Инфосек вендор Malwarebytes завил, что в декабре 2020 года (а возможно и ранее) подвергся атаке хакерской группы, стоящей за кибероперацией Sunburst по компрометации американского IT-разработчика SolarWinds.
Со слов руководителей компании, эта атака ни коим образом не связана с использованием зараженного ПО от SolarWinds, а произошла путем взлома некого стороннего неактивного продукта для защиты электронной почты в Office 365. В результате хакеры смогли получить доступ к ограниченному объему внутренней переписки. Malwarebytes также проверили все собственные производственные среды и уверяют, что их ПО осталось незатронутым.
Насколько мы поняли из сообщения, данные о причастности к этой атаке APT, ответственной за Sunburst, были получены от Microsoft Security Response Center. Конкретных TTPs Malwarebytes не приводит, возможно у них самих их нет.
Со слов руководителей компании, эта атака ни коим образом не связана с использованием зараженного ПО от SolarWinds, а произошла путем взлома некого стороннего неактивного продукта для защиты электронной почты в Office 365. В результате хакеры смогли получить доступ к ограниченному объему внутренней переписки. Malwarebytes также проверили все собственные производственные среды и уверяют, что их ПО осталось незатронутым.
Насколько мы поняли из сообщения, данные о причастности к этой атаке APT, ответственной за Sunburst, были получены от Microsoft Security Response Center. Конкретных TTPs Malwarebytes не приводит, возможно у них самих их нет.
Позавчера мы написали пост про анонимный поисковик DuckDuckGo, в котором выразили опасения о том, что за этим благим, но слабо монетизируемым, проектом могут стоять большие дяди, а сама анонимность может являться фикцией.
Нам написали несколько подписчиков, которые подсказали, что небольшое количество рекламы, ориентированной, в основном, на англоязычных пользователей, в DuckDuckGo все-таки есть.
А вот новостью для нас оказалось, что DuckDuckGo - это один из основных поисковиков Даркнета. И в связи с этим нам скинули ссылку на статью портала FLB, которая вышла в конце 2019 года и которую мы не видели. А статья прелюбопытная и посвящена Tor. Хоть и написана, скорее всего, не без участия соответствующих органов. Но нас в первую очередь интересует фактура.
То, что Tor является продуктом американской военной разведки РУМО мы знали и раньше, о чем не раз писали. Но журналисты FLB рассказывают эту историю более подробно, а главное - приводят официальные документы об источниках финансирования НКО The Tor Project, в ведении которой Tor находится с 2006 года.
Если говорить кратко - в период с 2006 по 2018 годы The Tor Project получили от спонсоров в общей сложности 32,5 млн. долларов, из которых 80% составили поступления от американских правительственных учреждений (Госдепартамент, Министерство обороны), их дочерних организаций и фондов. С очень большой долей вероятности они контролируют деятельность The Tor Project и могут тем или иным образом влиять на работу Tor, возможно и получать данные в отношении активности пользователей.
Еще год назад большинство наших подписчиков сказали бы, что у нас паранойя и мы перечитали теории заговоров. Но последние события четко показывают, что в нужный момент все права и свободы пользователей моментально ставятся в кавычки.
Анонимность такая анонимность.
Нам написали несколько подписчиков, которые подсказали, что небольшое количество рекламы, ориентированной, в основном, на англоязычных пользователей, в DuckDuckGo все-таки есть.
А вот новостью для нас оказалось, что DuckDuckGo - это один из основных поисковиков Даркнета. И в связи с этим нам скинули ссылку на статью портала FLB, которая вышла в конце 2019 года и которую мы не видели. А статья прелюбопытная и посвящена Tor. Хоть и написана, скорее всего, не без участия соответствующих органов. Но нас в первую очередь интересует фактура.
То, что Tor является продуктом американской военной разведки РУМО мы знали и раньше, о чем не раз писали. Но журналисты FLB рассказывают эту историю более подробно, а главное - приводят официальные документы об источниках финансирования НКО The Tor Project, в ведении которой Tor находится с 2006 года.
Если говорить кратко - в период с 2006 по 2018 годы The Tor Project получили от спонсоров в общей сложности 32,5 млн. долларов, из которых 80% составили поступления от американских правительственных учреждений (Госдепартамент, Министерство обороны), их дочерних организаций и фондов. С очень большой долей вероятности они контролируют деятельность The Tor Project и могут тем или иным образом влиять на работу Tor, возможно и получать данные в отношении активности пользователей.
Еще год назад большинство наших подписчиков сказали бы, что у нас паранойя и мы перечитали теории заговоров. Но последние события четко показывают, что в нужный момент все права и свободы пользователей моментально ставятся в кавычки.
Анонимность такая анонимность.
flb.ru
Tor. Обратная сторона интернета
FLB: Кто создал и кто финансирует и поддерживает DarkNet/«Тёмную сеть». Вначале был The Onion Router/Tor, «появившийся из ребра» исследовательской лаборатории ВМС США. Часть 1
Исследователи лаборатории JOSF Еврейского университета в Иерусалиме выпустили отчет о выявленном наборе уязвимостей, позволяющих осуществить DNS-спуфинг (модификация кэша DNS с целью возврата пользователю ложного IP-адреса) и удаленное выполнение кода (RCE), который они назвали DNSpooq.
DNSpooq состоит из 7 уязвимостей в открытом DNS-сервере dnsmasq, который широко используется в IoT, домашних и корпоративных маршрутизаторах, даже в Android-телефонах. Все ошибки разделены на два типа - три (CVE-2020-25684, 25685, 25686) позволяют осуществлять DNS-спуфинг, а четыре других (CVE-2020-25681, 25682, 25683, 25687) приводят к RCE за счет переполнения кучи. С помощью комбинации эксплойтов уязвимостей исследователи смогли существенно снизить сложность атаки.
Самое смешное, что все выявленные уязвимости связаны с корявой реализацией работы протокола DNSSEC, как раз предназначенного для повышения безопасности DNS. Таким образом, пользователь устройства с уязвимой версией dnsmasq может отключить DNSSEC, чтобы избежать атак с использованием ошибок DNSpooq, но тогда станет уязвим перед более старыми атаками DNS-спуфинга.
Вместо отключения DNSSEC исследователи рекомендуют обновить dnsmaq до безопасной версии, но, как мы знаем, далеко не все IoT-устройства вовремя получают обновления прошивки.
Среди уязвимых устройств - некоторые маршрутизаторы ASUS, Cisco, D-Link, смартфоны Honor и Motorola, и даже дистрибутив Red Hat. Крупные производители уже выпустили исправления.
Полный список уязвимых устройств доступен по ссылке.
DNSpooq состоит из 7 уязвимостей в открытом DNS-сервере dnsmasq, который широко используется в IoT, домашних и корпоративных маршрутизаторах, даже в Android-телефонах. Все ошибки разделены на два типа - три (CVE-2020-25684, 25685, 25686) позволяют осуществлять DNS-спуфинг, а четыре других (CVE-2020-25681, 25682, 25683, 25687) приводят к RCE за счет переполнения кучи. С помощью комбинации эксплойтов уязвимостей исследователи смогли существенно снизить сложность атаки.
Самое смешное, что все выявленные уязвимости связаны с корявой реализацией работы протокола DNSSEC, как раз предназначенного для повышения безопасности DNS. Таким образом, пользователь устройства с уязвимой версией dnsmasq может отключить DNSSEC, чтобы избежать атак с использованием ошибок DNSpooq, но тогда станет уязвим перед более старыми атаками DNS-спуфинга.
Вместо отключения DNSSEC исследователи рекомендуют обновить dnsmaq до безопасной версии, но, как мы знаем, далеко не все IoT-устройства вовремя получают обновления прошивки.
Среди уязвимых устройств - некоторые маршрутизаторы ASUS, Cisco, D-Link, смартфоны Honor и Motorola, и даже дистрибутив Red Hat. Крупные производители уже выпустили исправления.
Полный список уязвимых устройств доступен по ссылке.
На РБК прекрасное - исследователи компании Postuf нашли уязвимость в Android-приложении Госуслуги Москвы, позволяющую получить доступ к аккаунту, зная только мобильный номер пользователя.
В результате хакер, кроме доступа к персональным данным пользователя, мог внести новые сведения, о которых жертва могла узнать только случайно, поскольку механизма информирования пользователя о внесенных правках на Госулуги Москвы не предусмотрено.
Ситуация не до конца ясная, поскольку журналисты РБК утверждают, что непосредственно сами видели PoC, а вот представители ДИТ и некоторых других компаний заявили, что не смогли проэксплуатировать уязвимость. Возможно это связано с тем, что специалисты ДИТ оперативно ее закрыли.
И как всегда ответственности никто из руководителей не понесет. А значит все это будет продолжаться.
В результате хакер, кроме доступа к персональным данным пользователя, мог внести новые сведения, о которых жертва могла узнать только случайно, поскольку механизма информирования пользователя о внесенных правках на Госулуги Москвы не предусмотрено.
Ситуация не до конца ясная, поскольку журналисты РБК утверждают, что непосредственно сами видели PoC, а вот представители ДИТ и некоторых других компаний заявили, что не смогли проэксплуатировать уязвимость. Возможно это связано с тем, что специалисты ДИТ оперативно ее закрыли.
И как всегда ответственности никто из руководителей не понесет. А значит все это будет продолжаться.
РБК
Эксперты нашли уязвимость в приложении московских госуслуг
Специалисты компании Postuf сообщили об уязвимости в приложении столичных госуслуг, с помощью которой можно было получить доступ к аккаунту, зная только мобильный номер пользователя. К моменту
Это, пожалуй, кандидат на звание "Пентест года". Так сказать, фаззинг в дикой природе.
Forwarded from Эксплойт | Live
Дети случайно нашли уязвимость в экране блокировки Linux Mint
Согласно баг-репорту на GitHub, двое детей нажимали случайные клавиши как на физической, так и на экранной клавиатуре заблокированного устройства.
Это привело к сбою заставки Linux Mint, что в конечном итоге открыло им доступ к рабочему столу без пароля.
Пользователь отметил, что это не единичный случай: детям удалось обойти экран блокировки и во второй раз.
Выяснилось, что ошибка возникает при нажатии клавиши «ё» на экранной клавиатуре.
К счастью, на прошлой неделе разработчики Linux Mint исправили эту уязвимость.
Согласно баг-репорту на GitHub, двое детей нажимали случайные клавиши как на физической, так и на экранной клавиатуре заблокированного устройства.
Это привело к сбою заставки Linux Mint, что в конечном итоге открыло им доступ к рабочему столу без пароля.
Пользователь отметил, что это не единичный случай: детям удалось обойти экран блокировки и во второй раз.
Выяснилось, что ошибка возникает при нажатии клавиши «ё» на экранной клавиатуре.
К счастью, на прошлой неделе разработчики Linux Mint исправили эту уязвимость.
Израильские исследователи из Check Point сообщают, что вскрыли крупную фишинговую кампанию, направленную на сбор учетных данных корпоративных сотрудников.
Киберкампания началась в августе 2020 года и была направлена, преимущественно, на строительный и энергетический сектора, хотя среди целей присутствовали и IT-компании, и производственные, и медицинские. В качестве приманки использовалось уведомление о сканировании копиром Xerox, которое при открытии просило ввести пароль Office 365. В некоторых случаях для рассылки фишинга использовались заранее скомпрометированные почтовые ящики реальных людей.
Всего хакеры увели более 1 тысячи учетных данных, что, на самом деле, совсем не головокружительное число. И наш интерес вызвала не столько сама фишинговая кампания, а тот факт, что злоумышленники криво настроили сервера, на которых хранили украденные данные, в силу чего их проиндексировал Google.
Кроме того, Check Point сообщил, что TTPs выявленной операции совпадают с другой фишинговой компанией, которая была обнаружена в мае 2020 и также была направлена на сбор учетных данных Office 365. Какая конкретно группа стоит за атакой - не сообщается.
Киберкампания началась в августе 2020 года и была направлена, преимущественно, на строительный и энергетический сектора, хотя среди целей присутствовали и IT-компании, и производственные, и медицинские. В качестве приманки использовалось уведомление о сканировании копиром Xerox, которое при открытии просило ввести пароль Office 365. В некоторых случаях для рассылки фишинга использовались заранее скомпрометированные почтовые ящики реальных людей.
Всего хакеры увели более 1 тысячи учетных данных, что, на самом деле, совсем не головокружительное число. И наш интерес вызвала не столько сама фишинговая кампания, а тот факт, что злоумышленники криво настроили сервера, на которых хранили украденные данные, в силу чего их проиндексировал Google.
Кроме того, Check Point сообщил, что TTPs выявленной операции совпадают с другой фишинговой компанией, которая была обнаружена в мае 2020 и также была направлена на сбор учетных данных Office 365. Какая конкретно группа стоит за атакой - не сообщается.
Check Point Blog
Cyber Criminals Leave Stolen Phishing Credentials in Plain Sight - Check Point Blog
Introduction Cyber-crime is a complex landscape, but when it comes to actually launching cyber-attacks, there are three main techniques that criminals
Новость недельной давности, но как-то про нее особо не писали.
В июне и июле 2020 года из компании Ledger, производящей аппаратные криптокошельки, была похищена информация о более чем 1 млн. электронных почтовых ящиков подписчиков информационного бюллетеня, и, что намного хуже, данные больше 270 тысяч пользователей, делавших заказ на доставку Ledger Nano на дом. В базе содержались имена покупателей, их телефоны, электронная почта и адреса доставки.
Представители Ledger говорят, что были поставлены в известность об утечке одним из исследователей и устранили компрометацию. По их словам, хакер получил несанкционированный доступ к базе данных с помощью ключа API, принадлежащего третьей стороне, видимо, одному из партнеров.
20 декабря прошлого года украденная база данных была выкинута на одном из хакерских форумов, а неделю назад покупатели криптокошельков Ledger Nano стали получать угрозы от неизвестных злоумышленников с указанием полного имени и адреса проживания и угроз физической расправы в случае невыплаты выкупа в криптовалюте на сумму около 12 тыс. долларов.
С большой долей вероятности эти угрозы не несут реальной подоплеки, но никто не может дать гарантии, что особо продвинутые бандиты не достанут базу и не начнут отлавливать владельцев криптокошельков около их домов. Ведь как минимум у потенциальных терпил есть некая сумма в криптовалюте, для которой они покупали этот самый криптокошелек.
Остается только риторический вопрос - какого ляда сам производитель Ledger хранил столь чувствительные данные в единой базе, если он распространяет весьма конфиденциальные гаджеты, да еще и давал к ней доступ сторонним фирмам. Ответ ожидаемый - бабло побеждает разум, маркетинг превыше всего.
Теперь будут кушать полной ложкой последствия своей жадности. Потому что авторитета как конфиденциального производителя, думается, у них не осталось.
В июне и июле 2020 года из компании Ledger, производящей аппаратные криптокошельки, была похищена информация о более чем 1 млн. электронных почтовых ящиков подписчиков информационного бюллетеня, и, что намного хуже, данные больше 270 тысяч пользователей, делавших заказ на доставку Ledger Nano на дом. В базе содержались имена покупателей, их телефоны, электронная почта и адреса доставки.
Представители Ledger говорят, что были поставлены в известность об утечке одним из исследователей и устранили компрометацию. По их словам, хакер получил несанкционированный доступ к базе данных с помощью ключа API, принадлежащего третьей стороне, видимо, одному из партнеров.
20 декабря прошлого года украденная база данных была выкинута на одном из хакерских форумов, а неделю назад покупатели криптокошельков Ledger Nano стали получать угрозы от неизвестных злоумышленников с указанием полного имени и адреса проживания и угроз физической расправы в случае невыплаты выкупа в криптовалюте на сумму около 12 тыс. долларов.
С большой долей вероятности эти угрозы не несут реальной подоплеки, но никто не может дать гарантии, что особо продвинутые бандиты не достанут базу и не начнут отлавливать владельцев криптокошельков около их домов. Ведь как минимум у потенциальных терпил есть некая сумма в криптовалюте, для которой они покупали этот самый криптокошелек.
Остается только риторический вопрос - какого ляда сам производитель Ledger хранил столь чувствительные данные в единой базе, если он распространяет весьма конфиденциальные гаджеты, да еще и давал к ней доступ сторонним фирмам. Ответ ожидаемый - бабло побеждает разум, маркетинг превыше всего.
Теперь будут кушать полной ложкой последствия своей жадности. Потому что авторитета как конфиденциального производителя, думается, у них не осталось.
Cointelegraph
Ledger owners report chilling threats after 20K more records leaked
Around 20,000 more Ledger users are potentially at risk of physical attacks, blackmail, and phishing attempts.
Как мы помним, в сентябре прошлого года сеть Университетской больницы в Дюссельдорфе (UKD) подверглась атаке со стороны ransomware, в результате чего ИТ-системы больницы вышли из строя и оказание плановой и неотложной медицинской помощи стало невозможным. Из-за этого погибла пациентка, которую не успели довести до соседней больницы при экстренной госпитализации.
Кейс, конечно из ряда вон. Другое дело, что ходили слухи, согласно которым доступ в сеть больницы продали оператору ransomware под видом доступа в сеть самого Дюссельдорфского университета. По крайней мере, сразу после уведомления со стороны немецкой полиции о принадлежности зашифрованных ресурсов медицинскому учреждению хакеры прислали дешифровщик.
И вот снова атака на больничную сеть. В этот раз пострадала бельгийская больница CHwapi, в ходе которой 40 серверов были зашифрованы.
Атака произошла в воскресенье, в ее результате больница прекратила оказание хирургической помощи и перенаправила пациентов, нуждающихся в неотложной медицинской помощи, в другие больницы.
Во вторник с журналистами BleepingComputer связались стоящие за атакой злоумышленники и сообщили, что они осуществили шифрование не каким-либо вымогателем, а штатным инструментом Windows BitLocker. Они оставили записку о выкупе, но IT-менеджеры не передали информацию о ней руководству больницы.
Хакеры сообщили, что вместо традиционных ransomware они используют Windows BitLocker и DiskCryptor. При этом никаких угрызений совести по поводу нападения на больницу они, похоже, не испытывают.
Кейс, конечно из ряда вон. Другое дело, что ходили слухи, согласно которым доступ в сеть больницы продали оператору ransomware под видом доступа в сеть самого Дюссельдорфского университета. По крайней мере, сразу после уведомления со стороны немецкой полиции о принадлежности зашифрованных ресурсов медицинскому учреждению хакеры прислали дешифровщик.
И вот снова атака на больничную сеть. В этот раз пострадала бельгийская больница CHwapi, в ходе которой 40 серверов были зашифрованы.
Атака произошла в воскресенье, в ее результате больница прекратила оказание хирургической помощи и перенаправила пациентов, нуждающихся в неотложной медицинской помощи, в другие больницы.
Во вторник с журналистами BleepingComputer связались стоящие за атакой злоумышленники и сообщили, что они осуществили шифрование не каким-либо вымогателем, а штатным инструментом Windows BitLocker. Они оставили записку о выкупе, но IT-менеджеры не передали информацию о ней руководству больницы.
Хакеры сообщили, что вместо традиционных ransomware они используют Windows BitLocker и DiskCryptor. При этом никаких угрызений совести по поводу нападения на больницу они, похоже, не испытывают.
BleepingComputer
CHwapi hospital hit by Windows BitLocker encryption cyberattack
The CHwapi hospital in Belgium is suffering from a cyberattack where threat actors claim to have encrypted 40 servers and 100 TB of data using Windows Bitlocker.
Инфосек компания Netscout сообщила, что обнаружила новый вектор усиления DDoS-атак через сервера Microsoft Windows RDP, работающих через порт UDP 3389.
При получении специальным образом сформированных пакетов UDP сервер RDP начинает отвечать с коэффициентом усиления 85,9 (более чем приличное значение). Исследователи выявили более 14 тыс. серверов RDP, которые могут быть использованы для проведения DDoS.
Эксперты Netscout утверждают, что наблюдают использование этого вектора атаки в дикой природе, мощность DDoS варьируется от 20 до 750 Гбит/c. Последствием фильтрации же трафика может повлечь нарушение легитимной работы RDP серверов.
В качестве мер защиты Netscout рекомендует использовать TCP порт 3389 вместо UDP, а также ставить сервера RDP за VPN.
При получении специальным образом сформированных пакетов UDP сервер RDP начинает отвечать с коэффициентом усиления 85,9 (более чем приличное значение). Исследователи выявили более 14 тыс. серверов RDP, которые могут быть использованы для проведения DDoS.
Эксперты Netscout утверждают, что наблюдают использование этого вектора атаки в дикой природе, мощность DDoS варьируется от 20 до 750 Гбит/c. Последствием фильтрации же трафика может повлечь нарушение легитимной работы RDP серверов.
В качестве мер защиты Netscout рекомендует использовать TCP порт 3389 вместо UDP, а также ставить сервера RDP за VPN.
NETSCOUT
Microsoft Remote Desktop Protocol (RDP) Reflection/Amplification DDoS Attack Mitigation Recommendations - January 2021 | NETSCOUT
Recently observed DDoS attacks leverage abusable Microsoft RDP service to launch UDP Reflection/Amplification attacks with an 85.9:1 amplification factor.
В конце декабря оператор ransomware взломал сеть Шотландского агентства охраны окружающей среды (SEPA). Мы эту новость видели, но не стали ее освещать - взломали и взломали, не в первый раз государственные агентства подвергаются атакам вымогателей.
Однако, в этот раз все зашло немного дальше. Во-первых, SEPA так и не смогло восстановить работоспособность своих сервисов. А во-вторых, владелец ransomware, которым оказалась группа Conti, последовал своим угрозам и опубликовал на своем DLS порядка 1,2 Гб украденной информации.
Судя по реакции SEPA, в опубликованных сведениях хватает персональных данных и конфиденциальной информации.
КНК, это первая утечка информации государственного агентства после атаки ransomware, разве нет?
Однако, в этот раз все зашло немного дальше. Во-первых, SEPA так и не смогло восстановить работоспособность своих сервисов. А во-вторых, владелец ransomware, которым оказалась группа Conti, последовал своим угрозам и опубликовал на своем DLS порядка 1,2 Гб украденной информации.
Судя по реакции SEPA, в опубликованных сведениях хватает персональных данных и конфиденциальной информации.
КНК, это первая утечка информации государственного агентства после атаки ransomware, разве нет?
The New York Times продолжает жечь напалмом.
В своей новой статье про противостояние администрации Байдена русским хакерам в киберпространстве журналисты пишут, что "сотрудники американской разведки пришли к выводу, что более тысячи российских программистов были most likely вовлечены во взлом SolarWinds".
Русские хакеры, тысячи их.
В своей новой статье про противостояние администрации Байдена русским хакерам в киберпространстве журналисты пишут, что "сотрудники американской разведки пришли к выводу, что более тысячи российских программистов были most likely вовлечены во взлом SolarWinds".
Русские хакеры, тысячи их.
NY Times
Biden Orders Sweeping Assessment of Russian Hacking, Even While Renewing Nuclear Treaty
There will be no “reset” of the American relationship with Moscow, administration officials say. But in an era of constant confrontation in cyberspace, the president seeks to avoid a nuclear arms race.
Коммерсант пишет, что мамкины хакеры рассылают владельцам ТГ-каналов трояны под видом рекламных материалов, чтобы эти самые каналы увести.
Никита Могутин, руководитель Baza, говорит, что злоумышленники могут представляться рекламными менеджерами платформы GeekBrains.
Самое смешное, что нам перед НГ тоже писали "менеджеры, ищущие площадки под рекламу GeekBrains". Но ничего не прислали и ушли в закат. Прямо как особист-контрразведчик из фильма ДМБ - "Денег предлагал, но не дал".
Жалко. Такой кейс прикольный мог бы получиться...
Никита Могутин, руководитель Baza, говорит, что злоумышленники могут представляться рекламными менеджерами платформы GeekBrains.
Самое смешное, что нам перед НГ тоже писали "менеджеры, ищущие площадки под рекламу GeekBrains". Но ничего не прислали и ушли в закат. Прямо как особист-контрразведчик из фильма ДМБ - "Денег предлагал, но не дал".
Жалко. Такой кейс прикольный мог бы получиться...
Коммерсантъ
Хакеры заказали рекламу в Telegram
Атаки на владельцев каналов в мессенджере участились
ZDNet сообщает, что на одном из хакерских форумов актором под псевдонимом ShinyHunters была выброшена в паблик база данных сайта знакомств MeetMindful.
База размером в 1,2 Гб содержит регистрационные данные пользователей, включая место проживания, информацию о предпочтениях при свидании, ID и токены аутентификации Facebook, а также хэшированные в bcrypt пароли. Внутренней переписки нет. Всего были выложены данные 2,28 млн. пользователей.
Утечка, конечно, приличная, но не самая большая и не первая. Кратенько только за 2020 год:
- в мае были украдены данные 3,6 млн. пользователей мобильного приложения для знакомств MobiFriends;
- в июне найдена незакрытая корзина Amazon S3, в которой лежали 845 Гб данных специализированных приложений для знакомств (3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и др.), в том числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовая информация, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты;
- в сентябре найден открытый Elasticsearch сервер, содержащий базу данных 66 млн. push-уведомлений, которые сайты знакомств отправляли своим пользователям с помощью маркетинговой платформы Mailfire. Кроме копий сообщений, на база содержала "отладочную" информацию, в которую включались личные данные пользователей - имя, возраст, адрес электронной почты, местоположение и даже IP-адреса, а также ссылка на профиль пользователя и ключ аутентификации.
Так что сервисами знакомств надо пользоваться аккуратно. Лучшее решение по защите конфиденциальности - противогаз. Морду лица не видно, а душу - да.
База размером в 1,2 Гб содержит регистрационные данные пользователей, включая место проживания, информацию о предпочтениях при свидании, ID и токены аутентификации Facebook, а также хэшированные в bcrypt пароли. Внутренней переписки нет. Всего были выложены данные 2,28 млн. пользователей.
Утечка, конечно, приличная, но не самая большая и не первая. Кратенько только за 2020 год:
- в мае были украдены данные 3,6 млн. пользователей мобильного приложения для знакомств MobiFriends;
- в июне найдена незакрытая корзина Amazon S3, в которой лежали 845 Гб данных специализированных приложений для знакомств (3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и др.), в том числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовая информация, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты;
- в сентябре найден открытый Elasticsearch сервер, содержащий базу данных 66 млн. push-уведомлений, которые сайты знакомств отправляли своим пользователям с помощью маркетинговой платформы Mailfire. Кроме копий сообщений, на база содержала "отладочную" информацию, в которую включались личные данные пользователей - имя, возраст, адрес электронной почты, местоположение и даже IP-адреса, а также ссылка на профиль пользователя и ключ аутентификации.
Так что сервисами знакомств надо пользоваться аккуратно. Лучшее решение по защите конфиденциальности - противогаз. Морду лица не видно, а душу - да.
ZDNET
Hacker leaks data of 2.28 million dating site users
Data belongs to dating site MeetMindful and includes everything from real names to Facebook account tokens, and from email addresses and geo-location information.
Голландский исследователь (или исследовательница, их там хрен поймешь с этим дайверсити) VriesHd выложил результаты своего анализа более 200 тыс. поддоменов avsvmcloud .com, использовавшегося в ходе атаки Sunburst на американского IT-разработчика SolarWinds.
Напомним, что бэкдор Sunburst шифровал собранные сведения о зараженной сети и передавал их управляющему центру в виде DNS-запросов. Таким образом, расшифровав эти данные можно попробовать получить информацию о предполагаемой жертве.
VriesHd отбросил "белый шум", расшифровал данные, в том числе с использованием ранее созданных для этих целей инструментов инфосек вендоров FireEye, QiAnXin и NETRESEC, и получил информацию в отношении порядка 35 тыс. жертв, которые были заражены Sunburst. Несколько российских доменов мы в нем нашли - к примеру detmir-group .ru или bristolcapital .ru.
Конечно, этот список не окончательный и если домена компании, использующей SolarWinds Orion, в нем нет, то из этого автоматически не следует, что она не была заражена.
Напомним, что бэкдор Sunburst шифровал собранные сведения о зараженной сети и передавал их управляющему центру в виде DNS-запросов. Таким образом, расшифровав эти данные можно попробовать получить информацию о предполагаемой жертве.
VriesHd отбросил "белый шум", расшифровал данные, в том числе с использованием ранее созданных для этих целей инструментов инфосек вендоров FireEye, QiAnXin и NETRESEC, и получил информацию в отношении порядка 35 тыс. жертв, которые были заражены Sunburst. Несколько российских доменов мы в нем нашли - к примеру detmir-group .ru или bristolcapital .ru.
Конечно, этот список не окончательный и если домена компании, использующей SolarWinds Orion, в нем нет, то из этого автоматически не следует, что она не была заражена.
Medium
Finding SUNBURST victims and targets by using passive DNS, OSINT
And a bit of cheating along the way
Южноафриканские СМИ рассказывают как просто и незатейливо можно свиснуть IP-адресов на 80 миллионов долларов.
Соучредитель и по совместительству инженер Африканского сетевого информационного центра (AFRINIC) Эрнест Бьяруханга в течение нескольких лет переписал на своих подельников более 4,1 млн. IP-адресов, распределением которых и занимается AFRINIC.
Первым на это обратил внимание интернет-активист Рон Гильметт, который еще в ноябре 2016 года обнаружил, что большие блоки африканских IP-адресов захвачены спамерами. Только через два с половиной года правоохранительные органы (в первую очередь ФБР) обратили на это внимание, а год назад AFRINIC стал возвращать в свое ведение украденные IP-адреса. При этом спамеры и подельники Бьяруханги стали с ним судиться. Правда в суде отказались предоставить какие-либо документы, подтверждающие покупку этих IP-адресов.
А сейчас AFRINIC опубликовал официальный отчет внутренней ревизии, в котором подтвердил факт кражи Бьярухангой этих самых 4,1 млн. IP-адресов.
Киберпреступность по-южноафрикански.
Соучредитель и по совместительству инженер Африканского сетевого информационного центра (AFRINIC) Эрнест Бьяруханга в течение нескольких лет переписал на своих подельников более 4,1 млн. IP-адресов, распределением которых и занимается AFRINIC.
Первым на это обратил внимание интернет-активист Рон Гильметт, который еще в ноябре 2016 года обнаружил, что большие блоки африканских IP-адресов захвачены спамерами. Только через два с половиной года правоохранительные органы (в первую очередь ФБР) обратили на это внимание, а год назад AFRINIC стал возвращать в свое ведение украденные IP-адреса. При этом спамеры и подельники Бьяруханги стали с ним судиться. Правда в суде отказались предоставить какие-либо документы, подтверждающие покупку этих IP-адресов.
А сейчас AFRINIC опубликовал официальный отчет внутренней ревизии, в котором подтвердил факт кражи Бьярухангой этих самых 4,1 млн. IP-адресов.
Киберпреступность по-южноафрикански.
MyBroadband
R1.3-billion worth of IP addresses stolen in brazen heist
AFRINIC’s internal audit revealed theft of over 4 million IP addresses worth R1.3 billion.
На Hackmaggedon стали публиковать интерактивные карты кибератак. Ранее исследователи представляли данные в виде таблиц.
Безусловно, на сайте отражены не все кибератаки, но если вы интересуетесь темой, то это весьма удобный формат для первичного ознакомления.
Безусловно, на сайте отражены не все кибератаки, но если вы интересуетесь темой, то это весьма удобный формат для первичного ознакомления.
HACKMAGEDDON
1-15 January 2021 Cyber Attacks Timeline
I am happy to announce that starting from this first blog post, I have introduced an important change. Now the list of cyber attacks is a real interactive timeline.
Иран решил не отставать от США в части применения передовых демократических практик и во славу народовластия и свободы слова заблокировал Signal.
Twitter
AmiR Rashidi
Update: @signalapp's website was blocked by TIC and the app is blocked on ISP level. https://t.co/pktAWPlRab