20533
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
HIBP раньше много упоминалась в этом канале, но в последнее время их публикации както перестали быть новостями. Эта интересная (спасибо читателю за ссылку), прежде всего, тем, что кто-то собрал опубликованную в ТГ инфу о других различных утечках, суммарно на 361 млн записей, из которых 151 млн раньше не фигурировали в в HIBP. В архивах комбо-списки с имейлами и паролями, а данные собраны из 518 различных каналов. Происхождение данных — скорей всего, благодаря различным вредоносным ПО на зараженных компьютерах, которое перехватывает введенные данные на сайтах.
https://www.troyhunt.com/telegram-combolists-and-361m-email-addresses/
не самый свежак, но все равно интересно — Google случайно опубликовала 2500 страниц документации своего поискового инструмента. Документацию загрузили на GitHub, где она провела около 10 дней, но этого было достаточно. В принципе, ничего ужасного там не выложили, так как документация в основном техническая и полезна для SEO, но там было про белые списки сайтов, сбор данных из Chrome, влияние экспертизы авторов на ранжирование сайтов, учет геолокации на ранжирование сайтов, и тд.
https://sparktoro.com/blog/an-anonymous-source-shared-thousands-of-leaked-google-search-api-documents-with-me-everyone-in-seo-should-see-them/
Заявление о взломе Snowflake
https://community.snowflake.com/s/question/0D5VI00000Emyl00AB/detecting-and-preventing-unauthorized-user-access
Ранее утверждалось, что взлом компании произошел через аккаунт сотрудника, и это могло привести к доступу к данным клиентов Snowflake. Компания говорит, что взлом ограничился демо-аккаунтом, у которого не было 2ФА.
База пользователей сервиса Ticketmaster выставлена на продажу на форуме. Более 560 млн записей, 1.3ТБ, всего 500 тысяч долларов - за базу, которая вроде как кроме персональных данных с именами и мейлами включает в себя хешированные номера банковских карт, последние 4 цифры номера, номера телефонов и многое другое. Когда и как произошел взлом, пока неизвестно
https://www.cyberdaily.au/security/10632-hackers-claim-ticketmaster-live-nation-data-breach-more-than-500m-compromised
Не забудьте проапдейтить Хром
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html
https://nvd.nist.gov/vuln/detail/cve-2024-0519
Google is aware that an exploit for CVE-2024-4671 exists in the wild.
Security! security! security! security!
https://www.microsoft.com/en-us/security/blog/2024/05/03/security-above-all-else-expanding-microsofts-secure-future-initiative/
безопасность теперь самый главный приоритет у Microsoft.
https://finance.yahoo.com/news/dropbox-says-hackers-breached-digital-211551057.html
"Мы обнаружили, что злоумышленник получил доступ к данным всех пользователей Dropbox Sign, таким как электронная почта и имена пользователей, а также к общим настройкам аккаунта. Для отдельных пользователей он также получил доступ к номерам телефонов, хэшированным паролям и некоторым данным аутентификации, таким как ключи API, токены OAuth и многофакторной аутентификации".
Активно эксплуатируемый zero-day для Cisco к нам пришел
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/
патчи вчера поздно ночью выложили
https://unit42.paloaltonetworks.com/cve-2024-3400/
ну и мое любимое про “умные телевизоры”. в этот раз LG с webOS, и уязвимости, которые позволяют получить контроль над телевизорами, если не установить выпущенные апдейты.
https://arstechnica.com/security/2024/04/patches-released-for-as-many-as-91000-hackable-lg-tvs-exposed-to-the-internet/
CISA приняла необычное решение обнародовать новости о нарушении безопасности в компании Sisense, фирме по аналитике данных, чьи продукты позволяют компаниям отслеживать состояние нескольких сторонних сервисов. Это, разумеется, зависит от уникальных учетных данных каждого клиента для поддержания соединений в активном состоянии. CISA также попросила всех клиентов сбросить и изменить любые учетные данные или секреты, хранящиеся у Sisense. Источники сообщают, что злоумышленники могли получить доступ к данным хранения S3 компании для "вывода за пределы" несколько терабайт данных клиентов Sisense, включая токены доступа, пароли и SSL-сертификаты. Sisense используется авиакомпаниями, телекоммуникационными компаниями и другими — поэтому CISA подняла тревогу (и потому что Sisense еще не стала публичной).
https://www.cisa.gov/news-events/alerts/2024/04/11/compromise-sisense-customer-data
Microsoft оставила публично видимым один из внутренних серверов разработки Bing - с кодом, скриптами, ключами, паролями и прочим. Забавно, что после информирования об этой лаже, у Microsoft заняло целый месяц отреагировать и спрятать этот сервер. Кто к нему имел доступ, кроме исследователей, которые его обнаружили - неизвестно.
https://techcrunch.com/2024/04/09/microsoft-employees-exposed-internal-passwords-security-lapse/
Червячок Джимм Morris II 🪱 - твой личный AI-вирус. И дело даже не в показе Dune II.
Создан первый GenAI вирус 👾.
В недавнем исследовании, авторы создали первый вредоносный ИИ-червь, способный самостоятельно плодиться в среде с AI-агентами. Добро пожаловать в AGI world и вот вам новый вид кибератак 😵
Чтобы продемонстрировать возможности червя, исследователи создали почтовую RAG (!!!) систему, которая может отправлять и получать сообщения подключаясь к апи ChatGPT, Gemini и LLaVA. Специалисты обнаружили два способа эксплуатации системы: с использованием текстового самовоспроизводящегося запроса и встраивая самовоспроизводящийся запрос в изображение.
При этом, дядя не шарит в безе, поэтому опишет, как он понимает механизмы атак и нафига тут RAG в системе 🕵♂.
RAG тут ИМХО необходим для того, чтобы использовать некую стартовую базу атак на представленный контекст, а также, чтобы хранить инфо о сообщениях с уже атакованных хостов в локальной (глобальной?) памяти системы. Те RAG тут про память в системе агентов и поиск по БД зловреда. Плюс, ходя вот так по хостам юзеров системы, можно подобные уже увиденные форматы личных/корп. данных прихранивать в памяти червя и юзать их для более эффективного поиска подобных записей/сообщений на основе RAG запросов. Мол вот найди LLM-агент из того, что ты сейчас "видишь" подобные форматы из подсказки (базы атак/уже атакованных сабжей) RAGа. Нашел? Прихрани в памяти агента, передай на сервак зловреда, сделай в сабж опасную инъекцию и пусти дальше по сети сабж к другим юзерам 🤯
Исследователи подчеркивают, что Gen.AI черви станут новым вызовом перед службами безопасности технологических компаний и разработчиков стартапов.
Поэтому крепитесь 🦾 И будьте готовы.
Парочка ссылок, которые прислали читатели, а я по бестолковости и занятости пропустил.
Например, восстановление отпечатка пальца по звуку касания пальцем. все, надо удалять отпечатки на пальцах
https://www.tomshardware.com/tech-industry/cyber-security/your-fingerprints-can-be-recreated-from-the-sounds-made-when-you-swipe-on-a-touchscreen-researchers-new-side-channel-attack-can-reproduce-partial-fingerprints-to-enable-attacks
Или вот китайские хакеры контролировали критические объекты IT инфраструктуры Казахстана
https://cert.kz/news/chinese-hacker-group-controlled-critical-it-infrastructure-facilities-in-kazakhstan/
Никогда такого не было, и вот опять: уязвимость в чипах М у Apple, с возможностью получить криптографические ключи из системы.
https://gofetch.fail/
https://www.zetter-zeroday.com/apple-chips/
https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips/
Инструкции Apple разработчикам приложений по снижению этих рисков
https://developer.apple.com/documentation/xcode/writing-arm64-code-for-apple-platforms?ref=zetter-zeroday.com#Enable-DIT-for-constant-time-cryptographic-operations
Статья в NYT (подарочная) о том, как с помощью различных приложений и сервисов, включая встроенные в автомобили, страховые компании в США следят за водителями и их поведением на дороге. Обобщая: агрегаторы данных покупают данные у других приложений, комбинируют и получают результат, который потом может влиять на стоимость страховки. Происходит это, чаще всего, без ведома пользователей, разумеется. Бороться с этим лучше всего с помощью отсутствия интернета, смартфона, и автомобиля.
https://www.nytimes.com/2024/06/09/technology/driver-scores-insurance-data-apps.html?unlocked_article_code=1.yk0.VCPd.ZanwMDV64hJ8&smid=url-share
Microsoft сломалась от всех жалоб, и объявила, что функциональность Recall в Windows 11 — которая должна была сохранять содержимое экрана компьютера для последующего поиска и возврата к этой информации — будет выключена по умолчанию в обновлении, которое выйдет этой осенью
https://blogs.windows.com/windowsexperience/2024/06/07/update-on-the-recall-preview-feature-for-copilot-pcs/
CISA предупреждает, что у Linux есть активно эксплуатируемая уязвимость, для которой уже есть патч, и призывает всех пропатчиться как можно скорее
https://nvd.nist.gov/vuln/detail/CVE-2024-1086
https://pwning.tech/nftables/
Подтверждается информация о том, что компанию Christie’s, проводящую аукционы, взломала группировка RansomHub — что значит, что взлом был произведен с целью последующего вымогательства выкупа. Похоже, что группировка унесла информацию о покупателях на аукционах, которую она угрожает опубликовать, если не получит выкуп.
https://www.techradar.com/pro/security/ransomhub-group-says-it-was-behind-christies-attack-threatens-to-release-private-data-of-half-a-million-customers
Dell is warning customers of a data breach after a threat actor claimed to have stolen information for approximately 49 million customers.
The computer maker began emailing data breach notifications to customers yesterday, stating that a Dell portal containing customer information related to purchases was breached.
"We are currently investigating an incident involving a Dell portal, which contains a database with limited types of customer information related to purchases from Dell," reads a Dell data breach notification shared with BleepingComputer.
https://www.bleepingcomputer.com/news/security/dell-warns-of-data-breach-49-million-customers-allegedly-affected/
Группа экспертов по информационной безопасности из ассоциации Netzbegrünung обнаружила уязвимости в работе сервиса видеоконференций Cisco Webex, который использовали в Вооруженных силах Германии. Как показало исследование газеты Zeit, данные о тысячах онлайн-совещаний в бундесвере, проводившихся через Webex, многие месяцы находились в открытом доступе в интернете.
https://netzbegruenung.de/blog/netzbegruenung-deckt-it-sicherheits-und-datenschutz-schwachstellen-von-ciscos-videokonferenzdienst-webex-auf/
https://www.zeit.de/digital/datenschutz/2024-05/bundeswehr-webex-sicherheitsluecke-it-sicherheit/komplettansicht
Google перенесла отказ от сторонних кукис в Хроме на начало 2025 года
https://privacysandbox.com/intl/en_us/news/update-on-the-plan-for-phase-out-of-third-party-cookies-on-chrome/
Похоже, вот это - причина такого уведомления пользователей
https://blogs.blackberry.com/en/2024/04/lightspy-returns-renewed-espionage-campaign-targets-southern-asia-possibly-india
похоже, что в США собрались полностью забанить ПО ЛК. Не ТикТок, конечно, но тоже ничего
https://edition.cnn.com/2024/04/09/politics/biden-administration-americans-russian-software/index.html
Palo Alto Networks на этой неделе опубликовала информацию о новой уязвимости нулевого дня, которая активно эксплуатируется в файрволле, используемом корпорациями по всему миру. Компания Volexity представила основные результаты исследования: уязвимость максимальной степени серьезности 10.0, отслеживаемая как CVE-2024-3400, которая может быть использована без аутентификации, что означает, что для взлома сети жертвы не требуются пароли. Эксплуатация уязвимости началась по меньшей мере с 26 марта, согласно исследователям из Volexity, которые указывают на UTA0218 как на "государственного спонсора угроз," но пока неизвестно, какое именно государство. Ожидается, что исправления будут выпущены 14 апреля — то есть сегодня!
https://security.paloaltonetworks.com/CVE-2024-3400
Компания Apple разослала пользователям iPhone в 92 странах мира уведомление о том, что они могли стать жертвами атак шпионских программ.
“Apple detected that you are being targeted by a mercenary spyware attack that is trying to remotely compromise the iPhone associated with your Apple ID -xxx-. This attack is likely targeting you specifically because of who you are or what you do. Although it’s never possible to achieve absolute certainty when detecting such attacks, Apple has high confidence in this warning — please take it seriously.”
Детали о злоумышленниках не разглашаются. Также нет списка стран, пользователям которых пришли такие сообщения от компании. Еще все отметили, что раньше в документе Apple указывала, что речь идет об атаках хакеров, «спонсируемых государством» (“state-sponsored”).
https://web.archive.org/web/20240101053644/https://support.apple.com/en-in/102174
Теперь же текст поменялся на “mercenary spyware attacks” — то есть некие наемники, которых, видимо, может нанимать кто угодно.
“Mercenary spyware attacks, such as those using Pegasus from the NSO Group, are exceptionally rare and vastly more sophisticated than regular cybercriminal activity or consumer malware.”
https://techcrunch.com/2024/04/10/apple-warning-mercenary-spyware-attacks/
документ Apple об уведомлениях о подобных угрозах
https://support.apple.com/en-in/102174
Судебное решение, в рамках которого Google согласилась удалить миллиарды записей, полученных от пользователей Google Chrome в режиме Incognito. Специально для тех, кто думает, что этот режим от чего-то там защищает - а вот и нет, потому что Google прекрасно продолжала собирать инфу со сторонних сайтов, даже когда наивные пользователи думали, что их никто не видит ;)
https://www.documentcloud.org/documents/24527732-brown-v-google-llc-settlement-agreement
ну и напоследок — В недавнем исследовании, авторы создали первый вредоносный ИИ-червь, способный самостоятельно плодиться в среде с AI-агентами. Добро пожаловать в AGI world и вот вам новый вид кибератак 😵
Читать полностью…
Компания Fujitsu подтвердила информацию о кибератаке и взломе, заявив, что хакеры, возможно, получили доступ к персональной информации клиентов компании
https://pr.fujitsu.com/jp/news/2024/03/15-1.html?=1710777600&=7194ef805fa2d04b0f7e8c9521f97343
пресс-релиз на японском, но, я думаю, у всех современные браузеры справятся с переводом
судя по тому, что не раскрывают детали содержимого апдейта, фиксили какую-то срочную zero-day, так что, пожалуй, порекомендую обновиться
Читать полностью…