Все уже обсуждают и мы не можем пройти мимо.
Медуза сообщила, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля.
В архиве же лежала программа для проверки факта голосования по Интернет жителей Москвы и Нижегородской области. Как всегда, защита была сделана через одно место, в результате чего архив забрутфорсили, а базу, в которой хранились хеши паспортов, расшифровали. В итоге данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Абсолютно не споря с тем, что вопросы информационной безопасности у организаторов голосования были прикрыты очень плохо, заметим, что сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют.
И уж тем более это не "персональные данные", как пишут многие ТГ-каналы.
Ну то есть это, конечно, ужас, но не ужас-ужас-ужас.
P.S. Архив, само собой, сохранился в Wayback Machine.
Медуза сообщила, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля.
В архиве же лежала программа для проверки факта голосования по Интернет жителей Москвы и Нижегородской области. Как всегда, защита была сделана через одно место, в результате чего архив забрутфорсили, а базу, в которой хранились хеши паспортов, расшифровали. В итоге данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Абсолютно не споря с тем, что вопросы информационной безопасности у организаторов голосования были прикрыты очень плохо, заметим, что сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют.
И уж тем более это не "персональные данные", как пишут многие ТГ-каналы.
Ну то есть это, конечно, ужас, но не ужас-ужас-ужас.
P.S. Архив, само собой, сохранился в Wayback Machine.
Meduza
Власти фактически выложили в открытый доступ персональные данные всех интернет-избирателей В голосовании по поправкам участвовали…
Более миллиона жителей Москвы и Нижегородской области проголосовали за поправки к Конституции или против них через интернет. «Медуза» выяснила, что паспортные данные этих избирателей лежали практически в открытом доступе. Более того, оказалось, что некоторые…
Не грози Южному Централу попивая сок у себя в квартале!
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Twitter
thaddeus e. grugq
Explanation: For years @signalapp has been adding features while retaining the core commitment to a secure communications protocol with a functioning client and no more. Now, Signal will backup your data to their computers, protected by that PIN they’ve been…
Давненько у нас ничего про ZOOM не было. И вот - очередная 0-day уязвимость.
Вчера команда 0patch Team инфосек компании ACROS Security опубликовала в своем блоге данные о выявленной уязвимости в клиенте ZOOM под Windows 7 и Windows Server 2008 R2, которая позволяет хакеру удаленно выполнить на атакуемой машине произвольный код, склонив пользователя к осуществлению определенных действий - например, к открытию документа. При этом никаких предупреждений безопасности атакованный пользователь не получает.
В подтверждение исследователи разместили в своем блоге видео с демонстрацией эксплойта выявленной ошибки.
Клиенты на Windows 8 и Windows 10 этой уязвимости не подвержены.
Пока ZOOM не устранили ошибку в своем клиенте 0patch Team выпустили бесплатный микропатч, который ее устраняет. Правда, для этого необходимо зарегистрироваться в 0patch Central и установить 0patch Agent.
Вчера команда 0patch Team инфосек компании ACROS Security опубликовала в своем блоге данные о выявленной уязвимости в клиенте ZOOM под Windows 7 и Windows Server 2008 R2, которая позволяет хакеру удаленно выполнить на атакуемой машине произвольный код, склонив пользователя к осуществлению определенных действий - например, к открытию документа. При этом никаких предупреждений безопасности атакованный пользователь не получает.
В подтверждение исследователи разместили в своем блоге видео с демонстрацией эксплойта выявленной ошибки.
Клиенты на Windows 8 и Windows 10 этой уязвимости не подвержены.
Пока ZOOM не устранили ошибку в своем клиенте 0patch Team выпустили бесплатный микропатч, который ее устраняет. Правда, для этого необходимо зарегистрироваться в 0patch Central и установить 0patch Agent.
0Patch
Remote Code Execution Vulnerability in Zoom Client for Windows (0day)
by Mitja Kolsek, the 0patch Team [Update 7/13/2020: Zoom only took one (!) day to issue a new version of Client for Windows that fixes this...
Исследователи компании Cyble, специализирующейся на расследовании деятельности операторов ransomware, сообщают, что оператор вымогателя Maze объявил об успешных атаках на ресурсы множества компаний, прибыль которых составляет от 4 до 600 млн. долларов.
Среди пострадавших - немецкий производитель микросхем и полупроводниковых приборов X-FAB Silicon Foundries, с годовой прибылью в 300 млн. долларов, а также американская компания Voxx International, специализирующаяся на производстве аудиооборудования и зарабатывающая более 450 млн. долларов в год.
Очередной повод руководителям крупных компаний задуматься о надежности своей системы информационной безопасности.
Среди пострадавших - немецкий производитель микросхем и полупроводниковых приборов X-FAB Silicon Foundries, с годовой прибылью в 300 млн. долларов, а также американская компания Voxx International, специализирующаяся на производстве аудиооборудования и зарабатывающая более 450 млн. долларов в год.
Очередной повод руководителям крупных компаний задуматься о надежности своей системы информационной безопасности.
Twitter
Cyble
**Breach Alert** #Maze #Ransomware Operators claimed to have breached multiple organizations ranging from $4 million to $600 million in revenue. Top names -: - X-FAB Silicon Foundries - Voxx International - Burton Lumber #infosec #cyber #leaks #cybersecurity
Веселая история четырехлетней давности.
В конце 2016 года некий оператор ransomware взломал и зашифровал сеть тюрьмы американского города Де-Мойн, а ее представители обратились в Секретную Службу США (USSS) с просьбой о помощи.
После этого USSS попытались подломать хакера, с целью чего выслали ему замаскированный вредонос, который должен был сообщить спецслужбе IP-адрес и другую информацию об используемой злоумышленником системе.
Взлом не удался, что было зафиксировано в соответствующем формуляре.
Вот такой вот государственный хакинг. Если нельзя, но очень хочется - то можно.
Примечательны две вещи. Во-первых, все это было задокументировано. А во-вторых, название "lavandos" контактного ящика оператора ransomware однозначно свидетельствует о том, носителем какого языка он является.
В конце 2016 года некий оператор ransomware взломал и зашифровал сеть тюрьмы американского города Де-Мойн, а ее представители обратились в Секретную Службу США (USSS) с просьбой о помощи.
После этого USSS попытались подломать хакера, с целью чего выслали ему замаскированный вредонос, который должен был сообщить спецслужбе IP-адрес и другую информацию об используемой злоумышленником системе.
Взлом не удался, что было зафиксировано в соответствующем формуляре.
Вот такой вот государственный хакинг. Если нельзя, но очень хочется - то можно.
Примечательны две вещи. Во-первых, все это было задокументировано. А во-вторых, название "lavandos" контактного ящика оператора ransomware однозначно свидетельствует о том, носителем какого языка он является.
Китайцы опять шалят!
По информации ZeroDay, исследователи Пьер Ким и Александр Торрес обнаружили семь серьезных уязвимостей в прошивке 29 моделей OLT от китайской фирмы C-Data, включая предустановленный бэкдор.
OLT (Optical line terminal) - оконечное устройство в оптоволоконной сети, которое широко используется провайдерами по всему миру.
Оказалось, что китайцы спрятали в прошивке четыре различные комбинации логин-пароль (в зависимости от модели), позволяющие подключиться к OLT через сервер Telnet и получить доступ к интерфейсу командной строки администратора. После этого хакер может использовать остальные шесть уязвимостей для расширения своего присутствия на атакованном устройстве.
Сегодня исследователи опубликовали полученные данные в отношении уязвимостей, при этом они не уведомляли C-Data, поскольку бэкдоры били намерено вшиты китайским производителем.
Также Ким и Торрес предупредили, что ряд устройств, производимых C-Data, могут продаваться под другими брендами - OptiLink, V-SOL CN, BLIY. и другие.
По информации ZeroDay, исследователи Пьер Ким и Александр Торрес обнаружили семь серьезных уязвимостей в прошивке 29 моделей OLT от китайской фирмы C-Data, включая предустановленный бэкдор.
OLT (Optical line terminal) - оконечное устройство в оптоволоконной сети, которое широко используется провайдерами по всему миру.
Оказалось, что китайцы спрятали в прошивке четыре различные комбинации логин-пароль (в зависимости от модели), позволяющие подключиться к OLT через сервер Telnet и получить доступ к интерфейсу командной строки администратора. После этого хакер может использовать остальные шесть уязвимостей для расширения своего присутствия на атакованном устройстве.
Сегодня исследователи опубликовали полученные данные в отношении уязвимостей, при этом они не уведомляли C-Data, поскольку бэкдоры били намерено вшиты китайским производителем.
Также Ким и Торрес предупредили, что ряд устройств, производимых C-Data, могут продаваться под другими брендами - OptiLink, V-SOL CN, BLIY. и другие.
ZDNET
Backdoor accounts discovered in 29 FTTH devices from Chinese vendor C-Data
The backdoor accounts grant access to a secret Telnet admin account running on the devices' external WAN interface.
Эту новость, наверняка, большинство уже увидело.
Президент США Дональд Трамп подтвердил журналисту The Washington Post Марку Тиссену, что в 2018 году санкционировал кибератаку на российское Агентство интернет-исследований, которое финансируется Евгением Пригожиным. Поводом послужила якобы имевшая место со стороны Агентства манипуляция общественным мнением в период американских выборов в 2016 году.
При этом, заметим, вмешательство не носило характер взлома, а было чисто информационным. Фактически Трамп легитимизировал принцип "не нравится, что говорит твой оппонент - взломай его".
Безотносительно нашего собственного отношения к "ольгинцам" такое признание - из ряда вон. Имеет ли теперь право Кремль открыто санкционировать кибероперации против, например, USAID, которые весьма активно работали в Рунете в первой половине 10-х годов?
На этом фоне вспоминается, к примеру, создание и передача в пользование ФБР 0-day эксплойта для ОС Tails, за который Facebook заплатила неназванной инфосек компании. При этом данные о выявленной уязвимости так и не были сообщены разработчикам ПО.
Все формальные правила, которые существовали в кибервойнах, к примеру, прятать под ковер участие спецслужб в атаках на информационные ресурсы геополитических конкурентов, на наших глазах сливаются в треш.
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов.
Президент США Дональд Трамп подтвердил журналисту The Washington Post Марку Тиссену, что в 2018 году санкционировал кибератаку на российское Агентство интернет-исследований, которое финансируется Евгением Пригожиным. Поводом послужила якобы имевшая место со стороны Агентства манипуляция общественным мнением в период американских выборов в 2016 году.
При этом, заметим, вмешательство не носило характер взлома, а было чисто информационным. Фактически Трамп легитимизировал принцип "не нравится, что говорит твой оппонент - взломай его".
Безотносительно нашего собственного отношения к "ольгинцам" такое признание - из ряда вон. Имеет ли теперь право Кремль открыто санкционировать кибероперации против, например, USAID, которые весьма активно работали в Рунете в первой половине 10-х годов?
На этом фоне вспоминается, к примеру, создание и передача в пользование ФБР 0-day эксплойта для ОС Tails, за который Facebook заплатила неназванной инфосек компании. При этом данные о выявленной уязвимости так и не были сообщены разработчикам ПО.
Все формальные правила, которые существовали в кибервойнах, к примеру, прятать под ковер участие спецслужб в атаках на информационные ресурсы геополитических конкурентов, на наших глазах сливаются в треш.
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов.
РБК
Трамп подтвердил кибератаку США на российскую «фабрику троллей»
Трамп заявил, что в 2018 году санкционировал атаку на Агентство интернет-исследований, основываясь на данных разведки о вмешательстве России в выборы. По его словам, о «манипуляциях» Москвы знал и
В конце 19 века французский театровед Жорж Польти опубликовал книгу Тридцать шесть драматических ситуаций, в которой утверждал, что существует всего 36 сюжетов, на которых основываются все драматические произведения в мире.
Это мы вспомнили к тому, что часто сюжетные повороты из реальной жизни переносятся в онлайн. Следующую новость можно охарактеризовать как "вор у вора дубинку украл".
Как сообщает ZeroDay, хакер, взявший псевдоним NightLion, взломал сервис мониторинга утечек DataViper, который управляется Винни Троя, исследователем компании Night Lion Security.
Хакер утверждает, что в течение 3 месяцев он присутствовал на серверах DataViper, в течение которых смог получить доступ к 8225 баз данных, часть из которых можно соотнести со старыми утечками, а часть - ранее неизвестных. В настоящее время NightLion продает в даркнете 50 самых крупных из украденных баз.
Night Lion Security собирает утечки данных в Интернет для последующего оказания услуг своим клиентам. И хотя в качестве основной цели указывается "получение информации об утечках данных сотрудников компаний-клиентов", зачастую такие базы используются при пробиве людей в интересах заказчика.
Пострадавшая сторона, как полагается, говорит, что на самом деле это был взлом тестового сервера и хакер продает собственные базы данных под видом украденных из DataViper.
Это мы вспомнили к тому, что часто сюжетные повороты из реальной жизни переносятся в онлайн. Следующую новость можно охарактеризовать как "вор у вора дубинку украл".
Как сообщает ZeroDay, хакер, взявший псевдоним NightLion, взломал сервис мониторинга утечек DataViper, который управляется Винни Троя, исследователем компании Night Lion Security.
Хакер утверждает, что в течение 3 месяцев он присутствовал на серверах DataViper, в течение которых смог получить доступ к 8225 баз данных, часть из которых можно соотнести со старыми утечками, а часть - ранее неизвестных. В настоящее время NightLion продает в даркнете 50 самых крупных из украденных баз.
Night Lion Security собирает утечки данных в Интернет для последующего оказания услуг своим клиентам. И хотя в качестве основной цели указывается "получение информации об утечках данных сотрудников компаний-клиентов", зачастую такие базы используются при пробиве людей в интересах заказчика.
Пострадавшая сторона, как полагается, говорит, что на самом деле это был взлом тестового сервера и хакер продает собственные базы данных под видом украденных из DataViper.
ZDNET
Hacker breaches security firm in act of revenge
Hacker claims to have stolen more than 8,200 databases from a security firm's data leak monitoring service.
Infosecurity Magazine сообщает, что за последние два года чиновники Правительства Великобритании потеряли более 300 электронных устройств (ноутбуки, плантшеты и пр.), содержащих конфиденциальные правительственные данные.
Несмотря на то, что эти устройства были зашифрованы, не вызывает сомнения, что при попадании в умелые руки часть данных может быть раскрыта.
Напомним, что в марте случилась чудесная история, когда исследователи из немецкой компании G Data приобрели на eBay за 90 евро старый защищенный лэптоп, который ранее использовали в Бундесвере.
После того, как ресерчеры смогли подобрать пароль, вяснилось, что на ноутбуке хранятся секретные документы по эксплуатации мобильной системы ПВО LeFlaSys, которая принята на вооружение в 2001 году и до сих пор стоит в строю.
Боимся предположить сколько же ноутбуков потеряли за отчетный период отечественные чиновники.
Это был пост про культуру информационной безопасности при работе с чувствительными данными.
Несмотря на то, что эти устройства были зашифрованы, не вызывает сомнения, что при попадании в умелые руки часть данных может быть раскрыта.
Напомним, что в марте случилась чудесная история, когда исследователи из немецкой компании G Data приобрели на eBay за 90 евро старый защищенный лэптоп, который ранее использовали в Бундесвере.
После того, как ресерчеры смогли подобрать пароль, вяснилось, что на ноутбуке хранятся секретные документы по эксплуатации мобильной системы ПВО LeFlaSys, которая принята на вооружение в 2001 году и до сих пор стоит в строю.
Боимся предположить сколько же ноутбуков потеряли за отчетный период отечественные чиновники.
Это был пост про культуру информационной безопасности при работе с чувствительными данными.
Infosecurity Magazine
Central Government Loses 300+ Devices Since 2018
Latest FOI request reveals a persistent problem across public sector
Обострение геополитической обстановки между Китаем и Индией влечет за собой обострение и в киберпространстве.
Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.
Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.
Что же говорят китайцы?
Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.
Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.
Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.
Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?
#APT #SideWinder
Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.
Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.
Что же говорят китайцы?
Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.
Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.
Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.
Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?
#APT #SideWinder
Правозащитная организация Amnesty International достаточно давно воюет с израильской NSO Group по поводу использования различными не вполне демократическими режимами еврейского кибершпионского ПО Pegasus. Последнее является, фактически, легитимизированным инструментом для взлома смартфонов, к примеру, через уязвимости в WhatsApp.
В Израиле правозащитники подали судебный иск в попытке заставить Министерство обороны Израиля отозвать лицензию на экспорт ПО у NSO Group (мы в душе не шарим почему эту лицензию в Израиле выдают военные, но это так).
Но, как и ожидалось, Тель-Авивский окружной суд, руководствуясь принципом "есть два вида сукиных сынов - свои и остальные", вчера в иске отказал.
Amnesty International посылает теперь в сторону израильского судебного корпуса лучи ненависти. Но ребятам не стоит так убиваться.
Ведь в США в настоящее время проходит другое судебное разбирательство - Facebook против NSO Group. А поскольку американский суд руководствуется точно тем же принципом правосудия про сукиных сынов, что и израильтяне, то шансы на выигрыш у компании Цукерберга весьма велики.
Не плачьте правозащитники, будет и на ваше улице праздник.
В Израиле правозащитники подали судебный иск в попытке заставить Министерство обороны Израиля отозвать лицензию на экспорт ПО у NSO Group (мы в душе не шарим почему эту лицензию в Израиле выдают военные, но это так).
Но, как и ожидалось, Тель-Авивский окружной суд, руководствуясь принципом "есть два вида сукиных сынов - свои и остальные", вчера в иске отказал.
Amnesty International посылает теперь в сторону израильского судебного корпуса лучи ненависти. Но ребятам не стоит так убиваться.
Ведь в США в настоящее время проходит другое судебное разбирательство - Facebook против NSO Group. А поскольку американский суд руководствуется точно тем же принципом правосудия про сукиных сынов, что и израильтяне, то шансы на выигрыш у компании Цукерберга весьма велики.
Не плачьте правозащитники, будет и на ваше улице праздник.
Amnesty International
Israel: Court rejects bid to revoke notorious spyware firm NSO Group’s export licence
An Israeli court has rejected an attempt which sought to force Israel’s Ministry of Defence to revoke the security export license of notorius spyware company NSO Group.
Согласно эксклюзивным материалам ZDNet, утечка персональных данных гостей сети отелей MGM Resorts, о которой было впервые сообщено в феврале 2020 года, оказалась гораздо масштабнее чем предполагалось ранее.
Напомним, что ранее считалось, что в результате произошедшего летом 2019 года взлома утекли сведения в отношении 10,6 млн. клиентов гостиничной сети.
В прошедшие выходные некий хакер выложил в даркнете в продажу украденную базу данных MGM Resorts, которая включает в себя информацию в отношении более чем 142 млн. гостей. Хакер утверждает, что получил базу в результате недавнего взлома сервиса DataViper компании Night Lion Security, о котором мы писали буквально вчера.
Между тем, на русскоязычных хакерских форумах циркулировала информация, что всего украдены сведения в отношении более чем 200 млн. клиентов MGM Resorts.
Напомним, что ранее считалось, что в результате произошедшего летом 2019 года взлома утекли сведения в отношении 10,6 млн. клиентов гостиничной сети.
В прошедшие выходные некий хакер выложил в даркнете в продажу украденную базу данных MGM Resorts, которая включает в себя информацию в отношении более чем 142 млн. гостей. Хакер утверждает, что получил базу в результате недавнего взлома сервиса DataViper компании Night Lion Security, о котором мы писали буквально вчера.
Между тем, на русскоязычных хакерских форумах циркулировала информация, что всего украдены сведения в отношении более чем 200 млн. клиентов MGM Resorts.
ZDNet
A hacker is selling details of 142 million MGM hotel guests on the dark web
EXCLUSIVE: The MGM Resorts 2019 data breach is much larger than initially reported.
Инфосек компания Onapsis в мае обнаружила в ряде продуктов немецкого поставщика бизнес-решений SAP уязвимость с оценкой 10 из 10 по шкале критичности.
Сегодня SAP обещает выпустить обновления своего ПО, устраняющего ошибку (на момент написания поста еще не появились), поэтому более подробная информация в ее отношении стала доступна.
Уязвимость, названная исследователями RECON, находилась в компоненте SAP NetWeaver AS и позволяла неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.
По утверждению исследователей, RECON затрагивала более 40 тысяч клиентов SAP. При этом надо понимать, что это не гаражные шиномонтажи и шинки площадью менее 20 кв.м., а очень крупные компании - в России клиентами SAP являются Северсталь, Сбербанк, ВымплеКом, Аэрофлот, Сургутнефтегаз, Теле2 и многие другие.
Информации о том, эксплуатировалась ли RECON в дикой природе, нет. Вполне возможно, что хакеры использовали уязвимость.
И это, что называется, зашквар. Дико дорогие решения SAP, которые внедряются через одно место (есть мнение, что внедрение SAP - это одна из апорий Зенона и оно не может быть осуществлено до конца никогда), теперь, как оказывается, еще и дырявые. Ребятам с Космодамианской набережной придется изрядно попотеть, чтобы восстановить репутацию.
А может быть и нет. Потому что, по версии одного из редакторов нашего канала, внедрение SAP это корпоративные понты и признак принадлежности к касте крупного бизнеса, а потому не должно обосновываться рациональными аргументами.
Сегодня SAP обещает выпустить обновления своего ПО, устраняющего ошибку (на момент написания поста еще не появились), поэтому более подробная информация в ее отношении стала доступна.
Уязвимость, названная исследователями RECON, находилась в компоненте SAP NetWeaver AS и позволяла неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.
По утверждению исследователей, RECON затрагивала более 40 тысяч клиентов SAP. При этом надо понимать, что это не гаражные шиномонтажи и шинки площадью менее 20 кв.м., а очень крупные компании - в России клиентами SAP являются Северсталь, Сбербанк, ВымплеКом, Аэрофлот, Сургутнефтегаз, Теле2 и многие другие.
Информации о том, эксплуатировалась ли RECON в дикой природе, нет. Вполне возможно, что хакеры использовали уязвимость.
И это, что называется, зашквар. Дико дорогие решения SAP, которые внедряются через одно место (есть мнение, что внедрение SAP - это одна из апорий Зенона и оно не может быть осуществлено до конца никогда), теперь, как оказывается, еще и дырявые. Ребятам с Космодамианской набережной придется изрядно попотеть, чтобы восстановить репутацию.
А может быть и нет. Потому что, по версии одного из редакторов нашего канала, внедрение SAP это корпоративные понты и признак принадлежности к касте крупного бизнеса, а потому не должно обосновываться рациональными аргументами.
BleepingComputer
Critical SAP Recon flaw exposes thousands of customers to attacks
SAP patched a critical vulnerability affecting over 40,000 customers and found in the SAP NetWeaver AS JAVA (LM Configuration Wizard) versions 7.30 to 7.50, a core component of several solutions and products deployed in most SAP environments.
Вчера мы писали, что Amnesty International не смогло добиться в израильском суде отзыва экспортной лицензии у израильской же NSO Group, производящей и продающей различным спецслужбам кибершпионское ПО Pegasus.
Сегодня пришла эксклюзивная новость от The Guardian, которая утверждает, что в прошлом году Национальный разведывательный центр Испании (CNI) с использованием ПО Pegasus атаковал смартфоны трех каталонских политиков, одним из которых является спикер регионального парламента Каталонии Роджер Торрент. При этом никаких судебных обоснований кибератак, по утверждению журналистов, не имелось.
Испанские спецслужбы использовали уязвимость в WhatsApp для того, чтобы получить полный контроль над атакуемыми устройствами, в том числе доступ ко всей содержащейся на смартфоне информации, а также иметь возможность удаленно использовать его камеру и микрофон.
Другой жертвой была бывший депутат каталонского парламента Анна Габриэль, которая в настоящее время находится в бегах в Швейцарии из-за преследования со стороны испанских властей.
Напомним, что в 2017 году в Каталонии прошел референдум, в результате которого больше 90% участников проголосовали за независимость региона от Испании. Испанские власти считают этот референдум незаконным.
Чем дальше раскручивается дело NSO Group, тем больше интересных фактов о деятельности национальных спецслужб в Интернет выплывает наружу.
Сегодня пришла эксклюзивная новость от The Guardian, которая утверждает, что в прошлом году Национальный разведывательный центр Испании (CNI) с использованием ПО Pegasus атаковал смартфоны трех каталонских политиков, одним из которых является спикер регионального парламента Каталонии Роджер Торрент. При этом никаких судебных обоснований кибератак, по утверждению журналистов, не имелось.
Испанские спецслужбы использовали уязвимость в WhatsApp для того, чтобы получить полный контроль над атакуемыми устройствами, в том числе доступ ко всей содержащейся на смартфоне информации, а также иметь возможность удаленно использовать его камеру и микрофон.
Другой жертвой была бывший депутат каталонского парламента Анна Габриэль, которая в настоящее время находится в бегах в Швейцарии из-за преследования со стороны испанских властей.
Напомним, что в 2017 году в Каталонии прошел референдум, в результате которого больше 90% участников проголосовали за независимость региона от Испании. Испанские власти считают этот референдум незаконным.
Чем дальше раскручивается дело NSO Group, тем больше интересных фактов о деятельности национальных спецслужб в Интернет выплывает наружу.
the Guardian
Phone of top Catalan politician 'targeted by government-grade spyware'
Exclusive: Guardian and El País find regional speaker was targeted in ‘possible domestic political espionage’
Китайцы продолжают шалить.
Недавно мы давали пост про обнаружение вшитых производителем бэкдоров в 29 моделях OLT (оконечные устройства в оптоволоконных сетях) от китайской фирмы C-Data.
Сегодня BleepingComputer пишет про новый бэкдор, теперь в китайском ПО.
Бэкдор, получивший название GoldenHelper, был найден исследователями компании Trustwave в программном обеспечении Golden Tax Invoicing Software, предназначенном для выставления счетов и уплаты НДС компаниями, ведущими свой бизнес в Китае.
Кампания по распространению GoldenHelper была активна в период с января 2018 по июль 2019 года (срок регистрации доменов управляющих центров истек в январе 2020), после чего в апреле 2020 была запущена другая кампания по распространению бэкдоров GoldenSpy в программном обеспечении Intelligent Tax, предназначенном для работы с китайскими банками.
Насчет авторов GoldenHelper совершенно ничего не понятно. Дело в том, что в Китае существуют два поставщика Golden Tax Invoicing Software - компании Aisino и Baiwang. Бэкдор был обнаружен в ПО от Baiwang, но подписан он цифровой подписью NouNou Technologies, дочерней компанией Aisino. Причем за распространение GoldenSpy была ответственна именно Aisino.
Если вы к этому моменту уже запутались (мы сами немного потерялись), то резюмируем - в Китае шпионят все!
Выявленный бэкдор достаточно неплохо шифруется. В качестве полезной нагрузки он должен подгружать некий файл taxver.exe. Однако исследователи не смогли найти образец этого файла и проанализировать его вредоносный функционал.
Модель действия безотказная - обязуем желающие выйти на национальный рынок фирмы устанавливать специализированное ПО, а в него вшиваем бэкдор. В смекалке и бесцеремонности китайцам не откажешь.
Недавно мы давали пост про обнаружение вшитых производителем бэкдоров в 29 моделях OLT (оконечные устройства в оптоволоконных сетях) от китайской фирмы C-Data.
Сегодня BleepingComputer пишет про новый бэкдор, теперь в китайском ПО.
Бэкдор, получивший название GoldenHelper, был найден исследователями компании Trustwave в программном обеспечении Golden Tax Invoicing Software, предназначенном для выставления счетов и уплаты НДС компаниями, ведущими свой бизнес в Китае.
Кампания по распространению GoldenHelper была активна в период с января 2018 по июль 2019 года (срок регистрации доменов управляющих центров истек в январе 2020), после чего в апреле 2020 была запущена другая кампания по распространению бэкдоров GoldenSpy в программном обеспечении Intelligent Tax, предназначенном для работы с китайскими банками.
Насчет авторов GoldenHelper совершенно ничего не понятно. Дело в том, что в Китае существуют два поставщика Golden Tax Invoicing Software - компании Aisino и Baiwang. Бэкдор был обнаружен в ПО от Baiwang, но подписан он цифровой подписью NouNou Technologies, дочерней компанией Aisino. Причем за распространение GoldenSpy была ответственна именно Aisino.
Если вы к этому моменту уже запутались (мы сами немного потерялись), то резюмируем - в Китае шпионят все!
Выявленный бэкдор достаточно неплохо шифруется. В качестве полезной нагрузки он должен подгружать некий файл taxver.exe. Однако исследователи не смогли найти образец этого файла и проанализировать его вредоносный функционал.
Модель действия безотказная - обязуем желающие выйти на национальный рынок фирмы устанавливать специализированное ПО, а в него вшиваем бэкдор. В смекалке и бесцеремонности китайцам не откажешь.
BleepingComputer
New GoldenHelper malware found in official Chinese tax software
A new backdoor dubbed GoldenHelper was discovered by Trustwave embedded within Golden Tax Invoicing Software, part of the Chinese government' Golden Tax Project and required for issuing invoices and paying value-add tax (VAT) taxes.
Совсем недавно мы вспоминали апрельский взлом сети португальского энергетического гиганта Energias de Portugal (EDP) со стороны оператора ransomware Maze.
Тогда факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли. А мы, соответственно, предположили, что раз данные не утекли, то значит утек выкуп в адрес оператора Maze в размере 10,9 млн. долларов.
Однако, оказалось все не так просто.
Добрый самаритянин написал нам сегодня, что в попытке расшифровать данные EDP привлекла Microsoft, которая не смогла добиться результата, и (не)бедные португальцы готовы были заплатить 1580 BTC.
Однако на помощь EDP пришел один небезызвестный российский инфосек вендор, руководит которым бывший муж госпожи Касперской. Компания смогла разработать дешифратор, с помощью которого португальский энергетический гигант получил свои данные обратно. Теперь, видимо, заберут обеспечение инфосека EDP под себя.
И, как всегда, у нас три вопроса.
Во-первых, что случилось с информацией EDP, которую, мы не сомневаемся, оператор Maze успел украсть. С момента взлома прошло три месяца, однако в паблике она так и не появилась. Или в них нет совершенно ничего интересного, или португальцы все-таки заплатили выкуп либо его часть.
Во-вторых, работает ли дешифратор на других взломах? Если да, то у вендора с Водного Стадиона появится большое количество новых клиентов, поскольку Maze является самой активной ransomware в обозримой части Вселенной.
И, наконец, в-третьих - какой налог на прибыль заплатит эта страшно секретная инфосек компания с полученных от португалов денег - 20% или 3%? И если второе, то купит ли после этого Евгений Валентинович себе тур на орбиту от SpaceX?
Тогда факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли. А мы, соответственно, предположили, что раз данные не утекли, то значит утек выкуп в адрес оператора Maze в размере 10,9 млн. долларов.
Однако, оказалось все не так просто.
Добрый самаритянин написал нам сегодня, что в попытке расшифровать данные EDP привлекла Microsoft, которая не смогла добиться результата, и (не)бедные португальцы готовы были заплатить 1580 BTC.
Однако на помощь EDP пришел один небезызвестный российский инфосек вендор, руководит которым бывший муж госпожи Касперской. Компания смогла разработать дешифратор, с помощью которого португальский энергетический гигант получил свои данные обратно. Теперь, видимо, заберут обеспечение инфосека EDP под себя.
И, как всегда, у нас три вопроса.
Во-первых, что случилось с информацией EDP, которую, мы не сомневаемся, оператор Maze успел украсть. С момента взлома прошло три месяца, однако в паблике она так и не появилась. Или в них нет совершенно ничего интересного, или португальцы все-таки заплатили выкуп либо его часть.
Во-вторых, работает ли дешифратор на других взломах? Если да, то у вендора с Водного Стадиона появится большое количество новых клиентов, поскольку Maze является самой активной ransomware в обозримой части Вселенной.
И, наконец, в-третьих - какой налог на прибыль заплатит эта страшно секретная инфосек компания с полученных от португалов денег - 20% или 3%? И если второе, то купит ли после этого Евгений Валентинович себе тур на орбиту от SpaceX?
Telegram
SecAtor
Новости об очередных инцидентах с ransomware появляются так часто, что уже не в первый раз нам приходится объединять их в блок.
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие…
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие…
Вчера уже практически в ночи Microsoft выпустили июльский Security Update, в котором, в числе прочего, исправили уязвимость CVE-2020-1350 в Windows Server, которая была актуальная в течение 17 (!) лет.
CVE-2020-1350 выявлена исследователями израильского инфосек вендора CheckPoint в апреле, в мае технические детали были переданы в Microsoft, а в начале июля последние признали, что уязвимость оценивается в 10 из 10 с точки зрения критичности.
Ошибка скрывалась в механизме обработки больших DNS-запросов, благодаря ее использованию хакер мог добиться удаленного выполнения кода, в результате чего взять атакованный сервер под контроль.
Как часто бывает в таких случаях, исследователи и Microsoft заявляют, что данных об использовании CVE-2020-1350 в дикой природе нет, но весьма вероятно, что за 17 лет существования уязвимости ее кто-нибудь нашел и воспользовался.
Как всегда, всех, кого этот вопрос касается, призываем пропатчится.
CVE-2020-1350 выявлена исследователями израильского инфосек вендора CheckPoint в апреле, в мае технические детали были переданы в Microsoft, а в начале июля последние признали, что уязвимость оценивается в 10 из 10 с точки зрения критичности.
Ошибка скрывалась в механизме обработки больших DNS-запросов, благодаря ее использованию хакер мог добиться удаленного выполнения кода, в результате чего взять атакованный сервер под контроль.
Как часто бывает в таких случаях, исследователи и Microsoft заявляют, что данных об использовании CVE-2020-1350 в дикой природе нет, но весьма вероятно, что за 17 лет существования уязвимости ее кто-нибудь нашел и воспользовался.
Как всегда, всех, кого этот вопрос касается, призываем пропатчится.