Backup-FuckUp - история про RCE с помощью архива резервного копирования!
#статья #взлом #rce #backup
Не мало было случаев на просторах интернета , где происходила компрометация приложения с последующим шифрованием , в таких случаях обычно спасает бэкап , но что делать если последний бекап файл был на самом сервере?
В этой статье разберем один интересный кейс, в котором удалось скомпрометировать веб приложение используя тот самый бекап файл, который лежал на сервере в открытом доступе.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#статья #взлом #rce #backup
Не мало было случаев на просторах интернета , где происходила компрометация приложения с последующим шифрованием , в таких случаях обычно спасает бэкап , но что делать если последний бекап файл был на самом сервере?
В этой статье разберем один интересный кейс, в котором удалось скомпрометировать веб приложение используя тот самый бекап файл, который лежал на сервере в открытом доступе.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
За две недели Т-Банк заплатил хакерам 5 млн. рублей
#взлом #полезное #статья
Сегодня на конференции OFFZONE 2024 узнал много нового о кибербезопасности. Команда Т-Банка, например, рассказывала о продуктовом подходе к ИБ для бизнеса. Его суть в том, что вместо решений задач по-отдельности, оцениваются все потребности бизнеса. С учетом вводных данных сотрудники сразу разрабатывают и развивают полноценные ИБ продукты, повышая защищенность бизнеса. Думаю, в таком формате работать гораздо комфортнее.
Кстати, программа Bug Bounty развивается именно благодаря этому. Перед началом OFFZONE 2024 “белым хакерам” предложили найти баги BUGS ZONE 2.0. За найденные в течение двух недель ошибки Т-Банк выплатил 5 млн. рублей. А в 2023 году “белые хакеры” получили от банка 34 млн. рублей.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#взлом #полезное #статья
Сегодня на конференции OFFZONE 2024 узнал много нового о кибербезопасности. Команда Т-Банка, например, рассказывала о продуктовом подходе к ИБ для бизнеса. Его суть в том, что вместо решений задач по-отдельности, оцениваются все потребности бизнеса. С учетом вводных данных сотрудники сразу разрабатывают и развивают полноценные ИБ продукты, повышая защищенность бизнеса. Думаю, в таком формате работать гораздо комфортнее.
Кстати, программа Bug Bounty развивается именно благодаря этому. Перед началом OFFZONE 2024 “белым хакерам” предложили найти баги BUGS ZONE 2.0. За найденные в течение двух недель ошибки Т-Банк выплатил 5 млн. рублей. А в 2023 году “белые хакеры” получили от банка 34 млн. рублей.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
История подростка, взломавшего Twitter и укравшего миллионы
#взлом #Twitter #статья
15 июля 2020 года на аккаунте Илона Маска появился следующий твит:
«Отправьте мне биткоин на тысячу долларов, и я верну вам две тысячи. Это предложение действительно только в течение 30 минут".
Под твитом был указан номер биткоин кошелька, он был опубликован на официальном верифицированном аккаунте Илона Маска. Аналогичный твит появился и на других популярных аккаунтах, таких как Apple, Uber, Джефф Безос, Билл Гейтс, Барак Обама, Джо Байден, Канье Уэст и другие известные личности с миллионами подписчиков.
Когда стало ясно, что это крупнейшая хакерская атака в истории Twitter, компания приостановила работу всех известных верифицированных аккаунтов, пока не выяснит, что же произошло. Никто не ожидал, что ответственным за взлом окажется 17-летний подросток.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#взлом #Twitter #статья
15 июля 2020 года на аккаунте Илона Маска появился следующий твит:
«Отправьте мне биткоин на тысячу долларов, и я верну вам две тысячи. Это предложение действительно только в течение 30 минут".
Под твитом был указан номер биткоин кошелька, он был опубликован на официальном верифицированном аккаунте Илона Маска. Аналогичный твит появился и на других популярных аккаунтах, таких как Apple, Uber, Джефф Безос, Билл Гейтс, Барак Обама, Джо Байден, Канье Уэст и другие известные личности с миллионами подписчиков.
Когда стало ясно, что это крупнейшая хакерская атака в истории Twitter, компания приостановила работу всех известных верифицированных аккаунтов, пока не выяснит, что же произошло. Никто не ожидал, что ответственным за взлом окажется 17-летний подросток.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Серж Хумпич: человек, взломавший национальную банковскую систему Франции
#взлом #card #статья
Попробуйте произнести вслух: «взлом национальной банковской системы». В сознании сразу же возникает образ международной хакерской группировки, тщательно планирующей и осуществляющей атаки высочайшей технической сложности. И как-то не приходит в голову, что за таким взломом может стоять один человек, который, в общем-то, никогда раньше не задумывался о карьере хакера. Именно это произошло в 1997 году, когда уже немолодой инженер-программист Серж Хумпич поставил на уши крупнейшие кредитные организации Франции, придумав оригинальный способ оплачивать покупки картами, даже не имея банковского счета.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#взлом #card #статья
Попробуйте произнести вслух: «взлом национальной банковской системы». В сознании сразу же возникает образ международной хакерской группировки, тщательно планирующей и осуществляющей атаки высочайшей технической сложности. И как-то не приходит в голову, что за таким взломом может стоять один человек, который, в общем-то, никогда раньше не задумывался о карьере хакера. Именно это произошло в 1997 году, когда уже немолодой инженер-программист Серж Хумпич поставил на уши крупнейшие кредитные организации Франции, придумав оригинальный способ оплачивать покупки картами, даже не имея банковского счета.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Forwarded from Новостник Кибербеза
Web.archive.org взломан
#взлом #leak
Пострадал 31 миллион пользователей ресурса. Это 6.4 ГБ SQL-файл под названием "ia_users.sql". База данных содержит аутентификационную информацию зарегистрированных пользователей: адреса электронной почты, псевдонимы, временные метки изменения паролей, хешированные пароли Bcrypt и другие внутренние данные. Самая поздняя метка времени в украденных данных - 28 сентября 2024 года, что, вероятно, соответствует дате кражи базы. В базе данных имеются 31 миллион уникальных адресов электронной почты, многие из которых подписаны на сервис уведомления о утечках данных HIBP. Эти данные скоро будут добавлены в HIBP, и пользователи смогут проверить, были ли их данные скомпрометированы в этой утечке.
LH | Новости | Курсы | Мемы
#взлом #leak
Пострадал 31 миллион пользователей ресурса. Это 6.4 ГБ SQL-файл под названием "ia_users.sql". База данных содержит аутентификационную информацию зарегистрированных пользователей: адреса электронной почты, псевдонимы, временные метки изменения паролей, хешированные пароли Bcrypt и другие внутренние данные. Самая поздняя метка времени в украденных данных - 28 сентября 2024 года, что, вероятно, соответствует дате кражи базы. В базе данных имеются 31 миллион уникальных адресов электронной почты, многие из которых подписаны на сервис уведомления о утечках данных HIBP. Эти данные скоро будут добавлены в HIBP, и пользователи смогут проверить, были ли их данные скомпрометированы в этой утечке.
LH | Новости | Курсы | Мемы
Взлом робота-пылесоса и слежка за хозяином в прямом эфире
#взлом #spy #статья
Крупный производитель домашней робототехники не смог устранить проблемы безопасности своих роботов‑пылесосов, хотя получил предупреждение о рисках ещё в прошлом году. Даже не заходя в здание, нам удалось получить снимки владельца устройства (разумеется, с его согласия). А дальше всё стало ещё хуже…
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#взлом #spy #статья
Крупный производитель домашней робототехники не смог устранить проблемы безопасности своих роботов‑пылесосов, хотя получил предупреждение о рисках ещё в прошлом году. Даже не заходя в здание, нам удалось получить снимки владельца устройства (разумеется, с его согласия). А дальше всё стало ещё хуже…
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
AD CS Web Enrollment. Relay меня полностью
#AD #статья #взлом #ADCS
В последнее время часто можно услышать, что атаки на ADCS стали чем-то тривиальным: после выхода информативной статьи Certified Pre-Owned от Specter Ops почти каждый пентестер знает, что такое ESC1 и ESC8, и, увидев в Cert Publishers компьютеры, сразу бежит туда. Однако Web Enrollment помимо атак может чейнить уязвимости и служить отличным вариантом для Initial Access. Разберемся, как его применять, на примере нашего проекта по инфраструктурному пентесту.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#AD #статья #взлом #ADCS
В последнее время часто можно услышать, что атаки на ADCS стали чем-то тривиальным: после выхода информативной статьи Certified Pre-Owned от Specter Ops почти каждый пентестер знает, что такое ESC1 и ESC8, и, увидев в Cert Publishers компьютеры, сразу бежит туда. Однако Web Enrollment помимо атак может чейнить уязвимости и служить отличным вариантом для Initial Access. Разберемся, как его применять, на примере нашего проекта по инфраструктурному пентесту.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Standoff 365. Самое красивое недопустимое событие в деталях
#Standoff365 #взлом #QR #статья #pentest
Сегодня я хочу поделиться с тобой, на мой взгляд, самым красивым критическим событием, которое есть на платформе Standoff 365!
Инцидент, который мы реализуем, называется «Оплата товаров по QR-кодам за счет украденных средств», и за него можно получить 7500 баллов.
Взлом новостного портала, путешествие в страну Kubernetes, кража денежных средств с клиентских счетов, и это далеко не всё! Разумеется, это всё в рамках закона и служит исключительно в образовательных целях! Устраивайся поудобней, а мы начинаем.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#Standoff365 #взлом #QR #статья #pentest
Сегодня я хочу поделиться с тобой, на мой взгляд, самым красивым критическим событием, которое есть на платформе Standoff 365!
Инцидент, который мы реализуем, называется «Оплата товаров по QR-кодам за счет украденных средств», и за него можно получить 7500 баллов.
Взлом новостного портала, путешествие в страну Kubernetes, кража денежных средств с клиентских счетов, и это далеко не всё! Разумеется, это всё в рамках закона и служит исключительно в образовательных целях! Устраивайся поудобней, а мы начинаем.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Forwarded from Новостник Кибербеза
Дядя Захар ставит всем пятерки и рассылает угрозы
#взлом #обучение
По России прокатилась волна взломов электронных журналов, в ходе которых злоумышленники изменяют оценки на отличные и рассылают угрозы школам и ученикам от "Дяди Захара". Эти инциденты зафиксированы как минимум в 9 регионах страны. Взломы могут быть связаны либо с доступом к множеству учетных записей учителей, либо с возможным багом в сервисах электронных журналов. Подозревается, что это дело рук «мамкиных хакеров», а не иностранных киберсил. Екатерина Мизулина из «Лиги безопасного интернета» ожидает, что ФСБ проведет расследование и даст ответ относительно происхождения угроз.
LH | Новости | Курсы | Мемы
#взлом #обучение
По России прокатилась волна взломов электронных журналов, в ходе которых злоумышленники изменяют оценки на отличные и рассылают угрозы школам и ученикам от "Дяди Захара". Эти инциденты зафиксированы как минимум в 9 регионах страны. Взломы могут быть связаны либо с доступом к множеству учетных записей учителей, либо с возможным багом в сервисах электронных журналов. Подозревается, что это дело рук «мамкиных хакеров», а не иностранных киберсил. Екатерина Мизулина из «Лиги безопасного интернета» ожидает, что ФСБ проведет расследование и даст ответ относительно происхождения угроз.
LH | Новости | Курсы | Мемы
Forwarded from Новостник Кибербеза
Хакеры требуют $15 000 000: как 1win борется за сохранность данных 100 млн клиентов?
#1win #взлом #leak
Букмекерская компания 1win столкнулась с утечкой данных примерно 100 миллионов пользователей после серии мощных DDoS-атак на свою инфраструктуру. Злоумышленники получили доступ к базе данных, содержащей электронные адреса и телефонные номера пользователей. Хакеры потребовали выкуп за украденные данные, который изначально составил 1 миллион долларов и увеличился до 15 миллионов. Они также начали публиковать часть данных для оказания давления на компанию. Несмотря на инцидент, руководство 1win утверждает, что инфраструктура компании в безопасности.
LH | Новости | Курсы | Мемы
#1win #взлом #leak
Букмекерская компания 1win столкнулась с утечкой данных примерно 100 миллионов пользователей после серии мощных DDoS-атак на свою инфраструктуру. Злоумышленники получили доступ к базе данных, содержащей электронные адреса и телефонные номера пользователей. Хакеры потребовали выкуп за украденные данные, который изначально составил 1 миллион долларов и увеличился до 15 миллионов. Они также начали публиковать часть данных для оказания давления на компанию. Несмотря на инцидент, руководство 1win утверждает, что инфраструктура компании в безопасности.
LH | Новости | Курсы | Мемы
Forwarded from Новостник Кибербеза
Взломано всё: США и Китай вступили в новую кибервойну
#взлом
Китайские хакеры получили доступ к IT-инфраструктуре критически важных объектов в США, создавая угрозу для потенциального конфликта.
Хакеры из Китая взломали IT-системы и готовят почву для возможных разрушительных атак. Среди целей — манипуляции системами управления, такими как отопление, вентиляция и кондиционирование серверных помещений, а также энергетические и водные объекты. Китай отрицает причастность.
LH | Новости | Курсы | OSINT
#взлом
Китайские хакеры получили доступ к IT-инфраструктуре критически важных объектов в США, создавая угрозу для потенциального конфликта.
Хакеры из Китая взломали IT-системы и готовят почву для возможных разрушительных атак. Среди целей — манипуляции системами управления, такими как отопление, вентиляция и кондиционирование серверных помещений, а также энергетические и водные объекты. Китай отрицает причастность.
LH | Новости | Курсы | OSINT
Forwarded from Новостник Кибербеза
ЦБ Уганды взломан: хакеры похитили $16,8 млн из государственной казны
#взлом
В Уганде подтвердили взлом счетов центрального банка хакерами из группы «Waste». Масштаб ущерба оказался меньше ранее заявленных 62 млрд шиллингов (около $16,8 млн). Хакеры проникли в IT-систему банка и перевели деньги за границу, часть средств оказалась в Японии. Центральному банку удалось вернуть более половины суммы. Инцидент расследуют полиция и аудиторы, среди версии фигурирует возможный внутренний сговор, из-за чего были допрошены сотрудники банка и министерства финансов.
LH | Новости | Курсы | OSINT
#взлом
В Уганде подтвердили взлом счетов центрального банка хакерами из группы «Waste». Масштаб ущерба оказался меньше ранее заявленных 62 млрд шиллингов (около $16,8 млн). Хакеры проникли в IT-систему банка и перевели деньги за границу, часть средств оказалась в Японии. Центральному банку удалось вернуть более половины суммы. Инцидент расследуют полиция и аудиторы, среди версии фигурирует возможный внутренний сговор, из-за чего были допрошены сотрудники банка и министерства финансов.
LH | Новости | Курсы | OSINT
Взламываем транспортные карты: чит на бесконечные деньги
#взлом #статья
Начну с простого вопроса: кто из вас пользуется общественным транспортом? А кому нравится за него платить? Если такие все же найдутся, то могут смело переставать читать статью. Для остальных у меня есть рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему.
Жителям Бостона статья поможет получить бесплатные поездки, а для всех остальных этот материал будет неплохим уроком по реверс-инжинирингу. Ну или, по крайней мере, вы узнаете любопытную историю.
Ссылка на статью
LH | Новости | Курсы | OSINT
#взлом #статья
Начну с простого вопроса: кто из вас пользуется общественным транспортом? А кому нравится за него платить? Если такие все же найдутся, то могут смело переставать читать статью. Для остальных у меня есть рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему.
Жителям Бостона статья поможет получить бесплатные поездки, а для всех остальных этот материал будет неплохим уроком по реверс-инжинирингу. Ну или, по крайней мере, вы узнаете любопытную историю.
Ссылка на статью
LH | Новости | Курсы | OSINT