Логистическая компания СДЭК второй день борется с ДДоС-атакой на личный кабинет и базы данных компании. Об этом «Роем!» сообщил читатель.
На сайте с 24 числа есть объявление о неработоспособности сервиса на приемку отправлений. Такая же ситуация и сегодня, 25 числа. Служба поддержки и контроля качества даже не могут занести претензию в базу, она не работает. Фактически, Читать полностью »
В 2014 году начали свое действие постановления правительства РФ №758 №801, обязывающие владельцев публичных WiFi сетей настроить на роутерах идентификацию пользователей через паспортные данные, sms или портал гос. услуг. Нежелание владельцев кафе тратиться за Captive portal'ы поспособствовало некоторым провайдерам в распространении своих точек доступа с платной sms-авторизацией. У меня возникло желание проверить, можно ли подобную sms-авторизацию обойти.
В мае этого года прошла конференция Positive Hack Days 8, на которой мы вновь поучаствовали в роли SOC в уже традиционном Противостоянии (The Standoff).
В этом году организаторы учли прошлые ошибки и Противостояние началось в срок. Атакующие — молодцы! Нападали практически непрерывно все 30 часов, поэтому нашей ночной смене не удалось даже вздремнуть.
Изображение: Riik@mctr | CC BY-SA 2.0
Британский авиакомпания British Airways подтвердила информацию о том, что стала жертвой кибератаки. Злоумышленникам удалось получить доступ к персональным данным клиентам и завладеть информацией о 380 000 банковских карт.Читать полностью »
Обвиняемый американскими властями в похищении кодов доступа, распространении спама и внедрении вирусов, предназначенных для вымогательства выкупа, гражданин РФ Петр Левашов, признал себя виновным в окружном суде города Хартфорд, американского штат Коннектикут, сообщилЧитать полностью »
Электронный ключ Tesla
Электромобили компании Tesla можно с полным правом называть компьютерной системой, а не автомобилем. Эти машины просто-таки напичканы электроникой. Часть электронных элементов предназначены для предотвращения угона машины, причем система защиты Tesla считается довольно серьезной. Электромобили регулярно получают обновления безопасности, что улучает защищенность транспортного средства.
Но на днях группа специалистов по информационной безопасности показала, что не нужно ломиться в закрытую дверь — есть довольно простой способ обойти защиту. Речь идет о модели Tesla Model S, брелок которой можно просто скопировать (не сам брелок, а его цифровой отпечаток), открыть электромобиль и уехать. Способ не нов, но мало кто ожидал, что его можно применить к новейшим разработкам компании Tesla.
Читать полностью »
Обновлено:
Корпорация Intel заметила возмущение сообщества, в частности Брюса Перенса и разработчиков Debian и убрала запреты на публикацию результатов тестов. Текст нового лицензионного соглашения кардинально сокращён, с с 331 до 12 строк. Дополнительно корпорация разрешила не принимать лицензионное соглашение до начала загрузки микрокода.
Лицензионное соглашение, Читать полностью »
Приветствую, %username%. Ты готов к экшену? Поехали!
Человек по своей природе не враждебен. Ему склонно решить проблемы мирно и не
вступать в конфликтные ситуации. Мы пытаемся завоевать доверие человека и наладить
общение с ним. Социальный инженер делает все то же самое, только для собственных
корыстных целей. Он манипулирует людьми, не испытывая настоящих чувств. Социальная
инженерия – один из самых опасных типов атак.
ПРЕДИСЛОВИЕ
«Only for fun» — такой девиз мы часто использовали, атакуя какие-либо
системы. За довольно короткий период своей деятельности скопилось большое
количество материала. Передо мной встала задача, как его упорядочить. Целью
данной статьи не является обучение взлому. Это просто истории, в которых
лишь поверхностно описывается атака методом социальной инженерии. В
основном, это взлом каких-либо веб-систем, в которых важную роль играет
человеческий фактор. Сама концепция, что можно взломать что-то без единой
строчки кода, делает взлом системы интересным и уникальным. Социальная
инженерия – это не просто наука. Нет единой универсальной схемы взлома этим
способом. В каждом отдельном случае хакер разрабатывает собственный путь
к достижению конкретного результата. В данной статье раскрыты некоторые приемы социальной инженерии, и я делюсь этим с вами.
Читать полностью »
(с) МВД России. Фрагмент записи с камер наблюдения в момент кражи денег из банкомата
Эта статья посвящена анализу и выявлению закономерностей в преступлениях, направленных на кражу денег банков или их клиентов.
Далее в статье будет представлена выборка из более чем из ста реальных преступлений последних лет. Все рассмотренные преступления будут классифицированы и снабжены кратким описанием. Затем будет проведен комплексный анализ, по результатам которого сформулированы ответы на основные вопросы банковской безопасности, в частности:
Один из крупнейших социальных хабов интернета, Reddit, в среду заявил о проникновении в свою сеть киберпреступников.
Злоумышленнику удалось получить доступ к различным данным: базе с email-адресами и паролями пользователей, зарегистрированных с 2005 по 2007 год, электронные письма пользователей, исходные коды, внутренние файлы и «все данные Reddit с 2007 года». Сообщается, что инцидент имел место между 14 и 18 июля 2018 года, и проникновение обнаружили 19 июля. Злоумышленники скомпрометировали нераскрываемое число сотрудников Reddit и проникли в «несколько систем», получив доступ к данным.
Иллюстрация от theguardian.com
Представители Reddit официально признали факт взлома и изложили суть произошедшего в своем блоге:
«19 июня нам стало известно, что хакер скомпрометировал несколько учетных записей Reddit с доступом к облаку и исходному коду, перехватив коды проверки двухфакторной аутентификации, которые пришли по SMS».
«Мы сотрудничаем с правоохранительными органами, делаем необходимое для устранения последствий текущей ситуации, а также постараемся сделать все, чтобы избежать подобных инцидентов в будущем. Пострадало лишь небольшое количество пользователей, которых мы уже успели уведомить».
