PRIVATE SERVER)

OBS: Não esqueça de seguir todas as regras.

Mantido pela HakSpace.

Desvendando a engenharia social

Por: @ghsleaks

#Curso #Ghs #Udemy #Leak #Free #Download #Malus

Por: @ghsleaks

Curso de Micro Expressões Faciais

Por: @ghsleaks

#Curso #Ghs #Udemy #Leak #Free #Download #Malus

Por: @ghsleaks

Alleged Russian Hacker Behind $100 Million Evil Corp Indicted

The US is charging Maksim Yakubets over two of the biggest cybertheft campaigns of the last decade, and offers a record reward for information on the case.

For the last decade, the hackers behind Evil Corp have led a sustained assault on the bank accounts of thousands of victims across dozens of countries. By steadily evolving malware known as Bugat, they indiscriminately siphoned tens of millions of dollars from unwitting victims. Thursday, the FBI indicted Evil Corp’s alleged leader: Maksim V. Yakubets, also known as “aqua.”

The indictment, which you can read in full below, details in broad strokes the playbook that Yakubets and Igor Turashev, another Russian charged in the scheme, allegedly have rolled out countless times. They’d convince victims to click on a malicious link in a phishing email to download Bugat. Once installed, the malware would use a variety of techniques to steal: a keylogger to grab passwords, or creating fake banking pages to trick someone into voluntarily entering their credentials. Armed with that information, the hackers would arrange for electronic funds transfers from victim bank accounts to a network of so-called money mules, who would then get the funds back to Evil Corp.

“Each and every one of these intrusions was effectively a cyber-enabled bank robbery,” said assistant US attorney general Brian Benczkowski at a press conference announcing the indictment Thursday. Both men are still at-large in Russia.

Evil Corp was apparently also in the franchise business. According to court documents, Yakubets gave a UK resident access to Bugat in exchange for $100,000 up front, plus 50 percent of all revenues, with a minimum take of $50,000 a week. Like any good franchisor, Yakubets offered technical support as needed...

🌎@RubyOfSec

Fonte : https://www.wired.com/story/alleged-russian-hacker-evil-corp-indicted/

How to bypass SMS verification of any website / service

Receive an SMS: https://receive-a-sms.com
SMS Receive free: https://smsreceivefree.com
Online SMS: https://sms-online.co
Receive SMS online: https://smsreceiveonline.com
Get a free SMS number: https://getfreesmsnumber.com
Receive SMS: http://sms-receive.net
Receive SMS Online.NET: https://www.receivesmsonline.net
Free SMS checks: www.freesmsverifications.com
7 SIM.NET: http://7sim.net
HS3X: http://hs3x.com
Receive free SMS: http://receivefreesms.com
Receive free SMS.NET: http://receivefreesms.net
Receive SMS Online.IN: http://receivesmsonline.in
Receive SMS online: https://receive-sms-online.com
See SMS: https://www.smsver.com
Groovl: https://www.groovl.com
SMS.SELLAITE: http://sms.sellaite.com
Send SMS now: http://www.sendsmsnow.com
Receive SMS online.EU: http://receivesmsonline.eu
Proovl: https://www.proovl.com/numbers
Anon SMS: https://anon-sms.com
Hide my numbers: http://hidemynumbers.com
Pinger: https://www.pinger.com
Free online phone: https://www.freeonlinephone.org
5SIM: https://5sim.net
SkyCallbd free virtual number: http://www.freevirtu...r.skycallbd.com
Capture SMS: https://catchsms.com
SMS Get: http://smsget.net
1S2U: https://1s2u.com
Receive SMS: http://getsms.org
Vritty: https://virtty.com
Text anywhere: http://www.textanywhere.net
Receive SMS online.ME: http://receivesmsonline.me
Temporary emails: https://www.temp-mails.com
Purchase virtual number: http://www.virtualnumberbuy.com
Free Receive SMS online: http://freereceivesmsonline.com
NDTAN SMS: https://sms.ndtan.net
SMS Listen: https://smslisten.com
Free virtual SMS number: https://freevirtualsmsnumber.com
SMS Tibo: https://smstibo.com
Receive SMS number: https://receivesmsnumber.com
Free SMS code: https://freesmscode.com
Online SMS numbers: https://smsnumbersonline.com
SMS reception: https://smsreceiving.com
Trash Mobile https://es.mytrashmobile.com/numeros

By: @exploithub

The Pirate Bay inicia testes de plataforma para streaming em alta definição

Mesmo com futuro incerto devido à venda de controladora de domínios , o The Pirate Bay iniciou seus testes com um serviço de streaming pirata, para vídeos em alta definição. O BayStream serviria para o internauta assistir ao conteúdo disponível no site sem precisar baixá-lo.
De acordo com o site TorrentFreak, apesar de a funcionalidade ainda estar em experimentos, alguns usuários já teriam encontrado o acesso para a ferramenta durante a busca de alguns vídeos. A entrada para a plataforma de vídeos seria por meio do ícone com a letra “B”, logo abaixo do título do arquivo...
Quando o usuário entra no botão, uma tela do BayStream é aberta para reproduzir o vídeo escolhido. A qualidade de imagem de exibição – sem ultrapassar o máximo do arquivo hospedado –, neste caso, vai depender da conexão de internet da própria pessoa.

Outro ponto é que o BayStream não seria localizado no mesmo domínio do site principal. Ao tentar acessá-lo diretamente, surge uma interface de upload de arquivo sem grandes “enfeites” visuais. Além disso, é falado que o serviço suporta tamanhos de até 20 GB...

🌎@RubyOfSec

Fonte : https://www.tudocelular.com/windows-phone/noticias/n150118/the-pirate-bay-inicia-testes-plataforma-streaming.html

​​Curso de Web Hacking

Por: @ghsleaks

#Curso #Ghs #Udemy #Leak #Free #Download #Malus

Por: @ghsleaks

Java Programming: Step by Step from A to Z

Certificado Incluso

Udemy
R$ : De graça por tempo LIMITADO

Link :

https://www.udemy.com/course/java-programming-step-by-step-from-a-to-z/?couponCode=2F20D28F60312347D8B7

Brasil se mantém como segundo país com mais sequestro de dados

A Trend Micro divulgou o relatório Fast Facts, que analisou o cenário global das ameaças cibernéticas em outubro. O estudo mostra que o Brasil se mantém na vice-liderança na lista de países que mais sofrem com ameaças ransomware, sendo alvo de 10,45% das ameaças globais identificadas pela Trend Micro. O país líder nesse ranking é os Estados Unidos (com 11,16% das ameaças de todo o mundo). Do Top 5 fazem parte também Índia, Vietnã e Turquia.

Além dos ataques ransomware, outra ameaça crescente aqui no Brasil são os e-mails maliciosos. Apenas em outubro, a Trend Micro bloqueou mais de 130 milhões de ameaças por e-mail. Nesse campo, o Brasil fica atrás apenas dos EUA (que lidera o ranking mais uma vez, com mais de 700 milhões de ameaças bloqueadas) e da China.

"O e-mail é um requisito para a utilização de diversos serviços e plataformas digitais no Brasil, desde e-commerces até a indústria de apps, que envolvem mobilidade, jogos, delivery e outros serviços. Não é surpresa que os atacantes visem esse canal para roubar dados e conseguir controle de contas, sempre a fim de monetizar os golpes aplicados", explica Franzvitor Fiorim, diretor técnico da Trend Micro...

Link : https://tiinside.com.br/18/12/2019/brasil-se-mantem-como-segundo-pais-com-mais-sequestro-de-dados/