Специалисты Check Point Research обнаружили множественные уязвимости в реализации протокола RDP в популярном приложении Apache Guacamole, используемом системными администраторами для удаленного доступа и управления Windows- и Linux-машинами. С их помощью злоумышленники могут получить полный контроль над сервером Guacamole, перехватывать и контролировать все остальные подключенные сеансы. По...

Операторы вымогательского ПО REvil выставили на web-аукцион в даркнете конфиденциальные данные, похищенные у юридической фирмы Grubman Shire Meiselas & Sacks. Стартовая цена составляет $600 тыс. за каждый из трех лотов данных, принадлежащих поп-звездам Мэрайе Кэри и Ники Минаж, а также баскетболисту Леброну Джеймсу. Каждый лот можно выкупить вне очереди за сумму в размере $1,5 млн в криптовалюте...

В рамках одного из крупнейших исследований, посвященного повторному использованию паролей, специалист Ата Хакчил провел анализ более одного миллиарда утекших учетных данных и обнаружил, что каждый 142-й пароль является распространенным «123456». По словам турецкого студента, среди более 1 млрд данных он обнаружил только 168 919 919 уникальных паролей, из которых «123456» встречался около 7 млн...

Эксперт Positive Technologies Михаил Ключников выявил критически опасную уязвимость в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP, который применяют крупнейшие компании мира. Использовав эту ошибку, злоумышленник мог получить возможность выполнения команд от лица неавторизованного пользователя и полностью скомпрометировать систему, например перехватить трафик...

Неизвестный киберпреступник получил несанкционированный доступ к 29 тыс. баз данных MongoDB, доступных через интернет без какого-либо пароля, и оставил в них записку с требованием выкупа. 29 тыс. – это 47% от всех подключенных к Сети установок MongoDB. С помощью скрипта автоматизации злоумышленник находит в интернете незащищенные базы данных, стирает их контент и оставляет записку с требованием...

Активисты движения Anonymous обвинили популярный китайский сервис TikTok в массовой слежке за пользователями и передаче данных властям Китая. Участники Anonymous призвали пользователей удалить данное «шпионское ПО», поскольку передача пользовательских данных китайским властям может иметь последствия для каждого. «Скажем так, каждый подписанный на нас пользователь Twitter может поставить лайк...

В первом квартале 2020 года число предложений о продаже доступов в корпоративные сети компаний в дарквебе на 69% превысило показатели предыдущего квартала ( https://bit.ly/access-for-sale-2020) . При этом результаты внешних тестирований на проникновение ( https://bit.ly/external-pentests-PT-2020 ) подтверждают, что получить доступ к ресурсам локальной сети можно в 93% организаций и для этого...

Компания Google поделилась подробностями о борьбе с проблемами памяти в Android 11, а также о других улучшениях безопасности, которые появятся в следующей версии ОС. Одно из главных улучшений в новой версии операционной системы связано с инициализацией памяти, которая, как ожидается, устранит целый класс уязвимостей в C/C ++ — проблемы неинициализированной памяти. Подобные уязвимости обычно...

Программный инженер и разработчик Джефф Джонсон (Jeff Johnson) раскрыл подробности об уязвимостях в macOS, позволяющих обходить механизм защиты конфиденциальности. Джонсон уведомил Apple о проблемах более полугода назад, и поскольку компания так и не исправила их, решил сообщить о них широкой общественности. Уязвимости затрагивают систему защиты конфиденциальности TCC (Transparency, Consent, and...

Сотрудники Департамента киберполиции Национальной полиции Украины пресекли незаконную деятельность 17-летнего жителя города Черновцы (Украина), взламывавшего автоматизированные системы международных компаний, занимающихся электронной коммерцией. По данным следствия, с помощью вредоносного ПО подросток завладел пользовательскими конфиденциальными данными, которые продавал на киберпреступном...

Компания Apple призвала разработчиков приложений для iOS и macOS отдавать предпочтение новым web-технологиям. В ходе короткой презентации на проходившей 22-26 июня конференции WWDC 2020 представители Apple раскрыли некоторые внутренние статистические данные с целью убедить разработчиков использовать такие новые технологии и протоколы, как IPv6, HTTP/2, TLS 1.3 и Multipatch TCP. Как сообщил...

Компания Facebook сообщила об инциденте, связанном с нарушением конфиденциальности пользователей соцсети. По словам представителей компании, около 5 тыс. разработчиков программ продолжали получать пользовательские данные даже после истечения срока доступа приложений к информации. Проблема связана с контролем безопасности, который Facebook добавила в свои системы после скандала с Cambridge...

Компания Microsoft выпустила внеплановые обновления безопасности, исправляющие две опасные уязвимости в библиотеке Windows Codecs Library, позволяющие удаленно выполнить код. Уязвимости, получившие идентификаторы CVE-2020-1457 и CVE-2020-1425 , затрагивают только версии Windows 10 и Windows Server 2019: Как пояснил производитель, проблемы связаны с тем, как Windows Codecs Library обрабатывает...

На одном из хакерских форумов выставлены на продажу похищенные базы данных, содержащие записи пользователей 14 различных компаний, которые предположительно были взломаны киберпреступниками в 2020 году. Как сообщил продавец изданию BleepingComputer, стоимость баз данных может варьироваться от $100 до $1100. Каждая из четырнадцати продаваемых баз данных содержит различную информацию пользователей...

C 29 июня в силу вступило решение властей США об ужесточении экспортных ограничений в отношении России, Китай и Венесуэлу. Как сообщается в документе Бюро промышленности и безопасности Министерства торговли США, отвечающего за экспортный контроль, поставки определенных товаров, включая полупроводники и компьютерные системы, даже для гражданских потребителей будут нуждаться в лицензии. Новое...

На мероприятии вы узнаете, как SGRC-системы помогают выстроить процессы информационной безопасности, консолидировать данные и стать, своего рода, единой точкой контроля ИБ всей компании. Эксперты «Инфосистемы Джет» обсудят с представителями Росбанка, какие цели перед собой ставила ИБ-служба банка перед внедрением SGRC-системы, какие требования предъявляла к внедряемому решению и как обосновывала...

В текущем месяце компания Google удалила из Play Store 25 Android-приложений, похищавших учетные данные пользователей Facebook. На момент удаления приложения были в общей сложности скачаны 2,34 млн раз. Создателем всех 25 приложений является одна и та же киберпреступная группировка. Несмотря на то, что программы предлагали пользователям разные функции, на самом деле работали они одинаково....

Министерство электроники и информационных технологий Индии запретило использовать на территории страны TikTok, WeChat и другие китайские приложения, поскольку они используются в деятельности, наносящей «ущерб суверенитету и целостности Индии». В общей сложности под запрет попали 59 приложений. Индия – большой рынок для сервиса TikTok, принадлежащего китайской компании ByteDance. По данным...

Исследователи безопасности Талал Хай Бакри (Talal Haj Bakry) и Томми Миск (Tommy Mysk) обнаружили нарушения конфиденциальности со стороны 53 приложений для iOS, в том числе социальной сети TikTok. Нарушение конфиденциальности проявляется в том, что приложения многократно читают любой текст в буфере обмена, который компьютеры и другие устройства используют для хранения данных. По словам экспертов,...

Специалисты компании IBM X-Force раскрыли подробности о трех уязвимостях в популярных ретрансляторах Wi-Fi сигнала Tenda PA6 Wi-Fi Powerline. Проблемы затрагивают версию продукта 1.0.1.21. CVE-2019-16213: Уязвимость внедрения команд в web-сервере, использующемся в ретрансляторе. По шкале опасности CVSS уязвимость получила 8,8 балла из максимальных 10. Проблема связана с тем, что в разделе...