Как сообщается в блоге avast!, их форум подвергся взлому.
Злоумышленникам стали доступны имена пользователей, электронные адреса, логины и пароли (в зашифрованном виде). Атака затронула только форум поддержки, лицензии и финансовые данные не были затронуты.
Читать полностью »
Метка «взлом» - 12
Форум avast! подвергся взлому
2014-05-27 в 12:43, admin, рубрики: безопасность, взлом, Вирусы (и антивирусы), информационная безопасность, фейл, форум, метки: Avast!, безопасность, взлом, фейл, форумМошенники блокируют iPhone
2014-05-18 в 7:43, admin, рубрики: apple, iphone, блокировка, взлом, информационная безопасность, метки: apple, iPhone, блокировка, взломВсе наверно помнят волну SMS блокировщиков под Windows, теперь мошенники осваивают новый способ выудить деньги, на этот раз у владельцев iPhone.
Атаки на банковские системы
2014-03-02 в 13:40, admin, рубрики: bss, mitm, SSL, банк, Блог компании «Digital Security», взлом, информационная безопасность, метки: bss, mitm, SSL, банк, взломНе припоминаю я на Хабре статьи про атаки на банки. Никакой теории и фантазии, реальная практика и скрины :)
Немного введения. Не так давно я выступал на VI уральском форуме по информационной безопасности банков, где много внимания было уделено новому стандарту ЦБ РФ об обеспечении информационной безопасности банковских систем, на эту же тему был и мой доклад. В стандарте выделено 7 этапов жизни банковских систем (ПО), от написания ТЗ до снятия с эксплуатации. И схема моего доклада была следующей — рассказать некоторые реальные истории атак, проецируя их на новый стандарт от ЦБ, и показывая, как бы он (стандарт) мог «сломать» эти вектора, если бы банки его применяли. А на Хабре я опубликую пересказ своего выступления (осторожно, картинки!). Ах и да — вся информация предоставлена исключительно с целью ознакомления и не в коем случае не является руководством к действию.
Читать полностью »
Взлом аккаунтов через форму и событие. «XSS», чтобы не было путаницы с каскадными таблицами стилей
2014-02-25 в 8:12, admin, рубрики: xss, взлом, информационная безопасность, метки: xss, взломВторую часть заголовка я взял из статьи вики. Забавно звучит.
Легкое чтиво, веселого проникновения. Я хотел уже запостить котиков на страничке, нажал кнопку предпросмотр, увидел погрузку контента и мой браузер на пол секунды повис, развернув чуть ниже кнопки «добавить», «мой будущий пост». Я нажал добавить, и мне сообщили, что я должен написать минимум два тега к посту. Я набрал «милые котики» — чуть ниже снова появился блок, в котором можно было подобрать популярные теги. Я решил, что это очень хорошо и такой скрипт мне нужен для коллекции. Не долго думая, я выдрал из страницы javascript, открыл и увидел комментарии к коду на родном русском.
Было очень скучно, и я решил провести маленький взлом с разрешения администрации, для того чтобы проверить свои силы, знание языков и спецификаций. Всё исследование заняло у меня 2 дня, по 3-4 часа в день.
Я решил проверить формы и попробовать что-то сломать, увидеть ошибку или что-то еще. Они были достаточно хорошо защищены: ни намека на sql или что-то такое ужасное. Ошибок не было совсем, о чем я и написал администратору.
После, проверяя наш js файл, я увидел, что несколько переменных совсем не фильтруются на стороне клиента, и можно на странице выполнить любой код, который я вставлю в форму. Первым же делом я вставил классический.
<script>alert(1)</script>
С небес опустилось окошко. Оно гласило, что все в этом мире равно 1.
Читать полностью »
Ещё один пример теста на проникновение из собственной практики
2014-02-24 в 16:07, admin, рубрики: pentest, взлом, информационная безопасность, метки: pentest, взлом Доброго времени суток, уважаемые читатели. Давно я не писал примеров по пен-тесту из собственной практики, пора это исправить. Как раз имеется один заказ, после выполнения которого прошло уже достаточно времени, и клиент разрешил опубликовать информацию в сети, но, естественно, без упоминания названия предприятия, имён его сотрудников и т. д. Чтоб не отнимать много времени постараюсь изложить всё кратко, без воды.
Читать полностью »
Взлом сервиса Kickstarter
2014-02-15 в 22:39, admin, рубрики: Kickstarter, взлом, информационная безопасность, краудфандинг, хакер, метки: Kickstarter, взлом, хакер 
Как стало известно, 12 февраля официальные представители службы охраны правопорядка связались с командой Kickstarter, чтобы сообщить им о взломе их проекта. Некие хакеры получили доступ к персональным данным зарегистрированных пользователей.
Читать полностью »
NeoQUEST-2014: регистрация объявляется открытой!
2014-02-11 в 8:50, admin, рубрики: hackquest, neoquest, Блог компании НеоБИТ, взлом, информационная безопасность, необит, неоквест, метки: ctf, hackquest, neoquest, взлом, необит, неоквест
Привет! Наверняка, яркая и динамичная Олимпиада, проходящая в Сочи, зажгла во многих из вас дух соревнования, жажду победы и желание как-то проявить себя. Мы предлагаем «компьютерный» вариант, а именно — очередной этап ежегодного хакерского соревнования NeoQUEST-2014! Уже 24 февраля стартует онлайн-тур NeoQUEST-2014, а регистрация на него открыта здесь.
Как и в прошлом году, лучшие участники онлайн-тура пройдут в очный тур, победа в котором принесет лучшему из лучших поездку на одну из международных хакерских конференций, по выбору участника! Победитель NeoQUEST прошлого года, AVictor, выбравший поездку в Амстердам на конференцию RSA, прекрасно провел там время и, к счастью, не испытал на себе всю «прелесть» урагана «Святого Иуды», возвратившись живым, здоровым и довольным!
О том, что ждет участников NeoQUEST-2014 – под катом!
Читать полностью »
Сирийская электронная армия взломала блог и Twitter-аккаунт Skype
2014-01-01 в 22:09, admin, рубрики: skype, взлом, информационная безопасность, Сирийская электронная армия, метки: skype, взлом, Сирийская электронная армия Сирийская электронная армия атаковала блог и Twitter-аккаунт Skype, где был размещен призыв отказаться от использования почтовых сервисов компании Microsoft (hotmail,outlook) по причине, как утверждают хакеры, мониторинга ей содержимого аккаунтов пользователей и передаче всей интересующей информации властям США. На данный момент нет заявления компании о случившемся, а так же информации о том, удалось ли злоумышленникам получить доступ к каким-либо данным пользователей или другим сервисам Skype.
На момент написания заметки сообщения из блога уже удалены, но в над Twitter-аккаунтом контроль Skype еще не вернула, так как сообщения там все еще остаются.
Скриншоты сообщений для истории:
Читать полностью »
Лучшая реклама Bitcoin — от Павла Дурова
2013-12-19 в 3:53, admin, рубрики: bitcoin, telegram, взлом, криптография, соревнование, метки: bitcoin, Telegram, взлом, криптография, соревнование 
Создатель «Телеграма» Павел Дуров выплатит 200.000 долларов в BTC первому человеку, кто взломает зашифрованный протокол этого сервиса. Начиная с сегодняшнего дня, Павел (+79112317383) ежедневно будет отправлять Николаю (+79218944725) сообщение, содержащее секретный адрес электронной почты. Для доказательства дешифровки протокола Телеграма и для востребования приза, вам потребуется послать письмо на этот секретный адрес.
Читать полностью »
Мегафон не спешит закрывать старые дыры в безопасности
2013-12-10 в 19:25, admin, рубрики: биллинг, взлом, информационная безопасность, короткие номера, Мегафон, Мобильный веб, подбор пароля., хаккеры, метки: биллинг, взлом, короткие номера, Мегафон, подбор пароля., хаккеры 
Не так давно, netAn опубликовал интересную статью описывающую проблемы безопасности системы Мегафон — Сервис-гид.
По прошествии времени, мы решили проверить, насколько Мегафон заботится о безопасности личных данных своих клиентов, и провели небольшое тестирование продуктов авторизации в «сервис-гид». Результат не увенчался успехом, Мегафон действительно исправил ошибку, в которую их тыкнуло хабро сообщество, но пойти дальше и проверить всю систему они почему-то не решились.
Не буду повторяться, что можно сделать со счетом абонента имея доступ в «сервис-гид» (см. статью) перейду сразу к сладкому.
Как показал анализ, в Мегафоне, существует внутренний гейт, с которым соединятся и messages.megafon.ru, moscowsg.megafon.ru и многие другие приложение для авторизации абонентов. Используя мобильные приложения «UMS» и «Мегафон Диск» можно подбирать пароли с высокой скоростью за счет отсутствия необходимости в проведении полной процедуры аутентификации.
Об этой проблеме было отправлено письмо в службу технической поддержки абонентов Мегафон несколько недель назад, но как не странно она не отреагировала на наше письмо. На момент 11 декабря нечего не исправлено.
Читать полностью »