Для подписчиков В середине девяностых казалось, что виртуальная реальность уже где-то рядом. Непонятно, на чем основывалось это ощущение, но факт остается фактом. И вот прошло двадцать с лишним лет: мы наконец стоим на пороге виртуального мира, подсматривая через щёлку в его прекрасное будущее. А кто делает будущее цифрового мира? Мы, программисты!
Исследователи годами рассказывают на конференциях о том, что технологии единого входа (Single Sign-on) небезопасны. Такую систему единой аутентификации для всего и сразу уже давно применяет Microsoft, а специалисты по информационной безопасности еще в 1997 году говорили о том, что это не слишком хорошая идея. В очередной раз уязвимость единого входа в целом и в случае работы с SMB-ресурсами в частности продемонстрировал российский исследователь ValdikSS. Он описал способ, который позволяет скомпрометировать Microsoft Account жертвы, деанонимизировать пользователей Microsoft и узнать данные о VPN.
Начало лета 2016 года ознаменовалось рядом масштабных утечек данных. Хакер, скрывающийся под псевдонимом Peace_of_mind, выставил на продажу сотни миллионов аккаунтов от сервисов LinkedIn, MySpace, Tumblr, «ВКонтакте», Twitter и так далее. Оказывается, на этом хакер не закончил: 1 августа 2016 года на торговой площадке TheRealDeal появился лот с данными 200 млн пользователей Yahoo.
Для подписчиков В свое время я бы не стал читать статью на такую тему —ведь речь в ней наверняка пойдет о совершенно абстрактных понятиях. Одно дело —эксплоит, тут все ясно. Другое дело — какие-то рынки, оценки, раунды и прочая белиберда. Но иногда стоит брать себя за шкирку и вынимать из болота, в котором сидишь, чтобы посмотреть на вещи с высоты. При этом вовсе не обязательно есть кактусы и читать Пелевина.
Китайские СМИ рассказалиоб аресте десяти этичных хакеров из сообщества WooYun, в том числе его лидера и создателя Фана Сяодуня (Fang Xiaodun).
Комьюнити WooYun широко известно как сообщество свободных исследователей, насчитывающее более 5000 участников. В частности, у себя на родине WooYun известны тем, что они проводят аудит безопасности китайских компаний и организаций, а затем безвозмездно сообщают обо всех найденных проблемах. Как правило, после этого компании устраняют баги, благодарят хакеров, и всё проходит гладко. Впрочем, некоторые предпочитают игнорировать уязвимости, и тогда участники WooYun публикуют информацию о своих изысканиях в открытом доступе.
Издание Hong Kong Free Press сообщает, что неназванные компании обратились с жалобой на WooYun в правоохранительные органы. Издание ссылается на собственные источники и утверждает, что после публикации информации об уязвимостях в открытом доступе, ряд компаний заявили, что WooYun взломали их.
В результате, в конце прошлой недели, были арестованы десять участников сообщества WooYun, включая Фана Сяодуня (на фото выше). О причинах ареста до сих пор нет никаких официальных сообщений. Также СМИ указывают, что сайт WooYun прекратил свою работу незадолго до начала задержаний: 20 июля 2016 года. На данный момент ресурс по-прежнему показывает сообщение «ведутся технические работы».
В минувшие выходные независимый исследователь Натан Малкольм (Nathan Malcolm) опубликовал в своем блоге интересный рассказ о том, как он нашел ряд багов в Imgur, позволявших получить практически полый доступ к ресурсу. Исследователь долго общался со службой безопасности сервиса и убедил CEO Imgur увеличить размер выплат по программе bug bounty.
Крупная криптовалютная биржа Bitfinex, похоже, может пойти по стопам Gatecoin и других обменников, пострадавших от рук злоумышленников. 2 августа 2016 года ресурс сообщил, что приостанавливает свою работу на время проведения расследования, так как была обнаружена серьезная проблема с безопасностью. Несколько часов назад Зейн Такет (Zane Tacket), глава Community and Product Development, подтвердил, что в результате атаки компания потеряла 119 756 бикоинов, то есть порядка 67,47 млн долларов.
Представители агрегатора утечек LeakedSource и журналисты издания Softpedia сообщают, что хакерская группа PoodleCorp, ответственная за DDoS-атаку на серверы Pokemon GO в середине июля 2016 года, подверглась взлому. Ранее хакеры обещали устроить еще одну масштабную атаку на Pokemon GO 1 августа 2016 года, однако из-за взлома их планы были сорваны.
