#news На выходных в странах Европы пошли задержки и отмены рейсов. И, конечно, виной классика ИБ в таких случаях: кибератака по поставщику системы регистрации, рансомварь, околонулевые меры на случай отказа систем.
Атаку подтвердили вечером пятницы, на понедельник системы всё ещё восстанавливают и сроки не называют. Кто взломал, пока неизвестно. Поставщик системы — американская Collins Aerospace, дочка многомиллиардной RTX. Миллиарды её долларов крутятся в штатовской военке и авиаотрасли, и мелкая халтурка формата “система регистрации в аэропортах” по финансированию явно не в приоритете. В служебной записке пишут, разраб поднял бэкапы, но обнаружил, что злоумышленники всё ещё в системах. Отличное реагирование на инциденты, моё почтение. В общем, одно чудесное решение от корпорации с замечательным маркетинговым отделом = единая точка отказа международного уровня. Так что здесь всё как всегда.
@tomhunter
Атаку подтвердили вечером пятницы, на понедельник системы всё ещё восстанавливают и сроки не называют. Кто взломал, пока неизвестно. Поставщик системы — американская Collins Aerospace, дочка многомиллиардной RTX. Миллиарды её долларов крутятся в штатовской военке и авиаотрасли, и мелкая халтурка формата “система регистрации в аэропортах” по финансированию явно не в приоритете. В служебной записке пишут, разраб поднял бэкапы, но обнаружил, что злоумышленники всё ещё в системах. Отличное реагирование на инциденты, моё почтение. В общем, одно чудесное решение от корпорации с замечательным маркетинговым отделом = единая точка отказа международного уровня. Так что здесь всё как всегда.
@tomhunter
👍8🔥5😁5
#news Продолжают всплывать причины тряски Scattered Spider последних недель. В Лас-Вегасе полиции сдался подросток, связанный с громкими взломами группировки в 2023-м. Товарищ пришёл с повинной 17 сентября.
Судя по предъявленным обвинениям, он успел засветиться во взломах сетей казино Caesars Entertainment и MGM Resorts. На момент взломов юному дарованию было лет 15, и обвинений он собрал с запасом: три пункта кражи личных данных, вымогательство, сговор на совершение оного и незаконные действия с компьютерами. Можно предположить, что юноша рассчитывал легко отделаться по возрасту, но, увы его дело передадут в уголовный отдел и судить будут как взрослого. Случился просчёт. Другой член группировки из Флориды месяц назад получил 10-летний срок и штраф на $13 миллионов. Так что детские игры кончились для ещё одного неуловимого кибербога.
@tomhunter
Судя по предъявленным обвинениям, он успел засветиться во взломах сетей казино Caesars Entertainment и MGM Resorts. На момент взломов юному дарованию было лет 15, и обвинений он собрал с запасом: три пункта кражи личных данных, вымогательство, сговор на совершение оного и незаконные действия с компьютерами. Можно предположить, что юноша рассчитывал легко отделаться по возрасту, но, увы его дело передадут в уголовный отдел и судить будут как взрослого. Случился просчёт. Другой член группировки из Флориды месяц назад получил 10-летний срок и штраф на $13 миллионов. Так что детские игры кончились для ещё одного неуловимого кибербога.
@tomhunter
😁7🔥3👍2
#news На npm оригинальный кейс использования QR-кода в малвари. Его приспособили под нужды стеганографии: вместо картинок с котиками нагрузка подтягивается через QR.
В библиотеке обфусцированные инструкции, подтягивающие QR-код. Пакет его парсит и подгружает вредонос, здесь всё стандартно — инфостилер, стягивающий куки. При этом он ищет по ним связки юзернейм + пароль и завершает работу, если их не обнаружит. Так что плюс одна картинка с котиками за оригинальное использование QR, минус одна — за странную работу по кукам. Впрочем, сам QR в стеганографии тоже больше забавная фишка, чем прорывной метод — преимуществ перед обычным изображением особо-то и нет. Зато автор залетел в новости со своей поделкой, чтобы все удивились, как он умеет. В фишинге QR-кодами уже никого не впечатлить, так почему бы и для нагрузки их не приспособить. Свежо, но бесполезно. По итогам вышли в ноль.
@tomhunter
В библиотеке обфусцированные инструкции, подтягивающие QR-код. Пакет его парсит и подгружает вредонос, здесь всё стандартно — инфостилер, стягивающий куки. При этом он ищет по ним связки юзернейм + пароль и завершает работу, если их не обнаружит. Так что плюс одна картинка с котиками за оригинальное использование QR, минус одна — за странную работу по кукам. Впрочем, сам QR в стеганографии тоже больше забавная фишка, чем прорывной метод — преимуществ перед обычным изображением особо-то и нет. Зато автор залетел в новости со своей поделкой, чтобы все удивились, как он умеет. В фишинге QR-кодами уже никого не впечатлить, так почему бы и для нагрузки их не приспособить. Свежо, но бесполезно. По итогам вышли в ноль.
@tomhunter
😁6💯3👍1🔥1
#news Недавний червь Shai-Hulud на npm стал для GitHub последней каплей. Компания анонсировала крупные изменения в системе аутентификации и публикации пакетов.
GitHub откажется от "устаревших" механизмов аутентификации, а также усилит меры контроля. Двухфакторка будет обязательной для публикации, а токенам сократят время жизни до 7 дней. Кроме того, по умолчанию публикации с токенов будут заблокированы — либо Trusted Publishing, либо ручная с двухфакторкой. Исключения с обходом 2FA тоже отменят. Нововведения говорящие: если разрабы не хотят сами пользоваться двухфакторкой и ограничивать себя в токенах, будут теперь это делать из-под палки. Шаи-Хулуд как драйвер положительных изменений в экосистеме что в мире Дюны, что в реальной жизни. Хороший кроссовер.
@tomhunter
GitHub откажется от "устаревших" механизмов аутентификации, а также усилит меры контроля. Двухфакторка будет обязательной для публикации, а токенам сократят время жизни до 7 дней. Кроме того, по умолчанию публикации с токенов будут заблокированы — либо Trusted Publishing, либо ручная с двухфакторкой. Исключения с обходом 2FA тоже отменят. Нововведения говорящие: если разрабы не хотят сами пользоваться двухфакторкой и ограничивать себя в токенах, будут теперь это делать из-под палки. Шаи-Хулуд как драйвер положительных изменений в экосистеме что в мире Дюны, что в реальной жизни. Хороший кроссовер.
@tomhunter
😁9❤4👍3👎2🤬1
#news Новые реалии атак по бизнесу в эпоху LLM’ок: за прошедший год 62% столкнулись с атаками с помощью ИИ-моделей. И существенно выросло число атак с дипфейками. Так, 44% компаний сообщили о фишинговых звонках, из которых 6% были успешными. Видео дипфейки чуть реже — 36%, но 5% из них привели к проблемам.
Сейчас аудио уже генерируют в реальном времени, и коллеги с распознанием фейков в звонящих не справляются. Видео существенно дороже, но здесь в ход идёт социнженерия — злоумышленники ссылаются на проблемы со связью и переводят общение с фейковым CEO в текст. При этом цены становятся всё более демократичными — от $30 долларов за голосовой. Так что дальнейших рост таких атак неизбежен, и работников по всему миру ждёт увлекательная игра “Распознай в коллеге репликанта”. И с учётом того, что на кону лишь финансовое благополучие ненавистного работодателя, с энтузиазмом к ней отнесутся далеко не все.
@tomhunter
Сейчас аудио уже генерируют в реальном времени, и коллеги с распознанием фейков в звонящих не справляются. Видео существенно дороже, но здесь в ход идёт социнженерия — злоумышленники ссылаются на проблемы со связью и переводят общение с фейковым CEO в текст. При этом цены становятся всё более демократичными — от $30 долларов за голосовой. Так что дальнейших рост таких атак неизбежен, и работников по всему миру ждёт увлекательная игра “Распознай в коллеге репликанта”. И с учётом того, что на кону лишь финансовое благополучие ненавистного работодателя, с энтузиазмом к ней отнесутся далеко не все.
@tomhunter
😁7🤬2💯2❤1
#news Оригинальный кейс реверс-инжиниринга из Сан-Франциско. Исследователь вскрыл местную систему штрафов за парковку и запитал от неё карту с выданными штрафами и их геолокациями в прямом эфире.
Система сдалась элементарно. Штрафы и квитанции от них загружаются на сайт для оплаты — провинившийся находит свой штраф по ID. Те оказались с предсказуемыми номерами, и их удалось массово вытянуть. А так как они попадают в базу сразу после выписывания, получился и прямой эфир. Бонусом добавили рейтинг полицейских по суммам выписанных штрафов, так что можно было бы болеть за любимого офицера №0134. Увы, творческий подход к использованию API в Сан-Франциско не оценили и закрыли доступ за рекордные пару часов после появления карты. Разраб прикрутил костыль, но город не сдаётся. Автовладельцы в восторге, просят опенсорс и карты для своих городов. А у местной полиции мнение на этот счёт, конечно, только нецензурное.
@tomhunter
Система сдалась элементарно. Штрафы и квитанции от них загружаются на сайт для оплаты — провинившийся находит свой штраф по ID. Те оказались с предсказуемыми номерами, и их удалось массово вытянуть. А так как они попадают в базу сразу после выписывания, получился и прямой эфир. Бонусом добавили рейтинг полицейских по суммам выписанных штрафов, так что можно было бы болеть за любимого офицера №0134. Увы, творческий подход к использованию API в Сан-Франциско не оценили и закрыли доступ за рекордные пару часов после появления карты. Разраб прикрутил костыль, но город не сдаётся. Автовладельцы в восторге, просят опенсорс и карты для своих городов. А у местной полиции мнение на этот счёт, конечно, только нецензурное.
@tomhunter
😁20❤4👍2🔥2
#news В смартфонах OnePlus обнаружили критическую уязвимость, позволяющую любому приложению получить доступ к SMS. Проблема на уровне OС, затронуты все версии от OxygenOS 12 до актуальной 15-й.
Уязвимость занятная: сумрачный гений из OnePlus модифицировал стоковый Android Telephony, добавив контент-провайдеров. А вот разрешений на запись на READ_SMS в них нет, так что доступ к ней по умолчанию получают все. В итоге при определённых условиях приложение может вытянуть SMS, включая, например, коды MFA. Со связью с разрабом вышло как всегда: исследователи с мая по август семь раз написали компании, но не получили ответа — реагировать на репорты от лаоваев недостойно уважающего себя жителя Поднебесной. После публикации отчёта уязвимость пообещали когда-нибудь закрыть. Так что пользователи недорогих китайских смартфонов, как обычно, в счёт экономии получают оригинальный подход к безопасности устройств.
@tomhunter
Уязвимость занятная: сумрачный гений из OnePlus модифицировал стоковый Android Telephony, добавив контент-провайдеров. А вот разрешений на запись на READ_SMS в них нет, так что доступ к ней по умолчанию получают все. В итоге при определённых условиях приложение может вытянуть SMS, включая, например, коды MFA. Со связью с разрабом вышло как всегда: исследователи с мая по август семь раз написали компании, но не получили ответа — реагировать на репорты от лаоваев недостойно уважающего себя жителя Поднебесной. После публикации отчёта уязвимость пообещали когда-нибудь закрыть. Так что пользователи недорогих китайских смартфонов, как обычно, в счёт экономии получают оригинальный подход к безопасности устройств.
@tomhunter
😁14👍2🤔2
#news На npm засветился первый известный пример вредоносного MCP-сервера. Разраб пакета postmark-mcp добавил в свежую версию код для пересылки ему почты юзеров.
Postmark — почтовый сервер, MCP — фреймворк для его интеграции с ИИ-ассистентами. И с разрешениями, которые выдают дружелюбным кремниевым помощникам, одной строчки кода было достаточно для форварда писем юзеров злоумышленнику. Postmark-mcp на npm выглядел как порт официального с GitHub на протяжение 15 версий. А в 16-й обзавёлся вредоносным кодом. Пакет провисел неделю, его скачали ~1500 раз, после стука в личку от журналистов разраб его удалил. Предложи человеку сунуть в прод подобранную на улице флешку, и он только посмеётся. Предложи ему ИИ-ассистента с доступом ко всему и вся by design, и он накатит его быстрее, чем ты выговоришь “большая языковая модель”. Мы живём в обществе.
@tomhunter
Postmark — почтовый сервер, MCP — фреймворк для его интеграции с ИИ-ассистентами. И с разрешениями, которые выдают дружелюбным кремниевым помощникам, одной строчки кода было достаточно для форварда писем юзеров злоумышленнику. Postmark-mcp на npm выглядел как порт официального с GitHub на протяжение 15 версий. А в 16-й обзавёлся вредоносным кодом. Пакет провисел неделю, его скачали ~1500 раз, после стука в личку от журналистов разраб его удалил. Предложи человеку сунуть в прод подобранную на улице флешку, и он только посмеётся. Предложи ему ИИ-ассистента с доступом ко всему и вся by design, и он накатит его быстрее, чем ты выговоришь “большая языковая модель”. Мы живём в обществе.
@tomhunter
😁10👍2❤1🤡1💯1🤝1
#news Microsoft отключила израильскому Unit 8200 доступ к своей облачной инфраструктуре. Это произошло по следам скандальчика с её использованием под массовую слежку за палестинцами.
История всплыла в начале августа: согласно расследованию, в Azure была развёрнута масштабная инфра под хранение и обработку телефонных звонков. 8,000 терабайт данных, “миллион звонков в час”. Проект работал с 2021-го, но на фоне окончательного решения палестинского вопроса и буйного умопомешательства на западе на этой почве держать инфраструктуру под такие цели Microsoft расхотелось — сказалось давление от инвесторов и сотрудников. Unit 8200 оперативно вывел данные из систем Microsoft и по слухам планирует хостить их у Amazon — этим никакие репутационные издержки не страшны. В сухом остатке очередной хороший пример того, что такие проекты стоит хостить исключительно дома, чтобы не зависеть от конъюнктурных игрищ.
@tomhunter
История всплыла в начале августа: согласно расследованию, в Azure была развёрнута масштабная инфра под хранение и обработку телефонных звонков. 8,000 терабайт данных, “миллион звонков в час”. Проект работал с 2021-го, но на фоне окончательного решения палестинского вопроса и буйного умопомешательства на западе на этой почве держать инфраструктуру под такие цели Microsoft расхотелось — сказалось давление от инвесторов и сотрудников. Unit 8200 оперативно вывел данные из систем Microsoft и по слухам планирует хостить их у Amazon — этим никакие репутационные издержки не страшны. В сухом остатке очередной хороший пример того, что такие проекты стоит хостить исключительно дома, чтобы не зависеть от конъюнктурных игрищ.
@tomhunter
🔥9❤5😁5👍2💯2👎1🎉1
#news Trend Micro бьёт тревогу: LockBit всплыла с новым энкриптором под основные платформы и стала опасней прежнего за счёт переработанного кода и кроссплатформенности.
Компания нарыла свежие образцы версии 5.0 и отметила, что энкрипторы под Windows, Linux и ESXi обзавелись обновками. Партнёрка вновь набирает обороты, а за счёт прицела на все три платформы бизнес рискует шифрованием всего и вся от рабочих станций до виртуалок и бэкапов. С одной стороны, можно только подивиться устойчивости локбитовского бренда. С другой, у Trend Micro есть и свой прямой интерес: неубиваемое рансомварь-зло идёт по ваши системы, спешите защититься [нашими решениями]! Бюджетная логика здесь в сущности как в военке: чем страшнее угроза, тем жирнее контракты. А уж насколько она реальна – дело десятое. Оценить новую-старую угрозу можно в отчёте.
@tomhunter
Компания нарыла свежие образцы версии 5.0 и отметила, что энкрипторы под Windows, Linux и ESXi обзавелись обновками. Партнёрка вновь набирает обороты, а за счёт прицела на все три платформы бизнес рискует шифрованием всего и вся от рабочих станций до виртуалок и бэкапов. С одной стороны, можно только подивиться устойчивости локбитовского бренда. С другой, у Trend Micro есть и свой прямой интерес: неубиваемое рансомварь-зло идёт по ваши системы, спешите защититься [нашими решениями]! Бюджетная логика здесь в сущности как в военке: чем страшнее угроза, тем жирнее контракты. А уж насколько она реальна – дело десятое. Оценить новую-старую угрозу можно в отчёте.
@tomhunter
😁7🤬2💯2
#news В Нидерландах оригинальный кейс: двух местных подростков 17-ти лет поймали с Wi-Fi-сниффером и обвинили в шпионаже. Конечно же, в пользу России.
По версии следствия дети-шпионы крутились со сниффером у офисов Европола и Евроджаста, а также посольства Канады в Гааге. Юнош завербовали в Telegram, выцепили по наводке местной разведки и взялис поличным – за выполнением домашней работы. Следов компрометации нет, но дело серьёзное – следствие разберётся. Родители юных дарований в шоке: мы их готовили к ужасам взрослой жизни вроде курения, алкоголя и наркотиков, а не к вот этому. Но детям Нидерландов такие пошлости, очевидно, давно приелись. А вот кибершпионские игры через загадочный русский Телеграм – вот это досуг, достойный уважающего себя подростка в 2025-м.
@tomhunter
По версии следствия дети-шпионы крутились со сниффером у офисов Европола и Евроджаста, а также посольства Канады в Гааге. Юнош завербовали в Telegram, выцепили по наводке местной разведки и взяли
@tomhunter
😁22👍4🤡4🤬3
#news Редкий случай с ВВС: переговорщик рансомварь-группировки Medusa вышел на сотрудника с целью купить доступ. И попал на их кибербез-журналиста. Получилась история.
Судя по всему, в Medusa всё перепутали: думали, что пишут ИБшнику, а вышли на журналиста. Сказалось, что переговорщик у них один в банде англоговорящий, видимо. Зашел он с козырей: предложил 15% от выкупа, затем поднял до 25%. Обещал шальные миллионы, жизнь на Багамах и прочие удовольствия. Хвалился отчетом ФБР о группировке. А пока собеседник мялся, его заспамили 2FA-запросами. Не попался. Так что злоумышленник извинился за команду, тестировавшую его аккаунт, и продолжил переговоры – профессионализм, что сказать. Но Багамами подлец не соблазнился, скрипты в консоль совать не хотел, так что со связи они скоро пропали. Социнженерия в этот раз не задалась, но хоть статья получилась забавная.
@tomhunter
Судя по всему, в Medusa всё перепутали: думали, что пишут ИБшнику, а вышли на журналиста. Сказалось, что переговорщик у них один в банде англоговорящий, видимо. Зашел он с козырей: предложил 15% от выкупа, затем поднял до 25%. Обещал шальные миллионы, жизнь на Багамах и прочие удовольствия. Хвалился отчетом ФБР о группировке. А пока собеседник мялся, его заспамили 2FA-запросами. Не попался. Так что злоумышленник извинился за команду, тестировавшую его аккаунт, и продолжил переговоры – профессионализм, что сказать. Но Багамами подлец не соблазнился, скрипты в консоль совать не хотел, так что со связи они скоро пропали. Социнженерия в этот раз не задалась, но хоть статья получилась забавная.
@tomhunter
😁16❤3🔥2
#news В Великобритании крупнейшая в истории конфискация преступной криптовалюты. Битки на 7,3 миллиарда долларов. Масштабы намекают на источник: конечно же, это Китай .
Дело связано с гражданкой КНР, известной в 2010-х как "Королева биткоина". Королева сказочная: под обещания нарождающегося цифрового золота шло мошенничество с инвестициями. Здесь цифры тоже соответствуют: около 130 тысяч обманутых инвесторов на 40 миллиардов юаней. Всё это произошло в 2014-2017-х, ушло в биток, а он с тех пор, как известно, слегка подрос. Организатор схемы сбежала в UK, где её теперь и судят. Изъяли 61 тысячу битков – в абсолютном выражении было и больше, но с оглядкой на текущую цену вышел рекорд. Такая королева – мечта любого криптобро. Биткоиновая. Заряженная на памп. Твоя. Даром что ей 47. Возраст – это просто число. Как и 61 тысяча биткоинов. Зато какое.
@tomhunter
Дело связано с гражданкой КНР, известной в 2010-х как "Королева биткоина". Королева сказочная: под обещания нарождающегося цифрового золота шло мошенничество с инвестициями. Здесь цифры тоже соответствуют: около 130 тысяч обманутых инвесторов на 40 миллиардов юаней. Всё это произошло в 2014-2017-х, ушло в биток, а он с тех пор, как известно, слегка подрос. Организатор схемы сбежала в UK, где её теперь и судят. Изъяли 61 тысячу битков – в абсолютном выражении было и больше, но с оглядкой на текущую цену вышел рекорд. Такая королева – мечта любого криптобро. Биткоиновая. Заряженная на памп. Твоя. Даром что ей 47. Возраст – это просто число. Как и 61 тысяча биткоинов. Зато какое.
@tomhunter
😁20🔥5❤2👍1
#news Около 50 тысяч файрволов Cisco ASA и FTD по миру уязвимы к недавним уязвимостям. Если вы уже запутались, каким, неудивительно — ещё не все среагировали на брешь в IOS/IOS XE с включённым SNMP v1/v2с, как подоспели новые.
CVE-2025-20333 и CVE-2025-20362 на переполнение буфера в и отсутствующую авторизацию, соответственно. Уязвимости раскрыли 25 сентября, эксплойт на тот момент уже шёл. Костылей нет, извольте накатывать патчи. Некоторым выпало сомнительное удовольствие заниматься этим на выходных. Но на вчера ~50 тысяч уязвимых устройств ещё доступны, из них 2,100 в России. Так что реагирование на уязвимости привычно запаздывает. Между тем даже CISA выделила госухе 24 часа на патчи вместо привычного “Не забудьте накатить где-нибудь в этом году”. С учётом подозрительного стука по ASA-девайсам ещё в августе, это всё как бы намекает, что пора. Если не задуматься о патчах, то хотя бы тактично взять отгул, прислав с него ссылочку на CVE коллеге.
@tomhunter
CVE-2025-20333 и CVE-2025-20362 на переполнение буфера в и отсутствующую авторизацию, соответственно. Уязвимости раскрыли 25 сентября, эксплойт на тот момент уже шёл. Костылей нет, извольте накатывать патчи. Некоторым выпало сомнительное удовольствие заниматься этим на выходных. Но на вчера ~50 тысяч уязвимых устройств ещё доступны, из них 2,100 в России. Так что реагирование на уязвимости привычно запаздывает. Между тем даже CISA выделила госухе 24 часа на патчи вместо привычного “Не забудьте накатить где-нибудь в этом году”. С учётом подозрительного стука по ASA-девайсам ещё в августе, это всё как бы намекает, что пора. Если не задуматься о патчах, то хотя бы тактично взять отгул, прислав с него ссылочку на CVE коллеге.
@tomhunter
😁9🔥4❤2👍1
#news У северокорейской схемы по трудоустройству в IT появился сиквел. Как полагается, в нём больше контента, больше сюжетных поворотов. И больше головной боли для индустрий — теперь не только IT и не только в США.
Согласно исследованию, IT-солдаты отточили навыки в Штатах и начали расползаться по всей Европе. И они лезут уже не только в айтишечку: стахановцы из КНДР были замечены в финансовых и медицинских организациях — всплывают везде, где есть удалённые вакансии. Вплоть до госконтор: случаи были в США, Австралии и на Ближнем Востоке. В общем, навыки проходки через скрининг и адовы рекрутерские пайплайны у них такие, что среднему соискателю остаётся только дико завидовать. И у сиквела есть неприятный нюанс: зарплат уровня IT в других секторах нет. Так что стоит ждать роста инсайдерских краж данных и рансомварь-атак, потому как иначе пятилетку по финансированию у северокорейских братушек закрыть в ударные сроки не получится.
@tomhunter
Согласно исследованию, IT-солдаты отточили навыки в Штатах и начали расползаться по всей Европе. И они лезут уже не только в айтишечку: стахановцы из КНДР были замечены в финансовых и медицинских организациях — всплывают везде, где есть удалённые вакансии. Вплоть до госконтор: случаи были в США, Австралии и на Ближнем Востоке. В общем, навыки проходки через скрининг и адовы рекрутерские пайплайны у них такие, что среднему соискателю остаётся только дико завидовать. И у сиквела есть неприятный нюанс: зарплат уровня IT в других секторах нет. Так что стоит ждать роста инсайдерских краж данных и рансомварь-атак, потому как иначе пятилетку по финансированию у северокорейских братушек закрыть в ударные сроки не получится.
@tomhunter
🔥8🤯6👍4
#news Злоумышленники из The Crimson Collective заявили о взломе приватных репозиториев RedHat. Сообщают о доступе к 28 тысячам реп, краже 570 GB данных и, главное, сотен отчётов по работе с клиентами, они же Customer Engagement Reports.
В последних схемы архитектуры, детали конфигурации, карты сетей и токены доступа — в сущности планы инфраструктуры компаний. Взломщики утверждают, что стянули отчёты за 2022-2025-й годы, и они от крупных банковских и телекоммуникационных компаний, а также госконтор. Из репозиториев и документов вытащили токены и якобы уже получили доступ к инфраструктуре некоторых клиентов. Комментариев от RedHat пока нет, но сэмплы и списки файлов расползаются по сетевым дебрям, так что им не позавидуешь. Утечка CER’ов для клиентов — это очень такое себе. У кого архитектура не по заветам девопса Казакова, тот и проиграл.
@tomhunter
В последних схемы архитектуры, детали конфигурации, карты сетей и токены доступа — в сущности планы инфраструктуры компаний. Взломщики утверждают, что стянули отчёты за 2022-2025-й годы, и они от крупных банковских и телекоммуникационных компаний, а также госконтор. Из репозиториев и документов вытащили токены и якобы уже получили доступ к инфраструктуре некоторых клиентов. Комментариев от RedHat пока нет, но сэмплы и списки файлов расползаются по сетевым дебрям, так что им не позавидуешь. Утечка CER’ов для клиентов — это очень такое себе. У кого архитектура не по заветам девопса Казакова, тот и проиграл.
@tomhunter
🔥8😁5❤2🤬1
#news Очередная история про периферийные устройства с периферийной же ИБ. У портативных фотопринтеров Lifeprint открытый бакет со всеми фотографиями пользователей и данными, доступными для всех желающих.
Утечка связана с приложением от принтеров под iOS и Android, которым пользовались ~100 тысяч юзеров. В бакете 8 миллионов файлов, включая 2 миллиона уникальных фото плюс пользовательские данные в JSON и CSV с почтами и статистикой. Юзеры успели распечатать 1,6 миллиона фотографий. Более того, в бакете лежат несколько версий прошивки с ключом шифрования для её подписи простым текстом — здесь потенциал под публикацию вредоносной прошивки. Производитель на связь не выходит, так что закрывать уязвимость некому. Если и после публикации не начнёт шевелиться, список заглянувших в полное личных фото ведро явно пополнится множеством любознательных исследователей с добрыми и не очень намерениями.
@tomhunter
Утечка связана с приложением от принтеров под iOS и Android, которым пользовались ~100 тысяч юзеров. В бакете 8 миллионов файлов, включая 2 миллиона уникальных фото плюс пользовательские данные в JSON и CSV с почтами и статистикой. Юзеры успели распечатать 1,6 миллиона фотографий. Более того, в бакете лежат несколько версий прошивки с ключом шифрования для её подписи простым текстом — здесь потенциал под публикацию вредоносной прошивки. Производитель на связь не выходит, так что закрывать уязвимость некому. Если и после публикации не начнёт шевелиться, список заглянувших в полное личных фото ведро явно пополнится множеством любознательных исследователей с добрыми и не очень намерениями.
@tomhunter
😁6👍3🔥3
#news RedHat подтвердила взлом. Злоумышленники получили доступ к их инстансу GitLab и стянули данные. Затронут только консультационный отдел, но из него как раз и утекли отчёты по работе с клиентами.
Утечку CER’ов RedHat тоже подтвердила, но занижает последствия: персональной информации отчёты как бы не содержат. Но там и без неё хватает интересного. Список всего стянутого здесь. Вектор атаки компания не называет, но упомянула, что предприняла дополнительные меры по защите, чтобы предотвратить повторный доступ. Двухфакторку запоздало включили, видимо, просто писать об этом стесняются. Между тем среди затронутых клиентов Федеральное агентство по авиации США, Центр разработки надводного вооружения ВМС, нижняя палата Конгресса и прочие госструктуры, не считая крупных корпораций. Слить отчёты о сетях военки и госухи — отличный способ не только моментально лишиться контрактов, но и выиграть путёвку на встречу в Конгрессе, где всё это придётся неловко объяснять.
@tomhunter
Утечку CER’ов RedHat тоже подтвердила, но занижает последствия: персональной информации отчёты как бы не содержат. Но там и без неё хватает интересного. Список всего стянутого здесь. Вектор атаки компания не называет, но упомянула, что предприняла дополнительные меры по защите, чтобы предотвратить повторный доступ. Двухфакторку запоздало включили, видимо, просто писать об этом стесняются. Между тем среди затронутых клиентов Федеральное агентство по авиации США, Центр разработки надводного вооружения ВМС, нижняя палата Конгресса и прочие госструктуры, не считая крупных корпораций. Слить отчёты о сетях военки и госухи — отличный способ не только моментально лишиться контрактов, но и выиграть путёвку на встречу в Конгрессе, где всё это придётся неловко объяснять.
@tomhunter
😁6❤4🔥4🤬1
#cve Разбираем ключевые CVE ушедшего месяца. В сентябре звездой стала раскрытая уязвимость в Azure Entra ID: токены от бэкенда плюс легаси API с отсутствием их валидации позволяли злоумышленнику получить доступ к любому аккаунту с Entra ID.
Конечно, ни месяца без критических уязвимостей от Cisco: в IOS и IOS XE переполнение буфера в протоколе SNMP, а в Cisco ASA и FTD — в веб-сервере VPN; обе под произвольный код. Уязвимостями под RCE также отметились продукты от Broadcom, брандмауэры компании WatchGuard Firebox и устройства от Samsung с версиями Android от 13 по 16. Обо всём этом и других интересных CVE сентября читайте на Хабре!
@tomhunter
Конечно, ни месяца без критических уязвимостей от Cisco: в IOS и IOS XE переполнение буфера в протоколе SNMP, а в Cisco ASA и FTD — в веб-сервере VPN; обе под произвольный код. Уязвимостями под RCE также отметились продукты от Broadcom, брандмауэры компании WatchGuard Firebox и устройства от Samsung с версиями Android от 13 по 16. Обо всём этом и других интересных CVE сентября читайте на Хабре!
@tomhunter
👍6❤2🔥2
#news У Discord взломали стороннего поставщика и стянули пользовательские данные. Взлом затронул Zendesk, так что утекли данные тех, кто обращался в техподдержку платформы.
Слиты ФИО, почтовые адреса, ники в Discord и другие контакты. А также последние 4 цифры кредитки, и, главное, документы, которые юзеры предоставляли для подтверждения возраста. В Discord юзерам могут блокировать аккаунты, требуя подтвердить возраст — те послушно идут в техподдержку и показывают документы. А теперь они утекли. По сети уже пошли насмешки над несчастными британцами, вынужденных массово заливать свои ID в сеть, но так как вскрыли не саму систему верификации, это про немного другое. Но суть та же: возможно, KYС через документы где попало — не самая хорошая идея. При этом все платформы утверждают, что доки не хранят и не собирают, но затем это всё неизбежно утекает. Как же так? Сплошные загадки.
@tomhunter
Слиты ФИО, почтовые адреса, ники в Discord и другие контакты. А также последние 4 цифры кредитки, и, главное, документы, которые юзеры предоставляли для подтверждения возраста. В Discord юзерам могут блокировать аккаунты, требуя подтвердить возраст — те послушно идут в техподдержку и показывают документы. А теперь они утекли. По сети уже пошли насмешки над несчастными британцами, вынужденных массово заливать свои ID в сеть, но так как вскрыли не саму систему верификации, это про немного другое. Но суть та же: возможно, KYС через документы где попало — не самая хорошая идея. При этом все платформы утверждают, что доки не хранят и не собирают, но затем это всё неизбежно утекает. Как же так? Сплошные загадки.
@tomhunter
😁13🤬5❤1
#news Исследователи разработали метод прослушки через неожиданный девайс. Выяснили, что качественные компьютерные мышки могут улавливать звуковые вибрации, которые затем можно перевести в звук.
К атаке уязвимы устройства от 20,000 DPI и с высокой герцовкой. Сенсоры в таких мышах достаточно чувствительные, чтобы улавливать акустические вибрации голоса через поверхность. Датчик фиксирует её колебания, для перехвата сырых данных достаточно любого приложения с доступом к ним, а дальше идёт цифровая фильтрация. По итогам точность распознавания колеблется от 42 до 61 процента — суть разговора уловить можно. Найдёт ли метод применение в будущем или так и останется лабораторной диковинкой на радость людям со специфическими профессиональными деформациями — вопрос хороший. Но взглянуть на мышку-шпиона как минимум интересно. Видео с проверкой концепции здесь.
@tomhunter
К атаке уязвимы устройства от 20,000 DPI и с высокой герцовкой. Сенсоры в таких мышах достаточно чувствительные, чтобы улавливать акустические вибрации голоса через поверхность. Датчик фиксирует её колебания, для перехвата сырых данных достаточно любого приложения с доступом к ним, а дальше идёт цифровая фильтрация. По итогам точность распознавания колеблется от 42 до 61 процента — суть разговора уловить можно. Найдёт ли метод применение в будущем или так и останется лабораторной диковинкой на радость людям со специфическими профессиональными деформациями — вопрос хороший. Но взглянуть на мышку-шпиона как минимум интересно. Видео с проверкой концепции здесь.
@tomhunter
🔥7😁3❤2