Федеральная комиссия по связи США (FCC) добавила российскую компанию «Лаборатория Касперского» и две китайские телекоммуникационные компании в свой список угроз национальной безопасности, заявив, что они представляют «неприемлемый риск» для национальной безопасности страны.

#kaspersky

@facematch_bot - смотри что нашел! 😊 только КЗ

#facerecognition

Наши втихую решили MITM-ить сервис куда сливают утекшие базы данных. Кого ловите?)

В открытый доступ выложили дамп под заголовком TikTok - All Server Leak размером 23.86GB (в архиве) и состоящий из 14 файлов.

Уже начал скачивать, чуть позже частично выложу содержимое.

Если открыть этот стикерпак то телега упадет, хз почему. (работает только с мобильной версией)

r0crewKZ совместно с SolveChat расскажут доклады в Алматы, в Lenore Pub, 12 мая, в 19:00

Доклады:

1. Александр Ошлаков - "Пишем код в функциональном стиле. Как и главное Зачем"

2. Евгения Цыбренко - "Гибридные Криптобиржи: взгляд изнутри"

3. Thatskriptkid - "Решаем андроид крякми с помощью IDA"

4. novitoll - "gnuradio: Eins, zwei (G), Polizei, Drei (G), vier (G), Grenadier, Fünf (G)?"

5. Sh3lldon- Патчинг bin, elf и pe файлов с гидрой

6. sysadmin "Аваренесс о неявных превентивных сервисах"

Бесплатно, без стрима, без записи.

В конце мая доклады расскажем в Астане

Наш исследователь обнаружил в open-source системе для медицинских организаций LibreHealth EHR 2.0.0 несколько уязвимостей: одна SQL-инъекция и множественные XSS.

Были присвоены следующие идентификаторы: CVE-2022-29938, CVE-2022-29939, CVE-2022-29940.

Так как разработчики системы переходят на совершенно новую кодовую базу, для них неактуально исправлять эти уязвимости. Поэтому можно сказать, что это зиродеи.

Подробная информация по багам и по временному исправлению:
https://nitroteam.kz/index.php?action=researches&slug=librehealth_r

Ссылки на MITRE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29938
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29939
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29940

P.S. В этой системе предположительно еще много уязвимостей, поиском которых сейчас занимаются наши студенты-практиканты.

@nitroteamchannel

Небольшой подкаст с ребятами из ГТС и @mortychannel. Приятного просмотра/прослушивания ☺️

https://www.youtube.com/watch?v=3DiZWmIWSlM

Просмотр обязателен.

https://youtu.be/YB-N-_JYSnw

r0crewKZ ⚔️ 2600

27 мая, в Астане, в BurgerShop, в 18:00 будут доклады!

1. SCAM STORIES 🌀 Morty

2. Трюки обхода AV-движков в разработке малварей. Примеры шифрования шеллкода 🌀 catv

3. 2G GSM, 4G LTE, 5G NR 🌀 novitoll

4. Attacking software developers 🌀 Thatskriptkid

Бесплатно, без записи, без стрима

История с утечками из сервисов доставки еды продолжается, в открытый доступ попал архив с данными теперь уже курьеров таких сервисов как DeliveryClub и Yandex.Еда. DeliveryClub у нас в КЗ кажется нету, а вот Yandex.Еда есть и достаточно популярна. В полученном архиве Yandex.Еды имеются порядка 700 тысяч данных на курьеров, 25 тысяч их которых принадлежат курьерам из Казахстана.

Написали заметку про что такое CVE и как его получить:
https://telegra.ph/cve-publication-06-06

@nitroteamchannel

Долго думал, выкладывать тут или нет, и решился. Некоторое время назад преподавал студентам Astana IT University курс по этичному хакингу, а так как студентов было много, лекции были записаны в формате видео. Упор был сделан на возможность просмотра лекций для всех, т.е. не только для студентов, и планировалось, что по окончанию курса слушатели будут на уровне junior penetration tester.

Формат: 10% теория / 90% практика

Курс содержит 10 тем и связанные с ними домашние задания:
Неделя 1. Введение в коммерческий пентест. Создание рабочей среды
Неделя 2. Сбор информации. OSINT
Неделя 3. Техники социальной инженерии
Неделя 4. Безопасность web-приложений
Неделя 5. Атака на web-приложения. Автоматические инструменты
Неделя 6. Безопасность инфраструктуры. Разведка
Неделя 7. Атаки на инфраструктуру. Metasploit Framework
Неделя 8. Основы Android приложений и атаки на WiFi
Неделя 9. Платформы для обучения кибербезопасности
Неделя 10. Написание коммерческого отчета

Playlist на Youtube:
https://www.youtube.com/watch?v=oRflkcjm08U&list=PLsucn_wbSMY33VfVd1zSkwnNZQwqJminO

P.S. Так как я не диктор, возможно придется поставить скорость на 1.5 :)

@onebrick

В сеть утекла база Yandex.Практикум, файл насчитывает 300К строк, из которых 6263 строк с данными казахстанцев. Файл имеет имя Part обычно так пишут (Part1, Part2 и т.д.) когда файлов несколько, есть вероятность что это не все данные.

Бот для отслеживания запросов властей к Telegram

Telegram запускает @Transparency — бота, с помощью которого можно получить сведения о передаче мессенджером данных пользователей по требованию суда — вроде раскрытия IP-адресов и номера телефона подозреваемых (согласно пункту 8.3 Политики конфиденциальности).

Стоит уточнить, что просмотреть отчёт о прозрачности можно только для той страны, к которой относится привязанный номер телефона. При этом для некоторых регионов такая информация окажется недоступной: Telegram признаёт требования только из стран с достаточно высоким индексом демократии.

Ранее по этому адресу располагался канал, в котором каждые полгода должны были выходить отчёты о взаимодействии мессенджера со спецслужбами. Однако, за четыре года существования там так и не появилось ни одной записи, что означает отсутствие удовлетворённых запросов властей.

А вот и первый слив данных из полиции Шанхая. Кто в танке и не знает, недавно вышла новость о том что какой-то какер слил данные 1 млрд данных граждан Китая, сделал он это через отделение полиции в г. Шанхай.

И так, первая партия содержит 750К строк с данными в трех файлах address_merge_with_mobile_data.json, case_data_index.json и person_info.json