20339
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
да что вы знаете о кибербезопасности. ФБ нашел пост 10-летней давности про шутку о совпадении чисел 11 декабря 2013 года — в определенное время могла получиться длинная последовательность последовательных чисел. причем это даже был репост из твиттера с комментарием. И решил, что это имеет какоето отношение к кибербезопасности.
И так у них все.
SysAid предупреждает, что хакеры, которые связаны со взломом MoveIT, похоже, эксплуатируют zero day уязвимость в их ПО для автоматизации
https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification
Через взлом службы поддержки Okta были украдены токены доступа клиентов компании
https://sec.okta.com/harfiles
тут какаято история про то, Евросоюз хочет обязать браузеры, доступные в европе, доверять ключам и сертификатам, выбранным европейским правительством. Что позволит им перехватывать трафик, разумеется.
https://last-chance-for-eidas.org
Компания по генетическому тестированию 23andMe столкнулась с коллективным иском из-за своих практик в области безопасности после того, как хакеры похитили и опубликовали данные о миллионе человек с еврейским происхождением.
Утечка данных была обнародована после того, как хакеры разместили базу данных с названием "Ashkenazi DNA Data of Celebrities" на форумах в темных уголках интернета. Большинство людей в списке не являются знаменитостями, и база данных содержит информацию, такую как отображаемые имена, пол, год рождения и некоторые сведения о генетическом происхождении пользователей.
Хакер, который впервые устроил утечку, предложил продать профили данных оптом по цене от 1 до 10 долларов за аккаунт. Однако может быть продано до 7 миллионов аккаунтов — половина пользователей 23andMe. Неясно, является ли тот, кто составил список Ashkenazi, — на самом деле в нем 999 999 записей, — тем же человеком или группой, которая выставила его на продажу, сообщили в NBC News.
23andMe рассматривает эту утечку как подлинную и проводит расследование инцидента. Кроме того, она требует от своих пользователей изменить пароли.
23andMe подтвердила, что ее данные были скомпрометированы, но утверждает, что ее системы не были нарушены.
там в Торонто на прошлой неделе проходила PWN2OWN, где исследователи соревнуются в взламывании разных устройств и программных продуктов.
Тут можно посмотреть результаты взломов
https://www.zerodayinitiative.com/blog
У меня просто глаз зацепился за новость “Security researchers hacked the Samsung Galaxy S23 smartphone two more times on the second day of the Pwn2Own 2023 hacking competition in Toronto, Canada.”
1Password, a password manager used by millions of people and more than 100,000 businesses, said it detected suspicious activity on a company account provided by Okta, the identity and authentication service that disclosed a breach on Friday.
“On September 29, we detected suspicious activity on our Okta instance that we use to manage our employee-facing apps,” 1Password CTO Pedro Canahuati wrote in an email. “We immediately terminated the activity, investigated, and found no compromise of user data or other sensitive systems, either employee-facing or user-facing.”
https://arstechnica.com/security/2023/10/1password-detects-suspicious-activity-in-its-internal-okta-account/
Будем надеяться, что в этот раз пронесло.
Данные пользователей 23andme продолжают выкладывать. Ну, не страшно, достаточно им ДНК сбросить и завести новую
https://techcrunch.com/2023/10/18/hacker-leaks-millions-more-23andme-user-records-on-cybercrime-forum/
https://www.theverge.com/2023/10/18/23922075/winrar-security-vulnerability-exploit-patch-update
Читать полностью…
Google сделала passkey механизмом аутентификации по умолчанию для учетных записей Google
https://blog.google/technology/safety-security/passkeys-default-google-accounts/
23andme, один из первых сайтов, который предложил пользователям анализ ДНК, подтвердил утечку данных пользователей. Говорят, credentials stuffing, то есть использование утекших ранее логинов-паролей для выгрузки информации не только этих пользователей, но и всех их “родственников по ДНК”
https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/
отчет о том, как различные правоохранительные ветки в США (миграционная служба, пограничная служба, Секретная служба) скупают данные о геолоакции, собранные различными приложениями на смартфонах пользователей. Отчет подготовлен офисом генерального инспектора АНБ
https://www.documentcloud.org/documents/24016546-oig-23-61-sep23-redacted?ref=404media.co
https://www.404media.co/ice-cbp-secret-service-all-broke-law-with-smartphone-location-data/
и у Atlassian там все тоже не очень. даже очень не очень — a maximum severity zero-day vulnerability
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
https://jira.atlassian.com/browse/CONFSERVER-92475
Да где же этому конец
Impact: A local attacker may be able to elevate their privileges. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.6.
https://support.apple.com/en-gb/HT213961
Sony подтвердила взлом, и рассылает сотрудникам уведомление о том, что их персональная информация могла быть похищена в результате кибератаки
https://www.documentcloud.org/documents/24005170-sample-individual-notice-10032023?responsive=1&title=1
Берегите свои ssh ключи смолоду
Впервые исследователи продемонстрировали, что значительная часть криптографических ключей, используемых для защиты данных в SSH-трафике между компьютерами и серверами, уязвима для полной компрометации при возникновении естественных вычислительных ошибок в процессе установления соединения.
Уязвимость проявляется в ошибках при генерации подписи, возникающих при установлении соединения между клиентом и сервером. Она затрагивает только ключи, использующие криптографический алгоритм RSA, который исследователи обнаружили примерно в трети изученных ими подписей SSH.
https://eprint.iacr.org/2023/1711.pdf
Пошла активная эксплуатация уязвимости в Atlassian Confluence Server
ntkramer/111358137312740939" rel="nofollow">https://infosec.exchange/@ntkramer/111358137312740939
https://viz.greynoise.io/tag/atlassian-confluence-server-authentication-bypass-attempt?days=3
bitwarded добавляет поддержку passkeys
https://bitwarden.com/help/releasenotes/#:~:text=Save%20passkeys%20to%20your%20vault%3A
красивое, как с помощью Flipper Zero можно отправить айфоны в ближайшем радиусе в бесконечную перезагрузку
https://arstechnica.com/security/2023/11/flipper-zero-gadget-that-doses-iphones-takes-once-esoteric-attacks-mainstream/
https://ileakage.com
We present iLeakage, a transient execution side channel targeting the Safari web browser present on Macs, iPads and iPhones. iLeakage shows that the Spectre attack is still relevant and exploitable, even after nearly 6 years of effort to mitigate it since its discovery. We show how an attacker can induce Safari to render an arbitrary webpage, subsequently recovering sensitive information present within it using speculative execution. In particular, we demonstrate how Safari allows a malicious webpage to recover secrets from popular high-value targets, such as Gmail inbox content. Finally, we demonstrate the recovery of passwords, in case these are autofilled by credential managers.
неважно какой у вас менеджер паролей, ясно? :)
Через взлом службы поддержки Okta были украдены токены доступа клиентов компании
https://sec.okta.com/harfiles
Не новое, но хорошее, и я, кажется, это когда-то пропустил, да и полезное напоминание, что ТГ продолжает раскрывать IP адрес пользователя благодаря настройке использования peer to peer для звонков
https://n0a.pw/telegram-get-remote-ip/
“Сравниваем адреса с нашим публичным адресом и получаем IP адрес удаленного клиента (по пути сравнивая IP на принадлежность к AS Telegram). Бонусом скрипт делает запрос для получения информации об IP адресе, так как не обязательно IP клиента будет принадлежать сотовому оператору. Это может быть и корпоративная сетка тоже.”
очень серьезная уязвимость у Cisco
• Cisco has identified active exploitation of a previously unknown vulnerability in the Web User Interface (Web UI) feature of Cisco IOS XE software (CVE-2023-20198) when exposed to the internet or untrusted networks. This affects both physical and virtual devices running Cisco IOS XE software that also have the HTTP or HTTPS Server feature enabled.
• Successful exploitation of this vulnerability allows an attacker to create an account on the affected device with privilege level 15 access, effectively granting them full control of the compromised device and allowing possible subsequent unauthorized activity.
• The recommendation that Cisco has provided in its security advisory to disable the HTTP server feature on internet-facing systems is consistent with not only best practices but also guidance the U.S. government has provided in the past on mitigating risk from internet-exposed management interfaces.
• Cisco support centers collaborated with the security team after using methods and procedures to correlate similar indicators in a very small number of cases out of our normal substantial daily case volume.
• This is a critical vulnerability, and we strongly recommend affected entities immediately implement the steps outlined in Cisco’s PSIRT advisory.
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
MGM сообщила, что потери от кибер-инцидента составили около 100 млн долларов, плюс 10 млн долларов на различные статьи расходов на последствия взлома — юристы, консультанты, и прочее.
http://www.sec.gov/ix?doc=/Archives/edgar/data/789570/000119312523251667/d461062d8k.htm
При этом компания сообщила, что в рамках взлома были украдены персональные данные клиентов компании, включая имена, адреса, номера телефонов, даты рождения, и номера водительских удостоверений
https://www.mgmresorts.com/en/notice-of-data-breach.html
цитирую читателя:
“ЕЩЁ И КУРЛ ГОСПОДИ https://github.com/curl/curl/discussions/12026”
A vulnerability in Cisco Emergency Responder could allow an unauthenticated, remote attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted.
lol
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cer-priv-esc-B9t3hqk9
Федеральная служба безопасности хочет обязать организаторов распространения информации (ОРИ) хранить и предоставлять сведения о геолокации пользователей и средствах их платежей.
Соответствующий проект постановления Правительства опубликован на портале проектов правовых актов.
http://regulation.gov.ru/p/142353
https://roskomsvoboda.org/post/fsb-trebuyet-platezh-i-geoloc/
октябрский патч безопасности у Android, включает исправления для 54 уязвимостей, включая две (CVE-2023-4863 — все еще libwep, и CVE-2023-4211) в ограниченной, таргетированной эксплуатации, по словам Google.
https://source.android.com/docs/security/bulletin/2023-10-01