Данные 20 млн пользователей VPN-сервисов оказались в открытом доступе

Исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, сообщает «Коммерсант».

Буквально новость-огонь про то, как беспроводная зарядка гробит гаджеты не из-за технологического недосмотра, а исключительно в корыстных целях.

Будущее наступило

Мы с тобой много раз натыкались на истории про утечку данных. Доступной оказывалась информация по банковским картам, паролям, видеоурокам по взлому чужих почтовых ящиков.

Но будущее давно уже пришло в нашу жизнь. И сегодня меня взбодрила новость про несанкционированный доступ к базе ДНК.

Но, давай по порядку. Потому что тут речь даже не о биометрии и не украденных анализах твоей двоюродной бабушки (страшно представить, зачем они могут потребоваться злодеям). ДНК, Карл. Т. е. на свете могут появиться совсем незнакомые люди, которые тебя ну очень хорошо знают. Круто, да? (нет)

Как оказалось, на просторах Интернета существуют ресурсы, позволяющие искать родственников по данным ДНК. Загружаешь отчёт по своим генам и ждёшь, кого тебе найдут. Алгоритм ДНК-анализа позволяет искать уже даже троюродных родственников.

Эта технология, как оказалось, настолько эффективна, что если хотя бы 2% жителей страны или, скажем, планеты внесут в базу данных свои ДНК, то почти все они смогут найти хотя бы одного родственника.

Не трудно догадаться, что такой базой заинтересовалась полиция. В 2018 году база данных GEDmatch была использована для поимки серийного убийцы. В базе, конечно, нашли не его самого, а одного из родственников. Но круг поисков существенно сузился и виновный был наказан.

Однако, пользователям GEDmatch не очень понравилась идея поиска преступников среди их родственников. Поэтому, сервис ввёл дополнительную возможность отключать доступность профиля пользователя для ведения расследований.

Однако, на днях опция на сайте была отключена и данные всех пользователей стали снова доступны полиции. Что послужило причиной отключения, техническая ошибка или успешная атака на ресурс, пока неизвестно. Ведётся расследование, на время которого сервис GEDmatch отключен.

Эта история поднимает очень важные этические вопросы. Имеют ли право правоохранительные органы, в целях поимки преступников, использовать данные людей, которые сознательно эти данные закрыли? И правильно ли поступают пользователи, препятствуя расследованию? Несмотря на кажущуюся очевидность ответов, в данном случае, пострадавшими считаются пользователи, отказавшиеся предоставлять доступ к своим ДНК.

Вечерело. А меня все не отпускал тема последствий удалёнки. Сегодня снова немного поговорим о том, как мошенники пользуются доверием к знаменитым брендам.

Специалистами Лаборатории Касперского было установлено, что с 2019 года количество фишинговых атак, в которых упоминался стриминговый сервис Netflix, составило более 22 000.

Аналогичные атаки зафиксированы и с упоминанием онлайн-кинотеатров Hulu, Disney +, Apple TV Plus, Amazon Prime Video.

Злоумышленники создают рекламные ссылки и файлы, добавляя туда названия сервисов и сериалов. В частности, наиболее часто упоминаются "Мандалорец", "Ведьмак", "Очень странные дела", "Половое воспитание", "Оранжевый — хит сезона".

Прошедшего по ссылке пользователя обычно ждёт не онлайн-сервис, а троян, блокирующий данные, или программа-шпион, ворующая платёжные данные.

Как известно, спрос рождает предложение. Сидящий на удалёнке народ с радостью потребляет большое количество развлекательных шоу. Скачать сериал на халяву хочется многим, а, как известно, скупой платит дважды.

Ты можешь сказать, что сейчас уже никто не переходит по странным баннерам, но почти шесть тысяч пользователей антивируса Касперского, попавшие под "сериальные" атаки, с тобой не согласятся.

Сегодня воскресенье, а значит не время говорить о серьезных вещах. Время гифок. Уверен, что в какой-то выходной точно так же подумали ребята из следующей истории.

В начале июля специалисты Cryptolaemus зафиксировали возобновление работы долгое время молчавшего ботнета Emotet. Проснувшийся зловред распространяется посредством рассылки писем-приманок с вложенными файлами MS Office, либо ссылками на них.

Жертва, скачавшая и открывшая файл не становится сразу заражённой. Для дальнейшей работы зловреда нужно, чтобы пользователь ответил утвердительно на запрос о включении макросов. И вот тогда, на машину жертвы загружается пейлоад ("полезная" нагрузка, осуществляющая дальнейшее развитие зловреда — установку программ, ворующих данные, майнеров, шифровальщиков и т.д.).

В основном, ссылки, которые рассылает Emotet, ведут на предварительно взломанные ресурсы на базе WordPress. Доступ к этим сайтам злоумышленники выстраивают через веб-шелл. И, как установили специалисты, при этом, всегда используют один и тот же пароль.

А вот теперь, сам курьёз. Анекдот. Хохма. Прибаутка. Я не знаю более подходящих слов к чувсву юмора этих товарищей, но...

Неизвестные хакеры смогли узнать этот пароль и начали подменять файлы загрузки гифками. Таким образом, жертвы Emotet не получают пейлоады на свои машины, а эффективность самого ботнета существенно снижается.

Пока нельзя сказать точно, кто именно стоит за этими "контратаками", но чувство юмора у него все-таки есть — одной из загруженных гифок оказался Хакермен из нашумевшего несколько лет назад короткометражного комедийного боевика "Kung Fury".

Возможно, таким комичным образом происходит передел рынка, в ходе которого работа одного из самых активных ботнетов 2019 года уже снизилась в четыре раза, а возможно, в дело вмешались хорошие парни, пожелавшие до поры оставаться неизвестными.

Так или иначе, шалость удалась.

ЦБ проводит проверку в Альфа-Банке, речь идет об утечках данных клиентов. Хакеры могли получать доступ к базе клиентских данных Альфа-банка, используя принципиально новый тип уязвимости — Readovka

Свежайшее чтиво от CheckPoint. Статистика, отчет, показатели, все как мы любим.

Пандемия несёт в себе не только ограничения, но и новые возможности. И не только для простых граждан, но и для хакеров.

Так вот, CheckPoint опубликовал полугодовой отчёт по трендам кибератак 2020, из которого видно, как режим изоляции сказался на распространении киберугроз.

Помимо махинаций с сервисами онлайн-оплаты, злоумышленники часто атакуют облачные среды, пользуясь ошибками в настройке серверов или пытаясь скомпрометировать самих провайдеров облачных сервисов. Примечательно, что делают они это сообща. Например, вымогатели проникают в сеть своих жертв через арендованные ботнеты. Глобализация во всей ее красе.

Выросло и количество атак на мобильные устройства.

В список лидеров вошли так же "атаки с трамплина". Такой тип используется, когда злоумышленник не может действовать успешно "в лоб" и ищет путь обхода. Например, компрометация внешнего сервиса, которым пользуется жертва, может помочь злоумышленнику попасть в её инфраструктуру.

В отчёте CheckPoint так же перечислены и самые активные в России зловреды. И первое место занимает атакованный гифками Emotet, который мы вспоминали на прошлых выходных. Далее идут: набор эксплойтов RigEK, майнер XMRig, RAT-троян, шпионящий за жертвой, Agent Tesla и виндовый червяк Phorpiex.

Этот отчёт в очередной раз показывает, что жизнь меняется очень динамично, а вместе с ней и способы кражи информации.

Пишут, что это вещь дня, правда вчерашего. Мультитул от "российкого техноэнтузиаста" для пентестеров.

Для тех, кто не расстается с мобильными телефонами, но и пентест тоже не забрасывает, полезный материал от моих коллег. Можно даже сказать, тьюториал. Но, разумеется, исключительно в образовательных целях.

Сегодня мы поговорим о вещах, которые касаются буквально каждого из нас. О загрузчиках операционных систем.

Как ты знаешь, процессу загрузки ОС на твоём компьютере предшествует запуск программы-загрузчика, которая и должна определить параметры загрузки операционки.

Одним из широко распространённых загрузчиков является GRUB, который стал таким распространенным благодаря возможности выбирать между загрузками разных ОС. GRUB умеет не только сам запускать ряд систем (Linux, BSD, Solaris), но и передавать "по цепочке" работу другим загрузчикам. Таким образом, ты мог заметить, что если поставить на одну машинку сначала винду, а потом, ещё и Linux, у тебя появится возможность выбрать операционку при загрузке. А вот, если сделать наоборот, загружаться будет только винда.

GRUB является довольно древней разработкой (выпущен в 1995 году). С тех пор его, конечно же, полностью переписали для достижения модульности и переносимости. Так появился GRUB 2.

И вот, 29 июля этого года компания Eclypsium рассказала об уязвимости, названной ими "Дырка в башмаке" (от одинакового написания слов "загружать"/to boot и "башмак"/boot).

Суть уязвимости, которой присвоен индекс CVE-2020-10713, состоит в том, что получивший админский доступ к системе злоумышленник может изменить конфигурационный файл grub.cfg таким образом, что при следующем запуске GRUB 2 столкнётся с переполнением буфера и загрузит скомпрометированную версию ОС, вместо ожидаемой.

Вместе с тем, поломанный GRUB 2 может спровоцировать проблемы и с виндовыми дистрибутивами, поскольку защитный механизм загрузки Secure Boot, проверяющий, можно ли доверять конкретной версии стороннего загрузчика (получен сертификат Microsoft или нет), не смотрит на содержимое grub.cfg.

Эта уязвимость навела довольно много шуму, несмотря на то, что злоумышленнику всё равно придётся сначала получать рутовые права в "чистой" операционке. Microsoft и линуксовые вендоры бросились разрабатывать патчи. И спешка уже привела к факапам, когда, например, дистрибутивы Red Hat перестали запускаться после применения патчей. Зато, попутно были найдены ещё около семи уязвимостей в GRUB 2.

Как я уже много раз говорил, информационная безопасность не является узкой темой, доступной только крутым специалистам. Эта сфера касается абсолютно всех. И вот тебе ещё один пример.

Китай — страна со сложной культурой и идиологией. В этой стране проживают несколько миллионов католиков. Власти Китая, по историческим и политическим причинам, католиков недолюбливают. Поэтому, в Китае есть две католические церкви — Патриотическая (лояльная правительству) и "подземная" (лояльная исключительно Ватикану).

Многие десятилетия Китай занимается тем, что активно поддерживает Патриотическую церковь, пытаясь срастить её с коммунистической партией (где-то крутанулся вокруг своей оси Карл Маркс), и, в то же время, выискивает прихожан церкви подземной, считая их, по сути, иностранными агентами.

С 2018 года Китай и Ватикан договорились о "перемирии", условием которого является совместный отбор епископов для Патриотической церкви. В этом году срок действия соглашения истекает, поэтому на сентябрь назначена новая встреча по обсуждению и продлению сотрудничества.

Однако, как говорится в докладе Recorded Future, уже с мая внутренняя сеть Ватикана подвергалась атакам китайской прогосударственной группировки RedDelta. И, в итоге, атаки достигли своей цели, когда руководитель католической исследовательской (дипломатической) миссии в Гонгконге открыл электронные письма, тщательно замаскированные под сообщения из Ватикана.

Сразу после открытия вложенного документа Word руководитель миссии Хавьер Короне Эррера подцепил троян-шпион PlugX. Этот троян так же известен своей "паранойей". Во-первых, PlugX загружает себя на компьютер жертвы, только убедившись, что не попал на ханипот. Во-вторых, он старательно по нескольку раз затирает следы своей деятельности в системе. PlugX и ранее был замечен на службе у китайских хакеров.

По мнению специалистов, за то время, пока троян действовал незамеченным, он успел утащить достаточно информации о настоящих планах Ватикана по деятельности в Китае и сведения о прихожанах "подземной" церкви. Как именно Китай распорядится этой информацией скоро станет понятно.

Ватикан, кстати, уже подвергался хакерской атаке, когда были взломаны "умные" чётки. О них я тоже рассказывал. Так что даже в духовных вопросах информационная безопасность никуда не девается.

СМИ пишут про базу голосовавших в электронном виде по поправкам в Конституцию. Важный дисклеймер дает Коммерсант, подрезали не все данные, а только паспортные данные. Вот и отдавай после этого гражданский долг по последнему слову техники (на самом деле никакому не последнему).

Утро субботы, пожалуй, одна из самых тяжёлых частей рабочей недели. Поэтому я не стану грузить тебя сложными темами и атаками.

На днях было объявлено о решении проблемы "evil cursor" в Firefox. Назвать "злой курсор" уязвимостью в полной мере нельзя, так как, в основном, он используется не для кражи информации или нанесения какого-либо ущерба, а просто не даёт пользователю покинуть мошеннический ресурс.

В основе "злого курсора" лежит вполне легитимное и осознанное разрешение браузера на модификацию стандартного курсора мышки, например, для игровых или VR-ресурсов.

Но злоумышленники ещё в 2010 году сообразили, что если заменить курсор на изображение, идентичное стандартному, вписанное в прозрачный квадрат, пользователь, зашедший на вредоносный ресурс, не сможет навести курсор активной частью на, например, кнопку выхода.

И, поскольку, запретить саму возможность создания кастомных курсоров было нельзя, потребовалось довольно много времени на решение этой проблемы. Первыми от "злого курсора" избавились разработчики Google Chrome, добавив возврат к стандартному курсору в момент, когда пользователь проводит им над клавишами управления сайтом.

Несмотря на то, что разработчики самых распространённых браузеров закрыли этот неприятный баг, встретить "злой курсор" всё ещё возможно. Поэтому, никогда не забывай про волшебное сочетание клавиш Alt+F4.

Ну а раз уж мы заговорили про курсоры, вот тебе ролик с самой первой презентации мышки:

https://www.youtube.com/watch?v=B6rKUf9DWRI

Сегодняшняя новость посвящена истории о том, что, как бы много сил ты ни прикладывал к работе над защитой информации, всегда может найтись простой, но очень опасный метод обойти твою защиту.

На днях в сети заговорили о довольно смешном фишинге через Telegram.

Среди разнообразных функций мессенджера есть возможность отправлять переписку с другими пользователями, статьи или собственные заметки в Saved Messages (Избранное), которые устроены по принципу обычного чата.

Злоумышленнику, который хочет собрать конфиденциальную информацию о потенциальной жертве, нужно завести себе аккаунт с названием "Избранное" и поставить на аватарку такой же значок.

Дальше, с созданного аккаунта нужно написать жертве любое сообщение и сразу же его удалить. Таким образом, в списке недавних переписок атакуемого появится ссылка на подставные "Saved Messages". И если жертва будет не достаточно внимательна, именно туда она и начнёт копировать личную информацию.

Конечно, описанный метод хорош далеко не во всём. Во-первых, жертва может длительное время ничего не сохранять для себя и просто не увидеть недавно появившийся фейковый аккаунт. Во-вторых, сохраняемая информация почти наверняка окажется абсолютно бесполезной для дальнейшей компрометации.

Но, тем не менее, сама возможность так легко и просто шпионить за другими пользователями в серьёзно защищённом мессенджере не может не удивлять.

Вот это поворот! Как говорится, ставки на спорт?

Увлекательное видео от дефкона. Сделали обзор Boeing 747 с точки зрения ИБ. Дисковод для дискет мне теперь не дает покоя.

Что мы все по сайтам, да по сайтам. Как будто не в телеграме сидим. В общем, сегодняшняя новость появилась у ребят с канала https://t.iss.one/true_secator и посвящена довольно любопытному расследованию.

Китайская компания Antiy, занимающаяся кибербезопасностью, опубликовала отчёт с расследованием тайваньской группировки APT-C-01 (PoisonVine).

За пределами Китая эта группировка практически неизвестна, но, судя по всему, внутри страны шуму они наделали много. Да и первые упоминания о ней встречаются , когда ты поглядывал в сторону сомнительных коктейлей из жестяных бвнок, то есть ещё в 2007 году.

Но, на самом деле, интерес вызывает не сама локальная группировка, а то, что Antiy упомянула деятельность группировки Equation, относящейся к АНБ.

В отчёте прямым текстом сказано, что эта группировка была замечена в антикитайских операциях. И более того, ушедшая со всех радаров Equation не смогла скрыться от бдительного взора китайских безопасников.

Поясню, Equation - это APT-группировка, известная с 2001 года, использующая схожие приёмы, что и разработчики Stuxnet.

Обнаружить деятельность Equation было непросто всегда, так как вредоносное ПО этой группировки умеет самоуничтожаться и заметать следы. Но в 2016 году другие бравые ребята из The Shadow Brokers взломали архивы Equation и выставили их на аукцион. Казалось бы, теперь Equation навсегда сошла со сцены. Однако, китайские безопасники говорят, что это не так.

Ну просто казаки-разбойники.