#news Агрегаторы Sabre и Travelport еженедельно сообщали спецслужбам США о перемещениях русского хакера, проходившего подозреваемым по делу сайта Cardplanet, в 2015-м году.
Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.
С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.
@tomhunter
Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.
С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.
@tomhunter
🤯5🔥2😢2🤬1
#news Злоумышленники используют оригинальный метод продажи декриптора. Покупать его нужно в игровом магазине Roblox за местную валюту.
В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.
Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.
@tomhunter
В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.
Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.
@tomhunter
❤4😱4
#news Исследователи провели полевой эксперимент, зафиксировав сотни тысяч тестовых запросов на подключение к Wi-Fi от прохожих, чтобы определить тип данных, передаваемых без ведома владельцев устройств. Ранее считалось, что мобильные устройства передают так только анонимные MAC-адреса, что считается совместимым с GDPR. В результате исследования оказалось, что в 23,2% запросы передавали SSID сетей, к которым устройства подключались в прошлом. В захваченных SSID исследователи обнаружили строки, соответствующие сетям Wi-Fi магазинов, 106 различных имен, три адреса электронной почты и 92 дома отдыха или жилья, ранее добавленные в качестве надежных сетей.
@tomhunter
@tomhunter
🔥8🤯2😱2
#news В пакеты Python pyanxdns, api-res-py и keep затесалась крадущая пароли малварь.
Речь о request, тайпсквот-версии модуля requests. Он по-прежнему доступен на зеркалах и тянет инфу с пары десятков браузеров. Пакеты местечковые, но у keep 8,000 скачиваний в неделю, request обнаружили в версии 1.2.
Создатель pyanxdns подтвердил, что это была просто опечатка, с двумя другими пока не ясно. Судя по всему, и там авторы опечатались, ненароком вписав в свои проекты реквест на малварь.
@tomhunter
Речь о request, тайпсквот-версии модуля requests. Он по-прежнему доступен на зеркалах и тянет инфу с пары десятков браузеров. Пакеты местечковые, но у keep 8,000 скачиваний в неделю, request обнаружили в версии 1.2.
Создатель pyanxdns подтвердил, что это была просто опечатка, с двумя другими пока не ясно. Судя по всему, и там авторы опечатались, ненароком вписав в свои проекты реквест на малварь.
@tomhunter
🔥6🤬2
#news Исследователи из MIT нашли RCE-уязвимость в Маках на процессоре M1.
Атаку назвали Pacman — уязвимость таится в коде аутентификации указателей (PAC), который призван защищать устройство от зловредов. Устроена атака весьма просто: хакеру достаточно угадать PAC и криптографическую подпись, которая подтверждает, что в приложение не были внесены зловредные изменения. Пул возможных значений не так уж и обширен, что упрощает хакерам жизнь.
Детальное описание атаки есть на специальном сайте. Яблоку уже обо всём рассказали, но оно в своей привычной манере пока молчит.
UPD: Яблоко сообщило, что не считает уязвимость такой уж критичной, смело покупайте новые М2-макбуки. Но что-то мне подсказывает, что следующий яблочный «нулевой день» рискует очень органично выстроиться с Пакманом в цепочку…
@tomhunter
Атаку назвали Pacman — уязвимость таится в коде аутентификации указателей (PAC), который призван защищать устройство от зловредов. Устроена атака весьма просто: хакеру достаточно угадать PAC и криптографическую подпись, которая подтверждает, что в приложение не были внесены зловредные изменения. Пул возможных значений не так уж и обширен, что упрощает хакерам жизнь.
Детальное описание атаки есть на специальном сайте. Яблоку уже обо всём рассказали, но оно в своей привычной манере пока молчит.
UPD: Яблоко сообщило, что не считает уязвимость такой уж критичной
@tomhunter
❤4🔥3🤯3
#news Цифровые отпечатки Bluetooth позволяют достаточно точно отслеживать устройства.
Исследователи продемонстрировали, что мелкие косяки при производстве железа делают Bluetooth-сигналы уникальными. С помощью алгоритма, анализирующего сигнал, им удалось распознать 47% в выборке из 647 случайных устройств. Также удалось проследить за перемещениями волонтёра по Bluetooth-сигналу его смартфона.
Метод незатратный, и для атаки достаточно простенького радио-сниффера. И хотя конкретное устройство так отследить затруднительно, потенциал у метода есть. Решение проблемы требует либо изменения архитектуры Bluetooth-чипов, либо сокрытия отпечатков на уровне прошивки.
@tomhunter
Исследователи продемонстрировали, что мелкие косяки при производстве железа делают Bluetooth-сигналы уникальными. С помощью алгоритма, анализирующего сигнал, им удалось распознать 47% в выборке из 647 случайных устройств. Также удалось проследить за перемещениями волонтёра по Bluetooth-сигналу его смартфона.
Метод незатратный, и для атаки достаточно простенького радио-сниффера. И хотя конкретное устройство так отследить затруднительно, потенциал у метода есть. Решение проблемы требует либо изменения архитектуры Bluetooth-чипов, либо сокрытия отпечатков на уровне прошивки.
@tomhunter
🔥6😱2
#news Cloudflare сообщил о рекордной HTTPS DDoS-атаке по одному из своих клиентов. 26 миллионов запросов в секунду.
Что любопытно, злоумышленник использовал ботнет всего на пять с небольшим тысяч устройств. Добиться такой мощности атаки, скорее всего, удалось с помощью угнанных серверов и виртуальных машин. Для сравнения такой ботнет в пересчёте на устройство в 4,000 раз мощнее, чем простенький из сотен тысяч взломанных девайсов. И порядком затратнее.
Более того, волюметрические атаки через HTTPS также сложнее за счёт большей требовательности к вычислительным мощностям. Кто-то явно не поскупился на попытку положить неназванного пользователя Cloudflare.
@tomhunter
Что любопытно, злоумышленник использовал ботнет всего на пять с небольшим тысяч устройств. Добиться такой мощности атаки, скорее всего, удалось с помощью угнанных серверов и виртуальных машин. Для сравнения такой ботнет в пересчёте на устройство в 4,000 раз мощнее, чем простенький из сотен тысяч взломанных девайсов. И порядком затратнее.
Более того, волюметрические атаки через HTTPS также сложнее за счёт большей требовательности к вычислительным мощностям. Кто-то явно не поскупился на попытку положить неназванного пользователя Cloudflare.
@tomhunter
🔥6🤬1
#news В этот четверг, 16 июня, в 20:00 (по МСК) поговорим про инструменты и ловушки используемые кибердетективами с ребятами из @tomhunter которые, собственно и используют их на практике.
В гостях:
🥷 Федор Ряузов ака @CyberScoutszametki
🦜 Саид Табаев ака @volcandynamite
В гостях:
🥷 Федор Ряузов ака @CyberScoutszametki
🦜 Саид Табаев ака @volcandynamite
❤7
#news Хотите свежих оригинальных новостей? Очень жаль. Ведь эта про очередной слив от Яндекса.
В открытом доступе часть базы «Яндекс.Практикума» на 300 тысяч строк — имена и фамилии, адреса электронной почты, телефоны и «Яндекс ID». За сливом тот же источник, что и за полудюжиной выложенных ранее.
Складывается впечатление, что ребята просто покупают базы за мелкий прайс по сложившейся в нашем бизнесе практике и выкладывают в открытый доступ. Отсюда, глядишь, и те заходы про «конфиденциальность, которую не ценят». Дело не в деньгах, главное чтобы дошёл смысл послания, так сказать. Впрочем, вариант со сливом от самих компаний в преддверии оборотных штрафов тоже вполне актуален.
@tomhunter
В открытом доступе часть базы «Яндекс.Практикума» на 300 тысяч строк — имена и фамилии, адреса электронной почты, телефоны и «Яндекс ID». За сливом тот же источник, что и за полудюжиной выложенных ранее.
Складывается впечатление, что ребята просто покупают базы за мелкий прайс по сложившейся в нашем бизнесе практике и выкладывают в открытый доступ. Отсюда, глядишь, и те заходы про «конфиденциальность, которую не ценят». Дело не в деньгах, главное чтобы дошёл смысл послания, так сказать. Впрочем, вариант со сливом от самих компаний в преддверии оборотных штрафов тоже вполне актуален.
@tomhunter
😁6🔥2
#news Сервис Travis CI вновь засветил десятки тысяч токенов для доступа к GitHub, AWS и Docker.
Исследователи обнаружили два API-запроса, с помощью которых сервера Travis CI выдают незашифрованные логи. На платформе толком не защищены номера логов, поэтому с помощью скрипта их все удалось вытащить. В итоге у них оказались записи с 2013-го по май 2022-го года в пределах от 4.2 до 774 миллионов логов.
Проанализировав 8 миллионов записей, спецы обнаружили 70 с лишним тысяч токенов и данных доступа. И они тоже толком не шифрованы: так, github_token в логах скрыты, но их ещё 20 вариаций в открытом виде. Самая мякотка, ребята сообщили Travis CI о проблеме, но там буквально ответили, что так и задумано, и ничего править не стали. Ну, задумка весьма оригинальная.
@tomhunter
Исследователи обнаружили два API-запроса, с помощью которых сервера Travis CI выдают незашифрованные логи. На платформе толком не защищены номера логов, поэтому с помощью скрипта их все удалось вытащить. В итоге у них оказались записи с 2013-го по май 2022-го года в пределах от 4.2 до 774 миллионов логов.
Проанализировав 8 миллионов записей, спецы обнаружили 70 с лишним тысяч токенов и данных доступа. И они тоже толком не шифрованы: так, github_token в логах скрыты, но их ещё 20 вариаций в открытом виде. Самая мякотка, ребята сообщили Travis CI о проблеме, но там буквально ответили, что так и задумано, и ничего править не стали. Ну, задумка весьма оригинальная.
@tomhunter
🔥9😁5
#news В ходе спецоперации First Light 2022, Интерпол конфисковал 50 миллионов долларов и арестовал 2000 социальных инженеров... Операция проводилась при содействии полиции 76 стран и была сосредоточена на преступлениях социальной инженерии, включая телефонный обман, мошенничество в романтических отношениях, мошенничество с компрометацией деловой электронной почты (BEC) и связанное с этим отмывание денег. Среди ярких случаев, представленных Интерполом, - гражданин Китая, который обманул 24 000 жертв на сумму 35 700 000 долларов, и фальшивое дело о похищении, по которому от родителей жертвы требовалось выплатить 1 575 000 долларов.
@tomhunter
@tomhunter
🔥7😁1🤯1
#news Facebook собирает личные данные на сайтах больниц в США. Трекеры Meta Pixel стоят на трети сайтов крупнейших клиник.
Так, при нажатии на кнопку записи на приём трекер отсылает айпи, текст на кнопке, имя врача, выбранное заболевание и запрос из поисковика, приведший на страницу. Трекер также нашли в личных кабинетах многих сайтов здравоохранения. А в них инфа о принимаемых лекарствах, аллергиях, приёмах у врача… Полный набор.
Всё это вместе с другими средствами слежки делает идентификацию пациентов элементарной задачей. Похоже, результаты крупного расследования щупалец Meta Pixel к осени будут весьма впечатляющими.
@tomhunter
Так, при нажатии на кнопку записи на приём трекер отсылает айпи, текст на кнопке, имя врача, выбранное заболевание и запрос из поисковика, приведший на страницу. Трекер также нашли в личных кабинетах многих сайтов здравоохранения. А в них инфа о принимаемых лекарствах, аллергиях, приёмах у врача… Полный набор.
Всё это вместе с другими средствами слежки делает идентификацию пациентов элементарной задачей. Похоже, результаты крупного расследования щупалец Meta Pixel к осени будут весьма впечатляющими.
@tomhunter
🤯11🤬6😁3💩2
Media is too big
VIEW IN TELEGRAM
#OSINT Поговорили о кибердетективах и не только. Что было из интересного:
1️⃣ Популярные логеры
2️⃣ Маскировка логеров ссылкой
3️⃣ Маскировка логера редиректом
4️⃣ Маскировка логера в файле
5️⃣ Маскировка логера в онлайн-сервисе
6️⃣ Маскировка логера в блоге
7️⃣ Маскировка логера в Telegram-боте
8️⃣ Маскировка логера в email
9️⃣ Получение данных о геолокации
🔟 Рабочее место и приложения кибердетектива
@tomhunter
1️⃣ Популярные логеры
2️⃣ Маскировка логеров ссылкой
3️⃣ Маскировка логера редиректом
4️⃣ Маскировка логера в файле
5️⃣ Маскировка логера в онлайн-сервисе
6️⃣ Маскировка логера в блоге
7️⃣ Маскировка логера в Telegram-боте
8️⃣ Маскировка логера в email
9️⃣ Получение данных о геолокации
🔟 Рабочее место и приложения кибердетектива
@tomhunter
❤9🔥6🤬1💯1
#news В популярном WordPress-плагине Ninja Forms обнаружили критическую уязвимость, которую активно использовали хакеры: она позволяет внедрить на сайт произвольный код. В том числе есть цепочки, с помощью которых можно захватить уязвимый сайт.
Уязвимость закрыли в версии 3.6.11, но самое интересное не это. Самое интересное — это что WordPress накатил всем патч принудительно. Обновилось всего более 730 тысяч сайтов.
Такое, напомню, уже было с плагином UpdraftPlus, в котором тоже нашлась критическая уязвимость. Весьма спорные у них методы нанесения добра, конечно: я бы не стал доверять системе, которая в любой момент может принести мне на сайт чего-нибудь эдакого и накатить принудительно из самых благородных побуждений.
@tomhunter
Уязвимость закрыли в версии 3.6.11, но самое интересное не это. Самое интересное — это что WordPress накатил всем патч принудительно. Обновилось всего более 730 тысяч сайтов.
Такое, напомню, уже было с плагином UpdraftPlus, в котором тоже нашлась критическая уязвимость. Весьма спорные у них методы нанесения добра, конечно: я бы не стал доверять системе, которая в любой момент может принести мне на сайт чего-нибудь эдакого и накатить принудительно из самых благородных побуждений.
@tomhunter
🔥7🤬1
#news Десятки компаний зарабатывают миллиарды долларов, продавая данные о местоположении пользователей на американском частном рынке. Большинство клиентов — обычные подозреваемые в торговле данными — маркетинговые фирмы, хедж-фонды, компании по недвижимости и другие брокеры данных. Из-за слабого регулирования крайне сложно отследить как пути передачи персональных данных между частными компаниями, так и способы их использования. Компании обычно настаивают на том, чтобы данные о том, где люди живут, спят, собираются, поклоняются и протестуют, использовались исключительно в безобидных целях, таких как принятие решения о том, где построить Starbucks, или размещение целевой рекламы. Но горстка компаний (Venntel, Babel Street, Anomaly 6, X-Mode) продает данные более опасной клиентуре: федеральным правоохранительным органам, военным, спецслужбам и оборонным подрядчикам.
@tomhunter
@tomhunter
🤔4😁1🤯1
#news Уязвимость Demonic (CVE-2022-32969) позволяет раскрыть секретную фразу восстановления криптокошелька. Уязвимость вызвана способностью веб-браузеров сохранять содержимое полей ввода в рамках системы «восстановления сеанса». Так, Google Chrome и Mozilla Firefox будут кэшировать данные, введенные в текстовые поля (кроме полей пароля), чтобы браузер мог восстановить данные после сбоя с помощью функции «Восстановить сеанс». Поскольку расширения браузерного кошелька, такие как Metamask, Phantom и Brave, используют поле ввода, не обозначенное как поле пароля, когда пользователь вводит свою фразу восстановления, она сохраняется на диске в виде обычного текста. Злоумышленник или вредоносное ПО, имеющие доступ к компьютеру, могут украсть сид-фразу и импортировать кошелек на свои устройства. Эта атака потребует физической кражи компьютера, получения удаленного доступа или компрометации его с помощью троянской программы удаленного доступа, что нередко встречается в целенаправленных и постоянных атаках.
@tomhunter
@tomhunter
😁8🔥2😱1
#news Дистрибутивы WIndows 10-11 и другой софт на официальном сайте стали недоступны в России.
Похоже, Мелкософт втихую отрубил скачивание в российском регионе, так как при заходе из-под VPN всё работает. Более того, если не сменить язык на сайте с русского на иной, даже и сторонний айпишник может не помочь.
Комментариев от компании пока нет, а список закрытых для россиян сайтов IT-гигантов всё пополняется — в их числе и Intel, и IBM. Ну, лишь бы со старых-добрых ZverCD не пришлось пыль сдувать. И то добро.
@tomhunter
Похоже, Мелкософт втихую отрубил скачивание в российском регионе, так как при заходе из-под VPN всё работает. Более того, если не сменить язык на сайте с русского на иной, даже и сторонний айпишник может не помочь.
Комментариев от компании пока нет, а список закрытых для россиян сайтов IT-гигантов всё пополняется — в их числе и Intel, и IBM. Ну, лишь бы со старых-добрых ZverCD не пришлось пыль сдувать. И то добро.
@tomhunter
😁8🤔6🤯4🤬2❤1🎉1
#news В сети появился сайт для снятия отпечатков пальцев под названием «Extension Fingerprints», который может генерировать хэш отслеживания на основе установленных в браузере расширений Google Chrome. Некоторые из расширений, которые идентифицирует веб-сайт, — это uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten и ColorZilla. Другие популярные расширения, такие как MetaMask, не предоставляют никаких ресурсов, но z0ccc может определить, установлены ли они, проверив, равен ли «typeof window.ethereum undefined». Наличие более 3-х обнаруживаемых расширений делает фингерпринт пользователя очень уникальным...
@tomhunter
@tomhunter
🔥7
#news Новый кардинговый сайт в Штатах вышел на большой рынок с бесплатной раздачи слитых банковских карт.
В файле на 8 миллионов строк самих карт не так много, но в нём 3 миллиона почтовых ящиков для фишинга и угона аккаунтов. Сам же сайт предлагает поиск по стране выпуска карты и её виду, номеру телефона и десятку других параметров.
Что занятно, цена доступа к чужой карточке — всего пятнадцать центов. Что как бы намекает на существенную разницу в финансовых потерях кардера и незадачливого владельца карты, поленившегося обезопасить себя двухфакторкой и иными методами. Так что не ленитесь!
@tomhunter
В файле на 8 миллионов строк самих карт не так много, но в нём 3 миллиона почтовых ящиков для фишинга и угона аккаунтов. Сам же сайт предлагает поиск по стране выпуска карты и её виду, номеру телефона и десятку других параметров.
Что занятно, цена доступа к чужой карточке — всего пятнадцать центов. Что как бы намекает на существенную разницу в финансовых потерях кардера и незадачливого владельца карты, поленившегося обезопасить себя двухфакторкой и иными методами. Так что не ленитесь!
@tomhunter
🔥5
#news Импортозамещаемся... Завели для вас удобный блог на Яндекс.Дзене. Приглашаем подписаться https://zen.yandex.ru/tomhunter
💩28🔥4🎉2