Chrome больше не позволит сайтам определять использование режима «инкогнито»

Начиная от Chrome 74, сайты не смогут определять использование режима «инкогнито» по FileSystem API. В будущих версиях браузера Chrome компания Google закроет «лазейку», позволяющую web-сайтам детектировать и блокировать доступ пользователям в режиме «инкогнито». Режим «инкогнито» в Chrome не только не сохраняет историю браузера, но также защищает пользователя от отслеживания его активности с помощью файлов cookie.…

Подробнее

Обзор инцидентов безопасности за период с 11 по 17 февраля 2019 года

Коротко о главных событиях прошедшей недели. В минувший понедельник на одной из крупнейших торговых площадок даркнета появился массив данных, включающий 617 млн учетных записей, похищенных у пользователей 16 взломанных сайтов, в том числе Dubsmash, MyFitnessPal, 500px, Armor Games, DataCamp и прочих. Продавец БД, некто под псевдонимом Gnosticplayers, запросил всего $20тыс. в биткойнах. Спустя несколько дней…

Подробнее

Защититься от Spectre на уровне одного лишь ПО невозможно

Разработчикам приложений, способных интерпретировать внешние коды, следует соблюдать осторожность. Защитить от эксплуатации уязвимостей класса Spectre, затрагивающих большинство современных процессоров, с помощью одного лишь программного обеспечения невозможно. К такому выводу пришли специалисты компании Google по результатам анализа Spectre. Исследователи безопасности Росс Макилрой (Ross Mcilroy), Ярослав Шевчик (Jaroslav Sevcik), Тобиас Тебби (Tobias Tebbi), Бен Титцер (Ben L.…

Подробнее

Twitter годами хранит удаленные личные сообщения пользователей

Ошибка содержится в устаревшем API, который позволяет добраться до личных сообщений. Компания Twitter годами хранит удаленные пользователями сообщения, в том числе данные, отправленные с или на деактивированные или отключенные учетные записи. Исследователь в области безопасности Каран Саини (Karan Saini) обнаружил «многолетние» сообщения в файле из архива с данными своего отключенного аккаунта. Ошибка содержится в устаревшем…

Подробнее

Уязвимость в Facebook позволяла скомпрометировать учетные записи пользователей

Атакующий мог бы перехватить контроль над учетной записью, просто заставив жертву кликнуть на вредоносную ссылку. Специалист в области кибербезопасности, известный в сети под псевдонимом Samm0uda, обнаружил CSRF-уязвимость (межсайтовая подделка запроса) в Facebook, с помощью которой злоумышленник мог бы перехватить контроль над учетными записями пользователей, просто заставив жертву кликнуть на вредоносную ссылку. Samm0uda выявил уязвимость после…

Подробнее

В Chrome появится защита от XSS-атак через DOM

Специалисты планируют протестировать функцию под названием Trusted Types на протяжении 2019 года. Инженеры Google работают над новым API для браузера Chrome, который призван защитить пользователей от определенного типа XSS-атак, в частности, XSS через DOM (DOM Based XSS). Специалисты планируют протестировать функцию под названием Trusted Types на протяжении 2019 года (в версиях Chrome 73 — 76)…

Подробнее

Смарт-устройства Nest блокируют доступ своим владельцам, если их пароли могли быть взломаны

Традиционные призывы сменить пароль в случае утечки на пользователей не действуют, поэтому Nest принимает более радикальные меры. Устройства для «умного» дома Nest блокируют доступ своим владельцам в случае, если их пароль мог быть взломан. На прошлой неделе производитель начал рассылать электронные письма пользователям, чьи учетные записи могли быть скомпрометированы злоумышленниками. Согласно письму, если устройство «не…

Подробнее

Google Карты случайно раскрыли местоположение секретных военных баз Тайваня

На изображениях четко видны местоположение и структура тайной военной базы в округе Синьдянь, где размещаются ЗРК Patriot. Власти Тайваня пытаются замять связанный с безопасностью военных объектов скандал после того, как в приложении Google Карты появились секретные военные базы страны. Приложение было обновлено в минувшую среду картами четырех крупных городов Тайваня – Тайбэя, Нового Тайбэя, Таоюаня…

Подробнее

С банковских счетов продавцов на сайте Etsy были списаны крупные суммы

Причиной несанкционированного списания средств стала техническая ошибка в платежной системе. Ошибка в системе оплаты на сайте Etsy стала причиной списания крупных сумм с банковских счетов ряда продавцов. Инцидент имел место в пятницу, 15 февраля. По словам представителей Etsy проблема была успешно решена, и никаких мошеннических действий с деньгами затронутых продавцов зафиксировано не было. Для того…

Подробнее

Gnosticplayers выставил на продажу третий массив похищенных данных

Киберпреступник, ранее выставивший на продажу данные 747 млн пользователей, выложил еще восемь БД. Киберпреступник под псевдонимом Gnosticplayers выставил на продажу в даркнете очередной, уже третий за последнее время, массив похищенных данных. На этот раз он предлагает данные пользователей GfyCat, Legendas.tv, Jobandtalent, Onebip, StoryBird, StreetEasy, ClassPass и Pizap. Примечательно, что ни одна из вышеупомянутых платформ об…

Подробнее