#news По API Trello прошлись скрапером и вытащили данные 15 миллионов пользователей. Почтовые ящики, юзернеймы, имена и другая информация с аккаунтов. База выставлена на продажу на хакерском форуме.
Trello сначала заявила, что у них ничего не произошло и неавторизованного доступа не было. Сам же злоумышленник сообщил, что использовал уязвимый эндпоинт API Trello под скрапинг данных. API был публично доступен, товарищ скормил ему лист из 500 миллионов ящиков и вытащил привязанные к аккаунтам. А ограничение по доступу к API по айпишнику обошёл с помощью прокси. Компания позже подтвердила злоупотребление их API и сообщила, что теперь обращаться к нему могут только зарегистрированные юзеры. В общем, очередной абьюз API по аналогии с Твиттером пару лет назад. Утечка уже добавлена на Have I Been Pwned, можно искать свою почту с Trello в базе.
_______
Источник | #tomhunter
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Trello сначала заявила, что у них ничего не произошло и неавторизованного доступа не было. Сам же злоумышленник сообщил, что использовал уязвимый эндпоинт API Trello под скрапинг данных. API был публично доступен, товарищ скормил ему лист из 500 миллионов ящиков и вытащил привязанные к аккаунтам. А ограничение по доступу к API по айпишнику обошёл с помощью прокси. Компания позже подтвердила злоупотребление их API и сообщила, что теперь обращаться к нему могут только зарегистрированные юзеры. В общем, очередной абьюз API по аналогии с Твиттером пару лет назад. Утечка уже добавлена на Have I Been Pwned, можно искать свою почту с Trello в базе.
_______
Источник | #tomhunter
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Пока у нас Денис всему миру рассказывает про смешные дырки в OpenAI, в Майкрософте трагедия: один из инженеров нашел дырку в DALL-E, которая позволяет заставить систему рисовать, ну, по сути порно. Он зарепортил эту проблему в Майкрософте, потом в OpenAi, потом решил, что время пришло, и опубликовал про это пост в LinkedIn. За что получил нагоняй от HR и приказ удалить пост.
А жаль, мы бы сейчас все порисовали в Дали, я уверен :)
www.geekwire.com
_______
Источник | #addmeto
____________________________
Вот и новый вид технического спорта (или шоу — хотя, в сущности, это одно и то же) на подходе. Про джет-паки, мощные турбины, закрепляемые на руках пилота, пишут давно, есть впечатляющие видео полетов и, например, посадки на палубу корабля. Военные тоже интерес проявляли и даже как-то на параде показали.
Но вот, наконец, объявлено, что в Дубае 28 февраля пройдут первые соревнования - гонка с препятствиями на джет-паках. Объявила об этом компания Gravity Industries, которая не первый год такие устройства выпускает и даже умудряется их продавать по цене около полмиллиона долларов. Пока всего восемь пилотов заявлены участвовать, но, возможно, эта штука наберет популярность. Ждать осталось меньше месяца, точно хочу видео с этого мероприятия!
https://newatlas.com/aircraft/jet-suit-race/
_______
Источник | #techsparks
__________________________
Штош, год назад они кричали что ничего страшного в закрытии исходников RHEL они не видят, а теперь, оказывается, что они "unable to produce packages for Red Hat Enterprise Linux for legal reasons".
Тут можно возразить что это всего лишь CentOS SIG, это где-то там с боку и далеко не всем надо, но как гласит народная мудрость: курочка по зёрнышку, а весь двор засран.
P.S. Из CentOS Hyperscale SIG, кстати, доложили тоже самое: new kernel is now based on upstream Fedora release kernel rather than the CentOS/RHEL kernel tree. Этак у нас скоро Zver-DVD с правильными ядрами появится.
blog.centos.org
_______
Источник | #linkmeup_podcast
______________________________
#news Инфобез уровня Mercedes-Benz: сотрудник компании оставил в публичном репозитории личный ключ разработчика. Где он и пролежал на протяжение четырёх месяцев, открывая доступ ко всей внутренней кухне автогиганта.
Токен случайно обнаружили безопасники из RedHunt Labs во время рутинного мониторинга. Ключ давал доступ к закрытым репозиториям компании с внутренними архивами, чертежами, дизайн-документами, API и прочим-прочим. Включая ключи к репам с исходниками, вёдрам Azure и AWS и базе Postgres. В общем, полный набор. Пока неясно, получал ли кто-либо доступ ко всей этой сокровищнице, открытой с сентября прошлого года. Представители Mercedes-Benz отказываются раскрывать, ведут ли они мониторинг, чтобы отслеживать несанкционированный доступ. Почему? А из соображений… информационной безопасности. Что сказать, вовремя вспомнили.
_______
Источник | #tomhunter
_______________________________
Euractiv пишет, что большинство европейских водителей, покупающих подержанные автомобили, отказываются от подержанных электромобилей в пользу их аналогов с двигателем внутреннего сгорания. Например, В Германии БУ электромобили составляют лишь 1.58% от общего числа регистраций новых владельцев. По данным итальянских и испанских ассоциаций, этот показатель составляет менее 1%, хотя доля электромобилей на авто рынке Европы в прошлом году превысила 15%. То есть на вторичке электромобили почти никому не нужны даже в климаторианском угаре. Видимо, людей отрезвляет мысль о расходах на ремонт электромобилей, а покупатели новых авто об амортизации особо не задумываются. #аналитика
_______
Источник | #groks
@F_S_C_P
-------
поддержи канал
-------
А жаль, мы бы сейчас все порисовали в Дали, я уверен :)
www.geekwire.com
_______
Источник | #addmeto
____________________________
Вот и новый вид технического спорта (или шоу — хотя, в сущности, это одно и то же) на подходе. Про джет-паки, мощные турбины, закрепляемые на руках пилота, пишут давно, есть впечатляющие видео полетов и, например, посадки на палубу корабля. Военные тоже интерес проявляли и даже как-то на параде показали.
Но вот, наконец, объявлено, что в Дубае 28 февраля пройдут первые соревнования - гонка с препятствиями на джет-паках. Объявила об этом компания Gravity Industries, которая не первый год такие устройства выпускает и даже умудряется их продавать по цене около полмиллиона долларов. Пока всего восемь пилотов заявлены участвовать, но, возможно, эта штука наберет популярность. Ждать осталось меньше месяца, точно хочу видео с этого мероприятия!
https://newatlas.com/aircraft/jet-suit-race/
_______
Источник | #techsparks
__________________________
Штош, год назад они кричали что ничего страшного в закрытии исходников RHEL они не видят, а теперь, оказывается, что они "unable to produce packages for Red Hat Enterprise Linux for legal reasons".
Тут можно возразить что это всего лишь CentOS SIG, это где-то там с боку и далеко не всем надо, но как гласит народная мудрость: курочка по зёрнышку, а весь двор засран.
P.S. Из CentOS Hyperscale SIG, кстати, доложили тоже самое: new kernel is now based on upstream Fedora release kernel rather than the CentOS/RHEL kernel tree. Этак у нас скоро Zver-DVD с правильными ядрами появится.
blog.centos.org
_______
Источник | #linkmeup_podcast
______________________________
#news Инфобез уровня Mercedes-Benz: сотрудник компании оставил в публичном репозитории личный ключ разработчика. Где он и пролежал на протяжение четырёх месяцев, открывая доступ ко всей внутренней кухне автогиганта.
Токен случайно обнаружили безопасники из RedHunt Labs во время рутинного мониторинга. Ключ давал доступ к закрытым репозиториям компании с внутренними архивами, чертежами, дизайн-документами, API и прочим-прочим. Включая ключи к репам с исходниками, вёдрам Azure и AWS и базе Postgres. В общем, полный набор. Пока неясно, получал ли кто-либо доступ ко всей этой сокровищнице, открытой с сентября прошлого года. Представители Mercedes-Benz отказываются раскрывать, ведут ли они мониторинг, чтобы отслеживать несанкционированный доступ. Почему? А из соображений… информационной безопасности. Что сказать, вовремя вспомнили.
_______
Источник | #tomhunter
_______________________________
Euractiv пишет, что большинство европейских водителей, покупающих подержанные автомобили, отказываются от подержанных электромобилей в пользу их аналогов с двигателем внутреннего сгорания. Например, В Германии БУ электромобили составляют лишь 1.58% от общего числа регистраций новых владельцев. По данным итальянских и испанских ассоциаций, этот показатель составляет менее 1%, хотя доля электромобилей на авто рынке Европы в прошлом году превысила 15%. То есть на вторичке электромобили почти никому не нужны даже в климаторианском угаре. Видимо, людей отрезвляет мысль о расходах на ремонт электромобилей, а покупатели новых авто об амортизации особо не задумываются. #аналитика
_______
Источник | #groks
@F_S_C_P
-------
поддержи канал
-------
GeekWire
Microsoft AI engineer says company thwarted attempt to expose DALL-E 3 safety problems
GeekWire File Photo This post has been updated with Microsoft and OpenAI comments, and additional context from Microsoft engineer Shane Jones in response
#news У нас редкий зверь: утечка из-за великого китайского файерволла. А именно, из топовой инфобез-фирмы i-SOON в Шанхае. Судя по всему, от недовольного сотрудника. В сливе на Гитхабе больше пятисот документов, позволяющих подглядеть внутреннюю кухню компании.
Помимо повседневного из переписок сотрудников с жалобами на переработки и низкие зарплаты, есть и довольно занятная информация. О госконтрактах на шпионаж, которые Китай скармливает частным ИБ-фирмам. Так, один из адресов в переписке связан с доменом, светившимся в кампании по Тибету в 2019-м, а безопасников из i-SOON тогда обозначили как APT-группировку Poison Carp. Случаются у i-SOON и конфузы. Так, один сотрудник рапортует об успешном взломе тайского вуза. А начальник присылает ему скриншот, в котором этого университета в списках на взлом нет. В общем, материал любопытный. Утечки такого плана из Цифровой Поднебесной — раритетная вещь.
_______
Источник | #tomhunter
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Помимо повседневного из переписок сотрудников с жалобами на переработки и низкие зарплаты, есть и довольно занятная информация. О госконтрактах на шпионаж, которые Китай скармливает частным ИБ-фирмам. Так, один из адресов в переписке связан с доменом, светившимся в кампании по Тибету в 2019-м, а безопасников из i-SOON тогда обозначили как APT-группировку Poison Carp. Случаются у i-SOON и конфузы. Так, один сотрудник рапортует об успешном взломе тайского вуза. А начальник присылает ему скриншот, в котором этого университета в списках на взлом нет. В общем, материал любопытный. Утечки такого плана из Цифровой Поднебесной — раритетная вещь.
_______
Источник | #tomhunter
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
https://t.iss.one/dcntr/2376
У пользователей Telegram восстановились удаленные переписки
После сбоя в работе мессенджера во вторник у некоторых россиян, которые чистили свои чаты, вновь появились удаленные ранее сообщения. Об этом рассказали пользователи в соцсетях.
Появляются такие сообщения постепенно. В некоторых чатах, которые неоднократно очищались, восстановилась переписка более чем за восемь лет. Есть ли связь между сбоем во вторник, или же сообщения восстанавливаются из кэша устройств пользователей, пока неизвестно.
После произошедшего масштабного сбоя два депутата из IT-комитета Госдумы заявили, что он был связан с действиями Роскомнадзора и «работой спецслужб в преддверии президентских выборов». Роскомнадзор эти сообщения не комментировал.
_______
Источник | #news_sirena
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
У пользователей Telegram восстановились удаленные переписки
После сбоя в работе мессенджера во вторник у некоторых россиян, которые чистили свои чаты, вновь появились удаленные ранее сообщения. Об этом рассказали пользователи в соцсетях.
Появляются такие сообщения постепенно. В некоторых чатах, которые неоднократно очищались, восстановилась переписка более чем за восемь лет. Есть ли связь между сбоем во вторник, или же сообщения восстанавливаются из кэша устройств пользователей, пока неизвестно.
После произошедшего масштабного сбоя два депутата из IT-комитета Госдумы заявили, что он был связан с действиями Роскомнадзора и «работой спецслужб в преддверии президентских выборов». Роскомнадзор эти сообщения не комментировал.
_______
Источник | #news_sirena
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Telegram
Decentralize!
Кто вообще сказал, что это самый безопасный и приватный мессенджер? Дуров?
Он регистрируется по номеру телефона - какая тут приватность и безопасность?
Он регистрируется по номеру телефона - какая тут приватность и безопасность?
#news В копилку интересных взломов. Владельцы 3D-принтеров Anycubic получили на свои устройства файл с предупреждением об уязвимости. Согласно тексту, в API MQTT-сервиса принтеров критическая уязвимость, позволяющая их перехватить с любыми валидными данными доступа. Видимо, MQTT-сервер неверно настроен.
Автор доверительно сообщает, что файл безвредный, но принтеры лучше отключить от сети во избежание чего-то серьёзнее, так как доступ есть ко всем подключённым к облаку. И просит Anycubic опенсорснуть код, а то с софтом у них не очень. Сумрачный китайский гений-производитель по традиции на письма обеспокоенных юзеров не отвечает, а те пишут о критических уязвимостях, катастрофических последствиях и готовности опубликовать свои репы и инструменты. Что ж, последнее предупреждение на принтеры ушло, следом могут отправить .gcode на печать дилдо до самого конца катушки. Впрочем, таким не каждого любителя 3D-печати удивишь.
_______
Источник | #tomhunter
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Автор доверительно сообщает, что файл безвредный, но принтеры лучше отключить от сети во избежание чего-то серьёзнее, так как доступ есть ко всем подключённым к облаку. И просит Anycubic опенсорснуть код, а то с софтом у них не очень. Сумрачный китайский гений-производитель по традиции на письма обеспокоенных юзеров не отвечает, а те пишут о критических уязвимостях, катастрофических последствиях и готовности опубликовать свои репы и инструменты. Что ж, последнее предупреждение на принтеры ушло, следом могут отправить .gcode на печать дилдо до самого конца катушки. Впрочем, таким не каждого любителя 3D-печати удивишь.
_______
Источник | #tomhunter
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
BleepingComputer
Anycubic 3D printers hacked worldwide to expose security flaw
According to a wave of online reports from Anycubic customers, someone hacked their 3D printers to warn that the devices are exposed to attacks.
#news К вопросу чести среди воров и громких экзит-скамов. Один наркомаркет в даркнете на днях провернул последний, и пользователи платформы лишились миллионов долларов на счетах. Но на этом владельцы не остановились и выдали ещё один неприятный сюрприз. Вкратце, «У нас ваши сообщения, транзакции и история заказов, с вас $100-20,000, или сольём всё органам. Да, это вымогательство!»
Маркет обещает опубликовать историю 557 тысяч заказов и 862 тысяч транзакций к концу мая. А до тех пор покупатели могут нервно потеть и трястись, глядя на список продавцов, выплативших выкуп. Отдельно за мелкий прайс самим юзерам вскоре предложат удалить свои данные из базы. В общем, наркомаркет знакомится с методами рансомварь-сцены, такой вот нечестивый союз. Иронии происходящему добавляет название платформы. Incognito. Ну и кто теперь инкогнито, маленький любитель мефедрона?
_______
Источник | #tomhunter
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Маркет обещает опубликовать историю 557 тысяч заказов и 862 тысяч транзакций к концу мая. А до тех пор покупатели могут нервно потеть и трястись, глядя на список продавцов, выплативших выкуп. Отдельно за мелкий прайс самим юзерам вскоре предложат удалить свои данные из базы. В общем, наркомаркет знакомится с методами рансомварь-сцены, такой вот нечестивый союз. Иронии происходящему добавляет название платформы. Incognito. Ну и кто теперь инкогнито, маленький любитель мефедрона?
_______
Источник | #tomhunter
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
#news ЦРУ анонсировало новую стратегию по работе с информацией из открытых источников. Иными словами, американская разведка официально признала растущую важность OSINT’a. И теперь у красноглазых аутистов, по тени от веток дерева и столбу на горизонте определяющих ход боевых действий с точностью до градуса, появится возможность делать это прямиком из Лэнгли.
В анонсе в основном общие слова про улучшение обмена информацией, совершенствование инструментов, развитие инноваций и инвестиции в кадры. Отдельно упомянуты потенциал ИИ-моделей и риски, связанные с достоверностью данных. Тебя, дорогой читатель, в ЦРУ, конечно, не возьмут. Но автором популярного OSINT-канала в Телеграме стать есть все шансы. Для знакомства с увлекательной кроличьей норой разведки по открытым источникам можно почитать наши статьи на Хабре, раз, два и три.
_______
Источник | #tomhunter
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
В анонсе в основном общие слова про улучшение обмена информацией, совершенствование инструментов, развитие инноваций и инвестиции в кадры. Отдельно упомянуты потенциал ИИ-моделей и риски, связанные с достоверностью данных. Тебя, дорогой читатель, в ЦРУ, конечно, не возьмут. Но автором популярного OSINT-канала в Телеграме стать есть все шансы. Для знакомства с увлекательной кроличьей норой разведки по открытым источникам можно почитать наши статьи на Хабре, раз, два и три.
_______
Источник | #tomhunter
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
#news По следам раскрытия уязвимости в TeamCity производитель и ИБ-фирма продолжают перекидываться обвинениями. На одной стороне JetBrains, утверждающая, что всё делала по нормам раскрытия уязвимостей. На другой, Rapid7, стучащая по своей табличке «Rapid7 следует своей политике раскрытия».
Напомню, политика у них звучит как: «Если мы поймаем вас за тихим выкатыванием патчей, мы сольём всё, что у нас есть по уязвимости». Так и произошло. Безопасники опубликовали инфу по CVE вместе с проверкой концепции для скрипт-кидди. И уже через несколько часов пошли рансомварь-атаки по пользователям TeamCity. Крайними, как обычно, оказались админы, которые мирно спали, пока JetBrains с Rapid7 не смогли договориться о координированном раскрытии. И теперь, чертыхаясь, достают свои сервера из чьих-то ботнетов, а кто и бэкапы зашифрованных файлов. В общем, хороший пример того, почему ИБ-сообщество работает в порядке сотрудничества на максималках. Иначе получается полный бардак.
_______
Источник | #tomhunter | #хроникицифровизации
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Напомню, политика у них звучит как: «Если мы поймаем вас за тихим выкатыванием патчей, мы сольём всё, что у нас есть по уязвимости». Так и произошло. Безопасники опубликовали инфу по CVE вместе с проверкой концепции для скрипт-кидди. И уже через несколько часов пошли рансомварь-атаки по пользователям TeamCity. Крайними, как обычно, оказались админы, которые мирно спали, пока JetBrains с Rapid7 не смогли договориться о координированном раскрытии. И теперь, чертыхаясь, достают свои сервера из чьих-то ботнетов, а кто и бэкапы зашифрованных файлов. В общем, хороший пример того, почему ИБ-сообщество работает в порядке сотрудничества на максималках. Иначе получается полный бардак.
_______
Источник | #tomhunter | #хроникицифровизации
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
The Register
JetBrains is still mad at Rapid7 for the ransomware attacks on its customers
War of words wages on between vendors divided
#news В штате Айова, США, раскрыли один из самых масштабных случаев кражи личности в современной истории. Сисадмин Мэтью Кираннс 33 года выдавал себя за другого человека. С 1990-го года он жил по поддельным документам на имя знакомого, Уильяма Вудса.
Более того, реальный Вудс, обнаруживший $130 тысяч долга на своё имя в 2019-м, был сам обвинён в краже собственной личности. Кираннс убедил банк и полицию, что он и есть Вудс, и того посадили. Он провёл почти полтора года в тюрьме и полгода в психлечебнице, а суд постановил, что он должен жить под своим «настоящим» именем Мэтью Кираннс. В 2023-м больница, в которой последний работал сисадмином, наняла частного детектива, и после теста ДНК Вудса ему удалось доказать, что личность крал совсем не он. Кираннсу же грозит до 32 лет тюрьмы и $1,25 миллиона штрафа. В общем, совершенно дикая история, по которой можно сценарии писать.
_______
Источник | #tomhunter
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Более того, реальный Вудс, обнаруживший $130 тысяч долга на своё имя в 2019-м, был сам обвинён в краже собственной личности. Кираннс убедил банк и полицию, что он и есть Вудс, и того посадили. Он провёл почти полтора года в тюрьме и полгода в психлечебнице, а суд постановил, что он должен жить под своим «настоящим» именем Мэтью Кираннс. В 2023-м больница, в которой последний работал сисадмином, наняла частного детектива, и после теста ДНК Вудса ему удалось доказать, что личность крал совсем не он. Кираннсу же грозит до 32 лет тюрьмы и $1,25 миллиона штрафа. В общем, совершенно дикая история, по которой можно сценарии писать.
_______
Источник | #tomhunter
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
The Register
Iowa sysadmin pleads guilty to 33-year identity theft of former coworker
Actions sent homeless victim to jail and a mental hospital for more than a year
#news Пятничные чудеса инфобеза от eX-Твиттера. 8 апреля платформа начала автоматически изменять ссылки с упоминанием twitter[.]com на x[.]com. Но в последующие 48 часов на волне изменений сеть заполонили десятки примеров фишинговых ссылок.
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
_______
Источник | #tomhunter | #хроникицифровизации
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
_______
Источник | #tomhunter | #хроникицифровизации
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot