Forwarded from Brodetskyi. Tech, VC, Startups
Как некомпетентные разработчики приложений открывают доступ к вашим данным
Исследователи компании CheckPoint проанализировали популярные Android-приложения и нашли популярные ошибки в конфигурации сторонних сервисов, из-за которых пострадала безопасность пользовательских данных: это незапароленные базы данных, сторонние сервисы для рассылки пуш-уведомлений и облачные хранилища, ключи от которых хранятся в самом приложении или плохо зашифрованы.
While investigating the content on the publicly available database, we were able to recover a lot of sensitive information including email addresses, passwords, private chats, device location, user identifiers, and more. If a malicious actor gains access these data it could potentially result in service-swipes (ie. trying to use the same username-password combination on other services), fraud, and identity theft.
Среди дырявых приложений: астрологический прогноз с незапароленной базой данных (10 млн скачиваний), приложение такси с данными пользователей в открытом доступе (50 тысяч скачиваний), скрин рекордер с незащищенным облачным хранилищем (10 миллионов скачиваний), приложение для отправки факсов с открытым доступом к облаку с документами пользователей (500 тысяч скачиваний).
Всего 23 приложения поставили под угрозу данные более 100 миллионов пользователей. Просто из-за криворукости разработчиков.
Исследователи компании CheckPoint проанализировали популярные Android-приложения и нашли популярные ошибки в конфигурации сторонних сервисов, из-за которых пострадала безопасность пользовательских данных: это незапароленные базы данных, сторонние сервисы для рассылки пуш-уведомлений и облачные хранилища, ключи от которых хранятся в самом приложении или плохо зашифрованы.
While investigating the content on the publicly available database, we were able to recover a lot of sensitive information including email addresses, passwords, private chats, device location, user identifiers, and more. If a malicious actor gains access these data it could potentially result in service-swipes (ie. trying to use the same username-password combination on other services), fraud, and identity theft.
Среди дырявых приложений: астрологический прогноз с незапароленной базой данных (10 млн скачиваний), приложение такси с данными пользователей в открытом доступе (50 тысяч скачиваний), скрин рекордер с незащищенным облачным хранилищем (10 миллионов скачиваний), приложение для отправки факсов с открытым доступом к облаку с документами пользователей (500 тысяч скачиваний).
Всего 23 приложения поставили под угрозу данные более 100 миллионов пользователей. Просто из-за криворукости разработчиков.
Check Point Research
Mobile app developers’ misconfiguration of third party services leave personal data of over 100 million exposed - Check Point Research
Research by: Aviran Hazum, Aviad Danin, Bogdan Melnykov, Dana Tsymberg and Israel Wernik, Intro Modern cloud-based solutions have become a standard in the mobile application development world. Services such as cloud-based storage, real-time databases, notification…
Forwarded from Журнал «Код»
🧐 Что случилось: придумали новое ПО для фишинга — LogoKit. Он меняет текст и логотипы на фишинговой странице в реальном времени для быстрой адаптации к запросам жертв. Кроме того, он автоматически подтягивает электронную почту жертвы в поле адреса электронной почты или логина, чтобы жертва подумала, что уже заходила на этот сайт раньше. LogoKit представляет собой набор файлов JavaScript, он очень мал, может спокойно распространяться на общедоступных сервисах и не требует сложных настроек сервера.
Звучит как реклама, но на самом деле это страшный вредоносный софт, из-за которого сотни тысяч человек могут стать жертвами мошенников.
За последний месяц этой штукой оказалось заражено более 700 сайтов, среди них страницы входа Adobe Document Cloud, OneDrive, Office 365 и несколько криптовалютных обменников.
Почитать и посмотреть образцы фиш-ссылок: https://community.riskiq.com/article/a068810a
Звучит как реклама, но на самом деле это страшный вредоносный софт, из-за которого сотни тысяч человек могут стать жертвами мошенников.
За последний месяц этой штукой оказалось заражено более 700 сайтов, среди них страницы входа Adobe Document Cloud, OneDrive, Office 365 и несколько криптовалютных обменников.
Почитать и посмотреть образцы фиш-ссылок: https://community.riskiq.com/article/a068810a