Новости

Исследователи смогут получить вознаграждение за критические уязвимости от $20 тыс. и выше. Компания GitHub расширила свою программу вознаграждения за найденные уязвимости, а также сняла ограничения с максимальной суммы награды за критические уязвимости. Кроме того, организаторы программы добавили несколько новых правил «Безопасной гавани» (Safe Harbor) для полной правовой защиты исследователей. По подсчетам специалистов GitHub, количество денежных…

6-летняя критическая уязвимость в ядре WordPress угрожает безопасности сайтов

Для того чтобы получить полный контроль над сайтом, злоумышленнику потребуется не более 30 секунд. Специалисты компании RIPS Technologies сообщили о критической уязвимости в ядре WordPress, затрагивающей все релизы CMS за последние шесть лет. Для эксплуатации данной уязвимости атакующему потребуется доступ (с помощью фишинга, повторного использования паролей либо иных атак) к учетной записи с правами как…

Группировка APT28 атаковала некоммерческие организации в Европе

С помощью целенаправленного фишинга киберпреступники пытались похитить учетные данные и заразить сети вредоносным ПО. Специалисты компании Microsoft зафиксировали кибератаки на европейские некоммерческие организации, занимающиеся политическими исследованиями. Атакам в частности подверглись Совет по международным отношениям Германии, европейские представительства Института Аспена и Германский фонд Маршалла Соединенных Штатов. В сентябре-декабре 2018 года злоумышленники атаковали 104 учетные записи сотрудников…

В топ-5 менеджеров паролей для Windows 10 обнаружены уязвимости

Эксперты протестировали только версии для Windows, однако проблема может также затрагивать версии для Mac и мобильных устройств. Исследователи безопасности компании Independent Security Evaluators обнаружили уязвимости в пяти самых популярных менеджерах паролей для Windows 10: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Как оказалось, находясь в «закрытом» режиме, вышеупомянутые приложения хранят пароли в текстовом файле…

Северокорейские хакеры впервые в истории атаковали Россию

В атаках использовался бэкдор KEYMARBLE из арсенала группировки Lazarus. Долгое время считалось, что Россия является запретной целью для хакеров из КНДР из-за дружеских отношений между двумя странами. Однако теперь все изменилось. Исследователи компании Check Point впервые в истории зафиксировали кибератаку, осуществленную северокорейской киберпреступной группировкой Lazarus на цели в РФ. По мнению исследователей, атака была осуществлена…

Cайт индийской газовой компании Indane раскрывал данные миллионов клиентов

Уязвимость позволяла любому получить доступ к уникальным номерам Aadhaar сотен тысяч клиентов без какой-либо аутентификации. Сайт индийской компании по производству сжиженного углеродного газа Indane раскрывает данные 6,7 млн клиентов, включая номера Aadhaar (системы идентификации граждан и резидентов Индии). Об утечке сообщил французский ИБ-эксперт Баптист Робер (Baptiste Robert), также известный под псевдонимом «Elliot Alderson». На инцидент…

«Русские хакеры» оказались самыми быстрыми в мире

Исследователи безопасности подсчитали, сколько времени требуется на взлом самым передовым киберпреступникам. Эксперты в области кибербезопасности неоднократно отмечали, что «русские хакеры» являются одними из самых передовых в мире. Теперь специалисты CrowdStrike подтвердили это, подсчитав с точностью до секунды, сколько времени требуется на взлом киберпреступникам из разных стран. Как сообщается в отчете CrowdStrike, по скорости взлома русские…

Госдума РФ запретила военным публиковать в интернете данные о себе

Согласно принятым Госдумой поправкам, военнослужащим запрещено пользоваться смартфонами на рабочем месте. Во вторник, 19 февраля, Госдума РФ приняла в третьем, окончательном чтении поправки в закон «О статусе военнослужащих», запрещающие военнослужащим передавать СМИ и публиковать в интернете данные о себе и своих сослуживцах. В частности документ запрещает выкладывать информацию, позволяющую определить ведомство, часть или место несения…

Опубликован стандарт по обеспечению безопасности потребительских IoT-устройств

Стандарт TS 103 645 призван обеспечить базовый уровень безопасности для подключенных к интернету потребительских продуктов. Технический комитет по кибербезопасности (TC CYBER) Европейского института телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI) опубликовал первый стандарт по обеспечению кибербезопасности потребительских устройств из категории «Интернета вещей». По мере своего развития сфера «Интернета вещей» становится предметом беспокойства, поскольку потребители доверяют…

В LG Device Manager обнаружена уязвимость повышения привилегий

Уязвимость CVE-2019-8372 была обнаружена в файлах lha.sys и lha32.sys, поставляемых с версией 1.1.1703.1700. В приложении LG Device Manager обнаружена уязвимость повышения привилегий, позволяющая повысить права на системе до уровня SYSTEM. Эксперт, известный под псевдонимом Jackson T., проанализировал драйвер режима ядра, связанный с системой службы LG Device Manager. В частности, он протестировал файлы lha.sys и lha32.sys,…