#news У Discord взломали стороннего поставщика и стянули пользовательские данные. Взлом затронул Zendesk, так что утекли данные тех, кто обращался в техподдержку платформы.
Слиты ФИО, почтовые адреса, ники в Discord и другие контакты. А также последние 4 цифры кредитки, и, главное, документы, которые юзеры предоставляли для подтверждения возраста. В Discord юзерам могут блокировать аккаунты, требуя подтвердить возраст — те послушно идут в техподдержку и показывают документы. А теперь они утекли. По сети уже пошли насмешки над несчастными британцами, вынужденных массово заливать свои ID в сеть, но так как вскрыли не саму систему верификации, это про немного другое. Но суть та же: возможно, KYС через документы где попало — не самая хорошая идея. При этом все платформы утверждают, что доки не хранят и не собирают, но затем это всё неизбежно утекает. Как же так? Сплошные загадки.
@tomhunter
Слиты ФИО, почтовые адреса, ники в Discord и другие контакты. А также последние 4 цифры кредитки, и, главное, документы, которые юзеры предоставляли для подтверждения возраста. В Discord юзерам могут блокировать аккаунты, требуя подтвердить возраст — те послушно идут в техподдержку и показывают документы. А теперь они утекли. По сети уже пошли насмешки над несчастными британцами, вынужденных массово заливать свои ID в сеть, но так как вскрыли не саму систему верификации, это про немного другое. Но суть та же: возможно, KYС через документы где попало — не самая хорошая идея. При этом все платформы утверждают, что доки не хранят и не собирают, но затем это всё неизбежно утекает. Как же так? Сплошные загадки.
@tomhunter
😁13🤬5❤1
#news Исследователи разработали метод прослушки через неожиданный девайс. Выяснили, что качественные компьютерные мышки могут улавливать звуковые вибрации, которые затем можно перевести в звук.
К атаке уязвимы устройства от 20,000 DPI и с высокой герцовкой. Сенсоры в таких мышах достаточно чувствительные, чтобы улавливать акустические вибрации голоса через поверхность. Датчик фиксирует её колебания, для перехвата сырых данных достаточно любого приложения с доступом к ним, а дальше идёт цифровая фильтрация. По итогам точность распознавания колеблется от 42 до 61 процента — суть разговора уловить можно. Найдёт ли метод применение в будущем или так и останется лабораторной диковинкой на радость людям со специфическими профессиональными деформациями — вопрос хороший. Но взглянуть на мышку-шпиона как минимум интересно. Видео с проверкой концепции здесь.
@tomhunter
К атаке уязвимы устройства от 20,000 DPI и с высокой герцовкой. Сенсоры в таких мышах достаточно чувствительные, чтобы улавливать акустические вибрации голоса через поверхность. Датчик фиксирует её колебания, для перехвата сырых данных достаточно любого приложения с доступом к ним, а дальше идёт цифровая фильтрация. По итогам точность распознавания колеблется от 42 до 61 процента — суть разговора уловить можно. Найдёт ли метод применение в будущем или так и останется лабораторной диковинкой на радость людям со специфическими профессиональными деформациями — вопрос хороший. Но взглянуть на мышку-шпиона как минимум интересно. Видео с проверкой концепции здесь.
@tomhunter
🔥7😁3❤2
#news В Redis обнаружили критическую уязвимость, она получила название RediShell — здесь у нас RCE. Проблема во всех версиях Redis с Lua-скриптами. То есть за последние ~13 лет.
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
🔥6😁3👍2
#digest Подводим итоги сентября дайджестом ключевых новостей. В прошлом месяце на npm отметились две крупных компрометации пакетов, включая первого самореплицирующегося червя. Он встряхнул всю экосистему и вынудил GitHub ужесточить правила аутентификации и публикации пакетов.
Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте на Хабре!
@tomhunter
Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте на Хабре!
@tomhunter
👍4❤1
#news В GoAnywhere MFT вновь критическая уязвимость с активно идущим эксплойтом. В 2023-м по нему работала Cl0p, ставя рекорды по числу рансомварь-атак за месяц, а в этом году эстафету переняла Medusa.
CVE связана с ошибкой десериализации неподтверждённых данных в одном из компонентов. Патчи вышли 18 сентября, но уязвимость эксплуатировали как нулевой день как минимум с 10 сентября. В сети около 500 доступных инстансов, сколько из них пропатчены, неясно. Так что злоумышленникам есть, где развернуться. Тем временем в Cl0p решили, что ломать GoAnywhere MFT в 2025-м для них — моветон, и вместо это группировка засветилась в работе по Oracle ESB: в софте критическая уязвимость под RCE без аутентификации, и эксплойт идёт уже с начала августа. PoC разлетелась по сети, и исследователи ждут массовых атак в ближайшие дни, призывая немедленно патчиться. Но кто же их будет слушать. Так что конец года у товарищей из Medusa и Cl0p будет насыщенным.
@tomhunter
CVE связана с ошибкой десериализации неподтверждённых данных в одном из компонентов. Патчи вышли 18 сентября, но уязвимость эксплуатировали как нулевой день как минимум с 10 сентября. В сети около 500 доступных инстансов, сколько из них пропатчены, неясно. Так что злоумышленникам есть, где развернуться. Тем временем в Cl0p решили, что ломать GoAnywhere MFT в 2025-м для них — моветон, и вместо это группировка засветилась в работе по Oracle ESB: в софте критическая уязвимость под RCE без аутентификации, и эксплойт идёт уже с начала августа. PoC разлетелась по сети, и исследователи ждут массовых атак в ближайшие дни, призывая немедленно патчиться. Но кто же их будет слушать. Так что конец года у товарищей из Medusa и Cl0p будет насыщенным.
@tomhunter
😁5❤2👍1
#news К новинкам социнженерии. Юные дарования из Scattered Spider и компании аутсорсят давление на жертв взлома Salesloft. 10 баксов криптой за письмо на почты топ-менеджеров взломанных компаний.
Группировка предлагает подписчикам заспамить управленцев требованиями выплатить выкуп. Так что пиджаки из высоких кабинетов Fortune 500 скоро обнаружат в своих ящиках спам от малолетних поклонников трёх группировок. Твоё лицо, когда открываешь с утра корпоративную почту и видишь десятки писем в духе “Yo bro, pay the ransom fr fr”. Кошмар ещё тот. При этом подписчикам сулят бонусы за письма с личных почтовых ящиков — отличный способ попасть в списки под мониторинг у NСA и прочих уже лет в 13. Попутно ShinyHunters шлют угрозы Кребсу и пытаются его взломать детскими трюками. Но поколения киберпреступников сменяются, а Кребс-то всё так и строчит отчёты по следам их посадки. Кто сидит по хакерским конфочкам, прогуливая уроки ИБ-истории, обречён на их повторение.
@tomhunter
Группировка предлагает подписчикам заспамить управленцев требованиями выплатить выкуп. Так что пиджаки из высоких кабинетов Fortune 500 скоро обнаружат в своих ящиках спам от малолетних поклонников трёх группировок. Твоё лицо, когда открываешь с утра корпоративную почту и видишь десятки писем в духе “Yo bro, pay the ransom fr fr”. Кошмар ещё тот. При этом подписчикам сулят бонусы за письма с личных почтовых ящиков — отличный способ попасть в списки под мониторинг у NСA и прочих уже лет в 13. Попутно ShinyHunters шлют угрозы Кребсу и пытаются его взломать детскими трюками. Но поколения киберпреступников сменяются, а Кребс-то всё так и строчит отчёты по следам их посадки. Кто сидит по хакерским конфочкам, прогуливая уроки ИБ-истории, обречён на их повторение.
@tomhunter
😁12👍2💯2
#news Свежий отчёт по рансомварь-сцене за третий квартал 2025-го. Из интересного, в сетевых дебрях рекорд по числу вымогательских сайтов — 81 штука. А LockBit начала снова шевелиться, объявив о партнёрке с Qilin и DragonForce.
В сентябре с релизом 5.0 LockBit заявила, что снимает ограничения на атаки по критической инфраструктуре. Упомянуты ядерные станции, прочая энергетика и сопутствующее. “Хотим что-то уровня Colonial Pipeline”, говорят. Что было с DarkSide, и какая тряска была по всему русскому даркнету с баном обсуждений рансомвари, видимо, уже забыли. “Пусть ФБР договаривается с нами, тогда атаковать не будем”. Опять горделивая поза Неуловимого Джо с бредовыми идеями величия, в общем. Белому Дому не до рансомвари, но если они как в 2021-м пнут киберотделы трёхбуквенных агентств, мало никому не покажется. Между тем в топе 2025-го Qilin. Читают нас не только в ИБ, так что напомню, у Qilin на счету есть жертвы после атак по медсектору. Надо ли оно вам, думайте сами.
@tomhunter
В сентябре с релизом 5.0 LockBit заявила, что снимает ограничения на атаки по критической инфраструктуре. Упомянуты ядерные станции, прочая энергетика и сопутствующее. “Хотим что-то уровня Colonial Pipeline”, говорят. Что было с DarkSide, и какая тряска была по всему русскому даркнету с баном обсуждений рансомвари, видимо, уже забыли. “Пусть ФБР договаривается с нами, тогда атаковать не будем”. Опять горделивая поза Неуловимого Джо с бредовыми идеями величия, в общем. Белому Дому не до рансомвари, но если они как в 2021-м пнут киберотделы трёхбуквенных агентств, мало никому не покажется. Между тем в топе 2025-го Qilin. Читают нас не только в ИБ, так что напомню, у Qilin на счету есть жертвы после атак по медсектору. Надо ли оно вам, думайте сами.
@tomhunter
👍5😁3😢1
#news По следам взлома Discord злоумышленники утверждают, что стянули данные 5,5 миллионов пользователей. Тем временем платформа выпустила заявление, что выкуп платить не будет.
Сначала с них потребовали $5 миллионов выкупа, затем снизим до $3,5 миллионов. Но переговоры зашли в тупик, и теперь злоумышленники грозят слить данные в открытый доступ. В Discord заявили, что документы только 70 тысяч юзеров “могли” быть затронуты утечкой, но, скорее всего, цифры занижают. Гуляющие по сети заявления про 2,1 миллиона ID тоже вряд ли соответствуют действительности, но одних тикетов на подтверждение возраста в утечке, как утверждают, ~521 тысяча. Видимо, слив всех рассудит. Тем временем на вопрос, почему они хранят документы после верификации, в Discord не ответили. Что уж тут скажешь, действительно — все и так всё понимают. А кто не понимает, тот британец, беззаботно отправивший свой паспорт сотне сайтов и платформ.
@tomhunter
Сначала с них потребовали $5 миллионов выкупа, затем снизим до $3,5 миллионов. Но переговоры зашли в тупик, и теперь злоумышленники грозят слить данные в открытый доступ. В Discord заявили, что документы только 70 тысяч юзеров “могли” быть затронуты утечкой, но, скорее всего, цифры занижают. Гуляющие по сети заявления про 2,1 миллиона ID тоже вряд ли соответствуют действительности, но одних тикетов на подтверждение возраста в утечке, как утверждают, ~521 тысяча. Видимо, слив всех рассудит. Тем временем на вопрос, почему они хранят документы после верификации, в Discord не ответили. Что уж тут скажешь, действительно — все и так всё понимают. А кто не понимает, тот британец, беззаботно отправивший свой паспорт сотне сайтов и платформ.
@tomhunter
😁7🤯3🔥2❤1👍1
#news Редкие воодушевляющие новости из Германии. Министр Юстиции заявила, что они проголосуют против скана приватных сообщений в мессенджерах со сквозным шифрованием. Так что предложение на скором голосовании не пройдёт.
Речь про пресловутый Chat Control, который проталкивают с 2022-го года. Голосование по его внедрению будет 14 октября. Дания, текущий председатель в ЕС, активно продавливает внедрение меры. Всё это, как водится, под предлогом заботы о детях, а на деле — скан всех сообщений, фото и видео на устройствах. Но глава Минюста Германии заявила, что мониторинг приватных чатов — это антиконституционно, и самые худшие преступления — это не повод сдавать базовые гражданские права. Так что пока массовая слежка в ЕС откладывается — голосов “За” не хватит. Сегодня без бэкдоров в мессенджеры под видом заботы о нашем всём, но завтра — кто знает. Рано или поздно, вероятно, продавят, а там и ссылочки на передовой опыт как в лучших домах Парижа пойдут.
@tomhunter
Речь про пресловутый Chat Control, который проталкивают с 2022-го года. Голосование по его внедрению будет 14 октября. Дания, текущий председатель в ЕС, активно продавливает внедрение меры. Всё это, как водится, под предлогом заботы о детях, а на деле — скан всех сообщений, фото и видео на устройствах. Но глава Минюста Германии заявила, что мониторинг приватных чатов — это антиконституционно, и самые худшие преступления — это не повод сдавать базовые гражданские права. Так что пока массовая слежка в ЕС откладывается — голосов “За” не хватит. Сегодня без бэкдоров в мессенджеры под видом заботы о нашем всём, но завтра — кто знает. Рано или поздно, вероятно, продавят, а там и ссылочки на передовой опыт как в лучших домах Парижа пойдут.
@tomhunter
❤7👍5😁2
#news Mandiant делится предварительными оценками успехов Cl0p в деле эксплойта недавней уязвимости в Oracle EBS. Сообщают, взломы затронули десятки организаций.
Эксплойт идёт как минимум с 9 августа, плюс есть следы активности ещё на начало июля. 29 сентября пошла массовая рассылка по управленцам компаний с требованиями выкупа, так что на тот момент коллекция стянутых данных была внушительной. 0-day под RCE без аутентификации, пара месяцев эксплойта до патчей, что тут скажешь — безопасности взломанным. Кампания по вымогательству, судя по всему, идёт масштабная, так что Cl0p держит марку: ни года без залёта в заголовки с крупным кушем. А с учётом того, что PoC уже попала в руки любознательных исследователей, желающих подключиться к весёлой игре “Испорть конец года управленцу” будет достаточно. Здесь не нужно быть оракулом, чтобы предсказать выход счёта жертв на сотни. (Извините.)
@tomhunter
Эксплойт идёт как минимум с 9 августа, плюс есть следы активности ещё на начало июля. 29 сентября пошла массовая рассылка по управленцам компаний с требованиями выкупа, так что на тот момент коллекция стянутых данных была внушительной. 0-day под RCE без аутентификации, пара месяцев эксплойта до патчей, что тут скажешь — безопасности взломанным. Кампания по вымогательству, судя по всему, идёт масштабная, так что Cl0p держит марку: ни года без залёта в заголовки с крупным кушем. А с учётом того, что PoC уже попала в руки любознательных исследователей, желающих подключиться к весёлой игре “Испорть конец года управленцу” будет достаточно. Здесь не нужно быть оракулом, чтобы предсказать выход счёта жертв на сотни. (Извините.)
@tomhunter
😁3❤1👍1🔥1
#article Продолжаем тему Google Таблиц в OSINT. В нашей сегодняшней статье мы поговорим о том, как использовать их в одной из фундаментальных задач в OSINT — поиск по никнейму.
Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и анализ никнеймов: от проверки соцсетей и электронных почт до анализа активности на найденных страницах и подтягивания данных из веб-архивов. За подробностями добро пожаловать на Хабр!
@tomhunter
Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и анализ никнеймов: от проверки соцсетей и электронных почт до анализа активности на найденных страницах и подтягивания данных из веб-архивов. За подробностями добро пожаловать на Хабр!
@tomhunter
👍11🔥2😱2
#news Пятничные новости инфобеза. В сентябре наши хактивисты из TwoNet заявили о взломе системы водоснабжения в Голландии. Дефейс, смена конфигурации, отключение аварийки— всё как полагается. Но есть нюанс: это был ханипот…
Forescout пишет, что хактивисты забрели на их обманку под видом водоочистной станции. Злоумышленник создал аккаунт под своим крутым хакерским ником, дефейснул страницу логина и поковырялся в конфигурации; дальше дело не пошло. Всё это позже представили как успешный взлом. Но как водится, от народного дудоса всем чатиком молодых и шальных до реальных атак по критической инфраструктуре путь неблизкий. И по пути легко запнуться — например, о ханипот. Так что здесь нужно калибровать свой энтузиазм и не спешить рапортовать об успехах. В конце концов, репутация — дело наживное. И от болтовни в Telegram со скриншотами несуществующих побед до серьёзной угрозы дорастут далеко не все.
@tomhunter
Forescout пишет, что хактивисты забрели на их обманку под видом водоочистной станции. Злоумышленник создал аккаунт под своим крутым хакерским ником, дефейснул страницу логина и поковырялся в конфигурации; дальше дело не пошло. Всё это позже представили как успешный взлом. Но как водится, от народного дудоса всем чатиком молодых и шальных до реальных атак по критической инфраструктуре путь неблизкий. И по пути легко запнуться — например, о ханипот. Так что здесь нужно калибровать свой энтузиазм и не спешить рапортовать об успехах. В конце концов, репутация — дело наживное. И от болтовни в Telegram со скриншотами несуществующих побед до серьёзной угрозы дорастут далеко не все.
@tomhunter
😁13👍5
#news Интересный поворот для NSO Group в многолетней истории “США и Я”. Американские инвесторы приобрели контрольный пакет акций компании, так что формально владение меняется с израильского на американского.
Разработчик печально известной спайвари Pegasus попал в немилость США и в Entity List в 2021-м, когда вскрылось, что ПО использовали для шпионажа за американскими чиновниками за рубежом. С тех пор NSO всё лоббирует выход из него, лоббирует, да никак не пролоббирует. С очередной покупкой уважаемыми людьми на местах, процесс, вероятно, пойдёт бодрее. Что совсем не радует местных безопасников: работавшие по Pegasus исследователи из Citizen Lab опасаются, что Pegasus получит контракты, например, для полиции. Примеры в наличии. При этом представитель NSO проговорился “не для печати”, что и штаб останется в Израиле, и подчинён он всё так же Минобороны. Так что за любопытные юридические носы NSO может и дальше не переживать — родное правительство прищёлкнет. Сплошные плюсы, в общем.
@tomhunter
Разработчик печально известной спайвари Pegasus попал в немилость США и в Entity List в 2021-м, когда вскрылось, что ПО использовали для шпионажа за американскими чиновниками за рубежом. С тех пор NSO всё лоббирует выход из него, лоббирует, да никак не пролоббирует. С очередной покупкой уважаемыми людьми на местах, процесс, вероятно, пойдёт бодрее. Что совсем не радует местных безопасников: работавшие по Pegasus исследователи из Citizen Lab опасаются, что Pegasus получит контракты, например, для полиции. Примеры в наличии. При этом представитель NSO проговорился “не для печати”, что и штаб останется в Израиле, и подчинён он всё так же Минобороны. Так что за любопытные юридические носы NSO может и дальше не переживать — родное правительство прищёлкнет. Сплошные плюсы, в общем.
@tomhunter
🔥5😁4❤2👍1
#news Забавный кейс с легаси-системами от их негласного чемпиона — старичка Internet Explorer. Злоумышленники используют эксплойт в IE с налётом социнженерии под его запуск через Edge, так что Microsoft пришлось лёгкость запуска порезать.
Сценарий атаки простой. Юзеру Edge предлагают посетить нормально выглядящий сайт, на нём выскакивает окно с предложением перезагрузить страницу в IE. А дальше в ход идёт эксплойт в Chakra под RCE. Деталей не раскрывают, но с оглядкой на активную эксплуатацию режим IE запрятали подальше. Теперь вместо одного клика пользователь должен залезть в настройки, включить отключённую по умолчанию фичу и добавить в белый список желаемые сайты. По задумке это отобьёт у юзера желание запускать IE где попало. Но с оглядкой на оглушительный успех ClickFix, достаточно добавить новую инструкцию для перехода в IE в окно, и готово — вы ослепительны. Юзер ведь любит инструкции и возможность почувствовать себя продвинутым пользователем ПК.
@tomhunter
Сценарий атаки простой. Юзеру Edge предлагают посетить нормально выглядящий сайт, на нём выскакивает окно с предложением перезагрузить страницу в IE. А дальше в ход идёт эксплойт в Chakra под RCE. Деталей не раскрывают, но с оглядкой на активную эксплуатацию режим IE запрятали подальше. Теперь вместо одного клика пользователь должен залезть в настройки, включить отключённую по умолчанию фичу и добавить в белый список желаемые сайты. По задумке это отобьёт у юзера желание запускать IE где попало. Но с оглядкой на оглушительный успех ClickFix, достаточно добавить новую инструкцию для перехода в IE в окно, и готово — вы ослепительны. Юзер ведь любит инструкции и возможность почувствовать себя продвинутым пользователем ПК.
@tomhunter
😁8👍2🎉1💯1🤝1
#news Исследователи представили атаку по сторонним каналам по смартфонам на базе Android, позволяющую похищать данные, отображаемые на экране. Она получила название Pixnapping и сводится к отслеживанию отдельных пикселей.
Атака начинается с вредоносного приложения, но ему не нужны никакие разрешения. Pixnapping работает за счёт наложения интерфейсов и эксплойтит рендеринг, измеряя время отрисовки и восстанавливая цвета пикселей. Удалось воспроизвести 2FA-коды меньше чем за 30 секунд, экраны с личными данными из приложений и прочее. При этом ни видимых действий на экране, ни другого шума, а существующие механизмы защиты атака обходит. Тестировали её на нескольких моделях Google Pixel и Samsung Galaxy S25, но потенциал есть в экосистеме Android в целом. Реальные же применения — как обычно. Может, будет интерес для разрабов спайвари. Пока для взлома корпорации достаточно звонка от подростка задолбанному сотруднику, атаки вроде Pixnapping — развлечение для нердов. Проверка концепции здесь.
@tomhunter
Атака начинается с вредоносного приложения, но ему не нужны никакие разрешения. Pixnapping работает за счёт наложения интерфейсов и эксплойтит рендеринг, измеряя время отрисовки и восстанавливая цвета пикселей. Удалось воспроизвести 2FA-коды меньше чем за 30 секунд, экраны с личными данными из приложений и прочее. При этом ни видимых действий на экране, ни другого шума, а существующие механизмы защиты атака обходит. Тестировали её на нескольких моделях Google Pixel и Samsung Galaxy S25, но потенциал есть в экосистеме Android в целом. Реальные же применения — как обычно. Может, будет интерес для разрабов спайвари. Пока для взлома корпорации достаточно звонка от подростка задолбанному сотруднику, атаки вроде Pixnapping — развлечение для нердов. Проверка концепции здесь.
@tomhunter
🔥5😁4👍3
#news Спутниковые системы связи вновь провалили аудит на ИБ: согласно исследованию, около половины спутников передают данные без какого-либо шифрования. Для перехвата достаточно оборудования на 800 долларов.
С задачей справляется обычная спутниковая антенна. Среди перехваченного данные мобильного оператора, включая входящие звонки и сообщения. Дальше хуже: со спутников идёт огромный массив военных и промышленных данных. Включая, например, радиосвязь с командными центрами и внутренние документы. С учётом локации антенны иследователей в Южной Калифорнии, конечно, есть своя специфика: без защиты связи шла в основном военка Мексики. Но и во многих других частях света военный кибербез оставляет желать лучшего. А так как парсер залили на GitHub для привлечения внимания к проблеме, желающих половить сигнал наберётся достаточно. Не говоря уже о разведках, которые всё это давно слушают. Там любознательной компании явно не будут рады.
@tomhunter
С задачей справляется обычная спутниковая антенна. Среди перехваченного данные мобильного оператора, включая входящие звонки и сообщения. Дальше хуже: со спутников идёт огромный массив военных и промышленных данных. Включая, например, радиосвязь с командными центрами и внутренние документы. С учётом локации антенны иследователей в Южной Калифорнии, конечно, есть своя специфика: без защиты связи шла в основном военка Мексики. Но и во многих других частях света военный кибербез оставляет желать лучшего. А так как парсер залили на GitHub для привлечения внимания к проблеме, желающих половить сигнал наберётся достаточно. Не говоря уже о разведках, которые всё это давно слушают. Там любознательной компании явно не будут рады.
@tomhunter
🔥9👍4❤3
#news В мире кибербез-стартапов небольшая драма. ИБ-фирма FuzzingLabs обвинила коллег из Gecko Security в копировании раскрытых ими уязвимостей, краже проверок концепции и приписывании их себе.
У нердов из FuzzingLabs случилась истерика в eX-Твиттере c чатжптшными формулировками и гневными каракулями по скрину сайта Gecko Security. П — профессионализм. PoCs якобы украдены после публикации, ID уязвимостей захвачены, а даты в постах проставлены задним числом. Следом Gecko обвинили в краже ещё семи CVE в формате “Моё первое OSINT-расследование”. Между тем пойманные с поличным всё отрицают — списывают на рассинхрон между BB-платформами и работой с мейнтейнерами напрямую. И редактируют старые посты, внося в них упоминания багхантеров, кражу чьих CVE им приписывают. В общем, нерды пытаются в коммуникацию, но так как денег на пиар-отдел у стартапов нет, получается не очень. А в ИБ люди разные нужны, люди разные важны. В том числе с нормальными соцнавыками, например.
@tomhunter
У нердов из FuzzingLabs случилась истерика в eX-Твиттере c чатжптшными формулировками и гневными каракулями по скрину сайта Gecko Security. П — профессионализм. PoCs якобы украдены после публикации, ID уязвимостей захвачены, а даты в постах проставлены задним числом. Следом Gecko обвинили в краже ещё семи CVE в формате “Моё первое OSINT-расследование”. Между тем пойманные с поличным всё отрицают — списывают на рассинхрон между BB-платформами и работой с мейнтейнерами напрямую. И редактируют старые посты, внося в них упоминания багхантеров, кражу чьих CVE им приписывают. В общем, нерды пытаются в коммуникацию, но так как денег на пиар-отдел у стартапов нет, получается не очень. А в ИБ люди разные нужны, люди разные важны. В том числе с нормальными соцнавыками, например.
@tomhunter
😁6❤2👍2💯2
#news Американский ИБ-гигант F5 раскрыл утечку. И какую! APT проникла в их сети, стянула исходники флагманского продукта BIG-IP, информацию об уязвимостях и конфиги части клиентов.
У злоумышленников был долговременный, устойчивый доступ к сетям F5, включая среду разработки. Помимо части исходников стянули нераскрытые уязвимости в BIG-IP, над исправлением которых работала компания; следов эксплойта нет. Иными словами, кошмар любой кибербез-корпорации — объясняться перед людьми из высоких кабинетов теперь придётся долго. Из Fortune 50 у неё 48 клиентов, но здесь апэтэшечку интересовал явно не столько бизнес, сколько американские госсети — правительство США запросило отложить раскрытие утечки, пока не защитят критические системы. По национальности “продвинутых госхакеров” не называют, но здесь и так всем всё понятно — ресурс под такие операции водится разве что в Поднебесной. Так что тут, скорее всего, без сюрпризов.
@tomhunter
У злоумышленников был долговременный, устойчивый доступ к сетям F5, включая среду разработки. Помимо части исходников стянули нераскрытые уязвимости в BIG-IP, над исправлением которых работала компания; следов эксплойта нет. Иными словами, кошмар любой кибербез-корпорации — объясняться перед людьми из высоких кабинетов теперь придётся долго. Из Fortune 50 у неё 48 клиентов, но здесь апэтэшечку интересовал явно не столько бизнес, сколько американские госсети — правительство США запросило отложить раскрытие утечки, пока не защитят критические системы. По национальности “продвинутых госхакеров” не называют, но здесь и так всем всё понятно — ресурс под такие операции водится разве что в Поднебесной. Так что тут, скорее всего, без сюрпризов.
@tomhunter
🔥6😁3❤2🤯1🤬1
#news Очередной яркий пример критичности нормально налаженной разработки софта из мира компьютеризированных авто. На прошлых выходных производитель Jeep Wrangler 4xe массово превратил машины в кирпич. Виной стал кривое обновление.
В лучших традициях таких историй апдейт отправился в прод в пятницу вечером. Обновилась система uConnect, сбой заблокировал телематику, и авто встали. Часть владельцев апдейт застал прямо в дороге, кого-то — на магистралях. Другим повезло больше: кирпич обнаружили у дома по утру, пришлось отправлять в автосервис. Через сутки громко матерящийся сеньор выпустил исправление, но осадочек-то остался. Вместе с вопросами к внутреннему тестированию у производителя. Точнее, к его отсутствию. Stellantis по итогам обещает внедрить многоступенчатое развёртывание обновлений. А у кого-то на рабочем месте появится почётная плашка с напоминанием “Пятница — не время для апдейтов”.
@tomhunter
В лучших традициях таких историй апдейт отправился в прод в пятницу вечером. Обновилась система uConnect, сбой заблокировал телематику, и авто встали. Часть владельцев апдейт застал прямо в дороге, кого-то — на магистралях. Другим повезло больше: кирпич обнаружили у дома по утру, пришлось отправлять в автосервис. Через сутки громко матерящийся сеньор выпустил исправление, но осадочек-то остался. Вместе с вопросами к внутреннему тестированию у производителя. Точнее, к его отсутствию. Stellantis по итогам обещает внедрить многоступенчатое развёртывание обновлений. А у кого-то на рабочем месте появится почётная плашка с напоминанием “Пятница — не время для апдейтов”.
@tomhunter
😁11🔥3👍1😢1
#news Продолжается активный эксплойт недавних уязвимостей в Cisco. В свежей кампании вновь досталось IOS и IOS XE с уязвимостью в SNMP: злоумышленники накатывают руткиты и обеспечивают себе постоянный доступ.
Где руткиты, там и RCE, плюс универсальные пароли с хуками в IOSd для закрепления в системах. Злоумышленники также работают с прицелом на устаревшие версии Linux без EDR-решений, и универсальных методов для обнаружения компрометации нет. Так что руткиты в системах надолго. Подробнее о кампании в отчёте. Между тем в сентябре Cisco сгенерировала достаточно шума, чтобы к ней появились неудобные вопросы: её CEO строчит письма штатовский сенатор, требуя объяснений. Но комментариев по этому поводу Cisco давать не спешит. Здесь, конечно, лучше затаиться и переждать жару в формате “Если я буду это игнорировать, оно уйдёт”. Кибербез — область волатильная, завтра новые CVE и громкие заголовки подвезут. Глядишь, само и уляжется. Подписывайтесь, чтобы не пропустить другие советы для успешных CISO.
@tomhunter
Где руткиты, там и RCE, плюс универсальные пароли с хуками в IOSd для закрепления в системах. Злоумышленники также работают с прицелом на устаревшие версии Linux без EDR-решений, и универсальных методов для обнаружения компрометации нет. Так что руткиты в системах надолго. Подробнее о кампании в отчёте. Между тем в сентябре Cisco сгенерировала достаточно шума, чтобы к ней появились неудобные вопросы: её CEO строчит письма штатовский сенатор, требуя объяснений. Но комментариев по этому поводу Cisco давать не спешит. Здесь, конечно, лучше затаиться и переждать жару в формате “Если я буду это игнорировать, оно уйдёт”. Кибербез — область волатильная, завтра новые CVE и громкие заголовки подвезут. Глядишь, само и уляжется. Подписывайтесь, чтобы не пропустить другие советы для успешных CISO.
@tomhunter
😁10👍1🔥1💯1
#news Оригинальная партнёрка от Amazon: её дочерняя компания Ring, производящая камеры и умные дверные звонки, объявила о сотрудничестве с Flock Safety, разработчиком системы распознавания автономеров.
Flock Safety — это система камер и инфоброкер с финансовой моделью формата “Доступ для всех органов и ведомств и пусть никто не уйдёт обиженным”. Интеграция позволит штатовским правоохранителям направлять запросы юзерам камер от Amazon Ring в рамках расследований. Формально “по согласованию с пользователем”, как будет на деле — вопрос хороший. Особенно с учётом того, что Ring уже всплывала в новостях с историями о том, что у сотрудников и третьих лиц был неограниченный доступ к записям с устройств юзеров. Так одним росчерком пера под выгодным контрактом миллионы дверных звонков и камер ничего не подозревающих юзеров интегрируют в системы компании, которая черпает вдохновение в образе Большого Брата. Казалось бы, что может пойти не так? Amazon как всегда, к этим вопросов давно нет.
@tomhunter
Flock Safety — это система камер и инфоброкер с финансовой моделью формата “Доступ для всех органов и ведомств и пусть никто не уйдёт обиженным”. Интеграция позволит штатовским правоохранителям направлять запросы юзерам камер от Amazon Ring в рамках расследований. Формально “по согласованию с пользователем”, как будет на деле — вопрос хороший. Особенно с учётом того, что Ring уже всплывала в новостях с историями о том, что у сотрудников и третьих лиц был неограниченный доступ к записям с устройств юзеров. Так одним росчерком пера под выгодным контрактом миллионы дверных звонков и камер ничего не подозревающих юзеров интегрируют в системы компании, которая черпает вдохновение в образе Большого Брата. Казалось бы, что может пойти не так? Amazon как всегда, к этим вопросов давно нет.
@tomhunter
😁4🤬2