͏Скучно живете если храните крипту и ваш Новый год не похож на этот, так как у многих пользователей криптокошельков BitKeep новогоднее настроение начнется с седых волос, ибо их кошельки были опустошены во время празднования Рождества.
BitKeep — это децентрализованный кошелек DeFi web3, поддерживающий более 30 блокчейнов, 76 сетей и более 20 000 децентрализованных приложений.
Активная аудитория насчитывает более 8 миллионов пользователей в 168 странах, которые используют кошелек для управления своими криптоактивами.
Специалисты из Peckshield сообщили, что примерно 8 миллионов долларов средств пользователей BitKeep были украдены через взломанную APK-версию криптокошелька.
Команда BitKeep уже подтвердила о проблеме в своей официальной учетной записи Telegram и сообщила, что хакеры перехватили загрузку некоторых пакетов APK, что привело к потере средств для ее пользователей.
В компании добавили, что пользователи, чьи средства были украдены, загрузили неизвестную версию ее приложения.
BitKeep уточнил, что пользователи должны переводить свои средства на кошельки, загруженные из официальных источников, таких как Google Play и App Store.
BitKeep рекомендовал своим пользователям создать новые адреса кошельков, поскольку хакеры могут по-прежнему иметь доступ к адресам, созданным через скомпрометированный APK.
Команда попросила пострадавших пользователей отправить свои данные в форму Google, добавив, что она выплатит полную компенсацию, если кража произошла по вине платформы.
По мере того, как команда будет получать актуальные сведения об атаке, она предоставит более подробную информацию о ней своим пользователям.
Пока известно, что хакер перевел большую часть средств на адрес кошелька в Binance Smart Chain (BSC). Общий ганорар злоумушленника включает 4373 $ BNB, 5,4 млн $ USDT, 196 тыс. DAI и 1233,21 ETH.
Криптофирма также принимает меры в заморозке адреса хакера и возвращении украденных средств.
У кого как, а у хакеров действительно Merry Christmas!
BitKeep — это децентрализованный кошелек DeFi web3, поддерживающий более 30 блокчейнов, 76 сетей и более 20 000 децентрализованных приложений.
Активная аудитория насчитывает более 8 миллионов пользователей в 168 странах, которые используют кошелек для управления своими криптоактивами.
Специалисты из Peckshield сообщили, что примерно 8 миллионов долларов средств пользователей BitKeep были украдены через взломанную APK-версию криптокошелька.
Команда BitKeep уже подтвердила о проблеме в своей официальной учетной записи Telegram и сообщила, что хакеры перехватили загрузку некоторых пакетов APK, что привело к потере средств для ее пользователей.
В компании добавили, что пользователи, чьи средства были украдены, загрузили неизвестную версию ее приложения.
BitKeep уточнил, что пользователи должны переводить свои средства на кошельки, загруженные из официальных источников, таких как Google Play и App Store.
BitKeep рекомендовал своим пользователям создать новые адреса кошельков, поскольку хакеры могут по-прежнему иметь доступ к адресам, созданным через скомпрометированный APK.
Команда попросила пострадавших пользователей отправить свои данные в форму Google, добавив, что она выплатит полную компенсацию, если кража произошла по вине платформы.
По мере того, как команда будет получать актуальные сведения об атаке, она предоставит более подробную информацию о ней своим пользователям.
Пока известно, что хакер перевел большую часть средств на адрес кошелька в Binance Smart Chain (BSC). Общий ганорар злоумушленника включает 4373 $ BNB, 5,4 млн $ USDT, 196 тыс. DAI и 1233,21 ETH.
Криптофирма также принимает меры в заморозке адреса хакера и возвращении украденных средств.
У кого как, а у хакеров действительно Merry Christmas!
Forwarded from SecurityLab.ru
«Ситимобил» подтвердил утечку обезличенных номеров телефонов клиентов и водителей
—После раскрытия сканов паспортов более 4 тысяч водителей опубликовали в открытом доступе почти 4 млн номеров телефонов водителей и клиентов службы такси «Ситимобил».
—В открытом доступе в Сети оказалась база из 3,9 млн уникальных номеров телефонов пассажиров и 80 тысяч — водителей службы такси «Ситимобил».
—Злоумышленники выходили на представителей компании и угрожали выложить в публичный доступ более расширенную информацию.
—Компания направила уведомление в Роскомнадзор, а также подала заявление в полицию.
https://www.securitylab.ru/news/535429.php
—После раскрытия сканов паспортов более 4 тысяч водителей опубликовали в открытом доступе почти 4 млн номеров телефонов водителей и клиентов службы такси «Ситимобил».
—В открытом доступе в Сети оказалась база из 3,9 млн уникальных номеров телефонов пассажиров и 80 тысяч — водителей службы такси «Ситимобил».
—Злоумышленники выходили на представителей компании и угрожали выложить в публичный доступ более расширенную информацию.
—Компания направила уведомление в Роскомнадзор, а также подала заявление в полицию.
https://www.securitylab.ru/news/535429.php
SecurityLab.ru
«Ситимобил» подтвердил утечку обезличенных номеров телефонов клиентов и водителей
После раскрытия сканов паспортов более 4 тысяч водителей опубликовали в открытом доступе почти 4 млн номеров телефонов водителей и клиентов службы такси «Ситимобил».
Forwarded from Russian OSINT
Какие заботливые🫡 люди в Microsoft, подрядчике
Please open Telegram to view this post
VIEW IN TELEGRAM
Тысячи серверов Citrix ADC и Gateway остаются уязвимыми для двух исправленных за последнее время серьезных уязвимостей.
Первая CVE-2022-27510 была исправлена 8 ноября и представляет собой обход аутентификации, затрагивающий оба продукта Citrix.
Злоумышленник может использовать его, чтобы получить несанкционированный доступ к устройству, выполнить захват удаленного рабочего стола или обойти защиту для входа в систему.
Вторая ошибка отслеживается как CVE-2022-27518 была раскрыта и исправлена 13 декабря. Она позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять команды на уязвимых устройствах и получать над ними контроль.
Злоумышленники уже ее активно использовали на момент, когда Citrix выпустила исправления.
Несмотря на вышедшие обновления, ресерчеры Fox NCC Group сообщают, что тысячи остаются развертываний уязвимыми для атак .
11 ноября 2022 года специалисты Fox просканировали глобальной сеть и обнаружили в сети в общей сложности 28 000 серверов Citrix.
По результатам сопоставления версий продуктов, по состоянию на 28 декабря 2022 г. они установили, что большинство пользователей используют версию 13.0–88.14, на которую не влияют баги.
Второй по популярности версией стала 12.1-65.21, которая уязвима для CVE-2022-27518 при соблюдении определенных условий, выявлена на 3500 конечных точках.
Для того, чтобы их можно было атаковать, необходима конфигурация SAML SP или IdP, а это означает, что не все 3500 систем были уязвимы для CVE-2022-27518.
Кроме того, существует более 1000 серверов, уязвимых для CVE-2022-27510, и примерно 3000 конечных точек, потенциально уязвимых для обеих критических ошибок.
Третье место заняли развертывания, которые возвращают хэши с неизвестными номерами версий Citrix. Их насчитывается более 3500 серверов, которые могут быть или не быть уязвимыми для любой уязвимости.
Что касается скорости установки исправлений, то ресерчеры отмечают оперативную реакцию пользователей США, Германии, Канады, Австралии и Швейцарии на публикацию соответствующих рекомендаций по безопасности.
В целом статистика Fox показывает, что многим компаниям еще предстоит проделать большую работу для устранения всех пробелов в безопасности, как впрочем и хакерам, у которых остается достаточно большой зазор для планирования и проведения атак.
Первая CVE-2022-27510 была исправлена 8 ноября и представляет собой обход аутентификации, затрагивающий оба продукта Citrix.
Злоумышленник может использовать его, чтобы получить несанкционированный доступ к устройству, выполнить захват удаленного рабочего стола или обойти защиту для входа в систему.
Вторая ошибка отслеживается как CVE-2022-27518 была раскрыта и исправлена 13 декабря. Она позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять команды на уязвимых устройствах и получать над ними контроль.
Злоумышленники уже ее активно использовали на момент, когда Citrix выпустила исправления.
Несмотря на вышедшие обновления, ресерчеры Fox NCC Group сообщают, что тысячи остаются развертываний уязвимыми для атак .
11 ноября 2022 года специалисты Fox просканировали глобальной сеть и обнаружили в сети в общей сложности 28 000 серверов Citrix.
По результатам сопоставления версий продуктов, по состоянию на 28 декабря 2022 г. они установили, что большинство пользователей используют версию 13.0–88.14, на которую не влияют баги.
Второй по популярности версией стала 12.1-65.21, которая уязвима для CVE-2022-27518 при соблюдении определенных условий, выявлена на 3500 конечных точках.
Для того, чтобы их можно было атаковать, необходима конфигурация SAML SP или IdP, а это означает, что не все 3500 систем были уязвимы для CVE-2022-27518.
Кроме того, существует более 1000 серверов, уязвимых для CVE-2022-27510, и примерно 3000 конечных точек, потенциально уязвимых для обеих критических ошибок.
Третье место заняли развертывания, которые возвращают хэши с неизвестными номерами версий Citrix. Их насчитывается более 3500 серверов, которые могут быть или не быть уязвимыми для любой уязвимости.
Что касается скорости установки исправлений, то ресерчеры отмечают оперативную реакцию пользователей США, Германии, Канады, Австралии и Швейцарии на публикацию соответствующих рекомендаций по безопасности.
В целом статистика Fox показывает, что многим компаниям еще предстоит проделать большую работу для устранения всех пробелов в безопасности, как впрочем и хакерам, у которых остается достаточно большой зазор для планирования и проведения атак.
BleepingComputer
Citrix urges admins to patch critical ADC, Gateway auth bypass
Citrix is urging customers to install security updates for a critical authentication bypass vulnerability in Citrix ADC and Citrix Gateway.
͏Royal Ransomware взяли на себя ответственность за кибератаку на телекоммуникационную компанию Intrado.
Как заявляет Intrado, компания предоставляет услуги примерно 82% компаний из списка Fortune 500 и реализует до 20 млрд. минут телефонной связи в год.
Intrado пока не поделилась какой-либо информацией об инциденте, однако известно, что атака началась 1 декабря, а первоначальный запрос выкупа составлял 60 млн. долларов.
Состоящие из опытных хакеров и работающая без операторов Royal также украли данные из систем Intrado, угрожая их публикацией на своем DLS, если жертва не заплатит выкуп.
Злоумышленники утверждают, что получили внутренние документы, паспорта и водительские права сотрудников со скомпрометированных устройств Intrado.
Для подтверждения своих намерений, Royal поделились архивом в 52,8 МБ со сканами паспортов, деловых документов и водительских удостоверений.
Дата первоначального вторжения совпадает со сбоем, затронувшим все службы Intrado, включая службы унифицированных коммуникаций, в том числе как услугу (UCaaS), что указывалось в отчете Intrado об инциденте от 1 декабря, вызвавшем проблемы с внутрикорпоративной сетью.
Представитель Министерства здравоохранения и социальных служб США (HHS) Сара Ловенхейм заявила на следующий день, что сбой сети Intrado был устранен, добавив, что HHS продолжает расследовать основную причину сбоя.
Однако, несмотря на то, что Intrado восстановила большинство затронутых услуг, еще неделю назад компания все еще работала над полным восстановлением услуг в области здравоохранения.
По состоянию на 21 декабря компания все еще продолжала сталкиваться с некоторыми проблемами.
При этом еще в прошлом году компания договорилась с Федеральной комиссией по связи США о выплате 1 750 000 долларов для завершения расследования проблем со звонками в службу экстренной помощи.
Видимо, придется еще договариваться для устранения новых проблем.
Как заявляет Intrado, компания предоставляет услуги примерно 82% компаний из списка Fortune 500 и реализует до 20 млрд. минут телефонной связи в год.
Intrado пока не поделилась какой-либо информацией об инциденте, однако известно, что атака началась 1 декабря, а первоначальный запрос выкупа составлял 60 млн. долларов.
Состоящие из опытных хакеров и работающая без операторов Royal также украли данные из систем Intrado, угрожая их публикацией на своем DLS, если жертва не заплатит выкуп.
Злоумышленники утверждают, что получили внутренние документы, паспорта и водительские права сотрудников со скомпрометированных устройств Intrado.
Для подтверждения своих намерений, Royal поделились архивом в 52,8 МБ со сканами паспортов, деловых документов и водительских удостоверений.
Дата первоначального вторжения совпадает со сбоем, затронувшим все службы Intrado, включая службы унифицированных коммуникаций, в том числе как услугу (UCaaS), что указывалось в отчете Intrado об инциденте от 1 декабря, вызвавшем проблемы с внутрикорпоративной сетью.
Представитель Министерства здравоохранения и социальных служб США (HHS) Сара Ловенхейм заявила на следующий день, что сбой сети Intrado был устранен, добавив, что HHS продолжает расследовать основную причину сбоя.
Однако, несмотря на то, что Intrado восстановила большинство затронутых услуг, еще неделю назад компания все еще работала над полным восстановлением услуг в области здравоохранения.
По состоянию на 21 декабря компания все еще продолжала сталкиваться с некоторыми проблемами.
При этом еще в прошлом году компания договорилась с Федеральной комиссией по связи США о выплате 1 750 000 долларов для завершения расследования проблем со звонками в службу экстренной помощи.
Видимо, придется еще договариваться для устранения новых проблем.
Лаборатория Касперского сообщает об обновлении северокорейскими хакерами BlueNoroff, входящими в Lazarus, своего арсенала и методов доставки для новой волны атак, нацеленных на банки и венчурные компании.
BlueNoroff имеет четкие финансовые мотивы и была замечена в многочисленных кибератаках, направленных на банки, криптовалютные организации и другие финансовые учреждения.
После нескольких месяцев затишья группа возобновила атаки с использованием новых вредоносных ПО, обновив методы доставки, включающие новые типы файлов, а также способы обхода защиты Microsoft Mark-of-the-Web (MotW).
Хакеры распространяют файлы iso и vhd, содержащие фейковые документы Office, что позволяет им избежать MotW, которое Windows обычно отображает, когда пользователь пытается открыть документ, загруженный с Интернета.
Опираясь на фишинг, BlueNoroff заражает целевые организации для перехвата переводов криптовалюты и кражи аккаунтов с активами.
В рамках новой кампании BlueNoroff задействовала около 70 доменов, имитирующих известные финансовые организации, с прицелом на японский сегмент. Кроме того, цели охватывали организации в ОАЭ, США и Вьетнаме. Домены использовались для фишинговых атак, направленных на сотрудников стартапов.
По словам ресерчеров Касперского, группа также взяла на вооружение новые методы для конечной полезной нагрузки, включая использование сценариев Visual Basic Script и Windows Batch, а также нового загрузчика для получения полезной нагрузки следующего этапа.
В сентябре жертва в ОАЭ была атакована вредоносным документом Office, предназначенным для подключения к удаленному серверу и загрузки полезной нагрузки ieinstal.exe, которая могла обойти защиту контроля доступа пользователей (UAC).
После заражения злоумышленник использовал бэкдор для установки дополнительных вредоносных программ с высокими привилегиями.
В другой атаке группа использовала загрузчик, который проверял систему на наличие антивирусных решений Avast, Avira, Bitdefender, Kaspersky, Microsoft, Sophos и Trend Micro для их отключения.
Кроме того, BlueNoroff использовали двоичные файлы LOLBins и различные сценарии для отображения документа-приманки и извлечения полезной нагрузки следующего этапа. Применялся также новый загрузчик исполняемого типа Windows, который создавал поддельный файл паролей и загружал полезную нагрузку.
В последнее время группа также нацелилась на бизнес, связанный с криптовалютой. Изменения в тактике и инструментарии, по мнению ресерчеров, говорит о том, что количество атак BlueNoroff в ближайшее время вряд ли уменьшится.
Организациям рекомендуется принимать меры по обучению персонала к выявлению фишинговым атак, проводению сетевого аудита, а также широкой поддержке безопасности и защиты конечных точек.
BlueNoroff имеет четкие финансовые мотивы и была замечена в многочисленных кибератаках, направленных на банки, криптовалютные организации и другие финансовые учреждения.
После нескольких месяцев затишья группа возобновила атаки с использованием новых вредоносных ПО, обновив методы доставки, включающие новые типы файлов, а также способы обхода защиты Microsoft Mark-of-the-Web (MotW).
Хакеры распространяют файлы iso и vhd, содержащие фейковые документы Office, что позволяет им избежать MotW, которое Windows обычно отображает, когда пользователь пытается открыть документ, загруженный с Интернета.
Опираясь на фишинг, BlueNoroff заражает целевые организации для перехвата переводов криптовалюты и кражи аккаунтов с активами.
В рамках новой кампании BlueNoroff задействовала около 70 доменов, имитирующих известные финансовые организации, с прицелом на японский сегмент. Кроме того, цели охватывали организации в ОАЭ, США и Вьетнаме. Домены использовались для фишинговых атак, направленных на сотрудников стартапов.
По словам ресерчеров Касперского, группа также взяла на вооружение новые методы для конечной полезной нагрузки, включая использование сценариев Visual Basic Script и Windows Batch, а также нового загрузчика для получения полезной нагрузки следующего этапа.
В сентябре жертва в ОАЭ была атакована вредоносным документом Office, предназначенным для подключения к удаленному серверу и загрузки полезной нагрузки ieinstal.exe, которая могла обойти защиту контроля доступа пользователей (UAC).
После заражения злоумышленник использовал бэкдор для установки дополнительных вредоносных программ с высокими привилегиями.
В другой атаке группа использовала загрузчик, который проверял систему на наличие антивирусных решений Avast, Avira, Bitdefender, Kaspersky, Microsoft, Sophos и Trend Micro для их отключения.
Кроме того, BlueNoroff использовали двоичные файлы LOLBins и различные сценарии для отображения документа-приманки и извлечения полезной нагрузки следующего этапа. Применялся также новый загрузчик исполняемого типа Windows, который создавал поддельный файл паролей и загружал полезную нагрузку.
В последнее время группа также нацелилась на бизнес, связанный с криптовалютой. Изменения в тактике и инструментарии, по мнению ресерчеров, говорит о том, что количество атак BlueNoroff в ближайшее время вряд ли уменьшится.
Организациям рекомендуется принимать меры по обучению персонала к выявлению фишинговым атак, проводению сетевого аудита, а также широкой поддержке безопасности и защиты конечных точек.
Securelist
BlueNoroff introduces new methods bypassing MoTW
We continue to track the BlueNoroff group’s activities and this October we observed the adoption of new malware strains in its arsenal.
Forwarded from Social Engineering
👨🏻💻 Бесплатные курсы на русском языке: Защищенные сетевые протоколы и компьютерные сети.
Материал лучше всего изучать после изучения следующего материала: https://news.1rj.ru/str/Social_engineering/1648
Защищенные сетевые протоколы:
➖ Протоколы TLS/SSL;
➖ Шифрование в TLS/SSL;
➖ Целостность данных в TLS/SSL;
➖ Инфраструктура открытых ключей в TLS/SSL;
➖ Протокол TLS;
➖ Установка соединения в TLS;
➖ Анализируем протокол TLS в Wireshark;
➖ Расшифровка TLS в WireShark;
➖ Протокол TLS 1.3;
➖ Протокол TLS 1.3 в WireShark;
➖ Протокол HTTPS;
➖ Протокол HTTPS в WireShark.
Компьютерные сети. Продвинутые темы:
➖ Протокол IPv6;
➖ Адреса IPv6;
➖ Автоматическое назначение IPv6 адресов;
➖ Протокол NDP;
➖ Протоколы маршрутизации;
➖ Протокол RIP;
➖ Протокол OSPF;
➖ Иерархическая маршрутизация;
➖ Протокол BGP;
➖ Web сокеты.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Сети
🖖🏻 Приветствую тебя user_name.
• Для изучения сетевых технологий и основ сетей, в нашем канале опубликовано огромное кол-во материала. Сегодня мы дополним этот список полезными и бесплатными курсами на русском языке, а тебе будет что посмотреть на новогодних праздниках:Материал лучше всего изучать после изучения следующего материала: https://news.1rj.ru/str/Social_engineering/1648
Защищенные сетевые протоколы:
➖ Протоколы TLS/SSL;
➖ Шифрование в TLS/SSL;
➖ Целостность данных в TLS/SSL;
➖ Инфраструктура открытых ключей в TLS/SSL;
➖ Протокол TLS;
➖ Установка соединения в TLS;
➖ Анализируем протокол TLS в Wireshark;
➖ Расшифровка TLS в WireShark;
➖ Протокол TLS 1.3;
➖ Протокол TLS 1.3 в WireShark;
➖ Протокол HTTPS;
➖ Протокол HTTPS в WireShark.
Компьютерные сети. Продвинутые темы:
➖ Протокол IPv6;
➖ Адреса IPv6;
➖ Автоматическое назначение IPv6 адресов;
➖ Протокол NDP;
➖ Протоколы маршрутизации;
➖ Протокол RIP;
➖ Протокол OSPF;
➖ Иерархическая маршрутизация;
➖ Протокол BGP;
➖ Web сокеты.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Сети
Сформировалась достаточно показательная практика по урегулированию нарушений в сфере конфиденциальности.
Facebook (признана экстремистской, *важное примечание в соответствии с требованиями Приказа ФСБ России № 547) согласилась выплатить $725 млн. для урегулирования судебного спора, в котором социальная сеть обвинялась в том, что она позволяет третьим сторонам, включая Cambridge Analytica, получать доступ к личным данным пользователей.
Несмотря на согласие выплатить крупнейшее возмещение, когда-либо достигнутое в рамках групповых исков о конфиденциальности данных, и самую большую сумму, которую Facebook когда-либо платила за урегулирование частного группового иска, компания так и не признала каких-либо правонарушений в рамках мирового соглашения.
В августе сообщалось, что Facebook достигла предварительного соглашения, хотя сумма и условия урегулирования не сообщались. Свое согласие представители аргументируют солидарностью с интересами сообщества и акционеров.
Предлагаемое мировое соглашение может быть одобрено в ближайшее время федеральным судьей в отделении Окружного суда США в Сан-Франциско.
Судебный процесс был инициирован в 2018 году, когда пользователи Facebook обвинили социальную сеть в нарушении правил конфиденциальности, поделившись своими данными с третьими лицами, в том числе с британской фирмой Cambridge Analytica.
В иске утверждается, что компания фактически предоставила анлимит-доступ к личным данным около 87 миллионов пользователей Facebook без их явного согласия.
Netflix даже целый фильм отснял «Cambridge Analytica. Скандальный взлом», рекомендуем посмотреть на досуге.
С тех пор Facebook закрыл доступ к своим данным тысячам приложений, подозреваемых в злоупотреблении ими, ограничил объем информации, доступной разработчикам, и упростил пользователям настройку ограничений на обмен личными данными.
Таким образом, в общей сложности за этот кейс Facebook лишится почти 6 млрд., из которых 5 были взысканы с компании ранее в 2019 году качестве штрафа за обман пользователей по вопросам конфиденциальности, а помимо 725 млн. истцы планируют также просить судью присудить им до 25% мирового соглашения в качестве гонораров адвокатам, что составит еще примерно 181 млн. долларов.
Facebook (признана экстремистской, *важное примечание в соответствии с требованиями Приказа ФСБ России № 547) согласилась выплатить $725 млн. для урегулирования судебного спора, в котором социальная сеть обвинялась в том, что она позволяет третьим сторонам, включая Cambridge Analytica, получать доступ к личным данным пользователей.
Несмотря на согласие выплатить крупнейшее возмещение, когда-либо достигнутое в рамках групповых исков о конфиденциальности данных, и самую большую сумму, которую Facebook когда-либо платила за урегулирование частного группового иска, компания так и не признала каких-либо правонарушений в рамках мирового соглашения.
В августе сообщалось, что Facebook достигла предварительного соглашения, хотя сумма и условия урегулирования не сообщались. Свое согласие представители аргументируют солидарностью с интересами сообщества и акционеров.
Предлагаемое мировое соглашение может быть одобрено в ближайшее время федеральным судьей в отделении Окружного суда США в Сан-Франциско.
Судебный процесс был инициирован в 2018 году, когда пользователи Facebook обвинили социальную сеть в нарушении правил конфиденциальности, поделившись своими данными с третьими лицами, в том числе с британской фирмой Cambridge Analytica.
В иске утверждается, что компания фактически предоставила анлимит-доступ к личным данным около 87 миллионов пользователей Facebook без их явного согласия.
Netflix даже целый фильм отснял «Cambridge Analytica. Скандальный взлом», рекомендуем посмотреть на досуге.
С тех пор Facebook закрыл доступ к своим данным тысячам приложений, подозреваемых в злоупотреблении ими, ограничил объем информации, доступной разработчикам, и упростил пользователям настройку ограничений на обмен личными данными.
Таким образом, в общей сложности за этот кейс Facebook лишится почти 6 млрд., из которых 5 были взысканы с компании ранее в 2019 году качестве штрафа за обман пользователей по вопросам конфиденциальности, а помимо 725 млн. истцы планируют также просить судью присудить им до 25% мирового соглашения в качестве гонораров адвокатам, что составит еще примерно 181 млн. долларов.
Крупнейшее медицинское учреждение в Лейк-Чарльзе (LCMHS), штат Луизиана подверглось атаке ransomware, в результате чего произошла утечка сведений почти о 270 тыс. пациентах.
Мемориальная система здравоохранения Лейк-Чарльз является крупнейшей некоммерческой общественной системой здравоохранения на юго-западе Луизианы.
Об инциденте LCMHS сообщил секретарю Министерства здравоохранения и социальной службе США (HHS).
Нарушение безопасности произошло еще 21 октября 2022 года, когда группа внутренней безопасности обнаружила необычную активность в своей компьютерной сети.
В организации немедленно начали расследование инцидента, в результате которого было обнаружено, что злоумышленники похитили файлы, содержащие конфиденциальные данные, такие как: полные персональные данные, физические адреса, медицинские записи, информация о медицинском страховании, платежная информация и другие не менее щепетильные сведения, а электронные медицинские карты якобы не пострадали.
По данным портала взломов организаций здравоохранения, инцидент затронул 269 752 человека.
Начиная с 23 декабря 2022 года компания отправляет уведомление об утечке данных по почте пострадавшим пациентам.
Компания предлагает лицам, чей номер социального страхования мог быть скомпрометирован, услуги кредитного мониторинга и защиты от кражи личных данных.
Технических подробностей об атаке не много, но для сведущих более ли менее все понятно, так как группа вымогателей Hive добавила LCMHS в список жертв на своем сайте утечек в Tor 15 ноября 2022 года, заявив, что атака произошла 25 октября 2022 года.
Банда также опубликовала файлы, предположительно украденные из систем LCMHS, включая контракты, ведомости материалов, медицинскую информацию, медицинские записи, сканы и многое другое.
Мемориальная система здравоохранения Лейк-Чарльз является крупнейшей некоммерческой общественной системой здравоохранения на юго-западе Луизианы.
Об инциденте LCMHS сообщил секретарю Министерства здравоохранения и социальной службе США (HHS).
Нарушение безопасности произошло еще 21 октября 2022 года, когда группа внутренней безопасности обнаружила необычную активность в своей компьютерной сети.
В организации немедленно начали расследование инцидента, в результате которого было обнаружено, что злоумышленники похитили файлы, содержащие конфиденциальные данные, такие как: полные персональные данные, физические адреса, медицинские записи, информация о медицинском страховании, платежная информация и другие не менее щепетильные сведения, а электронные медицинские карты якобы не пострадали.
По данным портала взломов организаций здравоохранения, инцидент затронул 269 752 человека.
Начиная с 23 декабря 2022 года компания отправляет уведомление об утечке данных по почте пострадавшим пациентам.
Компания предлагает лицам, чей номер социального страхования мог быть скомпрометирован, услуги кредитного мониторинга и защиты от кражи личных данных.
Технических подробностей об атаке не много, но для сведущих более ли менее все понятно, так как группа вымогателей Hive добавила LCMHS в список жертв на своем сайте утечек в Tor 15 ноября 2022 года, заявив, что атака произошла 25 октября 2022 года.
Банда также опубликовала файлы, предположительно украденные из систем LCMHS, включая контракты, ведомости материалов, медицинскую информацию, медицинские записи, сканы и многое другое.
CNN
Hackers accessed data on 270,000 patients from Louisiana hospital system in attempted ransomware attack
Hackers accessed the personal data of nearly 270,000 patients in an attempted ransomware attack on a Louisiana health care system in October, a spokesperson for the system told CNN Wednesday.
Netgear исправила серьезную уязвимость, затрагивающую Wi-Fi-маршрутизаторы, и посоветовала клиентам как можно скорее обновить ПО на своих устройствах.
Уязвимость переполнения буфера перед аутентификацией затрагивает несколько моделей маршрутизаторов Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) и Wireless AC.
Последствия успешной эксплуатации могут варьироваться от сбоев после отказа в обслуживании до RCE, если выполнение кода достигается во время атаки.
Злоумышленники могут использовать эту уязвимость в атаках низкой сложности, не требуя разрешений или взаимодействия с пользователем.
NETGEAR заявила, что не несет ответственности за какие-либо последствия, в случае отказа или несвоевременного выполнения ее рекомендации по исправлению недостатка.
Кроме того, в среду Netgear призвала клиентов также исправить и вторую уязвимость, которую можно использовать для запуска состояния отказа в обслуживании при атаках, нацеленных на ее маршрутизаторы.
Уязвимость переполнения буфера перед аутентификацией затрагивает несколько моделей маршрутизаторов Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) и Wireless AC.
Последствия успешной эксплуатации могут варьироваться от сбоев после отказа в обслуживании до RCE, если выполнение кода достигается во время атаки.
Злоумышленники могут использовать эту уязвимость в атаках низкой сложности, не требуя разрешений или взаимодействия с пользователем.
NETGEAR заявила, что не несет ответственности за какие-либо последствия, в случае отказа или несвоевременного выполнения ее рекомендации по исправлению недостатка.
Кроме того, в среду Netgear призвала клиентов также исправить и вторую уязвимость, которую можно использовать для запуска состояния отказа в обслуживании при атаках, нацеленных на ее маршрутизаторы.
NETGEAR KB
Security Advisory for Pre-Authentication Buffer Overflow on Some Routers, PSV-2019-0208
Associated CVE IDs: None First published: 12/28/2022 NETGEAR has released fixes for a pre-authentication buffer overflow security vulnerability on the following product models: RAX40 fixed in firmware version 1.0.2.60 RAX35 fixed in firmware version 1.0.2.60…
Криптоплатформа 3Commas признала киберинцидент, в результате которого были украдены ключи API.
На днях анонимный пользователь в Twitter опубликовал набор из 10 000 API-ключей, используемых 3Commas для взаимодействия с криптобиржами и для выполнения автоматических инвестиционных и торговых действий от имени пользователей.
При этом, со слов злоумышленника, общая утечка включает более 100 000 ключей API, которые будут опубликованы в ближайшие дни.
Администрация 3Commas изучила утечку и подтвердила легитимность ключей API, призывая все поддерживаемые биржи, включая Kucoin, Coinbase и Binance, отозвать все ключи.
Приступив к расследованию с 19 ноября в 3Commas предприняли шаги, чтобы лишить доступа технических сотрудников к инфраструктуре, полагая в качестве виновника инцидента - инсайдера, однако не нашла доказательств этой версии.
Пока же 3Commas особо не торопились с расследованием, многие из ее клиентов за последние несколько месяцев уже успели потерять средства в результате фиктивных сделок по их счетам.
Первые сообщения о преступных транзакциях через 3Commas поступили в октябре 2022 года и достигли максимума в последние недели. В ноябре некоторые владельцы и вовсе лишись криптоактивов на сумму около 6 000 000 долларов.
Даже после этого платформа отвергала возможность взлома, возлагаю всю ответственность за произошедшее на самих пользователей, которые могли стать жертвами фишинговых атак или использовать троянизированные приложения.
Позже 10 декабря 2022 года 3Commas опубликовала отчет о расследовании, в котором утверждалось, что им не удалось найти доказательств компрометации их систем.
На следующий день платформа опубликовала новую публикацию, в которой отклонила заявления о том, что ее сотрудники крадут пользовательские ключи API для кражи пользовательских активов.
Пользователи 3Commas, чьи отчеты о несанкционированных транзакциях были отклонены компанией, теперь требуют полного возмещения средств. Пока что 3Commas не делала никаких заявлений о возможной компенсации.
Тем не менее компания рекомендует пользователям самостоятельно перевыпустить свои ключи на всех связанных биржах и связаться со службой поддержки 3Commas для получения рекомендаций по дальнейшим действиям в каждом конкретном случае.
На днях анонимный пользователь в Twitter опубликовал набор из 10 000 API-ключей, используемых 3Commas для взаимодействия с криптобиржами и для выполнения автоматических инвестиционных и торговых действий от имени пользователей.
При этом, со слов злоумышленника, общая утечка включает более 100 000 ключей API, которые будут опубликованы в ближайшие дни.
Администрация 3Commas изучила утечку и подтвердила легитимность ключей API, призывая все поддерживаемые биржи, включая Kucoin, Coinbase и Binance, отозвать все ключи.
Приступив к расследованию с 19 ноября в 3Commas предприняли шаги, чтобы лишить доступа технических сотрудников к инфраструктуре, полагая в качестве виновника инцидента - инсайдера, однако не нашла доказательств этой версии.
Пока же 3Commas особо не торопились с расследованием, многие из ее клиентов за последние несколько месяцев уже успели потерять средства в результате фиктивных сделок по их счетам.
Первые сообщения о преступных транзакциях через 3Commas поступили в октябре 2022 года и достигли максимума в последние недели. В ноябре некоторые владельцы и вовсе лишись криптоактивов на сумму около 6 000 000 долларов.
Даже после этого платформа отвергала возможность взлома, возлагаю всю ответственность за произошедшее на самих пользователей, которые могли стать жертвами фишинговых атак или использовать троянизированные приложения.
Позже 10 декабря 2022 года 3Commas опубликовала отчет о расследовании, в котором утверждалось, что им не удалось найти доказательств компрометации их систем.
На следующий день платформа опубликовала новую публикацию, в которой отклонила заявления о том, что ее сотрудники крадут пользовательские ключи API для кражи пользовательских активов.
Пользователи 3Commas, чьи отчеты о несанкционированных транзакциях были отклонены компанией, теперь требуют полного возмещения средств. Пока что 3Commas не делала никаких заявлений о возможной компенсации.
Тем не менее компания рекомендует пользователям самостоятельно перевыпустить свои ключи на всех связанных биржах и связаться со службой поддержки 3Commas для получения рекомендаций по дальнейшим действиям в каждом конкретном случае.
X (formerly Twitter)
3Commas (@3commas_io) on X
3Commas Statement:
1) We have seen the hacker's message and can confirm that the data in the files is true. As an immediate action, we have requested that Binance, Kucoin and other supported exchanges revoke all keys that were connected to 3Commas.
1) We have seen the hacker's message and can confirm that the data in the files is true. As an immediate action, we have requested that Binance, Kucoin and other supported exchanges revoke all keys that were connected to 3Commas.
На Рождество третий по величине в Португалии порт подвергся кибератаке.
Власти Португалии не уточнили деталей. Все стало очевидно, когда Port of Lisbon оказался на DLS LockBit, которые потребовали около 1,5 млн долларов в качестве выкупа.
Play выкатились с очередной крупной атакой на цепочку поставок, взломав ИТ-провайдера из Швеции, который специализируется на морских ИТ-средах, и добавила пострадавших клиентов в качестве жертв.
Тем временем, еще одной австралийской компанией пополнился DLS Royal - Australian First Mortgage.
Вымогатели BlackByte добавили São Paulo Metropolitan Trains Company в список своих жертв, предложив удаление данных за 500 тыс. долларов.
После долгого простоя с октября Stormous вернулся с новой предполагаемой жертвой - No limit marine LLC.
Как бы не были проворны вымогатели, силовики стараются не отставать. Японская пресса сообщает, что Национальное полицейское управление в течение всего года успешно расшифровывало сети, залоченные с помощью LockBit ransomware.
Власти Португалии не уточнили деталей. Все стало очевидно, когда Port of Lisbon оказался на DLS LockBit, которые потребовали около 1,5 млн долларов в качестве выкупа.
Play выкатились с очередной крупной атакой на цепочку поставок, взломав ИТ-провайдера из Швеции, который специализируется на морских ИТ-средах, и добавила пострадавших клиентов в качестве жертв.
Тем временем, еще одной австралийской компанией пополнился DLS Royal - Australian First Mortgage.
Вымогатели BlackByte добавили São Paulo Metropolitan Trains Company в список своих жертв, предложив удаление данных за 500 тыс. долларов.
После долгого простоя с октября Stormous вернулся с новой предполагаемой жертвой - No limit marine LLC.
Как бы не были проворны вымогатели, силовики стараются не отставать. Японская пресса сообщает, что Национальное полицейское управление в течение всего года успешно расшифровывало сети, залоченные с помощью LockBit ransomware.
͏Давным-давно, кажется уже, что в совершенно другом мире, 31 декабря 2021 года, мы пожелали нашим подписчикам много всего хорошего. В первую очередь — более счастливого и продуктивного года.
Но, как говорится, хочешь посмешить Бога — расскажи ему о своих планах. Прошедший год не стал счастливее, а совсем наоборот. И можно было бы посетовать на действия руководства России, ЕС и США, на Юпитер в пятом доме и многое другое.
Мы не будем этого делать. Потому что, если честно, самые продуманные из нашей редакции уже после прошлых новогодних каникул пошли закупаться валютой. И даже успели ее выгодно продать в конце марта. И не потому, что ходили к Кассандре или гадали на кофейной гуще.
Как вы успели заметить, некоторые (возможно, что даже многие) из наших прогнозов сбываются. Причиной этого — трезвый анализ ситуации и немного здравого воображения.
Интернет начал постепенно дробиться на панрегиональные сегменты, притворная нейтральность инфосек экспертов улетела в трубу, а гражданская инфраструктура по всему миру стала легитимной целью для кибератак. В новом году это будет только усугубляться.
Все потому, что есть простая логика развития ситуации. И она не зависит от конкретных личностей или стран. На то она и логика.
Нас ждут годы, если не десятилетия, совершенно новой реальности. В которой будет все меньше праздности и все больше тяжелого труда. Самолет летит вниз не первое десятилетие. Он еще не упал, но уже вывалился из облаков и земля впереди видна все отчетливее. Мы, если что, не про Россию, а про весь современный мир.
Мы бы хотели пожелать мирного неба над головой, но его не будет в ближайшие годы у существенного количества жителей земного шара. Мы бы хотели пожелать финансового благополучия, но оно прожрано нами же за последние пару десятков лет. Мы бы хотели пожелать здоровья, но, как мы увидели в 2020 году, появляются новые грозные заболевания, а в условиях разрастающегося кризиса медицина будет для многих все более недоступной. И опять же, мы сейчас говорим не конкретно про Россию, а про всю человеческую цивилизацию.
Поэтому пожелаем терпения, стойкости, умения здраво смотреть на текущий момент и с оптимизмом в будущее. И главное — простого человеческого счастья, которое никуда от нас не денется. Потому что за 41-м всегда следует 45-й.
С Новым 2023 годом! Welcome to hell, блять!
Но, как говорится, хочешь посмешить Бога — расскажи ему о своих планах. Прошедший год не стал счастливее, а совсем наоборот. И можно было бы посетовать на действия руководства России, ЕС и США, на Юпитер в пятом доме и многое другое.
Мы не будем этого делать. Потому что, если честно, самые продуманные из нашей редакции уже после прошлых новогодних каникул пошли закупаться валютой. И даже успели ее выгодно продать в конце марта. И не потому, что ходили к Кассандре или гадали на кофейной гуще.
Как вы успели заметить, некоторые (возможно, что даже многие) из наших прогнозов сбываются. Причиной этого — трезвый анализ ситуации и немного здравого воображения.
Интернет начал постепенно дробиться на панрегиональные сегменты, притворная нейтральность инфосек экспертов улетела в трубу, а гражданская инфраструктура по всему миру стала легитимной целью для кибератак. В новом году это будет только усугубляться.
Все потому, что есть простая логика развития ситуации. И она не зависит от конкретных личностей или стран. На то она и логика.
Нас ждут годы, если не десятилетия, совершенно новой реальности. В которой будет все меньше праздности и все больше тяжелого труда. Самолет летит вниз не первое десятилетие. Он еще не упал, но уже вывалился из облаков и земля впереди видна все отчетливее. Мы, если что, не про Россию, а про весь современный мир.
Мы бы хотели пожелать мирного неба над головой, но его не будет в ближайшие годы у существенного количества жителей земного шара. Мы бы хотели пожелать финансового благополучия, но оно прожрано нами же за последние пару десятков лет. Мы бы хотели пожелать здоровья, но, как мы увидели в 2020 году, появляются новые грозные заболевания, а в условиях разрастающегося кризиса медицина будет для многих все более недоступной. И опять же, мы сейчас говорим не конкретно про Россию, а про всю человеческую цивилизацию.
Поэтому пожелаем терпения, стойкости, умения здраво смотреть на текущий момент и с оптимизмом в будущее. И главное — простого человеческого счастья, которое никуда от нас не денется. Потому что за 41-м всегда следует 45-й.
С Новым 2023 годом! Welcome to hell, блять!
Ну что же, здравствуйте в 2023!
Пора вновь браться за дело!
Год только начался, а уже произошла куча событий, которым будут посвящены наши публикации в ближайшие дни.
Прежде всего, клиентам Zoho рекомендуем исправить серьезную уязвимость в системе безопасности, затрагивающую несколько продуктов ManageEngine.
CVE-2022-47523 представляет собой уязвимость SQL-инъекции, обнаруженную в защищенном хранилище Password Manager Pro, ПО для управления привилегированным доступом PAM360 и решении для управления привилегированными сеансами Access Manager Plus.
Успешная эксплуатация предоставляет аутентифицированным злоумышленникам доступ к серверной базе данных и позволяет им выполнять пользовательские запросы для доступа к записям таблицы базы данных.
Ошибка исправлена путем добавления правильной проверки и экранирования специальных символов в обновленных версиях Password Manager Pro версии 12210, PAM360 версии 5801 и Access Manager Plus версии 4309.
Zoho рекомендует клиентам создать резервные копии своих установок Password Manager Pro, PAM360 и Access Manager Plus перед обновлением для исключения потери данных.
Учитывая серьезность этой уязвимости, клиентам настоятельно рекомендуется немедленно перейти на последнюю сборкуе названных решений.
Zoho не упомянула об использовании этой уязвимости в дикой природе, но как известно, предыдущие баги ManageEngine уже активно и неоднократно использовались в атаках.
Пора вновь браться за дело!
Год только начался, а уже произошла куча событий, которым будут посвящены наши публикации в ближайшие дни.
Прежде всего, клиентам Zoho рекомендуем исправить серьезную уязвимость в системе безопасности, затрагивающую несколько продуктов ManageEngine.
CVE-2022-47523 представляет собой уязвимость SQL-инъекции, обнаруженную в защищенном хранилище Password Manager Pro, ПО для управления привилегированным доступом PAM360 и решении для управления привилегированными сеансами Access Manager Plus.
Успешная эксплуатация предоставляет аутентифицированным злоумышленникам доступ к серверной базе данных и позволяет им выполнять пользовательские запросы для доступа к записям таблицы базы данных.
Ошибка исправлена путем добавления правильной проверки и экранирования специальных символов в обновленных версиях Password Manager Pro версии 12210, PAM360 версии 5801 и Access Manager Plus версии 4309.
Zoho рекомендует клиентам создать резервные копии своих установок Password Manager Pro, PAM360 и Access Manager Plus перед обновлением для исключения потери данных.
Учитывая серьезность этой уязвимости, клиентам настоятельно рекомендуется немедленно перейти на последнюю сборкуе названных решений.
Zoho не упомянула об использовании этой уязвимости в дикой природе, но как известно, предыдущие баги ManageEngine уже активно и неоднократно использовались в атаках.
Manageengine
SQL Injection Vulnerability - CVE-2022-47523 - ManageEngine Access Manager Plus
SQL Injection Vulnerability in ManageEngine Access Manager Plus
͏Под Новый Год под елочку поляки подложили немного инфосек клюквы.
Итак, 30 декабря на gov .pl появилась новость про российские кибератаки на информационные ресурсы Польши.
Сначала рассказали про атаку на польский сейм и фишинг с позиций поддельного сайта с целью выцыганить денег. Мы бы подумали - обыкновенно мошенство. Ан нет - "операция, направленная на распространение хаоса (sic!), подрыв польского государства, а также сбор личных данных и вымогательство денег". Кто такими страшными вещами может заниматься - совершенно ясно сразу. Русские хакеры.
Никаких ненужностей типа TTP's не требуется. А мы, грешным делом, и вспомнить из инфосек специалистов польских никого не можем, окромя Рутковской (не Яны Рудковской, пилят, а Йоанны Рутковской). Хотя может у нас память дырявая.
(У нас тут недавно из офисного туалета кто-то бумагу упер. Однозначно операция, направленная на распространение хаоса, подрыв государства, а также вымогательство туалетной бумаги!)
Ну написали и написали, казалось бы - "хрен с ним, с Семенычем" (с). Но тут поляки вспомнили про GhostWriter. А это - страшнейшая залипуха, про которую мы писали неоднократно, последний раз здесь.
Если в двух словах: сначала Mandiant сказали, что GhostWriter это операция влияния, чья - не сказали. Потом немцы сказали, что это русская APT, которая напала на Бундестаг. Потом опять Mandiant сказали, что да, за GhostWriter таки стоит Россия (но это все-таки кампания влияния, а не APT). Потом ЕС сказали, что это все-таки русская APT, которая закошмарила все госорганы ЕС и его членов. А потом опять вылезли Mandiant и сказали, что все-таки GhostWriter - это белорусы (но не APT, а кампания влияния).
И каждый раз сознательная западная инфосек общественность колебалась вместе с линией партии.
Теперь вот поляки рассказывают про GhostWriter.
Процитируем сами себя - медийная составляющая современного инфосека отличается от блядского цирка только отсутствием шапито.
Итак, 30 декабря на gov .pl появилась новость про российские кибератаки на информационные ресурсы Польши.
Сначала рассказали про атаку на польский сейм и фишинг с позиций поддельного сайта с целью выцыганить денег. Мы бы подумали - обыкновенно мошенство. Ан нет - "операция, направленная на распространение хаоса (sic!), подрыв польского государства, а также сбор личных данных и вымогательство денег". Кто такими страшными вещами может заниматься - совершенно ясно сразу. Русские хакеры.
Никаких ненужностей типа TTP's не требуется. А мы, грешным делом, и вспомнить из инфосек специалистов польских никого не можем, окромя Рутковской (не Яны Рудковской, пилят, а Йоанны Рутковской). Хотя может у нас память дырявая.
(У нас тут недавно из офисного туалета кто-то бумагу упер. Однозначно операция, направленная на распространение хаоса, подрыв государства, а также вымогательство туалетной бумаги!)
Ну написали и написали, казалось бы - "хрен с ним, с Семенычем" (с). Но тут поляки вспомнили про GhostWriter. А это - страшнейшая залипуха, про которую мы писали неоднократно, последний раз здесь.
Если в двух словах: сначала Mandiant сказали, что GhostWriter это операция влияния, чья - не сказали. Потом немцы сказали, что это русская APT, которая напала на Бундестаг. Потом опять Mandiant сказали, что да, за GhostWriter таки стоит Россия (но это все-таки кампания влияния, а не APT). Потом ЕС сказали, что это все-таки русская APT, которая закошмарила все госорганы ЕС и его членов. А потом опять вылезли Mandiant и сказали, что все-таки GhostWriter - это белорусы (но не APT, а кампания влияния).
И каждый раз сознательная западная инфосек общественность колебалась вместе с линией партии.
Теперь вот поляки рассказывают про GhostWriter.
Процитируем сами себя - медийная составляющая современного инфосека отличается от блядского цирка только отсутствием шапито.