#news Новые реалии атак по бизнесу в эпоху LLM’ок: за прошедший год 62% столкнулись с атаками с помощью ИИ-моделей. И существенно выросло число атак с дипфейками. Так, 44% компаний сообщили о фишинговых звонках, из которых 6% были успешными. Видео дипфейки чуть реже — 36%, но 5% из них привели к проблемам.
Сейчас аудио уже генерируют в реальном времени, и коллеги с распознанием фейков в звонящих не справляются. Видео существенно дороже, но здесь в ход идёт социнженерия — злоумышленники ссылаются на проблемы со связью и переводят общение с фейковым CEO в текст. При этом цены становятся всё более демократичными — от $30 долларов за голосовой. Так что дальнейших рост таких атак неизбежен, и работников по всему миру ждёт увлекательная игра “Распознай в коллеге репликанта”. И с учётом того, что на кону лишь финансовое благополучие ненавистного работодателя, с энтузиазмом к ней отнесутся далеко не все.
@tomhunter
Сейчас аудио уже генерируют в реальном времени, и коллеги с распознанием фейков в звонящих не справляются. Видео существенно дороже, но здесь в ход идёт социнженерия — злоумышленники ссылаются на проблемы со связью и переводят общение с фейковым CEO в текст. При этом цены становятся всё более демократичными — от $30 долларов за голосовой. Так что дальнейших рост таких атак неизбежен, и работников по всему миру ждёт увлекательная игра “Распознай в коллеге репликанта”. И с учётом того, что на кону лишь финансовое благополучие ненавистного работодателя, с энтузиазмом к ней отнесутся далеко не все.
@tomhunter
😁7🤬2💯2❤1
#news Оригинальный кейс реверс-инжиниринга из Сан-Франциско. Исследователь вскрыл местную систему штрафов за парковку и запитал от неё карту с выданными штрафами и их геолокациями в прямом эфире.
Система сдалась элементарно. Штрафы и квитанции от них загружаются на сайт для оплаты — провинившийся находит свой штраф по ID. Те оказались с предсказуемыми номерами, и их удалось массово вытянуть. А так как они попадают в базу сразу после выписывания, получился и прямой эфир. Бонусом добавили рейтинг полицейских по суммам выписанных штрафов, так что можно было бы болеть за любимого офицера №0134. Увы, творческий подход к использованию API в Сан-Франциско не оценили и закрыли доступ за рекордные пару часов после появления карты. Разраб прикрутил костыль, но город не сдаётся. Автовладельцы в восторге, просят опенсорс и карты для своих городов. А у местной полиции мнение на этот счёт, конечно, только нецензурное.
@tomhunter
Система сдалась элементарно. Штрафы и квитанции от них загружаются на сайт для оплаты — провинившийся находит свой штраф по ID. Те оказались с предсказуемыми номерами, и их удалось массово вытянуть. А так как они попадают в базу сразу после выписывания, получился и прямой эфир. Бонусом добавили рейтинг полицейских по суммам выписанных штрафов, так что можно было бы болеть за любимого офицера №0134. Увы, творческий подход к использованию API в Сан-Франциско не оценили и закрыли доступ за рекордные пару часов после появления карты. Разраб прикрутил костыль, но город не сдаётся. Автовладельцы в восторге, просят опенсорс и карты для своих городов. А у местной полиции мнение на этот счёт, конечно, только нецензурное.
@tomhunter
😁20❤4👍2🔥2
#news В смартфонах OnePlus обнаружили критическую уязвимость, позволяющую любому приложению получить доступ к SMS. Проблема на уровне OС, затронуты все версии от OxygenOS 12 до актуальной 15-й.
Уязвимость занятная: сумрачный гений из OnePlus модифицировал стоковый Android Telephony, добавив контент-провайдеров. А вот разрешений на запись на READ_SMS в них нет, так что доступ к ней по умолчанию получают все. В итоге при определённых условиях приложение может вытянуть SMS, включая, например, коды MFA. Со связью с разрабом вышло как всегда: исследователи с мая по август семь раз написали компании, но не получили ответа — реагировать на репорты от лаоваев недостойно уважающего себя жителя Поднебесной. После публикации отчёта уязвимость пообещали когда-нибудь закрыть. Так что пользователи недорогих китайских смартфонов, как обычно, в счёт экономии получают оригинальный подход к безопасности устройств.
@tomhunter
Уязвимость занятная: сумрачный гений из OnePlus модифицировал стоковый Android Telephony, добавив контент-провайдеров. А вот разрешений на запись на READ_SMS в них нет, так что доступ к ней по умолчанию получают все. В итоге при определённых условиях приложение может вытянуть SMS, включая, например, коды MFA. Со связью с разрабом вышло как всегда: исследователи с мая по август семь раз написали компании, но не получили ответа — реагировать на репорты от лаоваев недостойно уважающего себя жителя Поднебесной. После публикации отчёта уязвимость пообещали когда-нибудь закрыть. Так что пользователи недорогих китайских смартфонов, как обычно, в счёт экономии получают оригинальный подход к безопасности устройств.
@tomhunter
😁14👍2🤔2
#news На npm засветился первый известный пример вредоносного MCP-сервера. Разраб пакета postmark-mcp добавил в свежую версию код для пересылки ему почты юзеров.
Postmark — почтовый сервер, MCP — фреймворк для его интеграции с ИИ-ассистентами. И с разрешениями, которые выдают дружелюбным кремниевым помощникам, одной строчки кода было достаточно для форварда писем юзеров злоумышленнику. Postmark-mcp на npm выглядел как порт официального с GitHub на протяжение 15 версий. А в 16-й обзавёлся вредоносным кодом. Пакет провисел неделю, его скачали ~1500 раз, после стука в личку от журналистов разраб его удалил. Предложи человеку сунуть в прод подобранную на улице флешку, и он только посмеётся. Предложи ему ИИ-ассистента с доступом ко всему и вся by design, и он накатит его быстрее, чем ты выговоришь “большая языковая модель”. Мы живём в обществе.
@tomhunter
Postmark — почтовый сервер, MCP — фреймворк для его интеграции с ИИ-ассистентами. И с разрешениями, которые выдают дружелюбным кремниевым помощникам, одной строчки кода было достаточно для форварда писем юзеров злоумышленнику. Postmark-mcp на npm выглядел как порт официального с GitHub на протяжение 15 версий. А в 16-й обзавёлся вредоносным кодом. Пакет провисел неделю, его скачали ~1500 раз, после стука в личку от журналистов разраб его удалил. Предложи человеку сунуть в прод подобранную на улице флешку, и он только посмеётся. Предложи ему ИИ-ассистента с доступом ко всему и вся by design, и он накатит его быстрее, чем ты выговоришь “большая языковая модель”. Мы живём в обществе.
@tomhunter
😁10👍2❤1🤡1💯1🤝1
#news Microsoft отключила израильскому Unit 8200 доступ к своей облачной инфраструктуре. Это произошло по следам скандальчика с её использованием под массовую слежку за палестинцами.
История всплыла в начале августа: согласно расследованию, в Azure была развёрнута масштабная инфра под хранение и обработку телефонных звонков. 8,000 терабайт данных, “миллион звонков в час”. Проект работал с 2021-го, но на фоне окончательного решения палестинского вопроса и буйного умопомешательства на западе на этой почве держать инфраструктуру под такие цели Microsoft расхотелось — сказалось давление от инвесторов и сотрудников. Unit 8200 оперативно вывел данные из систем Microsoft и по слухам планирует хостить их у Amazon — этим никакие репутационные издержки не страшны. В сухом остатке очередной хороший пример того, что такие проекты стоит хостить исключительно дома, чтобы не зависеть от конъюнктурных игрищ.
@tomhunter
История всплыла в начале августа: согласно расследованию, в Azure была развёрнута масштабная инфра под хранение и обработку телефонных звонков. 8,000 терабайт данных, “миллион звонков в час”. Проект работал с 2021-го, но на фоне окончательного решения палестинского вопроса и буйного умопомешательства на западе на этой почве держать инфраструктуру под такие цели Microsoft расхотелось — сказалось давление от инвесторов и сотрудников. Unit 8200 оперативно вывел данные из систем Microsoft и по слухам планирует хостить их у Amazon — этим никакие репутационные издержки не страшны. В сухом остатке очередной хороший пример того, что такие проекты стоит хостить исключительно дома, чтобы не зависеть от конъюнктурных игрищ.
@tomhunter
🔥9❤5😁5👍2💯2👎1🎉1
#news Trend Micro бьёт тревогу: LockBit всплыла с новым энкриптором под основные платформы и стала опасней прежнего за счёт переработанного кода и кроссплатформенности.
Компания нарыла свежие образцы версии 5.0 и отметила, что энкрипторы под Windows, Linux и ESXi обзавелись обновками. Партнёрка вновь набирает обороты, а за счёт прицела на все три платформы бизнес рискует шифрованием всего и вся от рабочих станций до виртуалок и бэкапов. С одной стороны, можно только подивиться устойчивости локбитовского бренда. С другой, у Trend Micro есть и свой прямой интерес: неубиваемое рансомварь-зло идёт по ваши системы, спешите защититься [нашими решениями]! Бюджетная логика здесь в сущности как в военке: чем страшнее угроза, тем жирнее контракты. А уж насколько она реальна – дело десятое. Оценить новую-старую угрозу можно в отчёте.
@tomhunter
Компания нарыла свежие образцы версии 5.0 и отметила, что энкрипторы под Windows, Linux и ESXi обзавелись обновками. Партнёрка вновь набирает обороты, а за счёт прицела на все три платформы бизнес рискует шифрованием всего и вся от рабочих станций до виртуалок и бэкапов. С одной стороны, можно только подивиться устойчивости локбитовского бренда. С другой, у Trend Micro есть и свой прямой интерес: неубиваемое рансомварь-зло идёт по ваши системы, спешите защититься [нашими решениями]! Бюджетная логика здесь в сущности как в военке: чем страшнее угроза, тем жирнее контракты. А уж насколько она реальна – дело десятое. Оценить новую-старую угрозу можно в отчёте.
@tomhunter
😁7🤬2💯2
#news В Нидерландах оригинальный кейс: двух местных подростков 17-ти лет поймали с Wi-Fi-сниффером и обвинили в шпионаже. Конечно же, в пользу России.
По версии следствия дети-шпионы крутились со сниффером у офисов Европола и Евроджаста, а также посольства Канады в Гааге. Юнош завербовали в Telegram, выцепили по наводке местной разведки и взялис поличным – за выполнением домашней работы. Следов компрометации нет, но дело серьёзное – следствие разберётся. Родители юных дарований в шоке: мы их готовили к ужасам взрослой жизни вроде курения, алкоголя и наркотиков, а не к вот этому. Но детям Нидерландов такие пошлости, очевидно, давно приелись. А вот кибершпионские игры через загадочный русский Телеграм – вот это досуг, достойный уважающего себя подростка в 2025-м.
@tomhunter
По версии следствия дети-шпионы крутились со сниффером у офисов Европола и Евроджаста, а также посольства Канады в Гааге. Юнош завербовали в Telegram, выцепили по наводке местной разведки и взяли
@tomhunter
😁22👍4🤡4🤬3
#news Редкий случай с ВВС: переговорщик рансомварь-группировки Medusa вышел на сотрудника с целью купить доступ. И попал на их кибербез-журналиста. Получилась история.
Судя по всему, в Medusa всё перепутали: думали, что пишут ИБшнику, а вышли на журналиста. Сказалось, что переговорщик у них один в банде англоговорящий, видимо. Зашел он с козырей: предложил 15% от выкупа, затем поднял до 25%. Обещал шальные миллионы, жизнь на Багамах и прочие удовольствия. Хвалился отчетом ФБР о группировке. А пока собеседник мялся, его заспамили 2FA-запросами. Не попался. Так что злоумышленник извинился за команду, тестировавшую его аккаунт, и продолжил переговоры – профессионализм, что сказать. Но Багамами подлец не соблазнился, скрипты в консоль совать не хотел, так что со связи они скоро пропали. Социнженерия в этот раз не задалась, но хоть статья получилась забавная.
@tomhunter
Судя по всему, в Medusa всё перепутали: думали, что пишут ИБшнику, а вышли на журналиста. Сказалось, что переговорщик у них один в банде англоговорящий, видимо. Зашел он с козырей: предложил 15% от выкупа, затем поднял до 25%. Обещал шальные миллионы, жизнь на Багамах и прочие удовольствия. Хвалился отчетом ФБР о группировке. А пока собеседник мялся, его заспамили 2FA-запросами. Не попался. Так что злоумышленник извинился за команду, тестировавшую его аккаунт, и продолжил переговоры – профессионализм, что сказать. Но Багамами подлец не соблазнился, скрипты в консоль совать не хотел, так что со связи они скоро пропали. Социнженерия в этот раз не задалась, но хоть статья получилась забавная.
@tomhunter
😁16❤3🔥2
#news В Великобритании крупнейшая в истории конфискация преступной криптовалюты. Битки на 7,3 миллиарда долларов. Масштабы намекают на источник: конечно же, это Китай .
Дело связано с гражданкой КНР, известной в 2010-х как "Королева биткоина". Королева сказочная: под обещания нарождающегося цифрового золота шло мошенничество с инвестициями. Здесь цифры тоже соответствуют: около 130 тысяч обманутых инвесторов на 40 миллиардов юаней. Всё это произошло в 2014-2017-х, ушло в биток, а он с тех пор, как известно, слегка подрос. Организатор схемы сбежала в UK, где её теперь и судят. Изъяли 61 тысячу битков – в абсолютном выражении было и больше, но с оглядкой на текущую цену вышел рекорд. Такая королева – мечта любого криптобро. Биткоиновая. Заряженная на памп. Твоя. Даром что ей 47. Возраст – это просто число. Как и 61 тысяча биткоинов. Зато какое.
@tomhunter
Дело связано с гражданкой КНР, известной в 2010-х как "Королева биткоина". Королева сказочная: под обещания нарождающегося цифрового золота шло мошенничество с инвестициями. Здесь цифры тоже соответствуют: около 130 тысяч обманутых инвесторов на 40 миллиардов юаней. Всё это произошло в 2014-2017-х, ушло в биток, а он с тех пор, как известно, слегка подрос. Организатор схемы сбежала в UK, где её теперь и судят. Изъяли 61 тысячу битков – в абсолютном выражении было и больше, но с оглядкой на текущую цену вышел рекорд. Такая королева – мечта любого криптобро. Биткоиновая. Заряженная на памп. Твоя. Даром что ей 47. Возраст – это просто число. Как и 61 тысяча биткоинов. Зато какое.
@tomhunter
😁20🔥5❤2👍1
#news Около 50 тысяч файрволов Cisco ASA и FTD по миру уязвимы к недавним уязвимостям. Если вы уже запутались, каким, неудивительно — ещё не все среагировали на брешь в IOS/IOS XE с включённым SNMP v1/v2с, как подоспели новые.
CVE-2025-20333 и CVE-2025-20362 на переполнение буфера в и отсутствующую авторизацию, соответственно. Уязвимости раскрыли 25 сентября, эксплойт на тот момент уже шёл. Костылей нет, извольте накатывать патчи. Некоторым выпало сомнительное удовольствие заниматься этим на выходных. Но на вчера ~50 тысяч уязвимых устройств ещё доступны, из них 2,100 в России. Так что реагирование на уязвимости привычно запаздывает. Между тем даже CISA выделила госухе 24 часа на патчи вместо привычного “Не забудьте накатить где-нибудь в этом году”. С учётом подозрительного стука по ASA-девайсам ещё в августе, это всё как бы намекает, что пора. Если не задуматься о патчах, то хотя бы тактично взять отгул, прислав с него ссылочку на CVE коллеге.
@tomhunter
CVE-2025-20333 и CVE-2025-20362 на переполнение буфера в и отсутствующую авторизацию, соответственно. Уязвимости раскрыли 25 сентября, эксплойт на тот момент уже шёл. Костылей нет, извольте накатывать патчи. Некоторым выпало сомнительное удовольствие заниматься этим на выходных. Но на вчера ~50 тысяч уязвимых устройств ещё доступны, из них 2,100 в России. Так что реагирование на уязвимости привычно запаздывает. Между тем даже CISA выделила госухе 24 часа на патчи вместо привычного “Не забудьте накатить где-нибудь в этом году”. С учётом подозрительного стука по ASA-девайсам ещё в августе, это всё как бы намекает, что пора. Если не задуматься о патчах, то хотя бы тактично взять отгул, прислав с него ссылочку на CVE коллеге.
@tomhunter
😁9🔥4❤2👍1
#news У северокорейской схемы по трудоустройству в IT появился сиквел. Как полагается, в нём больше контента, больше сюжетных поворотов. И больше головной боли для индустрий — теперь не только IT и не только в США.
Согласно исследованию, IT-солдаты отточили навыки в Штатах и начали расползаться по всей Европе. И они лезут уже не только в айтишечку: стахановцы из КНДР были замечены в финансовых и медицинских организациях — всплывают везде, где есть удалённые вакансии. Вплоть до госконтор: случаи были в США, Австралии и на Ближнем Востоке. В общем, навыки проходки через скрининг и адовы рекрутерские пайплайны у них такие, что среднему соискателю остаётся только дико завидовать. И у сиквела есть неприятный нюанс: зарплат уровня IT в других секторах нет. Так что стоит ждать роста инсайдерских краж данных и рансомварь-атак, потому как иначе пятилетку по финансированию у северокорейских братушек закрыть в ударные сроки не получится.
@tomhunter
Согласно исследованию, IT-солдаты отточили навыки в Штатах и начали расползаться по всей Европе. И они лезут уже не только в айтишечку: стахановцы из КНДР были замечены в финансовых и медицинских организациях — всплывают везде, где есть удалённые вакансии. Вплоть до госконтор: случаи были в США, Австралии и на Ближнем Востоке. В общем, навыки проходки через скрининг и адовы рекрутерские пайплайны у них такие, что среднему соискателю остаётся только дико завидовать. И у сиквела есть неприятный нюанс: зарплат уровня IT в других секторах нет. Так что стоит ждать роста инсайдерских краж данных и рансомварь-атак, потому как иначе пятилетку по финансированию у северокорейских братушек закрыть в ударные сроки не получится.
@tomhunter
🔥8🤯6👍4
#news Злоумышленники из The Crimson Collective заявили о взломе приватных репозиториев RedHat. Сообщают о доступе к 28 тысячам реп, краже 570 GB данных и, главное, сотен отчётов по работе с клиентами, они же Customer Engagement Reports.
В последних схемы архитектуры, детали конфигурации, карты сетей и токены доступа — в сущности планы инфраструктуры компаний. Взломщики утверждают, что стянули отчёты за 2022-2025-й годы, и они от крупных банковских и телекоммуникационных компаний, а также госконтор. Из репозиториев и документов вытащили токены и якобы уже получили доступ к инфраструктуре некоторых клиентов. Комментариев от RedHat пока нет, но сэмплы и списки файлов расползаются по сетевым дебрям, так что им не позавидуешь. Утечка CER’ов для клиентов — это очень такое себе. У кого архитектура не по заветам девопса Казакова, тот и проиграл.
@tomhunter
В последних схемы архитектуры, детали конфигурации, карты сетей и токены доступа — в сущности планы инфраструктуры компаний. Взломщики утверждают, что стянули отчёты за 2022-2025-й годы, и они от крупных банковских и телекоммуникационных компаний, а также госконтор. Из репозиториев и документов вытащили токены и якобы уже получили доступ к инфраструктуре некоторых клиентов. Комментариев от RedHat пока нет, но сэмплы и списки файлов расползаются по сетевым дебрям, так что им не позавидуешь. Утечка CER’ов для клиентов — это очень такое себе. У кого архитектура не по заветам девопса Казакова, тот и проиграл.
@tomhunter
🔥8😁5❤2🤬1
#news Очередная история про периферийные устройства с периферийной же ИБ. У портативных фотопринтеров Lifeprint открытый бакет со всеми фотографиями пользователей и данными, доступными для всех желающих.
Утечка связана с приложением от принтеров под iOS и Android, которым пользовались ~100 тысяч юзеров. В бакете 8 миллионов файлов, включая 2 миллиона уникальных фото плюс пользовательские данные в JSON и CSV с почтами и статистикой. Юзеры успели распечатать 1,6 миллиона фотографий. Более того, в бакете лежат несколько версий прошивки с ключом шифрования для её подписи простым текстом — здесь потенциал под публикацию вредоносной прошивки. Производитель на связь не выходит, так что закрывать уязвимость некому. Если и после публикации не начнёт шевелиться, список заглянувших в полное личных фото ведро явно пополнится множеством любознательных исследователей с добрыми и не очень намерениями.
@tomhunter
Утечка связана с приложением от принтеров под iOS и Android, которым пользовались ~100 тысяч юзеров. В бакете 8 миллионов файлов, включая 2 миллиона уникальных фото плюс пользовательские данные в JSON и CSV с почтами и статистикой. Юзеры успели распечатать 1,6 миллиона фотографий. Более того, в бакете лежат несколько версий прошивки с ключом шифрования для её подписи простым текстом — здесь потенциал под публикацию вредоносной прошивки. Производитель на связь не выходит, так что закрывать уязвимость некому. Если и после публикации не начнёт шевелиться, список заглянувших в полное личных фото ведро явно пополнится множеством любознательных исследователей с добрыми и не очень намерениями.
@tomhunter
😁6👍3🔥3
#news RedHat подтвердила взлом. Злоумышленники получили доступ к их инстансу GitLab и стянули данные. Затронут только консультационный отдел, но из него как раз и утекли отчёты по работе с клиентами.
Утечку CER’ов RedHat тоже подтвердила, но занижает последствия: персональной информации отчёты как бы не содержат. Но там и без неё хватает интересного. Список всего стянутого здесь. Вектор атаки компания не называет, но упомянула, что предприняла дополнительные меры по защите, чтобы предотвратить повторный доступ. Двухфакторку запоздало включили, видимо, просто писать об этом стесняются. Между тем среди затронутых клиентов Федеральное агентство по авиации США, Центр разработки надводного вооружения ВМС, нижняя палата Конгресса и прочие госструктуры, не считая крупных корпораций. Слить отчёты о сетях военки и госухи — отличный способ не только моментально лишиться контрактов, но и выиграть путёвку на встречу в Конгрессе, где всё это придётся неловко объяснять.
@tomhunter
Утечку CER’ов RedHat тоже подтвердила, но занижает последствия: персональной информации отчёты как бы не содержат. Но там и без неё хватает интересного. Список всего стянутого здесь. Вектор атаки компания не называет, но упомянула, что предприняла дополнительные меры по защите, чтобы предотвратить повторный доступ. Двухфакторку запоздало включили, видимо, просто писать об этом стесняются. Между тем среди затронутых клиентов Федеральное агентство по авиации США, Центр разработки надводного вооружения ВМС, нижняя палата Конгресса и прочие госструктуры, не считая крупных корпораций. Слить отчёты о сетях военки и госухи — отличный способ не только моментально лишиться контрактов, но и выиграть путёвку на встречу в Конгрессе, где всё это придётся неловко объяснять.
@tomhunter
😁6❤4🔥4🤬1
#cve Разбираем ключевые CVE ушедшего месяца. В сентябре звездой стала раскрытая уязвимость в Azure Entra ID: токены от бэкенда плюс легаси API с отсутствием их валидации позволяли злоумышленнику получить доступ к любому аккаунту с Entra ID.
Конечно, ни месяца без критических уязвимостей от Cisco: в IOS и IOS XE переполнение буфера в протоколе SNMP, а в Cisco ASA и FTD — в веб-сервере VPN; обе под произвольный код. Уязвимостями под RCE также отметились продукты от Broadcom, брандмауэры компании WatchGuard Firebox и устройства от Samsung с версиями Android от 13 по 16. Обо всём этом и других интересных CVE сентября читайте на Хабре!
@tomhunter
Конечно, ни месяца без критических уязвимостей от Cisco: в IOS и IOS XE переполнение буфера в протоколе SNMP, а в Cisco ASA и FTD — в веб-сервере VPN; обе под произвольный код. Уязвимостями под RCE также отметились продукты от Broadcom, брандмауэры компании WatchGuard Firebox и устройства от Samsung с версиями Android от 13 по 16. Обо всём этом и других интересных CVE сентября читайте на Хабре!
@tomhunter
👍6❤2🔥2
#news У Discord взломали стороннего поставщика и стянули пользовательские данные. Взлом затронул Zendesk, так что утекли данные тех, кто обращался в техподдержку платформы.
Слиты ФИО, почтовые адреса, ники в Discord и другие контакты. А также последние 4 цифры кредитки, и, главное, документы, которые юзеры предоставляли для подтверждения возраста. В Discord юзерам могут блокировать аккаунты, требуя подтвердить возраст — те послушно идут в техподдержку и показывают документы. А теперь они утекли. По сети уже пошли насмешки над несчастными британцами, вынужденных массово заливать свои ID в сеть, но так как вскрыли не саму систему верификации, это про немного другое. Но суть та же: возможно, KYС через документы где попало — не самая хорошая идея. При этом все платформы утверждают, что доки не хранят и не собирают, но затем это всё неизбежно утекает. Как же так? Сплошные загадки.
@tomhunter
Слиты ФИО, почтовые адреса, ники в Discord и другие контакты. А также последние 4 цифры кредитки, и, главное, документы, которые юзеры предоставляли для подтверждения возраста. В Discord юзерам могут блокировать аккаунты, требуя подтвердить возраст — те послушно идут в техподдержку и показывают документы. А теперь они утекли. По сети уже пошли насмешки над несчастными британцами, вынужденных массово заливать свои ID в сеть, но так как вскрыли не саму систему верификации, это про немного другое. Но суть та же: возможно, KYС через документы где попало — не самая хорошая идея. При этом все платформы утверждают, что доки не хранят и не собирают, но затем это всё неизбежно утекает. Как же так? Сплошные загадки.
@tomhunter
😁13🤬5❤1
#news Исследователи разработали метод прослушки через неожиданный девайс. Выяснили, что качественные компьютерные мышки могут улавливать звуковые вибрации, которые затем можно перевести в звук.
К атаке уязвимы устройства от 20,000 DPI и с высокой герцовкой. Сенсоры в таких мышах достаточно чувствительные, чтобы улавливать акустические вибрации голоса через поверхность. Датчик фиксирует её колебания, для перехвата сырых данных достаточно любого приложения с доступом к ним, а дальше идёт цифровая фильтрация. По итогам точность распознавания колеблется от 42 до 61 процента — суть разговора уловить можно. Найдёт ли метод применение в будущем или так и останется лабораторной диковинкой на радость людям со специфическими профессиональными деформациями — вопрос хороший. Но взглянуть на мышку-шпиона как минимум интересно. Видео с проверкой концепции здесь.
@tomhunter
К атаке уязвимы устройства от 20,000 DPI и с высокой герцовкой. Сенсоры в таких мышах достаточно чувствительные, чтобы улавливать акустические вибрации голоса через поверхность. Датчик фиксирует её колебания, для перехвата сырых данных достаточно любого приложения с доступом к ним, а дальше идёт цифровая фильтрация. По итогам точность распознавания колеблется от 42 до 61 процента — суть разговора уловить можно. Найдёт ли метод применение в будущем или так и останется лабораторной диковинкой на радость людям со специфическими профессиональными деформациями — вопрос хороший. Но взглянуть на мышку-шпиона как минимум интересно. Видео с проверкой концепции здесь.
@tomhunter
🔥7😁3❤2
#news В Redis обнаружили критическую уязвимость, она получила название RediShell — здесь у нас RCE. Проблема во всех версиях Redis с Lua-скриптами. То есть за последние ~13 лет.
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
🔥6😁3👍2
#digest Подводим итоги сентября дайджестом ключевых новостей. В прошлом месяце на npm отметились две крупных компрометации пакетов, включая первого самореплицирующегося червя. Он встряхнул всю экосистему и вынудил GitHub ужесточить правила аутентификации и публикации пакетов.
Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте на Хабре!
@tomhunter
Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте на Хабре!
@tomhunter
👍4❤1
#news В GoAnywhere MFT вновь критическая уязвимость с активно идущим эксплойтом. В 2023-м по нему работала Cl0p, ставя рекорды по числу рансомварь-атак за месяц, а в этом году эстафету переняла Medusa.
CVE связана с ошибкой десериализации неподтверждённых данных в одном из компонентов. Патчи вышли 18 сентября, но уязвимость эксплуатировали как нулевой день как минимум с 10 сентября. В сети около 500 доступных инстансов, сколько из них пропатчены, неясно. Так что злоумышленникам есть, где развернуться. Тем временем в Cl0p решили, что ломать GoAnywhere MFT в 2025-м для них — моветон, и вместо это группировка засветилась в работе по Oracle ESB: в софте критическая уязвимость под RCE без аутентификации, и эксплойт идёт уже с начала августа. PoC разлетелась по сети, и исследователи ждут массовых атак в ближайшие дни, призывая немедленно патчиться. Но кто же их будет слушать. Так что конец года у товарищей из Medusa и Cl0p будет насыщенным.
@tomhunter
CVE связана с ошибкой десериализации неподтверждённых данных в одном из компонентов. Патчи вышли 18 сентября, но уязвимость эксплуатировали как нулевой день как минимум с 10 сентября. В сети около 500 доступных инстансов, сколько из них пропатчены, неясно. Так что злоумышленникам есть, где развернуться. Тем временем в Cl0p решили, что ломать GoAnywhere MFT в 2025-м для них — моветон, и вместо это группировка засветилась в работе по Oracle ESB: в софте критическая уязвимость под RCE без аутентификации, и эксплойт идёт уже с начала августа. PoC разлетелась по сети, и исследователи ждут массовых атак в ближайшие дни, призывая немедленно патчиться. Но кто же их будет слушать. Так что конец года у товарищей из Medusa и Cl0p будет насыщенным.
@tomhunter
😁5❤2👍1
#news К новинкам социнженерии. Юные дарования из Scattered Spider и компании аутсорсят давление на жертв взлома Salesloft. 10 баксов криптой за письмо на почты топ-менеджеров взломанных компаний.
Группировка предлагает подписчикам заспамить управленцев требованиями выплатить выкуп. Так что пиджаки из высоких кабинетов Fortune 500 скоро обнаружат в своих ящиках спам от малолетних поклонников трёх группировок. Твоё лицо, когда открываешь с утра корпоративную почту и видишь десятки писем в духе “Yo bro, pay the ransom fr fr”. Кошмар ещё тот. При этом подписчикам сулят бонусы за письма с личных почтовых ящиков — отличный способ попасть в списки под мониторинг у NСA и прочих уже лет в 13. Попутно ShinyHunters шлют угрозы Кребсу и пытаются его взломать детскими трюками. Но поколения киберпреступников сменяются, а Кребс-то всё так и строчит отчёты по следам их посадки. Кто сидит по хакерским конфочкам, прогуливая уроки ИБ-истории, обречён на их повторение.
@tomhunter
Группировка предлагает подписчикам заспамить управленцев требованиями выплатить выкуп. Так что пиджаки из высоких кабинетов Fortune 500 скоро обнаружат в своих ящиках спам от малолетних поклонников трёх группировок. Твоё лицо, когда открываешь с утра корпоративную почту и видишь десятки писем в духе “Yo bro, pay the ransom fr fr”. Кошмар ещё тот. При этом подписчикам сулят бонусы за письма с личных почтовых ящиков — отличный способ попасть в списки под мониторинг у NСA и прочих уже лет в 13. Попутно ShinyHunters шлют угрозы Кребсу и пытаются его взломать детскими трюками. Но поколения киберпреступников сменяются, а Кребс-то всё так и строчит отчёты по следам их посадки. Кто сидит по хакерским конфочкам, прогуливая уроки ИБ-истории, обречён на их повторение.
@tomhunter
😁12👍2💯2