Где среда, там и новый дайджест интересных новостей и материалов за неделю.
🟡 Avito увеличила награду за найденные в своих продуктах критические уязвимости.
Компания планирует повысить безопасность своих сервисов, увеличивая затраты на кибербезопасность на 50% по сравнению с 2024 годом. Теперь выплата за найденную уязвимость может составить до 500 тысяч рублей.
Как участвовать — смотрим здесь.
⚫️ База данных DeepSeek с конфиденциальной информацией была в открытом доступе.
Исследователи команды Wiz обнаружили незащищенную базу данных DeepSeek, в которой не было необходимого ограничения к хранилищу логов. В БД с более чем миллионом записей можно было найти ключи доступа к API, настройки СУБД и другие данные, которые могли привести к атаке на всю инфраструктуру компании.
🟡 И ещё немного о безопасности: Якир Кадкода и Ассаф Мораг рассказали о проблемах, связанных с неправильной настройкой политик в Kubernetes. В частности, они затронули тему использования инструментов управления политиками, таких как OPA (Open Policy Agent) Gatekeeper.
Авторы показали, как кажущиеся безопасными политики могут обойти из-за незначительных ошибок в конфигурации.
Суммируем советы:
• Убедитесь, что ваши значения ограничений включают последний слэш
• Избегайте чрезмерно широких и общих политик при написании собственных политик Rego/regex или других правил. Их можно обойти.
• Сканируйте и проверяйте как выставлены значения ограничений для
#DepOps #безопасность #Kubernetes
🟡 Avito увеличила награду за найденные в своих продуктах критические уязвимости.
Компания планирует повысить безопасность своих сервисов, увеличивая затраты на кибербезопасность на 50% по сравнению с 2024 годом. Теперь выплата за найденную уязвимость может составить до 500 тысяч рублей.
Как участвовать — смотрим здесь.
⚫️ База данных DeepSeek с конфиденциальной информацией была в открытом доступе.
Исследователи команды Wiz обнаружили незащищенную базу данных DeepSeek, в которой не было необходимого ограничения к хранилищу логов. В БД с более чем миллионом записей можно было найти ключи доступа к API, настройки СУБД и другие данные, которые могли привести к атаке на всю инфраструктуру компании.
🟡 И ещё немного о безопасности: Якир Кадкода и Ассаф Мораг рассказали о проблемах, связанных с неправильной настройкой политик в Kubernetes. В частности, они затронули тему использования инструментов управления политиками, таких как OPA (Open Policy Agent) Gatekeeper.
Авторы показали, как кажущиеся безопасными политики могут обойти из-за незначительных ошибок в конфигурации.
Суммируем советы:
• Убедитесь, что ваши значения ограничений включают последний слэш
/. Это предотвращает обход через поддомены.• Избегайте чрезмерно широких и общих политик при написании собственных политик Rego/regex или других правил. Их можно обойти.
• Сканируйте и проверяйте как выставлены значения ограничений для
k8sallowedrepos. #DepOps #безопасность #Kubernetes
👍12❤2⚡2🔥1