Для подписчиков От чемоданчиков с поддельными базовыми станциями до эксплоитов HackingTeam: с какими угрозами сегодня приходится сталкиваться пользователям и корпорациям и как устроены серьезные защитные технологии.
Для подписчиков Есть у коммерческого софта одна очень нехорошая особенность, которую я бы назвал бесконечным ростом функциональности: чтобы продажи новых версий софта не падали, компании начинают пихать в него все подряд. И если на десктопе это не такая уж проблема, то на мобильниках подобный софт приводит порой и к совсем непредсказуемым последствиям.
Нередко исследователи в области информационной безопасности получают за свою работу не вознаграждение, а повестку в суд. 36-летнему Джастину Шаферу (Justin Shafer) повезло еще меньше: после того как он сообщил о проблеме на сервере компании, обслуживающей стоматологические клиники, ранним утром к нему домой нагрянули больше десятка вооруженных агентов ФБР.
На прошлой неделе мы рассказывали о том, что ИБ-сообщество с большим скепсисом отнеслось к планам компании Dropbox, которая в скором времени собирается дать своему клиенту доступ к ядру системы. Теперь разработчики Dropbox пытаются успокоить общественность.
Только эксперты и компания LinkedIn разобрались с утечкой данных 117 млн пользователей, как на черном рынке появились пароли миллионов пользователей MySpaсe и Tumblr. Базы, содержащие 427 млн паролей от MySpace и 65 млн паролей от Tumblr продает тот же хакер, который ранее занимался распространением базы LinkedIn. Уже есть подтверждения того, что информация подлинная.
Разработчики вредоносных приложений постепенно адаптируются к особенностям новой системы управления правами доступа к системным сервисам и персональной информации, которая встроена в Android 6.0 Marshmallow. Её поддержка появилась в двух известных троянах для мобильной платформы Google.
Специалисты компании Sucuri обнаружили опасную уязвимость в популярном плагине Jetpack для Wordpress. Используя её, злоумышленник может избежать санитизации вводимых данных и внедрить в страницу вредоносный код. Это, в свою очередь, позволит ему захватывать чужие учётные записи, в том числе администраторские.
Независимый эксперт Киаран Макнелли (Ciaran McNally) рассказал в блоге о своем печальном опыте участия в закрытом бета-тестировании bug bounty программы Pornhub. По словам эксперта, порносайт наотрез отказывается выплачивать крупные вознаграждения и оправдывает это тем, что на уязвимые сервисы bug bounty не распространяется.
Эксперты оборонной корпорации BAE Systems, а также аналитики компаний Symantec, IssueMakersLab и FireEye продолжают расследовать атаки на международную банковскую систему SWIFT. Ранее, в марте 2016 года, из-за брешей в SWIFT злоумышленникам почти удалось похитить миллиард долларов у центрального банка Бангладеш. Теперь исследователи сообщают, что жертв было значительно больше, и связывают атаки с группой хакеров Lazarus, — профессиональной командой, которая, в частности, ответственна за взлом компании Sony в 2014 году.
