14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Праздничная история про взлом ИБ-фирмы со счастливым концом. Юные дарования из SLH заявили о полном доступе к системам Resecurity; стянули всё: чаты, логи, данные сотрудников и клиентов и прочее. Но есть нюанс. Это был ханипот.
Пост появился у Scattered Lapsus$ Hunters в субботу. Взломали безопасников, копающих под малолетних богов хакинга — как не похвастаться? Вот только в Resecurity на это невозмутимо кинули ссылку на отчёт недельной давности по ханипоту, в котором описаны приключения горе-взломщиков, включая голые айпи, раскрытые из-за барахливших проксей. В SLH помялись, поотрицали очевидное да и удалили пост. Бонусом на связь с журналистами вышли ShinyHunters и стыдливо сообщили, что они в этом участия не принимали. Так что если тебе, юзернейм, бывает стыдно за косяки в кибербез-прериях, можно утешиться, что твой год не начинается вот так с последующими видео на ютубчике с заголовками в духе “Этот нуб попался на взломе ханипота и уехал на 5 лет”.
@tomhunter
#cve Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed.
Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте на Хабре!
@tomhunter
#digest Подводим итоги месяца дайджестом ключевых ИБ-новостей. Декабрь удался на славу: его открыла React2Shell, встряхнувшая сеть, а закрывает MongoBleed, подпортившая многим праздничный сезон.
Декабрь принёс и другие горячие новости: у Spotify случился незапланированный децентрализованный бэкап, а у подрядчика PornHub утекла история просмотров премиальных юзеров. “Лаборатория Касперского” делает оптимистичные выводы о конце киберпреступной вольницы в Telegram, китайские умельцы выпустили опенсорсную модель для геолокации, а расшаренные чаты с ИИ-моделями используют в качестве вектора атаки. Об этом и других интересных новостях последнего месяца года читайте на Хабре!
@tomhunter
#news Новость, которая многое говорит о нашем ИБ-обществе. Fortinet предупредила об активном эксплойте уязвимости на обход 2FA в FortiOS SSL VPN. Только её давно исправили. В июле 2020-го.
Уязвимость средненькая, на 5.2 по CVSS, и сводится к регистру юзернеймов. Если вместо условного jsmith злоумышленник логинится как Jsmith, FortiGate ищет другие опции по аутентификации. И если находит их на LDAP-сервере, логинит в обход настроек локальной политики, включая 2FA и отключённые аккаунты. Для митигации можно накатить патчи (из июля 2020-го), а можно обойтись одной командой для отключения чувствительности регистра. Но эксплойт идёт. И мы идём. Возможно, в светлое будущее: там всё будет secure by design, в SOC’ах расслабленно пьют чаёк и забыли про ночные побудки, и там, наверное, вообще не надо будет патчиться. Но это не точно.
@tomhunter
#news Похититель Рождества Гринч в 2025-м, конечно же, обязан быть криптаном. Расширение TrustWallet под Chrome было скомпрометировано в атаке на цепочку поставок. И обзавелось криптодрейнером.
Троянизированную версию опубликовали прямиком под Рождество: релиз 2.68.0 от 24 декабря начал стягивать сид-фразы. Параллельно шла фишинговая кампания от тех же лиц. TrustWallet тихонько залил чистую версию и сегодня подтвердил, что расширение было скомпрометировано. Подробностей пока нет, но оно и неудивительно: кто-то в команде ещё в состоянии шевелиться и реагировать на инцидент — уже неплохо. Между тем юзеры потеряли около $7 миллионов, но TrustWallet обещает их компенсировать. Главная интрига, не инсайдерская ли это работа — может, ушлый разраб уже танцует с мохито в руке и тайской красоткой в обнимку. Новогоднего чуда-то хочется всем, а в его отсутствии находятся готовые, так сказать, взять дело в свои руки.
@tomhunter
#news Пентестеры потыкали палочкой в чат-бот железнодорожной компании Eurostar, нашли пачку багов и попытались донести информацию через их BB. Но с коммуникацией у Eurostar оказалось, мягко говоря, не очень.
BB-программа у них есть, уязвимости под внедрение промптов и скрипты прямиком в чат-боте тоже нашлись. А вот компетентных людей для работы с этим нет. Об уязвимостях сообщили ещё в июне, писали повторно, связывались с CБ — ответа не было или пишите в BB. Последнюю в процессе отдали на аутсорс. И потеряли репорты со старой. Письмо всё же нашли, что-то починили, но про пентестеров забыли. В итоге они публикуют отчёт в блоге, запрашивают acknowledgment и… получают от пиджака из Eurostar “Это шантаж”. Пентестер, помни, когда ты ждёшь благодарность за раскрытые тобой по ВВ уязвимости, это шантаж! В следующий раз подумай дважды, прежде чем заморачиваться.
@tomhunter
#news Исследователи откопали на VT несколько файлов, светившихся в свежих атаках по российской военке. Капслок “НЕ ЗАПУСКАТЬ” в названии одного из них уже сам по себе рассказывает грустную историю. Но дальше больше.
Как обычно, Werewolf, в этот раз бумажный, активный с 2022-го. Незадокументированный бэкдор, название сэмпла “Плановые цели противника” как бы намекает на цели атаки. Но здесь внимание привлекло другое. В одной из фишинговых кампаний рассылка фейковых приглашений на новогодний концерт со скрина. Чуете подвох? И здесь ИИ-слоп. Совсем обленились апэтэшечки, даже открытку нормальную на Новый Год сделать не хотят. Так что в 2026-й и мы вкатываемся с ощущением праздиика и чувством глубокого утомления от ИИ-контента из каждой щели. Не знаю как вы, но если я прочитаю ещё один ИБ-отчёт в исполнении ChatGPT, буду кричать.
@tomhunter
#news В n8n, платформе для автоматизации рабочих процессов, закрыли критическую уязвимость под удалённое выполнение кода на 9.9 по CVSS. С аутентификацией, но низкими привилегиями.
Судя по описанию, инъекция выражений на стороне сервера, побег из песочницы и компрометация Node[.]js c RCE. Другие компоненты затронуты, импакт тотальный с полной компрометацией инстанса, так что почти десяточка. Сервис довольно популярный: 57 тысяч загрузок в неделю, в сети доступны ~100 тысяч потенциально уязвимых инстансов. Из костылей ограничения на создание рабочих процессов и только для доверенных юзеров плюс харденинг доступа, да и то лишь в качестве временной меры. Так что пришло время накатывать патчи. Донесите до причастных, пока они ещё в состоянии тыкать по клавишам перед новогодними увеселениями. Пока ты празднуешь, злоумышленник работает!
@tomhunter
#news В США 35-летний украинец Артём Александрович Стрижак признал вину по участию в рансомварь-операции Nefilim. Он был одним из её аффилиатов, которого экстрадировали из Испании в апреле этого года.
Nefilim была активна в 2020-м и 2021-м годах под руководством Владимира Тимощука, он же Boba и Deadforz; LockerGoga, MegaCortex — вот это вот всё. Средненькая операция, пионерили двойное вымогательство вместе с остальными. Стрижак вкатился в Nefilim в середине 2021-го, а в июне 2024-го был арестован и дожидался экстрадиции. В деле есть забавный момент. Судя по докам, у следствия был доступ к логам группировки. Ступив на скользкую рансомварь-дорожку, Стрижак озаботился опсеком и спрашивал у более мудрого товарища, стоит ли ему сменить свой киберпреступный никнейм на случай, если панель вскроют федералы. Надо было Тёма, надо было, и не только. Увы, слишком поздно.
@tomhunter
#news Случаются и у сильных APT мира сего неловкие проколы: китайская Silver Fox оставила открытой веб-панель, через которую отслеживали скачивания троянизированных установочников. И на неё забрели безопасники.
На панельке картина масштабной кампании по отравлению поисковой выдачи: cайты-двойники выводят в топ и распространяют RAT. Судя по находкам, в арсенале группировки два десятка популярных софтин. Работают они по китайской аудитории, но есть интересный нюанс: в части файлов и компонентов названия кириллицей — то есть это такой ложный флаг на минималках. Не в каждой западной ИБ-фирме найдётся иммигрант из СНГ, чтобы показать ему китайско-русский гуглотранслейт, так что задумка неплохая. Но некоторые на связке “китайская APT” и “операция под ложным российским флагом”, конечно, инстинктивно напрягутся. Не переживайте, это просто спойлеры на недалёкое будущее подвезли. А будущее, как известно, безжалостно.
@tomhunter
#news Поучительная история от мира киберпреступного хактивизма. 12 декабря взломали почтовые серверы Министерства внутренних дел Франции в отместку за арест админов BF. А 17 декабря предполагаемого взломщика арестовали — теперь присоединится к коллегам.
Пост о взломе появился на свежей вариации BreachedForums 13 декабря вместе с новой порцией разборок малолетнего криминального андеграунда на тему не ханипот ли BF часом. Кто-то поругался, кто-то обиделся — местечковый форум об аниме получается, всерьёз воспринимать сложно. В комплекте шло стандартное бахвальство о том, сколько всего наломали и стянули, и выпады в адрес Интерпола и Франции. Стране дали неделю, чтобы ответить. И Франция ответила. Очередной пример того, что Неуловимые Джо плохо понимают, как работают бюрократия и трёхбуквенные агентства. У 22-летнего взломщика уже были приводы за сайберкрайм, и его привлекали по тем же обвинениям буквально в этом году. Так что киберпреступная вендетта продлилась недолго. А разговоров-то было…
@tomhunter
#news “Бесплатный” Urban VPN Proxy под Chrome и другие расширения от разработчика поймали на пересылке промптов юзеров ко всем популярным LLM’кам на серверы разрабов. 6 миллионов скачиваний.
В заголовки залетел сам Urban VPN, но это ещё три расширения, включая адблокер и ещё один народный ускоритель ютуба. Суммарно ~8 миллионов установок. Вредоносное обновление пушнули 9 июля этого года с захардкоженным сбором данных по умолчанию. А обновления расширений идут автоматом. Скрипты переписывают API браузера по паре реквестов, и промпты прогоняются через расширение, которое затем пересылает их на серверы. Уходят сами промпты, ответы LLM’ки и метаданные сессии. И всё собранное идёт на продажу брокерам в сыром виде. Фича, кстати, задокументирована в политике конфиденциальности. А вы думали, Мизулина с вами шутки шутила, называя бесплатные VPN’ы порталами в ад? Наивные.
@tomhunter
#news Радостная новость для всех пенсионеров-миллионеров, доверчивых обывателей и прочих дамочек по имени Лариса: на Украине провели рейды по мошенническим центрам. Число скам-звонков временно снизилось.
Рейды прошли при поддержке Евроджаста на прошлой неделе в Днепре (где же ещё), Ивано-Франковске и Киеве по центрам, в которых работали около ста человек. А вот арестованы только 12 из 45 фигурирующих в расследовании. И офисы на видео что-то пустоваты... Схема известная: ваш банковский счёт скомпрометирован, переведём средства на безопасный. Работают хлопцы, которым “русских никогда не жалко”, интернационально — на том и погорели. Родина звонящих по России за процентик, конечно, бережёт, но вот когда приезжают уважаемые партнёры из Чехии, Латвии и Литвы спросить за беспредел в их границах, приходится сотрудничать. Хотя бы для виду: рейды по таким конторкам проходят регулярно, но вот число звонков всё ещё исчисляется миллионами.
@tomhunter
#news У MITRE свежий топ-25 самых опасных уязвимостей года. Как обычно, на первом месте межсайтовый скриптинг, но по остальным позициям есть интересные изменения.
Так, отсутствующая авторизация поднялась на 5 пунктов и заняла почётное четвертое место. Отсутствующая аутентификация прибавила 4 позиции. Это многое говорит о нашем айти-обществе! С другой стороны, неправильная проверка ввода потеряла 6 позиций, а инъекция команд — сразу 10. Так что есть и хорошие новости. Разыменование нулевого указателя поднялось на 8 позиций, и список пополнился несколькими вариантами переполнения буфера. Что-то вечно. Иными словами, Secure-by-Design нам только снится, и список, как обычно, рекомендован к ознакомлению всем причастным. Шоу должно продолжаться!
@tomhunter
#news И к новостям о более успешных (и креативных) злоумышленниках. На волне популярности нового фильма с ДиКаприо, на трекерах троянизированные варианты. И в одном малварь запрятана прямиком в субтитры.
Обычно свежие релизы эксплойтят, заливая под их видом .msi-файлы с вредоносом, но здесь всё интереснее. В скачанном юзер находит ярлык CD.lnk и ждёт от него запуска фильма. Вместо этого на нём команда, которая сводится к “Прочитай Part2.subtitles.srt, вытащи строки 100–103, и выполни их с помощью cmd.exe и powershell.exe”. В файле с субтитрами, как ни странно, реальные субтитры, но в строках 100-103 батч-скрипт. И дальше по файлу нагрузка, которую парсит PowerShell. В комплекте идёт RAT Agent Tesla. При этом у файла тысячи сидеров, так что вектор атаки рабочий. Туговато на западе с культурой пиратства, в общем. А Оскар за самый оригинальный способ доставки вредоносной нагрузки получает…
@tomhunter
#news В Китае на грядущий год предложили законопроект по регуляции запитанных от ИИ чат-ботов. По оценкам, он может стать одним из первых и самым строгим из аналогичных законов. Что, впрочем, вряд ли кого-то удивит.
Проект широко трактует понятие чат-ботов — под него подпадают любые ИИ-продукты для симуляции общения. Он направлен на борьбу с LLM-психозами, которые подарил нам 2025-й: так, при упоминании роскомнадзора и прочего вреда себе к общению должен подключиться кожаный мешок. А несовершеннолетние и пожилые люди и вовсе будут указывать контакты опекуна при регистрации. На вредный контент блок: никаких азартных игр, агрессии, порно и мемов с Винни-Пухом. Также прописан запрет на подпитывание зависимости от чат-бота как фичи, а для борьбы с ней должны быть поп-апы, если юзер зависает в чате. В целом проект любопытный. Партия лишать тебя робо-жена, изволь быть продуктивным членом общества. Но надолго дивный новый мир этим, конечно, не удержать.
@tomhunter
#news Есть на конец декабря и воодушевляющие новости: у Ubisoft взломали её флагман Rainbow Six Siege. И на волне новогоднего настроения доброумышленники решили немного пошалить.
Все игроки обнаружили у себя игровой валюты на пару миллиардов кредитов — это около 13,3 миллионов долларов. Также всем разблокировали все скины в игре, включая девелоперские. Кого-то побанили, кого-то разбанили — развлекались как могли. Долго новогоднее чудо, конечно, не продлилось: все изменения откатят. Параллельно вокруг взлома развернулась целая сага с шантажом Ubisoft липовыми утечками, срывом покровов с маленьких обманщиков, драмами в индийском коммьюнити из-за обвинений сидящей в Индии техподдержки в продаже доступа за мелкий прайс… В общем, праздничная вакханалия удалась. Плохие новости для Ubisoft, но с учётом её репутации, все остальные остались довольны.
@tomhunter
#news Ещё один подарок от Гринча на Рождество: в MongoDB идёт активный эксплойт уязвимости, получившей название MongoBleed со всем из этого, так сказать, вытекающим. А утекают у нас чувствительные данные из памяти.
CVE-2025-14847 — 8.7 по CVSS, чтение неинициализированной памяти кучи без аутентификации. В паре ИБ-фирм нашлись уникумы, опубликовавшие проверки концепции прямиком в праздники. Те самые проводящие их в компании эксплойтов. Чему, конечно, не очень рады более социально адаптированные ИБшники из числа публичных, доступных в интернете. И о чём в очень мягких выражениях намекают своим одичалым коллегам. В сети у MongoDB под 200 тысяч инстансов, затронуты все версии за ~10 лет, и PoC достаточно скормить айпи инстанса, чтобы из памяти начали утекать секреты. В общем, с наступающим и запоминайте, как делать не надо, чтобы не раскрыть всему миру свой запущенный аутизм. Урок №193: не публиковать эксплойты в праздничные дни.
@tomhunter
#article В расследовательской работе есть занятие столь же утомительное, сколь и неизбежное — рутинный мониторинг. Постоянная проверка контрагентов превращается в сизофов труд.
Но что если ваш главный инструмент для этой рутины — обычный Google Sheets — сможет стать автономной аналитической станцией? Давайте разберём, как можно организовать такую систему мониторинга, используя встроенные функции таблиц и немного скриптинга. За подробностями добро пожаловать на Хабр!
@tomhunter
#news Напоминание для тех, кто планирует провести праздничные выходные в компании эксплойтов и прочих нердовых удовольствий: под видом PoC на GitHub и другие платформы регулярно заливают вредонос.
У “Лаборатории Касперского” описан очередной случай. Кампанию заметили в октябре: злоумышленники распространяли WebRat, маскируя под эксплойты свежих CVE в Internet Explorer, WordPress, компоненте Windows —всего полтора десятка репозиториев. В описании на поверхностный взгляд убедительный ИИ-слоп, характерный для репортов об уязвимостях в 2025-м. Ну а в архиве бэкдор с инфостилером в придачу. Неопытный исследователь или подающий надежды студент, расслабившись на праздниках, рискует зайти не в ту дверь. Точнее, не в ту репу. Так что не теряйте бдительность и не ленитесь поднимать виртуалки. Словить троянец по глупости, конечно, очень познавательно, но лучше не стоит.
@tomhunter
#news Неловкий момент из Узбекистана: в стране забыли про аутентификацию на национальной системе дорожных камер. Они в открытом доступе, около сотни блоков по трассам по всей стране.
Исследователь обнаружил веб-панель без пароля, так что вход свободный — смотрите кто хотите. Вот он и посмотрел. Миллионы снимков, записи с дорог, координаты камер. Сколько всё это удовольствие висит открытым, неясно, но судя по базе, инфру начали собирать где-то в сентябре 2024-го с полноценным запуском в середине этого года. Сумрачный узбекистанский ИБ-гений из UZCERT на письма не ответил, так что на текущий момент доступ всё ещё для всех желающих, кто доберётся до панели. Может, публикация поспособствует, но с учётом праздника, который к нам неизбежно приходит, и особенностей национального айти, глядишь, открытая панелька встретит с нами 2026-й.
@tomhunter
#news Забавное с сетевых просторов. Несколько юзеров рапортуют о “странном, страшном вирусе”, внезапно всплывшим на их устройствах. Внимание на скрин. Кто-то вскрыл чужую веб-панель и разослал уведомления.
А здесь юзер в прямом эфире запечатлел, как добрый самаритянин тестировал пуш уведомлений. Сначала вылезло окно с текстом “Test”, затем предупреждение со скрина. Бонусом сообщение и для операторов: “В следующий раз не забудьте аутентификацию на своей С2-панели”. Хороший совет так-то — и для юзеров, и для подающих (или не подающих) надежды злоумышленников. Это вроде как сэмпл вредоноса. Может, позже в новости залетят подробности, ну а пока просто похихикать на вечер. Привет, я албанская малварь, и из-за кривых рук разраба у меня дырявый С2. Пожалуйста, не заходите на мою панель…
@tomhunter
#news Пираты-хактивисты наскрапили весь Spotify. Библиотеку платформы на 86 миллионов файлов стянули и планируют выложить в открытый доступ. Spotify скрапинг подтвердил.
В блог-посте авторы заявили о “бэкапе Spotify”. Метаданных в нём на 256 миллионов треков, их уже выложили. Остальное планируют зарелизить торрент-файлами. Размеры архива солидные: почти 300 терабайт. По итогам получается крупнейшая коллекция такого плана по многим параметрам — владельцы ИИ-моделей уже довольно урчат и раскочегаривают свои инфернальные машины, чтобы скормить им архивы. Новость, конечно, взрывает западные интернеты, не знакомые с такими достижениями пиратской мысли, как Рутрекер и десятки местечковых сайтов с музыкальными релизами на любой вкус. Но в целом занятно. Повеяло старыми-добрыми временами, когда активничали на цифровом Западе с огоньком.
@tomhunter
#news Очередной криптоскамер отправился под суд в Штатах. 23-летний Рональд Спектор похитил ~$16 миллионов у сотни юзеров Coinbase. Для этого ему хватило фишинга и социнженерии.
Спектор перенял навыки у лучших людей днепровских колл-центров: он звонил жертвам, представляясь сотрудником Coinbase и выводил их на фишинговые сайты. В одном таком случае юзер сдал сид-фразу от кошелька с $6 миллионами. При этом зумера подвела любовь к показухе: судя по судебным документам, его нашли в том числе по постингу в Telegram, где он хвалился кражами и миллионными тратами в казино. Что интересно, блокчейновый аналитик ZachXBT сдеанонил Рональда ещё в ноябре 2024-го, но арестовали его только на днях — за год-то можно было и тактически релоцироваться в тёплые страны. Но судя по скрину его сообщения Zach’у, наш герой не отличался умом и сообразительностью. От того и присядет лет на 12-15.
@tomhunter
#news Криптомир закрывает 2025-й с огоньком: за год украдены почти $3,5 миллиарда. Большая часть этой суммы приходится на северокорейских криптостахановцев. Суммарно хакеры из КНДР набрали в госкубышку минимум $2 миллиарда.
Что не особо впечатляет, если вспомнить, что $1,5 миллиарда с ByBit. Но тут главное, чтобы улыбчивый лидер был доволен, а остальное приложится. Chainanalysis отмечает, что в этом году братушки предпочли крупные атаки. Удивительная проницательность: покупай на ямках ломай большие биржи, отдыхай на маленьких. Но наблюдать за первой в мире крипто-Тортугой по-прежнему интересно, этого не отнять. На 2026-й прогнозируют тряску по всем крупным биржам из страха перед гостями из КНДР. И аудиты не на бумаге нужны, и под лупой каждого на собеседовании рассматривать — не видеофейк ли часом. А с оглядкой на креатив IT-солдат по найму, паранойя будет цвести только так. Социнженерия-то здесь по-прежнему главный вектор.
@tomhunter
#news Cisco предупредила клиентов о новом критическом 0-day с десяточкой по CVSS в своих продуктах, который эксплойтят китайские госхакеры. Затронуты Secure Email Gateway, Cisco Secure Email и Web Manager. Патчей пока нет.
Проблему усугубляет то, что затронутые продукты стоят в куче крупных организаций и неизвестно, как давно идёт эксплуатация. Cisco обнаружила взломы 10 декабря, но здесь как в бородатом анекдоте: на третий месяц Орлиный Глаз заметил, что в софте нулевой день. Эксплойт идёт как минимум с конца ноября. Затронутые все релизы Cisco AsyncOS, но только с включённой и доступной в сети фичей Spam Quarantine — по умолчанию она отключена. Неправильная проверка ввода — похоже, опять забыли про санитизацию. Работа над патчем идёт, ну а пока пользователям предложены костыли в виде вайпа и надежда на лучшее. Начинают ли китайские апэтэшечки свой день с дружного “Спасибо вам, лаоваи, за Cisco!”, история умалчивает.
@tomhunter
#news Хроники шиттификации интернета: большинство паркованных доменов в сети — больше 90% — ведут на сайты с малварью и спамом. Для сравнения, в 2014-м цифры были прямо противоположные: меньше 5% редиректов на вредонос.
Всё это истёкшие и неиспользуемые домены, но значительная часть также тайпсквоты. И на большинстве из них на изнанке интернета выстроен бизнес по монетизации трафика: их перепродают под редиректы. От скама и подписок до инфостилеров и троянов. Причём бизнес солидный: кто-то держит портфель на 3,000 тайпсквот-доменов, включая почтовый сервер на gmai[.]com — опечатался в адресе почты, и письмо улетает злоумышленнику. И так вплоть до госухи: нашёлся домен ic3[.]org вместо .gov — это ФБР — со scareware вместо окошка для общения с агентством. Так что ходить по сети вручную стало небезопасно: одна ошибка, и твой Google Drive удалён, браузер устарел, на устройстве 5 вирусов, а идентичность украдена. И это ещё не худший вариант.
@tomhunter
#news У нас победитель в категории “Самый пикантный взлом года”. Скажем прямо: взломали PornHub. Точнее, его стороннего подрядчика. И стянули историю поиска и просмотров премиальных юзеров. Ситуация, одним словом, щекотливая.
Вымогательством у платформы заняты ShinyHunters — инцидент связан со взломом поставщика аналитики данных Mixpanel, с которым PornHub сотрудничал до 2021-го. И если стянутое сольют в сеть, заняться аналитикой вкусов членов премиалки смогут все желающие. В утечке ~200 миллионов записей, включая почты, локацию, название видео и ссылки на них, историю просмотров и скачиваний. В общем, не совсем то, что хочется видеть в открытом доступе — особенно с учётом того, что это всё часто висит на основных имейлах. PornHub c Mixpanel перекладывают ответственность друг на друга, но пользователям от этого не легче. Ну что, премиальный юзер, готов явить миру свою историю просмотров? Сколько там открытий чудных…
@tomhunter
#news В Южной Корее идёт расследование утечки данных граждан, которую уже успели окрестить худшей в истории страны. Из Coupang, местного Ozon, утекли данные двух третей граждан. А ответственен за неё бывший сотрудник.
Об утечке стало известно в середине ноября — слиты записи на 33,7 миллионов клиентов. На фоне этого в Южной Корее и самой компании начался сущий кошмар. CEO принёс публичные извинения и подал в отставку, Coupang сотрудничала с властями, но всё равно получила [очень сдержанное] маски-шоу — полиция всю прошлую неделю сидит в офисах и проводит собственное расследование. Ну а привело оно к работнику, которому забыли отключить доступ к системам после увольнения. Классика. Полиция уже оговорилась, что Coupang пока в деле жертва, но если найдут что-нибудь этакое, будет а-та-та. А забытый доступ как раз тянет на что-нибудь этакое. Хорошая страшилка для наших компаний, к слову. Ну что, хотите как в Южной Корее?
@tomhunter
#news Пятничные новости от мира хактивизма. Операторы CyberVolk, он же VolkLocker, вернулись после затишья с новой рансомварью. Но забыли в энкрипторе ключ для дешифрования. Который падает на машины жертвы простым текстом. *звуки грустного тромбона*
Исследователи вежливо описывают это как шаг вперёд (с продвинутой автоматизацией через Telegram), шаг назад (с учётом забытого masterKey). Когда у тебя деплоят билдер с захардкоженным ключом, забытым из тестового билда, это, конечно, называется по-другому, но такие слова в техотчёте не напишешь. Поэтому на дипломатичном и получается, что наши бедолаги “испытывают трудности с техническим контролем”. По итогам команда реагирования обнаруживает в %TEMP% бэкап ключа, закидывает его в декриптор и, сдерживая гомерический хохот, пишет отчёт. После этого остаётся только тихонько уйти со сцены — ребрендинг в хактивизме если и бывает, то только такой. Но для настоящего CyberVolk’a это не конец. Упал — не значит упал. Провал — это там, где не встал. (Извините.)
@tomhunter