«Хакер» - Безопасность и Взлом (xakep.ru
Группа на 7ooo.ruДо недавнего времени в Dropbox можно было подключить безлимитный тарифный план Dropbox Advanced для бизнеса, стоимостью 24 доллара в месяц. Этот тариф предоставлял неограниченный объем хранилища, чтобы бизнес-пользователи могли не беспокоиться о лимитах. К сожалению, теперь от этого решено отказаться, так как некоторые пользователи активно злоупотребляли возможностями Dropbox Advanced.
В рамках международной конференции по практической кибербезопасности OFFZONE компания BI.ZONE подвела итоги первого года работы платформы BI.ZONE Bug Bounty. Среди ключевых результатов — 17 зарегистрированных на платформе компаний и 51 программа по поиску уязвимостей. Общая сумма выплат за найденные уязвимости составила более 15 млн рублей. BI.ZONE Bug Bounty стала лидером среди российских платформ п�
Мероприятие посетили более 2500 человек, а своим опытом с участниками поделились 108 экспертов. В этом году OFFZONE также поддержали 50 партнеров, в том числе 18 медиа и 15 представителей комьюнити.
Для подписчиковВ сегодняшнем райтапе я покажу способы эксплуатации уязвимостей LFI и Neo4j Injection. Затем мы найдем и заюзаем баг внедрения произвольных команд, а после сделаем вредоносный пакет Python, содержащий бэкдор, который поможет нам повысить привилегии в системе.
На прошлой неделе, после выхода опциональных preview-обновлений для Windows, многие пользователи столкнулись с «синим экраном смерти» и ошибкой «UNSUPPORTED_PROCESSOR». Проблема коснулась Windows 10 21H2 и 22H2, а также Windows 11 22H2. Как теперь сообщили в MSI, это связано с материнскими платами компании.
Western Digital поблагодарила эксперта Positive Technologies Никиту Абрамова за обнаружение уязвимости в прошивке NAS компании. Уязвимость могла привести к удаленному выполнению произвольного кода в хранилищах, потере данных и нарушению конфиденциальности информации.
Сразу две уязвимости были обнаружены в плагине Jupiter X Core для настройки WordPress и WooCommerce. Баги позволяют захватывать чужие учетные записи, а также загружать файлы без аутентификации.
Специалисты Федерального бюро расследований предупредили, что патчи для критической уязвимости в Barracuda Email Security Gateway (ESG) «неэффективны». Дело в том, что даже пропатченные устройства все еще подвергаются атакам и взлому.
Исследователи Secureworks обнаружили, что хакеры, стоящие за ботнетом Smoke Loader, используют новую малварь Whiffy Recon для триангуляции местоположения зараженных устройств с помощью Wi-Fi и геолокационного API Google.
ГК «Астра» заплатит за баги «белым» хакерам. Отечественная ОС Astra Linux теперь представлена на платформе BI.ZONE Bug Bounty.
В 2023 году специалисты FAССT выявили около 1900 фишинговых страниц, предназначенных для кражи учетных записей в мессенджере Telegram, и более 170 — для «угона» аккаунтов в WhatsApp. Пик активности хакеров пришелся на летние месяцы, а наиболее популярной темой для приманок вновь стали детские творческие конкурсы, к которым теперь прибавились розыгрыши путевок в летние лагеря.
Представители ФБР предупредили, что северокорейские хакеры, похоже, готовы обналичить криптовалюту на сумму около 40 миллионов долларов США, украденную за последний год.
Специалисты VulnCheck предупредили, что более 3000 серверов Openfire все еще уязвимы перед проблемой CVE-2023-32315, обнаруженной в мае текущего года. Эксплуатация этой уязвимости типа path traversal позволяет неаутентифицированному пользователю создавать новые учетные записи администратора.
Министерство юстиции США обвинило двух основателей криптовалютного миксера Tornado Cash, Романа Шторма и Романа Семенова, в том, что они помогали преступникам (включая северокорейскую группировку Lazarus) в отмывании украденной криптовалюты на сумму более 1 млрд долларов США. Шторм был арестован в Вашингтоне, а Семенову обвинения предъявили заочно.
Датские хостинговые компании CloudNordic и AzeroCloud подверглись атаке вымогателей, что привело к потере большей части клиентских данных и вынудило компании отключить все системы, в том числе, собственные сайты, электронную почту и сайты клиентов.
Начало учебного года — это еще и начало сезона подготовки дипломных работ. А это значит, что у меня наступает сезон формулирования тем для студентов факультетов и кафедр информационной безопасности в ведущих вузах. Я собрал свои рекомендации и лайфхаки для подготовки твоего первого ИБ‑исследования.
Разработчики Offensive Security представили Kali Linux 2023.3, третью версию дистрибутива в 2023 году. Новинка уже доступна для загрузки и содержит девять новых инструментов, а также ряд улучшений, включая модернизированную внутреннюю инфраструктуру, а также обновленные Kali Autopilot и Kali NetHunter.
В WinRAR обнаружена еще одна уязвимость нулевого дня, получившая идентификатор CVE-2023-38831. По информации Group-IB, проблема активно использовалась злоумышленниками для установки малвари, а для ее эксплуатации достаточно было вынудить жертву открыть безобидный файл из архива (в формате .jpg, .txt и так далее).
СМИ сообщили, что в середине августа многие пользователи 3D-принтеров Bambu Lab столкнулись со страной проблемой: устройства начали работать сами по себе, что в итоге привело к поломкам, печати новых проектов поверх старых и так далее. Как объяснил производитель, сбой произошел из-за проблем в работе облака компании.
Специалисты Black Lotus Labs компании Lumen сообщают, что в рамках новой вредоносной кампании вредонос HiatusRAT атаковал сервер Министерства обороны США. Исследователи считают это «разведывательной атакой» и отмечают, что теперь целями хакеров стали система военных закупок США, а также организации, базирующиеся на Тайване.