Расширяемые рекламные баннеры могут использоваться для атак на сайты

Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы. Реклама, способная расширяться в более крупное окно для отображения на web-странице баннера или видеоролика, может использоваться злоумышленниками как точка входа для осуществления кибератак. Исследователь безопасности Рэнди Уестергрен (Randy Westergren) обнаружил уязвимости в так называемых бустерах плавающих фреймов (iframe busters) – файлах, используемых на web-сайтах для…

Подробнее

Правительственная платежная система допустила утечку 14 млн записей

Посмотреть данные пользователей можно было, меняя номера платежных квитанций, отображаемые в адресной строке. Компания, управляющая online-платежами госорганов США, допустила утечку 14 млн записей. По словам журналиста Брайана Кребса, данные клиентов компании Government Payment Service (GovPayNet) утекали через сайт GovPayNow.com в течение как минимум шести лет. Утекшие данные включают в себя имена, адреса, номера телефонов и…

Подробнее

Следы Pegasus обнаружены в 45 странах

С помощью специальной технологии правозащитники выявили следы вредоноса в демократических странах. За последние два года специалисты правозащитной организации Citizen Lab обнаружили следы мощного шпионского ПО Pegasus в 45 странах. Во вторник, 18 сентября, Citizen Lab опубликовала отчет о новой технологии сканирования, позволяющей выявлять системы правительственного слежения с использованием шпионского ПО Pegasus. С ее помощью специалисты…

Подробнее

Открытый сервер MongoDB в очередной раз стал причиной крупной утечки данных

База размером 43,5 ГБ содержала персональные данные порядка 11 млн пользователей сервиса SaverSpy. В Сети обнаружен незащищенный сервер MongoDB, на котором в открытом доступе хранились данные 11 млн пользователей маркетингового сервиса SaverSpy. База данных размером 43,5 ГБ включала полные имена, адреса электронной почты, физические адреса (штат, город и почтовый индекс) информацию о поле 10 9995…

Подробнее

Житель Вологды заработал более 100 тыс. руб. на взломе почтовых аккаунтов

Преступник подбирал пароли к почтовым учетным записям, а затем продавал данные в интернете. Сотрудники УФСБ России по Вологодской области вычислили молодого человека, воровавшего логины и пароли от учетных записей пользователей в почтовых сервисах, а также копировавшего информацию из уязвимых баз данных. Подозреваемому предъявлены обвинения по ст. ч.2 ст.273 УК РФ (использование вредоносных компьютерных программ). По…

Подробнее

Facebook будет платить за информацию об утечках токенов доступа

Минимальная сумма вознаграждения составляет $500. Компания Facebook расширила программу вознаграждения за найденные уязвимости. Теперь соцсеть будет выплачивать награду за информацию о случаях утечек пользовательских токенов доступа через сторонние сервисы и приложения. Минимальная сумма вознаграждения составляет $500. Токены доступа позволяют пользователям Facebook авторизоваться в других приложениях и генерируются индивидуально для каждого лица, запроса на доступ и…

Подробнее

В Сети появился ботнет- «чистильщик»

Новый ботнет Fbot удаляет криптомайнеры с зараженных устройств. Эксперты компании Qihoo 360Netlab обратили внимание на довольно необычный ботнет, появившийся в интернете. Ботсеть создана на основе варианта вредоносного ПО Mirai под названием Fbot. Удивление специалистов вызвал тот факт, что несмотря на наличие оригинального DDoS-модуля, активность ботнета пока далека от вредоносной — Fbot ищет зараженные программами для…

Подробнее

Piriform насильно обновляет утилиту CCleaner

CCleaner обновляется до версии 5.46, даже если пользователь отключил функцию автоматического обновления. Принадлежащий компании Avast разработчик Piriform обновляет утилиту CCleaner на компьютерах пользователей, даже если они отключили функцию автоматического обновления. Что еще хуже, после обновления до последней версии 5.46 установленные пользователем настройки конфиденциальности возвращаются к заводским, а значит, разработчику отправляются анонимные данные об использовании CCleaner.…

Подробнее

В Alpine Linux исправлена критическая уязвимость

Уязвимость позволяет злоумышленнику удаленно выполнить произвольный код. Исследователь безопасности Макс Юстич (Max Justicz) обнаружил несколько уязвимостей в легковесном дистрибутиве Alpine Linux, зачастую используемом вместе с Docker. Самая опасная из них позволяет осуществить атаку «человек посередине» или использовать вредоносное зеркало пакетов для удаленного выполнения произвольного кода на компьютере жертвы. Это особенно плохо, поскольку для пакетов не…

Подробнее

Уязвимость в ПО Nuuo ставит под угрозу сотни тысяч камер наблюдения

Злоумышленники могут просматривать и модифицировать записи с видеокамер, красть данные, а также отключать системы видеонаблюдения. Специалисты компании Tenable раскрыли некоторые подробности об опасной уязвимости в программном решении для систем видеонаблюдения производства тайваньской компании Nuuo. С помощью данной уязвимости, получившей название Peekaboo, злоумышленники могут просматривать и модифицировать записи с видеокамер, похищать информацию, в том числе логины/пароли,…

Подробнее