Первые последствия санкций США в отношении Positive Technologies: Google заблокировал их учетную запись в YouTube. Об этом компания написала в Twitter, который, скорее всего, тоже заблокируют. А ещё страшнее, что их могут отключить от своей инфраструктуры все компании в США.
Twitter
PositiveTechnologies
Привет, друзья! Сегодня нашу страницу на Ютуб заблокировали. Но это не значит, что абонент временно недоступен😀 Ищите нас в VK и Telegram: vk.com/ptsecurity, vk.com/phdays, t.iss.one/Positive_Techn…,t.iss.one/TheStandoffNews
Хакеры используют 0-day уязвимости в продуктах SonicWall
Компания FireEye предупредила о возможности взлома корпоративных сетей и установки бэкдоров благодаря уязвимостям в продуктах SonicWall.
Проблема касается SonicWall Email Security(решение для защиты электронной почты). Компании используют его для сканирования почтового траффика в облачном и локальном форматах.
Уязвимости три:
CVE-2021-20021 (CVSS 9,4, позволяет осуществить обход аутентификации, создавать учётную запись администратора), CVE-2021-20023 (CVSS 6,7, чтение локальных файлов) , CVE-2021-20022 (CVSS 6,7, модификация локальных файлов, возможность загрузки веб-шеллов, использующихся как бэкдор).
Компания выпустила патчи для уязвимостей больше недели назад, сообщила она об этом только на днях. Поэтому в ее адрес снова посыпался шквал критики от ИБ-тусовки.
Информацию надо публиковать своевременно!
Компания FireEye предупредила о возможности взлома корпоративных сетей и установки бэкдоров благодаря уязвимостям в продуктах SonicWall.
Проблема касается SonicWall Email Security(решение для защиты электронной почты). Компании используют его для сканирования почтового траффика в облачном и локальном форматах.
Уязвимости три:
CVE-2021-20021 (CVSS 9,4, позволяет осуществить обход аутентификации, создавать учётную запись администратора), CVE-2021-20023 (CVSS 6,7, чтение локальных файлов) , CVE-2021-20022 (CVSS 6,7, модификация локальных файлов, возможность загрузки веб-шеллов, использующихся как бэкдор).
Компания выпустила патчи для уязвимостей больше недели назад, сообщила она об этом только на днях. Поэтому в ее адрес снова посыпался шквал критики от ИБ-тусовки.
Информацию надо публиковать своевременно!
Был Карибский кризис, а появился кризис кибербезопасности: кризис Solar Winds.
Времена меняются? Философский вопрос. Говорят, что нет, но зато ясно, что меняются проблемы. Если раньше подписывали договоры по ядерному и атомному оружию, то сейчас подписывают договор о киберненападении.
В политику лезть не будем, соответственно рассуждать о холодной войне тоже. Но просто сейчас политика лезет во все: в экономику, культуру, образование и кибербезопасность.
Москва предложила Вашигтону восстановить забытый диалог по предотвращению кибератак. В числе мер предлагается заключить соглашение о ненанесении первыми удара с использованием ИКТ друг против друга, а также невмешательство во внутренние дела.
Хрущев в гробу перевернулся
Времена меняются? Философский вопрос. Говорят, что нет, но зато ясно, что меняются проблемы. Если раньше подписывали договоры по ядерному и атомному оружию, то сейчас подписывают договор о киберненападении.
В политику лезть не будем, соответственно рассуждать о холодной войне тоже. Но просто сейчас политика лезет во все: в экономику, культуру, образование и кибербезопасность.
Москва предложила Вашигтону восстановить забытый диалог по предотвращению кибератак. В числе мер предлагается заключить соглашение о ненанесении первыми удара с использованием ИКТ друг против друга, а также невмешательство во внутренние дела.
Хрущев в гробу перевернулся
Интересно, какой минимум по весу в датчике сидения они собираются указать? Девушки с анорексией или люди с патологией роста смогут подать иск за дискриминацию, так как их вес меньше среднего. А если в Tesla учтут этот нюанс, то что помешает положить на сидение несколько гантелей? Вопросы, как видите, риторические.
Forwarded from Эксплойт | Live
Автопилот Tesla работает даже с пустым водительским сиденьем
Группа исследователей сообщила, что ей удалось «обмануть» автопилот Tesla.
Для этого они прикрепили небольшую утяжелённую цепь на рулевое колесо, чтобы имитировать вес рук водителя.
Именно вес рук — основной показатель участия водителя в процессе вождения, который отслеживает автопилот.
Вскоре после этого водитель пересел на пассажирское сиденье, так что Tesla ничего не заподозрила.
Они отмечают, что во избежание аварий с участием автопилота в дальнейшем, имеет смысл устанавливать датчик веса на водительском месте.
Группа исследователей сообщила, что ей удалось «обмануть» автопилот Tesla.
Для этого они прикрепили небольшую утяжелённую цепь на рулевое колесо, чтобы имитировать вес рук водителя.
Именно вес рук — основной показатель участия водителя в процессе вождения, который отслеживает автопилот.
Вскоре после этого водитель пересел на пассажирское сиденье, так что Tesla ничего не заподозрила.
Они отмечают, что во избежание аварий с участием автопилота в дальнейшем, имеет смысл устанавливать датчик веса на водительском месте.
Baza нашла создателя Телеграм-бота «Глаз бога». Его зовут Евгений Антипов. Он удалил данные силовиков, поэтому сейчас его, кажется, не трогают.
https://youtu.be/ePbyeCEBF2k
https://youtu.be/ePbyeCEBF2k
YouTube
Деанон создателя «Глаза Бога»: о доходах, «Единой России» и уважении к силовикам
Привет, это BAZA! И сегодня у нас крутое интервью с Евгением Антиповым — создателем Telegram-бота «Глаз Бога». Это та самая платформа, которая пробивает личные данные россиян. Можете не сомневаться — найдётся информация и о вас.
Чтобы пробить инфу о человеке…
Чтобы пробить инфу о человеке…
👍1
Сегодня индустрия мобильной рекламы изменится навсегда. У Apple выйдет iOS 14.5 с App Tracking Transparency.
Это значит, что компании, которые зарабатывают на данных пользователей сильно пострадают, так как теперь пользователи смогут отказываться от отслеживания конкретными приложениями. Тесты показали, что большинство пользователей намерено отклонить предложение о трекинге данных для таргетированной рекламы.
Так получилось, что Тимон Кук и Ко в этот момент сами делают ставку на расширение рекламного бизнеса. Снова актуальным становится Apple Search Ads(ASA) - реклама внутри App Store. Это означает, что у компании в рекламном бизнесе будет рост, так как она сможет, как и раньше, очень точно таргетировать рекламные объявления.
Монополисты и в Африке монополисты. У корпораций цель - максимальная прибыль. Истинные мотивы Apple понятны. Тяжело поверить, что у Google, который начал топить за FloC и Apple со своим ATT проснулись благие намерения. Обе компании под прикрытием борцов за приватность просто раскручивают свои рекламные направления.
Где-то через месяц ждём, как грибов после дождя, новых исков к Apple.
https://www.ft.com/content/5527ddd1-77a8-4cd0-82fd-4568be5da80f
Это значит, что компании, которые зарабатывают на данных пользователей сильно пострадают, так как теперь пользователи смогут отказываться от отслеживания конкретными приложениями. Тесты показали, что большинство пользователей намерено отклонить предложение о трекинге данных для таргетированной рекламы.
Так получилось, что Тимон Кук и Ко в этот момент сами делают ставку на расширение рекламного бизнеса. Снова актуальным становится Apple Search Ads(ASA) - реклама внутри App Store. Это означает, что у компании в рекламном бизнесе будет рост, так как она сможет, как и раньше, очень точно таргетировать рекламные объявления.
Монополисты и в Африке монополисты. У корпораций цель - максимальная прибыль. Истинные мотивы Apple понятны. Тяжело поверить, что у Google, который начал топить за FloC и Apple со своим ATT проснулись благие намерения. Обе компании под прикрытием борцов за приватность просто раскручивают свои рекламные направления.
Где-то через месяц ждём, как грибов после дождя, новых исков к Apple.
https://www.ft.com/content/5527ddd1-77a8-4cd0-82fd-4568be5da80f
Ft
Apple to boost ads business as iPhone changes hurt Facebook
New privacy rules deal a huge blow to how the mobile advertising industry works
Forwarded from Информация опасносте
Сегодня у Apple день апдейтов (не так, конечно, как у MSFT patch tuesday, но все равно). Функциональность функциональностью, а список фиксов безопасности в iOS/macOS еще предстоит разобрать, но! Если у вас Мак, рекомендуется установить вышедший апдейт 11.3 как можно скорее. Апдейт для macOS содержит в себе исправление уязвимости, которая позволяла обходить многие защитные механизмы macOS. Баг тривиально эксплуатировать двойным кликом по файлу, и, что даже важнее, уязвимость вроде как действительно эксплуатировалась в 2021 году. Некоторые исследователи уже назвали эту уязвимость одной из худших в macOS за последние годы. Большой пост с разбором уязвимости и механизма её эксплуатации тут:
https://objective-see.com/blog/blog_0x64.html
Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/
https://objective-see.com/blog/blog_0x64.html
Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/
TechCrunch
A software bug let malware bypass macOS’ security defenses
The Shlayer malware has been exploiting this newly discovered vulnerability since at least January.
⚡️ФАС на Apple
Антимонопольная служба оштрафовала компанию на $12 млн. Было установлено, что Apple злоупотребляла доминирующим положением на рынке мобильных приложений. В августе на компанию жаловалась «Лаборатория Касперского».
Антимонопольная служба оштрафовала компанию на $12 млн. Было установлено, что Apple злоупотребляла доминирующим положением на рынке мобильных приложений. В августе на компанию жаловалась «Лаборатория Касперского».
Копов Вашингтона атаковали хакеры
Управление полиции города Вашингтон стало жертвой ransomware Babuk. Эти ребята появились на свет в начале 2021. Отличительной характеристикой вымогателей является ненависть к представителям BLM и ЛГБТ.
В результате атаки хакеры скачали 250 Гб данных с серверов полиции: они включают информацию о расследованиях, досье на сотрудников и преступников. Babuk требуют выкуп. В случае отказа угрожают слить данные об информаторах полиции Вашингтона местным криминальным группировкам.
Особенный интерес у Babuk вызывает информация об участниках протеста в январе, когда сторонники Трампа штурмовали Капитолий.
Кстати, именно Babuk взломали ведущего американского разработчика и производителя систем управления оружием PDI Group. Теперь угрожают и ФБР.
Управление полиции города Вашингтон стало жертвой ransomware Babuk. Эти ребята появились на свет в начале 2021. Отличительной характеристикой вымогателей является ненависть к представителям BLM и ЛГБТ.
В результате атаки хакеры скачали 250 Гб данных с серверов полиции: они включают информацию о расследованиях, досье на сотрудников и преступников. Babuk требуют выкуп. В случае отказа угрожают слить данные об информаторах полиции Вашингтона местным криминальным группировкам.
Особенный интерес у Babuk вызывает информация об участниках протеста в январе, когда сторонники Трампа штурмовали Капитолий.
Кстати, именно Babuk взломали ведущего американского разработчика и производителя систем управления оружием PDI Group. Теперь угрожают и ФБР.
The Record
Ransomware gang threatens to expose police informants if ransom is not paid
A ransomware gang is threatening to leak sensitive police files that may expose police investigations and informants unless the Metropolitan Police Department of the District of Columbia agrees to pay a ransom demand.
ФСБ: zoom небезопасен с точки зрения хранения данных о россиянах
Зам.директора НКЦКИ(IT-структура ФСБ) Николай Мурашов сказал, что при использовании Zoom наблюдается «неконтролируемый выход информации за пределы РФ». Он считает, что нужно переходить на отечественные системы.
Ранее глава Минцифры Максут Шадаев заявлял о появлении российского аналога Zoom, который будет полностью доступен к 2022 году.
Уверены, что с российским аналогом выход информации будет полностью контролируемым💪🏻
Зам.директора НКЦКИ(IT-структура ФСБ) Николай Мурашов сказал, что при использовании Zoom наблюдается «неконтролируемый выход информации за пределы РФ». Он считает, что нужно переходить на отечественные системы.
Ранее глава Минцифры Максут Шадаев заявлял о появлении российского аналога Zoom, который будет полностью доступен к 2022 году.
Уверены, что с российским аналогом выход информации будет полностью контролируемым💪🏻
SecAtor, эту базу выкладывали ещё летом, а сейчас перезалили повторно. Вам лишь бы хайпа
Forwarded from SecAtor
Мы как-то пропустили эту новость, но вот - в выходные на одном из форумов появилась в продаже база банка ВТБ, содержащая данные его клиентов, включая ФИО, адрес, телефон , электронную почту, а также тип выданной карты.
Теперь вы знаете, кого надо благодарить за нескончаемые звонки от "службы безопасности банка" - конечно же ВТБшный инфосек.
Надеемся их SOC уже в курсе, но если еще нет, то скиньте им ссылку.
Теперь вы знаете, кого надо благодарить за нескончаемые звонки от "службы безопасности банка" - конечно же ВТБшный инфосек.
Надеемся их SOC уже в курсе, но если еще нет, то скиньте им ссылку.
У DigitalOcean произошла утечка платежных данных клиентов
Об этом компания сообщила в электронном письме. В утечку вошли данные с 9 апреля 2021 по 22 апреля 2021, но они не такие серьезные: речь идёт о последних 4 цифрах Карты и выпускающем ее банке.
DigitalOcean уже устранили ошибку.
https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/
Об этом компания сообщила в электронном письме. В утечку вошли данные с 9 апреля 2021 по 22 апреля 2021, но они не такие серьезные: речь идёт о последних 4 цифрах Карты и выпускающем ее банке.
DigitalOcean уже устранили ошибку.
https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/
BleepingComputer
DigitalOcean data breach exposes customer billing information
Cloud hosting provider DigitalOcean has disclosed a data breach after a flaw exposed customers' billing information.