У Twitter теперь открытый исходный код!
Правда произошло это совсем не по желанию Маска. Как выяснилось, на GitHub несколько месяцев был доступен репозиторий с частью исходного кода и данными кэша некоторых сервисов социальной сети. Утечка содержит информацию о проблемах в безопасности компании, которые могут позволить хакерам выкрасть данные пользователей или вовсе положить сайт.
GitHub по первому требованию удалил репу, однако на этом дело не закончилось. Twitter через суд пытается получить не только данные пользователя, опубликовавшего утечку, но и всех, кто скачал репозиторий. Внутри компании проходит расследование, а самая популярная версия сейчас — предательство сотрудника.
Сейчас известно, что код опубликовал пользователь с ником «FreeSpeechEnthusiast», зарегистрированный 3 января 2023 года. Именно о нём Twitter пытается получить подробную информацию.
НеКасперский
Правда произошло это совсем не по желанию Маска. Как выяснилось, на GitHub несколько месяцев был доступен репозиторий с частью исходного кода и данными кэша некоторых сервисов социальной сети. Утечка содержит информацию о проблемах в безопасности компании, которые могут позволить хакерам выкрасть данные пользователей или вовсе положить сайт.
GitHub по первому требованию удалил репу, однако на этом дело не закончилось. Twitter через суд пытается получить не только данные пользователя, опубликовавшего утечку, но и всех, кто скачал репозиторий. Внутри компании проходит расследование, а самая популярная версия сейчас — предательство сотрудника.
Сейчас известно, что код опубликовал пользователь с ником «FreeSpeechEnthusiast», зарегистрированный 3 января 2023 года. Именно о нём Twitter пытается получить подробную информацию.
НеКасперский
😁27👍8🤡5🫡3🔥1
Отечественное Bug Bounty не находит поддержки ФСБ и ФСТЭК
Белых хакеров, участвующих в программе, можно привлечь по 272 УК РФ — «неправомерный доступ к компьютерной информации». Федеральные службы радикально против и не хотят послаблять УК, опасаясь дать потенциальным злоумышленникам лазейку в безопасности,
а желания Минцифры создать программу не хватает для того, чтобы закрепить её на законодательном уровне. Сейчас же участников программы от хакеров с правовой точки зрения отделяет очень тонкая грань. Белый хакер — специалист, который с согласия компании ищет уязвимости в её IT-инфраструктуре. Однако, если он выйдет за пределы, оговоренных договором условий, то рискует получить 7 лет лишения свободы.
Несмотря на то, что к Bug Bounty присоединились VK, СберМаркет, Авито, Тинькофф и т.д, юристы считают, что предложения от таких не профильных ведомств, как Минцифры, умирают на стадии законопроекта.
НеКасперский
Белых хакеров, участвующих в программе, можно привлечь по 272 УК РФ — «неправомерный доступ к компьютерной информации». Федеральные службы радикально против и не хотят послаблять УК, опасаясь дать потенциальным злоумышленникам лазейку в безопасности,
а желания Минцифры создать программу не хватает для того, чтобы закрепить её на законодательном уровне. Сейчас же участников программы от хакеров с правовой точки зрения отделяет очень тонкая грань. Белый хакер — специалист, который с согласия компании ищет уязвимости в её IT-инфраструктуре. Однако, если он выйдет за пределы, оговоренных договором условий, то рискует получить 7 лет лишения свободы.
Несмотря на то, что к Bug Bounty присоединились VK, СберМаркет, Авито, Тинькофф и т.д, юристы считают, что предложения от таких не профильных ведомств, как Минцифры, умирают на стадии законопроекта.
НеКасперский
🤡50😁17👍5😱2❤1🤔1
Вот насколько FAN ID никому не зашел
Введенный летом прошлого года паспорт болельщика является отличным примером, как можно задушить пользователя излишней безопасностью.
Прикрываясь безопасностью, на стадионах ввели систему распознавания лиц болельщиков, а для оформления паспорта даже детям необходимо заполнить подробнейшую информацию, которую затем ещё и нужно подтверждать в МФЦ. Вся эта информация собирается в единой и удобной для всех гос.структур базе.
Очевидно, эта сверхмера не понравилась болельщикам, и, несмотря на отчёт Минцифры о 45 тыс. зарегистрировавшихся, российские стадионы заметно опустели, а на трансляциях приходится показывать игроков крупным планом, чтобы матч выглядел не так жалко.
Теперь же Путин поручил послабить процедуру выдачи ID, но отказываться от него, по всей видимости, не планируют.
НеКасперский
Введенный летом прошлого года паспорт болельщика является отличным примером, как можно задушить пользователя излишней безопасностью.
Прикрываясь безопасностью, на стадионах ввели систему распознавания лиц болельщиков, а для оформления паспорта даже детям необходимо заполнить подробнейшую информацию, которую затем ещё и нужно подтверждать в МФЦ. Вся эта информация собирается в единой и удобной для всех гос.структур базе.
Очевидно, эта сверхмера не понравилась болельщикам, и, несмотря на отчёт Минцифры о 45 тыс. зарегистрировавшихся, российские стадионы заметно опустели, а на трансляциях приходится показывать игроков крупным планом, чтобы матч выглядел не так жалко.
Теперь же Путин поручил послабить процедуру выдачи ID, но отказываться от него, по всей видимости, не планируют.
НеКасперский
👍32🤡19🔥6❤1😁1
Словакия отдыхает 😎
Anonymous Russia положили ряд словацких гос.сайтов. Недоступны стали ресурсы Национального банка и Национального совета, а также Министерства юстиций республики.
Хакеры заявляют, что атака — лишь предупреждение в ответ на решение Братиславы о передачи Украине истребителей МиГ-29.
Прокомментировать атаку снизошел даже премьер-министр страны, а решение проблемы уже повесили на Совет Безопасности. Поставленная властями задача — защитить IT-инфраструктуру страны от последующих нападений.
А вы тоже думали, что в Совбезе обсуждают что-то серьёзней падения сайтов?)
НеКасперский
Anonymous Russia положили ряд словацких гос.сайтов. Недоступны стали ресурсы Национального банка и Национального совета, а также Министерства юстиций республики.
Хакеры заявляют, что атака — лишь предупреждение в ответ на решение Братиславы о передачи Украине истребителей МиГ-29.
Прокомментировать атаку снизошел даже премьер-министр страны, а решение проблемы уже повесили на Совет Безопасности. Поставленная властями задача — защитить IT-инфраструктуру страны от последующих нападений.
А вы тоже думали, что в Совбезе обсуждают что-то серьёзней падения сайтов?)
НеКасперский
🤡33👍15😁5❤3😱1🤮1💩1
Вас ожидает серый Volkswagen Transporter
ФСБ разработала постановление, согласно которому все агрегаторы такси должны будут давать спецслужбам доступ к своим информационным системам и базам данных заказов. В добавок к этому, предлагается начать собирать полные сведения о геолокации и средствах платежа. О целях предлагаемого постановления даже рассказывать не будем.
Конечно в первую очередь речь идет о Яндекс.Такси, как о крупнейшем организаторе распространения информации в сегменте. К их системам предлагается установить круглосуточный доступ. Менее крупные агрегаторы пока отделаются лишь предоставлением информации в течении десяти рабочих дней, а при срочном запросе – в течении трех суток.
Проект направлен на расширение, подписанного Президентом в конце прошлого года, закона о такси, обязывающего предоставлять аналогичную информацию, но пока только в ФСБ.
НеКасперский
ФСБ разработала постановление, согласно которому все агрегаторы такси должны будут давать спецслужбам доступ к своим информационным системам и базам данных заказов. В добавок к этому, предлагается начать собирать полные сведения о геолокации и средствах платежа. О целях предлагаемого постановления даже рассказывать не будем.
Конечно в первую очередь речь идет о Яндекс.Такси, как о крупнейшем организаторе распространения информации в сегменте. К их системам предлагается установить круглосуточный доступ. Менее крупные агрегаторы пока отделаются лишь предоставлением информации в течении десяти рабочих дней, а при срочном запросе – в течении трех суток.
Проект направлен на расширение, подписанного Президентом в конце прошлого года, закона о такси, обязывающего предоставлять аналогичную информацию, но пока только в ФСБ.
НеКасперский
😁21👍14🤮9🤬7💩5🤔1😱1
Минус компания, получается…
Сегодня Фениксы заявили о создании PHOENIX ALLIANCE совместно с рядом менее крупных группировок.
Первая совместная DDoS-атака несколько часов назад положила сервера cellularpacific.com — одной из крупнейших международных служб дистрибуции.
По заявлениям самих хакеров, помимо непосредственной DDoS-атаки им также удалось получить полный контроль над всеми ключевыми сервисами компании, доступ к данным о платежных системах, товарах, продажах и заказах. Очевидно, что в руки к Фениксам попали и персональные данные всего персонала, в частности:
• ФИО
• IP-адреса
• email
• домашние адреса
• номера телефонов и т.д.
При чем данные принадлежат как сотрудникам самой компании, так и ее клиентам и продавцам. На данный момент возможно управление всеми аккаунтами, а значит и работой компании во всех странах.
Мотив пока не ясен, но учитывая предыдущую атаку, полагаем, что Phoenix провоцирует мировую общественность на более оживленную реакцию.
НеКасперский
Сегодня Фениксы заявили о создании PHOENIX ALLIANCE совместно с рядом менее крупных группировок.
Первая совместная DDoS-атака несколько часов назад положила сервера cellularpacific.com — одной из крупнейших международных служб дистрибуции.
По заявлениям самих хакеров, помимо непосредственной DDoS-атаки им также удалось получить полный контроль над всеми ключевыми сервисами компании, доступ к данным о платежных системах, товарах, продажах и заказах. Очевидно, что в руки к Фениксам попали и персональные данные всего персонала, в частности:
• ФИО
• IP-адреса
• домашние адреса
• номера телефонов и т.д.
При чем данные принадлежат как сотрудникам самой компании, так и ее клиентам и продавцам. На данный момент возможно управление всеми аккаунтами, а значит и работой компании во всех странах.
Мотив пока не ясен, но учитывая предыдущую атаку, полагаем, что Phoenix провоцирует мировую общественность на более оживленную реакцию.
НеКасперский
🔥20👍5❤3😁1
Анекдот. Приехали однажды в Росиию 40 китайцев...
Вчера в столицу приехала делегация нескольких десятков китайских специалистов по кибербезопасности. Вероятная цель визита – полная блокировка на территории РФ видеохостинга YouTube.
Предварительно, в РФ готовятся перенимать опыт и технологии применения Великого Китайского Фаервола. Осуществить замысел хотят еще и на фундаменте из российско-белорусских разработок. Опять вспоминаем нейронки «Окулус» и «Вепрь». Кроме того, готовятся заблокировать все типы VPN. Видимо, готовится почва для последующей их замены на отечественный.
Несмотря на отрицание властями необходимости подобной блокировки, опасения могут оправдаться. Будем надеяться, что пилотный проект по «чебурнетизации» споткнется об фундамент из отечественных разработок или выделенный бюджет испарится еще до принятия цифрового рубля.
НеКасперский
Вчера в столицу приехала делегация нескольких десятков китайских специалистов по кибербезопасности. Вероятная цель визита – полная блокировка на территории РФ видеохостинга YouTube.
Предварительно, в РФ готовятся перенимать опыт и технологии применения Великого Китайского Фаервола. Осуществить замысел хотят еще и на фундаменте из российско-белорусских разработок. Опять вспоминаем нейронки «Окулус» и «Вепрь». Кроме того, готовятся заблокировать все типы VPN. Видимо, готовится почва для последующей их замены на отечественный.
Несмотря на отрицание властями необходимости подобной блокировки, опасения могут оправдаться. Будем надеяться, что пилотный проект по «чебурнетизации» споткнется об фундамент из отечественных разработок или выделенный бюджет испарится еще до принятия цифрового рубля.
НеКасперский
🫡42💩25😁10🤔4👍3🤮3🤡3
НеКасперский
Продолжаем тред о худших из популярных VPN-сервисах, которыми вам точно не стоит пользоваться 1. Hoxx VPN — Юридический адрес сервиса уходит корнями во Флориду, говорит это о том, что за вами могут наблюдать «5 глаз». Разработчики признают, что отслеживают…
В начале года рассказывали вам о худших представителях VPN-сервисов, а сегодня поделимся мнением об альтернативных решениях.
Уверены, наши читатели «в восторге» от недавних государственных инициатив по борьбе с анонимностью, и пока Минцифы занимаются отечественным VPN-сервисом, а РКН ограничивает анонимность, расскажем о том, что может помочь и как с этим обращаться.
Если принцип обеспечения анонимности VPN понятен, то вот самый большой подводный камень — не очевиден.
Проблема VPN-соединений – логи в журнале самого VPN, хранимые на стороне вашего интернет провайдера. Хотя они и обещают чистить журналы или вообще не вести таковые, зачастую это не соответствует действительности и вообще полагаться на чье-то слово это не про ИБ.
dVPN – децентрализованный вариант VPN, основное отличие которого и является её главным преимуществом.
Используя многочисленные узлы (ноды) блокчейна вместо конечных серверов, журналы перестают ставить под вопрос вашу анонимность. Конечная нода, или, проще говоря, крайнее во взаимодействии устройство (сервер, чей-то ПК или телефон и т.д.) может хранить логи соединения, но никто не знает точно, где эта нода, что она из себя представляет и осуществляет ли она вообще «журналирование запросов». Фактически нодой может стать любое устройство в децентрализованной сети.
К плюсам стоит отнести и потенциальную возможность заработать на использовании технологии. Большинство ваших устройств имеют возможность стать нодами блокчейна и перенаправлять трафик других пользователей, что позволит вам получать немного криптовалюты.
Конечно, dVPN не дает стопроцентной гарантии безопасного шифрования трафика между всеми используемыми узлами и, очевидно, не даст вам такой же высокой скорости , как при VPN-соединении. Зато вот уровень анонимности ощутимо выше обычного VPN.
Составили для вас подборку лучших экосистем dVPN, пользуйтесь, пока это еще не стало мейнстримом:
1. sentinel.co – ведущий провайдер dVPN для Android OC с безлимитным трафиком и возможностью заработать на личной ноде.
2. mysteriumvpn.com – одна из лидирующих экосистем dVPN для любых OC.
3. orchid.com – работает на основе протокола OpenVPN. Удобная система аукциона трафика и полная анонимность.
НеКасперский
Уверены, наши читатели «в восторге» от недавних государственных инициатив по борьбе с анонимностью, и пока Минцифы занимаются отечественным VPN-сервисом, а РКН ограничивает анонимность, расскажем о том, что может помочь и как с этим обращаться.
Если принцип обеспечения анонимности VPN понятен, то вот самый большой подводный камень — не очевиден.
Проблема VPN-соединений – логи в журнале самого VPN, хранимые на стороне вашего интернет провайдера. Хотя они и обещают чистить журналы или вообще не вести таковые, зачастую это не соответствует действительности и вообще полагаться на чье-то слово это не про ИБ.
dVPN – децентрализованный вариант VPN, основное отличие которого и является её главным преимуществом.
Используя многочисленные узлы (ноды) блокчейна вместо конечных серверов, журналы перестают ставить под вопрос вашу анонимность. Конечная нода, или, проще говоря, крайнее во взаимодействии устройство (сервер, чей-то ПК или телефон и т.д.) может хранить логи соединения, но никто не знает точно, где эта нода, что она из себя представляет и осуществляет ли она вообще «журналирование запросов». Фактически нодой может стать любое устройство в децентрализованной сети.
К плюсам стоит отнести и потенциальную возможность заработать на использовании технологии. Большинство ваших устройств имеют возможность стать нодами блокчейна и перенаправлять трафик других пользователей, что позволит вам получать немного криптовалюты.
Конечно, dVPN не дает стопроцентной гарантии безопасного шифрования трафика между всеми используемыми узлами и, очевидно, не даст вам такой же высокой скорости , как при VPN-соединении. Зато вот уровень анонимности ощутимо выше обычного VPN.
Составили для вас подборку лучших экосистем dVPN, пользуйтесь, пока это еще не стало мейнстримом:
1. sentinel.co – ведущий провайдер dVPN для Android OC с безлимитным трафиком и возможностью заработать на личной ноде.
2. mysteriumvpn.com – одна из лидирующих экосистем dVPN для любых OC.
3. orchid.com – работает на основе протокола OpenVPN. Удобная система аукциона трафика и полная анонимность.
НеКасперский
⚡15👍7❤6💩3😁2🤔1
У МТС ребрендинг и новые планы развития в кибербезе
МТС провел ребрендинг, и дочерняя компания в сфере кибербезопасности получила новое название - МТС RED. Сейчас в числе продуктов МТС RED сервисы SOC, консалтинга в сфере кибербеза, анализа защищенности и непрерывного тестирования на проникновение. Посмотрим, какую долю этих зрелых рынков сможет занять молодой и амбициозный игрок. Стратегические планы у компании не менее амбициозные. Наряду с планами по выводу на рынок собственных сервисов MSS и платформы безопасной разработки, компания рассказала о разработке единой экосистемы для управления защитой от киберугроз, которая должна объединить продукты различных игроков рынка.
МТС провел ребрендинг, и дочерняя компания в сфере кибербезопасности получила новое название - МТС RED. Сейчас в числе продуктов МТС RED сервисы SOC, консалтинга в сфере кибербеза, анализа защищенности и непрерывного тестирования на проникновение. Посмотрим, какую долю этих зрелых рынков сможет занять молодой и амбициозный игрок. Стратегические планы у компании не менее амбициозные. Наряду с планами по выводу на рынок собственных сервисов MSS и платформы безопасной разработки, компания рассказала о разработке единой экосистемы для управления защитой от киберугроз, которая должна объединить продукты различных игроков рынка.
🔥16💩11👍3🤔3🤮3❤2
152-ФЗ на самом деле очень гибкая
Сегодня у пользователей Госуслуг отобрали возможность удалить свою учётную запись. Такое ограничение прямо противоречит поправке весны 2021 года в нашу любимую статью ФЗ. Теперь «удалить по первому требованию и никому ничего не доказывать и объяснять» превратилось в «лично обратитесь в МФЦ и мы посмотрим».
Введённое ограничение связано с распространившимися слухами, что в скором времени повестки от военкомата якобы будут приходить в приложение и после этого автоматически считаться врученными адресату, т.е. обязывать призываемого владельца аккаунта явиться в военкомат.
Мы оптимисты и полагаем, что ограничение было введено всё же из-за опасения массового и неоправданного удаления аккаунтов. Кстати, похожая ситуация была и во время объявления мобилизации.
UPD: Минцифры объяснили «временное отключение» возможности удаления аккаунта «участившимися случаями взлома личных аккаунтов» и опровергли, что отключение функции связана с повестками. Это просто совпало так)
НеКасперский
Сегодня у пользователей Госуслуг отобрали возможность удалить свою учётную запись. Такое ограничение прямо противоречит поправке весны 2021 года в нашу любимую статью ФЗ. Теперь «удалить по первому требованию и никому ничего не доказывать и объяснять» превратилось в «лично обратитесь в МФЦ и мы посмотрим».
Введённое ограничение связано с распространившимися слухами, что в скором времени повестки от военкомата якобы будут приходить в приложение и после этого автоматически считаться врученными адресату, т.е. обязывать призываемого владельца аккаунта явиться в военкомат.
Мы оптимисты и полагаем, что ограничение было введено всё же из-за опасения массового и неоправданного удаления аккаунтов. Кстати, похожая ситуация была и во время объявления мобилизации.
UPD: Минцифры объяснили «временное отключение» возможности удаления аккаунта «участившимися случаями взлома личных аккаунтов» и опровергли, что отключение функции связана с повестками. Это просто совпало так)
НеКасперский
🤔21🤡21🤬15😁6👍5💩5❤2🔥1
Media is too big
VIEW IN TELEGRAM
Bing не так уж и хорош...
ИБ-исследователь из Wiz обнаружил, что доступ в админ-панель браузера доступен любому пользователю и в ней можно подменять результаты запросов. Продемонстрировал он это, подменив результат поиска «лучшие саундтреки» таким образом, чтобы первым в списке выдавался его любимый фильм «Хакеры» 1995-го, вместо «Дюны» 2021-го.
Но это не самое интересное. Каждый элемент странички результата поиска — JS код, который обычным образом позволяет перенаправлять пользователя на подробную страничку с карточки. Как вы понимаете, этот код можно изменить. В результате эксперимента исследователю удалось получить креды Office 365 у всех пользователей Bing. С полным доступом к офису, можно вычитать все сообщения с Outlook, Teams, просмотреть файлы SharePoint и т.д.
Дыра появилась из-за Azure Active Directory и более 35% просканированных приложений оказались подвержены уязвимости обхода аутентификации Azure.
Через Azure, кстати, недавно и Пентагон взламывали, может начинать думать?
НеКасперский
ИБ-исследователь из Wiz обнаружил, что доступ в админ-панель браузера доступен любому пользователю и в ней можно подменять результаты запросов. Продемонстрировал он это, подменив результат поиска «лучшие саундтреки» таким образом, чтобы первым в списке выдавался его любимый фильм «Хакеры» 1995-го, вместо «Дюны» 2021-го.
Но это не самое интересное. Каждый элемент странички результата поиска — JS код, который обычным образом позволяет перенаправлять пользователя на подробную страничку с карточки. Как вы понимаете, этот код можно изменить. В результате эксперимента исследователю удалось получить креды Office 365 у всех пользователей Bing. С полным доступом к офису, можно вычитать все сообщения с Outlook, Teams, просмотреть файлы SharePoint и т.д.
Дыра появилась из-за Azure Active Directory и более 35% просканированных приложений оказались подвержены уязвимости обхода аутентификации Azure.
Через Azure, кстати, недавно и Пентагон взламывали, может начинать думать?
НеКасперский
😁15👍7💩5😱4❤2🫡1
⚡️ Собрали для вас дайджест самых важных новостей за сегодня:
• Госдума отозвала документ, требующий ограничить возможности удалённой работы для IT-специалистов, работающих за пределами РФ. Более того, сейчас обсуждается мера по привлечению к работе таких специалистов. Депутат Госдумы Дмитрий Гусеев призвал улучшить условия для IT-специалистов. Предлагается не изменять их налоговый статус, проявлять помощь при валютном переводе, а так же ввести обязательные государственные премии на жильё.
• Минцифры объявили о готовности законопроекта, предполагающий введение оборотных штрафов за утечки. Его сегодня передали в Думу в статусе приоритетного. Максут Шадаев назвал законопроект успехом и намекнул, что процедура принятия будет чисто формальная, так что мы можем ожидать введения закона в силу уже в ближайшие недели.
• Алексей Лукацкий после неудачного выступления от Positive Technologies на форме BIG DATA&AI 2023 теперь сотрудник, недавно сменившей фирменный стиль, МТС. Президент компании Вячеслав Николаев заявил, что рад видеть любые кадры в их растущей компании и Алексей получит пространство, в котором сможет развивать свои навыки.
#fakenews
НеКасперский
• Госдума отозвала документ, требующий ограничить возможности удалённой работы для IT-специалистов, работающих за пределами РФ. Более того, сейчас обсуждается мера по привлечению к работе таких специалистов. Депутат Госдумы Дмитрий Гусеев призвал улучшить условия для IT-специалистов. Предлагается не изменять их налоговый статус, проявлять помощь при валютном переводе, а так же ввести обязательные государственные премии на жильё.
• Минцифры объявили о готовности законопроекта, предполагающий введение оборотных штрафов за утечки. Его сегодня передали в Думу в статусе приоритетного. Максут Шадаев назвал законопроект успехом и намекнул, что процедура принятия будет чисто формальная, так что мы можем ожидать введения закона в силу уже в ближайшие недели.
• Алексей Лукацкий после неудачного выступления от Positive Technologies на форме BIG DATA&AI 2023 теперь сотрудник, недавно сменившей фирменный стиль, МТС. Президент компании Вячеслав Николаев заявил, что рад видеть любые кадры в их растущей компании и Алексей получит пространство, в котором сможет развивать свои навыки.
НеКасперский
🤡28👎9😁7👍6⚡1❤1🔥1
Вчера хакеры из пророссийской FreeCivilian выложили в открытый доступ данные Госслужбы в Чрезвычанйм ситуациям Украины (dsns.gov.ua).
В архиве огромное количество файлов с полной информацией о доменных УЗ, тех.данные AD и не только. В совокупности, в общем доступе пользовательские данные, включающие:
• ФИО;
• даты рождения;
• логины;
• почтовые адреса;
• телефон;
• пароли (как открытые, так и хеши MD5);
• пользовательские сертификаты (.crt).
Содержимое файлов говорит о том, что утекли все регионы страны, а большая часть данных актуальна на 01.04.23.
Напомним, что это не первая успешная попытка ударить по гос.структурам Украины, ранее хакеры доказывали, что «инфобез Украины уже давно накрыт медным тазом».
НеКасперский
В архиве огромное количество файлов с полной информацией о доменных УЗ, тех.данные AD и не только. В совокупности, в общем доступе пользовательские данные, включающие:
• ФИО;
• даты рождения;
• логины;
• почтовые адреса;
• телефон;
• пароли (как открытые, так и хеши MD5);
• пользовательские сертификаты (.crt).
Содержимое файлов говорит о том, что утекли все регионы страны, а большая часть данных актуальна на 01.04.23.
Напомним, что это не первая успешная попытка ударить по гос.структурам Украины, ранее хакеры доказывали, что «инфобез Украины уже давно накрыт медным тазом».
НеКасперский
🔥22👍14🤮5😁2💩2❤1🤡1
Цифровой рубль – кто ты?
Со вчерашнего дня в России началось пилотное тестировании цифрового рубля. Он должен стать полноценной альтернативой существующим формам наличной и безналичной оплаты.
Технически цифровой рубль (далее ЦР) – форма валюты, которая храниться на электронном кошельке ЦБ РФ, в виде уникального цифрового кода.
ЦБ будет только эмитентом и держателем, а сами платежи будут обрабатываться на стороне систем сторонних коммерческих банков.
В чем отличие?
Если разница с наличной формой – очевидна, то вот с безналом не так все прозрачно. Если, безнал – цифровая запись в банке, где фактически хранятся физические средства, то вот ЦР полностью автономен, а это, например, позволит осуществлять его переводы без подключения к Интернету.
Помимо этого, ЦР не будет приносить вам проценты при хранении в ЦБ, но и ответственность за его сохранность будет лежать на регуляторе.
Как и любая другая валюта, ЦР будет в обязательном порядке маркироваться и отслеживаться. Кроме того, его будет возможно запрограммировать на определенные ограничения.
Это что, еще одна криптовалюта?
Не совсем, но концепции схожи. Как и криптовалюта, ЦР – средство расчета и хранения в сети. Он больше напоминает стейблкоин (форма криптовалюты стоимость которой привязана к той или иной фиатной валюте). ЦР, как и простой рубль, обеспечен золотовалютными резервами и другими активами государства. К тому же, эмитентом выступает единый контролирующий орган страны – Центральный Банк.
Ключевая схожесть с криптой, которая и обуславливает внедрение ЦР – использование технологии блокчейна. Децентрализация транзакций позволит системе быть наиболее устойчивой к сбоям и максимально автономной.
Зачем ты нужен?
ЦР – инструмент обеспечения финансовой стабильности государства. Внедрение ЦР позволит сохранить способность государства управлять инфляцией, что стало бы почти невозможным в условиях появления огромного количества неподконтрольных государству цифровых валют.
Что до рядовых пользователей, ЦР станет просто более быстрой, безопасной (нет) и простой формой оплаты.
Как будет работать?
В основе работы системы ЦР лежит платформа ЦБ РФ. Особенность – совмещение централизованного управления счетами и децентрализованных транзакций. Пока не очень понятно, как у ЦБ это реализовало, а вот цели подобной реализации предельно прозрачны — сохранить привлекательность ЦР как у криптовалют и при этом установив полный контроль за всеми транзакциями.
Уже известно, что при подобной реализации все сделки будут осуществляться с использованием смарт-контрактов, то есть напрямую между отправителем и получателем. ЦБ же будет создавать электронные кошельки, а банки их обслуживать, как они это делают с счетами сейчас.
Что там с безопасностью?
Ничего. Все также актуальны будут атаки на виртуальные кошельки, эксплуатация уязвимостей на первых версиях системы в попытке похитить токены пользователей или атаки с применением классической социальной инженерии.
Да, заметно проще будет отслеживать украденные средства, поскольку у каждого цифрового рубля будет свой код, но никто опять не мешает преступникам обналичить похищенную «цифру» до того, как органы среагируют на кражу.
НеКасперский
Со вчерашнего дня в России началось пилотное тестировании цифрового рубля. Он должен стать полноценной альтернативой существующим формам наличной и безналичной оплаты.
Технически цифровой рубль (далее ЦР) – форма валюты, которая храниться на электронном кошельке ЦБ РФ, в виде уникального цифрового кода.
ЦБ будет только эмитентом и держателем, а сами платежи будут обрабатываться на стороне систем сторонних коммерческих банков.
В чем отличие?
Если разница с наличной формой – очевидна, то вот с безналом не так все прозрачно. Если, безнал – цифровая запись в банке, где фактически хранятся физические средства, то вот ЦР полностью автономен, а это, например, позволит осуществлять его переводы без подключения к Интернету.
Помимо этого, ЦР не будет приносить вам проценты при хранении в ЦБ, но и ответственность за его сохранность будет лежать на регуляторе.
Как и любая другая валюта, ЦР будет в обязательном порядке маркироваться и отслеживаться. Кроме того, его будет возможно запрограммировать на определенные ограничения.
Это что, еще одна криптовалюта?
Не совсем, но концепции схожи. Как и криптовалюта, ЦР – средство расчета и хранения в сети. Он больше напоминает стейблкоин (форма криптовалюты стоимость которой привязана к той или иной фиатной валюте). ЦР, как и простой рубль, обеспечен золотовалютными резервами и другими активами государства. К тому же, эмитентом выступает единый контролирующий орган страны – Центральный Банк.
Ключевая схожесть с криптой, которая и обуславливает внедрение ЦР – использование технологии блокчейна. Децентрализация транзакций позволит системе быть наиболее устойчивой к сбоям и максимально автономной.
Зачем ты нужен?
ЦР – инструмент обеспечения финансовой стабильности государства. Внедрение ЦР позволит сохранить способность государства управлять инфляцией, что стало бы почти невозможным в условиях появления огромного количества неподконтрольных государству цифровых валют.
Что до рядовых пользователей, ЦР станет просто более быстрой, безопасной (нет) и простой формой оплаты.
Как будет работать?
В основе работы системы ЦР лежит платформа ЦБ РФ. Особенность – совмещение централизованного управления счетами и децентрализованных транзакций. Пока не очень понятно, как у ЦБ это реализовало, а вот цели подобной реализации предельно прозрачны — сохранить привлекательность ЦР как у криптовалют и при этом установив полный контроль за всеми транзакциями.
Уже известно, что при подобной реализации все сделки будут осуществляться с использованием смарт-контрактов, то есть напрямую между отправителем и получателем. ЦБ же будет создавать электронные кошельки, а банки их обслуживать, как они это делают с счетами сейчас.
Что там с безопасностью?
Ничего. Все также актуальны будут атаки на виртуальные кошельки, эксплуатация уязвимостей на первых версиях системы в попытке похитить токены пользователей или атаки с применением классической социальной инженерии.
Да, заметно проще будет отслеживать украденные средства, поскольку у каждого цифрового рубля будет свой код, но никто опять не мешает преступникам обналичить похищенную «цифру» до того, как органы среагируют на кражу.
НеКасперский
💩14👍10⚡5😁4❤2
В API мобильного приложения Росреестра обнаружилась интересная уязвимость. Она позволяет узнать персональные данные владельца по кадастровому номеру его объекта недвижимости.
По словам пользователя, обнаружившего дыру, правильно сформированный запрос к серверу mobile.rosreestr.ru позволяет получить доступ к персональным данным других пользователей без какой-либо аутентифкации и авторизации.
Полученный в ответ от сервера .json, среди прочей информации содержит следующие строки:
• ФИО
• дата рождения
• адрес
• СНИЛС
• паспорт (серия, номер, кем и когда выдан)
• кадастровая стоимость объекта
• дата регистрации права собственности
На данные момент уязвимость до сих пор не устранена, хотя в тех.поддержку сайта информация была передана.
Ждем заявления от Росреестра об участии в BB от Минцифры, ток скажите им заранее, что скорее всего придется искать и исправлять свои косяки самостоятельно.
НеКасперский
По словам пользователя, обнаружившего дыру, правильно сформированный запрос к серверу mobile.rosreestr.ru позволяет получить доступ к персональным данным других пользователей без какой-либо аутентифкации и авторизации.
Полученный в ответ от сервера .json, среди прочей информации содержит следующие строки:
• ФИО
• дата рождения
• адрес
• СНИЛС
• паспорт (серия, номер, кем и когда выдан)
• кадастровая стоимость объекта
• дата регистрации права собственности
На данные момент уязвимость до сих пор не устранена, хотя в тех.поддержку сайта информация была передана.
Ждем заявления от Росреестра об участии в BB от Минцифры, ток скажите им заранее, что скорее всего придется искать и исправлять свои косяки самостоятельно.
НеКасперский
😁20🤬10🫡4❤2👍2🤮1💩1
Пока ЦБ РФ запускает цифровой рубль, китайцы приезжают в Россию блокировать YouTube, а РКН запрещает анонимность — данные в мире продолжают утекать рекой, а мы не забываем периодически рассказывать вам о самых масштабных и самых резонансных инцидентах в мире утечек и взломов.
• Хакеры из Ukrainian Hacker Group отличились снова. Мы уже рассказывали об утечке у bbnt.ru двумя неделями ранее, а на прошедшей неделе утекло порядка 420 тыс. строк персональных (и не только) данных крупного ресторана японской кухни ProSushi. Среди утекших данных клиентов: ФИО, телефоны, физические и IP-адреса, детали заказа, хеши паролей (куда без них) и т.д. Данные актуальны на 25 марта.
• В сети выставили на продажу данные клиентов брокера Freedom Finance. Изначально не было гарантий, что данные, содержащие ФИО, даты рождения, адреса, ИНН и т.п действительно утекли из баз брокера. Но выборочная проверка через форму восстановления пароля установила, что данные актуальны.
• На теневых площадках всплыла база данных клиентов криптовалютного обменника tetchange.com по цене в $1000. В описании указанно, что БД содержит данные порядка 6 тыс. клиентов обменника и более 45 тыс. транзакций. Сам сайт доступен, но работа приостановлена из-за взлома.
• Сегодня оказались недоступны облачные служб Western Digital. Как объяснили представители компании, сеть вендора хранения данных была взломана, поэтому часть систем пришлось отключить. Атака была обнаружена еще неделю назад, поэтому не совсем ясно почему системы были отключены только сегодня. В любом случае, WD совместно с правоохранительными органами уже ведет расследование инцидента. В настоящий момент все облачные сервисы WD – недоступны.
НеКасперский
• Хакеры из Ukrainian Hacker Group отличились снова. Мы уже рассказывали об утечке у bbnt.ru двумя неделями ранее, а на прошедшей неделе утекло порядка 420 тыс. строк персональных (и не только) данных крупного ресторана японской кухни ProSushi. Среди утекших данных клиентов: ФИО, телефоны, физические и IP-адреса, детали заказа, хеши паролей (куда без них) и т.д. Данные актуальны на 25 марта.
• В сети выставили на продажу данные клиентов брокера Freedom Finance. Изначально не было гарантий, что данные, содержащие ФИО, даты рождения, адреса, ИНН и т.п действительно утекли из баз брокера. Но выборочная проверка через форму восстановления пароля установила, что данные актуальны.
• На теневых площадках всплыла база данных клиентов криптовалютного обменника tetchange.com по цене в $1000. В описании указанно, что БД содержит данные порядка 6 тыс. клиентов обменника и более 45 тыс. транзакций. Сам сайт доступен, но работа приостановлена из-за взлома.
• Сегодня оказались недоступны облачные служб Western Digital. Как объяснили представители компании, сеть вендора хранения данных была взломана, поэтому часть систем пришлось отключить. Атака была обнаружена еще неделю назад, поэтому не совсем ясно почему системы были отключены только сегодня. В любом случае, WD совместно с правоохранительными органами уже ведет расследование инцидента. В настоящий момент все облачные сервисы WD – недоступны.
НеКасперский
🤬12👍3❤1🔥1
Что там с TikTok?
Мы уже писали про намерение США заблокировать социальную сеть на территории страны. А недавно в Конгресс США был направлен законопроект, предполагающий запрет на использование вообще всех VPN-сервисов. Самое смешное, что за их использование гражданам США будут грозить не только штрафы до $1 млн., но и реальные тюремные сроки вплоть до 20 лет.
По мнению сенаторов, разработавших проект, такие сервисы являются инструментом «зарубежного противника», а противники — Россия, Китай, КНДР и т.д. Они также заявляют, что законопроект прямо нацелен не только на TikTok, но и на «Лабораторию Касперского» и Huawei.
Волнения поднялись не только в США. В бывших колониях тоже активно запрещаю короткие видики. Например, сегодня Австралия запретила чиновникам скачивать TikTok на их служебные устройства. Таким образом, все пять стран альянса «Five Eyes» так или иначе ограничили использование социальной сети.
«Лаборатория Касперского создаёт системные риски для национальной безопасности США».
НеКасперский
Мы уже писали про намерение США заблокировать социальную сеть на территории страны. А недавно в Конгресс США был направлен законопроект, предполагающий запрет на использование вообще всех VPN-сервисов. Самое смешное, что за их использование гражданам США будут грозить не только штрафы до $1 млн., но и реальные тюремные сроки вплоть до 20 лет.
По мнению сенаторов, разработавших проект, такие сервисы являются инструментом «зарубежного противника», а противники — Россия, Китай, КНДР и т.д. Они также заявляют, что законопроект прямо нацелен не только на TikTok, но и на «Лабораторию Касперского» и Huawei.
Волнения поднялись не только в США. В бывших колониях тоже активно запрещаю короткие видики. Например, сегодня Австралия запретила чиновникам скачивать TikTok на их служебные устройства. Таким образом, все пять стран альянса «Five Eyes» так или иначе ограничили использование социальной сети.
«Лаборатория Касперского создаёт системные риски для национальной безопасности США».
НеКасперский
🤡49🔥7😁4👍2🤮1
НеКасперский
А ты у него ещё и SQL-запрос написать просил... Как оказалось, OpenAI не особо заморачивается с удалением чатов в своём нашумевшем боте, и сегодня произошла первая утечка компании. Пользователям ChatGPT вдруг стали видны чаты других людей. Компания заявила…
Оказывается, user26322 — сотрудник Samsung
Чуть больше недели назад мы обыграли нелепых сотрудников, а сейчас стало известно, что некоторые инженеры из корпорации активно пользовались ChatGTP в своих работах и ненароком слили часть исходного кода.
За последний месяц как минимум трое сотрудников так или иначе пополнили базу знаний чат-бота. Первый — инженер из отдела полупроводников. Он отправил боту строку исходного кода для проверки его на правильность. Во втором случае один из сотрудников отправил пачку кода для оптимизации. Третий же и вовсе слил корпоративные данные клиентов, чтобы составить протокол встречи.
Конечно, компания заявила, что поработали над этим и инциденты не повторятся, но теперь каждый может выпытать у бота информацию, которую слили сотрудники Samsung.
НеКасперский
Чуть больше недели назад мы обыграли нелепых сотрудников, а сейчас стало известно, что некоторые инженеры из корпорации активно пользовались ChatGTP в своих работах и ненароком слили часть исходного кода.
За последний месяц как минимум трое сотрудников так или иначе пополнили базу знаний чат-бота. Первый — инженер из отдела полупроводников. Он отправил боту строку исходного кода для проверки его на правильность. Во втором случае один из сотрудников отправил пачку кода для оптимизации. Третий же и вовсе слил корпоративные данные клиентов, чтобы составить протокол встречи.
Конечно, компания заявила, что поработали над этим и инциденты не повторятся, но теперь каждый может выпытать у бота информацию, которую слили сотрудники Samsung.
НеКасперский
🔥27😁16👍4
Ничего не понятно, но очень интересно...
В ЕС собираются развернуть «киберкупол» — систему, которая призвана защищать от кибератак европейскую IT-инфраструктуру, о чём почему-то заявил еврокомиссар по вопросам внутреннего рынка. Несмотря на то, что проект ещё не развёрнут и не утверждён законодательно, он заявляет, что европейцы первые в мире сделали подобный проект «на континентальном уровне».
Со слов рассказчика, система будет представлять из себя ИИ на базе суперкомпьютера. Она будет «обнаруживать сигналы, которые укажут на подготовку кибератаки в каком-либо секторе», а на её развёртывание планируют выделить €1 млрд. Акт, предусматривающий развёртывание купола будет представлен Еврокомиссии 18 апреля.
В общем, такой вроде «Окулус» на максималках, но надеемся получить подробности с выходом документа, потому что пока это звучит как что-то мертворождённое, но со словом «суперкомпьютер». Как вычислять «подготовку кибератаки», например, на банки или аэропорты — вопрос. Конечно, если только просто не читать каналы хакерских группировок 😄
НеКасперский
В ЕС собираются развернуть «киберкупол» — систему, которая призвана защищать от кибератак европейскую IT-инфраструктуру, о чём почему-то заявил еврокомиссар по вопросам внутреннего рынка. Несмотря на то, что проект ещё не развёрнут и не утверждён законодательно, он заявляет, что европейцы первые в мире сделали подобный проект «на континентальном уровне».
Со слов рассказчика, система будет представлять из себя ИИ на базе суперкомпьютера. Она будет «обнаруживать сигналы, которые укажут на подготовку кибератаки в каком-либо секторе», а на её развёртывание планируют выделить €1 млрд. Акт, предусматривающий развёртывание купола будет представлен Еврокомиссии 18 апреля.
В общем, такой вроде «Окулус» на максималках, но надеемся получить подробности с выходом документа, потому что пока это звучит как что-то мертворождённое, но со словом «суперкомпьютер». Как вычислять «подготовку кибератаки», например, на банки или аэропорты — вопрос. Конечно, если только просто не читать каналы хакерских группировок 😄
НеКасперский
😁22🤡12👍3🤔3❤1