Forwarded from SecAtor
Поляки из CD Project Red нас до инфаркта доведут. Речь, конечно, про Cyberpunk 2077.
Мало того, что вместо игры мечты они выпустили забагованного уродца, в котором кроме сюжетных миссий нет ничего интересного (ну серьезно, ездить по городу и биться с буратинами на кулачках - так себе сайд-квесты). Теперь оказалось, что в игре присутствовала уязвимость, связанная с переполнением буфера, которая могла привести к удаленному выполнению кода (RCE) в случае использования сторонних модов.
Это конечно далеко не первый случай уязвимости в играх - вспомнить хотя бы уязвимость CVE-2018-20817 в играх линейки Call of Duty, которая также приводила к RCE. Но хотелось бы более серьезного отношения к безопасности пользователей от игры, стоимостью в десятки миллионов долларов.
В пятницу CDPR выпустили хотфикс 1.12, который устранил ошибку и в Cyberpunk 2077 теперь можно играть со спокойной душой. Если захочется, конечно.
Мало того, что вместо игры мечты они выпустили забагованного уродца, в котором кроме сюжетных миссий нет ничего интересного (ну серьезно, ездить по городу и биться с буратинами на кулачках - так себе сайд-квесты). Теперь оказалось, что в игре присутствовала уязвимость, связанная с переполнением буфера, которая могла привести к удаленному выполнению кода (RCE) в случае использования сторонних модов.
Это конечно далеко не первый случай уязвимости в играх - вспомнить хотя бы уязвимость CVE-2018-20817 в играх линейки Call of Duty, которая также приводила к RCE. Но хотелось бы более серьезного отношения к безопасности пользователей от игры, стоимостью в десятки миллионов долларов.
В пятницу CDPR выпустили хотфикс 1.12, который устранил ошибку и в Cyberpunk 2077 теперь можно играть со спокойной душой. Если захочется, конечно.
BleepingComputer
Cyberpunk 2077 bug fixed that let malicious mods take over PCs
CD Projekt Red has released a hotfix for Cyberpunk 2077 to fix a remote code execution vulnerability that could be exploited by third-party data file modifications and save games files.
Forwarded from Утечки информации
Польский разработчик компьютерных игр «CD Projekt RED» подвергся атаке вируса-вымогателя и судя по всему были “слиты” исходные коды игр «Киберпанк 2077», «Ведьмак 3» и некоторых других. Кроме того, утекли внутренние документы компании. 🔥
Пока не известно какой именно вируса-вымогатель ответственен за этот инцидент. 🤷♂️
В 2016 году уже был взломан форум forums.cdprojektred.com и тогда “слили” 1,87 млн. записей зарегистрированных пользователей: логины, адреса эл. почты, хешированные пароли (на текущий момент “расшифровано” 624 тыс.). 🤦♂️
Пока не известно какой именно вируса-вымогатель ответственен за этот инцидент. 🤷♂️
В 2016 году уже был взломан форум forums.cdprojektred.com и тогда “слили” 1,87 млн. записей зарегистрированных пользователей: логины, адреса эл. почты, хешированные пароли (на текущий момент “расшифровано” 624 тыс.). 🤦♂️
Специалист по безопасности обошёл защиту iOS 14
Он так же показал рабочий джейлбрек на iPhone 11.
Эксперты подтвердили, что эта уязвимость нулевого дня ещё не исправлена Apple.
По словам специалиста, он использовал такую аппаратную уязвимость, которую невозможо исправить с помощью простого обновления ПО.
Эта лазейка работает как на Apple A12, так и на более новых чипах.
Он так же показал рабочий джейлбрек на iPhone 11.
Эксперты подтвердили, что эта уязвимость нулевого дня ещё не исправлена Apple.
По словам специалиста, он использовал такую аппаратную уязвимость, которую невозможо исправить с помощью простого обновления ПО.
Эта лазейка работает как на Apple A12, так и на более новых чипах.
Роскомнадзор начал тестирование приложения для подачи жалоб на запрещённый контент
С его помощью пользователи смогут быстро подавать жалобы на запрещённый и социально опасный контент.
По идее, с помощью активных действий пользователей можно «снизить риски блокировки соцсетей» из-за нарушения законов РФ.
Бета-версия приложения уже доступна в App Store и, в скором времени, в Google Play.
Получить доступ к нему можно с помощью единой системы идентификации, например, через Госуслуги.
С его помощью пользователи смогут быстро подавать жалобы на запрещённый и социально опасный контент.
По идее, с помощью активных действий пользователей можно «снизить риски блокировки соцсетей» из-за нарушения законов РФ.
Бета-версия приложения уже доступна в App Store и, в скором времени, в Google Play.
Получить доступ к нему можно с помощью единой системы идентификации, например, через Госуслуги.
Минцифры предложило включить в реестр отечественного ПО «переработанные» программы
Теперь Российские разработчики смогут дорабатывать свободно распространяемое ПО с открытым кодом.
Известно, что «существенной доработки» такого ПО не потребуется.
Раньше предлагалось требовать доказательства оригинальности ПО, включаемого в реестр отечественного, но в финальную версию документа это не включили.
Так, на основе свободного ПО в реестр отечественных включили «Базальт СПО», «Astra Linux», «Мой офис» и другие программы.
Теперь Российские разработчики смогут дорабатывать свободно распространяемое ПО с открытым кодом.
Известно, что «существенной доработки» такого ПО не потребуется.
Раньше предлагалось требовать доказательства оригинальности ПО, включаемого в реестр отечественного, но в финальную версию документа это не включили.
Так, на основе свободного ПО в реестр отечественных включили «Базальт СПО», «Astra Linux», «Мой офис» и другие программы.
Павел Дуров рассказал, как будет монетизироваться Telegram
Прежде всего, Павел сообщил о том, что пользователям не нужно беспокоиться о рекламе.
Данные для таргетинга рекламы собираться не будут.
Реклама будет исключительно контекстной и основанной на тематике каналов.
Она будет показываться только в крупных каналах. Ни в группах, ни в личных чатах её не будет.
Известно, что пользователи смогут отказаться от показа рекламы.
Также, скоро будет добавлена система донатов и платных подписок на каналы.
Прежде всего, Павел сообщил о том, что пользователям не нужно беспокоиться о рекламе.
Данные для таргетинга рекламы собираться не будут.
Реклама будет исключительно контекстной и основанной на тематике каналов.
Она будет показываться только в крупных каналах. Ни в группах, ни в личных чатах её не будет.
Известно, что пользователи смогут отказаться от показа рекламы.
Также, скоро будет добавлена система донатов и платных подписок на каналы.
Сисадмин Яндекса получил доступ к электронной почте пользователей
Компания Яндекс объявила о том, что один из её сисадминов получил несанкционированный доступ к электронным адресам пользователей.
В ходе плановой проверки выяснилось, что 4887 электронных адресов Яндекса были скомпрометированы.
Яндекс утверждает, что злоумышленник сделал это «для личной выгоды».
К счастью, проблема уже решена: в самой компании изменили порядок административного доступа к таким данным.
Также, владельцев электронных адресов предупредили о взломе и попросили сменить пароли.
Компания Яндекс объявила о том, что один из её сисадминов получил несанкционированный доступ к электронным адресам пользователей.
В ходе плановой проверки выяснилось, что 4887 электронных адресов Яндекса были скомпрометированы.
Яндекс утверждает, что злоумышленник сделал это «для личной выгоды».
К счастью, проблема уже решена: в самой компании изменили порядок административного доступа к таким данным.
Также, владельцев электронных адресов предупредили о взломе и попросили сменить пароли.
Немец скрывает от полиции $83 млн в биткоинах, отказываясь говорить пароль
Немецкой прокуратуре удалось конфисковать у мошенника биткоины на сумму $83 млн.
Правда, есть одна проблема: они не могут получить к ним доступ, ведь преступник не говорит пароль.
Он обвинён в скрытой установке программ для майнинга на другие компьютеры.
Мужчина был приговорён к 2 годам заключения и, с тех пор, уже отбыл свой срок.
В итоге преступнику удалось сохранить молчание.
К слову, по статистике, около 20% всех биткоинов в мире утеряны или закрыты в кошельках с забытыми паролями.
Немецкой прокуратуре удалось конфисковать у мошенника биткоины на сумму $83 млн.
Правда, есть одна проблема: они не могут получить к ним доступ, ведь преступник не говорит пароль.
Он обвинён в скрытой установке программ для майнинга на другие компьютеры.
Мужчина был приговорён к 2 годам заключения и, с тех пор, уже отбыл свой срок.
В итоге преступнику удалось сохранить молчание.
К слову, по статистике, около 20% всех биткоинов в мире утеряны или закрыты в кошельках с забытыми паролями.
This media is not supported in your browser
VIEW IN TELEGRAM
Пользователь Twitter нашёл опасную уязвимость на устройствах Samsung
Он создал приложение, которое без каких-либо разрешений пользователя автоматически становится администратором устройства.
Сразу после запуска это приложение получает доступ почти ко всем функциям устройства, в том числе — удаление других приложений.
На видео в своём Twitter-аккаунте он наглядно показал, как этой программе без разрешений за считанные секунды удалось удалить другие приложения с его устройства.
Он создал приложение, которое без каких-либо разрешений пользователя автоматически становится администратором устройства.
Сразу после запуска это приложение получает доступ почти ко всем функциям устройства, в том числе — удаление других приложений.
На видео в своём Twitter-аккаунте он наглядно показал, как этой программе без разрешений за считанные секунды удалось удалить другие приложения с его устройства.
Владимир Путин назвал условия блокировки в России зарубежных сайтов
На одной из встреч Владимир Путин сообщил об условиях блокировки в России зарубежных интернет-сервисов.
Он рассказал, что YouTube и другие популярные сервисы в ближайшее время блокировать не планируется.
По его словам, он не хочет доставлять неудобства гражданам, которые «активно ими пользуются».
Он подчеркнул, что не хочет «искусственно» создавать проблемы гражданам.
Блокировка будет только в том случае, если «сервисы начнут представлять реальную угозу».
На одной из встреч Владимир Путин сообщил об условиях блокировки в России зарубежных интернет-сервисов.
Он рассказал, что YouTube и другие популярные сервисы в ближайшее время блокировать не планируется.
По его словам, он не хочет доставлять неудобства гражданам, которые «активно ими пользуются».
Он подчеркнул, что не хочет «искусственно» создавать проблемы гражданам.
Блокировка будет только в том случае, если «сервисы начнут представлять реальную угозу».
Каждый раз, когда вы ставите на рабочую почту пароль QWERTY123, где-то плачет один сотрудник службы безопасности и радуется один хакер.
Но ненадежные пароли — не единственная лазейка для «черных» хакеров. А вот найти все остальные «виртуальные бреши» и спасти компанию от кибератаки и утечки данных — задача «белых», или этичных хакеров.
В SkillFactory стартует курс для таких специалистов, или по-другому пентестеров. За 10 месяцев вы научитесь легально атаковать системы безопасности и находить в них уязвимости.
Преподаватели — пентестеры с опытом более 10 лет, которые успели поработать с РЖД и Газпромом. Выпускники курса с помощью карьерного центра находят работу в NVIDIA, CISCO, Сбере и других крупных компаниях.
🔥Узнать подробнее можно по ссылке: https://clc.am/02a9Sw
А по промокоду ЭКСПЛОИТ скидка 45% до 22 февраля!
#промо
Но ненадежные пароли — не единственная лазейка для «черных» хакеров. А вот найти все остальные «виртуальные бреши» и спасти компанию от кибератаки и утечки данных — задача «белых», или этичных хакеров.
В SkillFactory стартует курс для таких специалистов, или по-другому пентестеров. За 10 месяцев вы научитесь легально атаковать системы безопасности и находить в них уязвимости.
Преподаватели — пентестеры с опытом более 10 лет, которые успели поработать с РЖД и Газпромом. Выпускники курса с помощью карьерного центра находят работу в NVIDIA, CISCO, Сбере и других крупных компаниях.
🔥Узнать подробнее можно по ссылке: https://clc.am/02a9Sw
А по промокоду ЭКСПЛОИТ скидка 45% до 22 февраля!
#промо
Исследователи показали, как обмануть детекторы дипфейков
По их словам, для этого достаточно внедрить входные данные или состязательные примеры в каждый кадр дипфейка.
Это должно заставить систему ИИ допустить ошибку, что будет работать даже после сжатия видео.
Зная это, можно «обмануть» детекторы даже ничего не понимая в работе модели машинного обучения.
Естественно, исследователи отказались публиковать свой код, чтобы им не воспользовались злоумышленники.
По их словам, для этого достаточно внедрить входные данные или состязательные примеры в каждый кадр дипфейка.
Это должно заставить систему ИИ допустить ошибку, что будет работать даже после сжатия видео.
Зная это, можно «обмануть» детекторы даже ничего не понимая в работе модели машинного обучения.
Естественно, исследователи отказались публиковать свой код, чтобы им не воспользовались злоумышленники.
Специалисты SIO считают, что власти Китая прослушивают граждан в Clubhouse
Они обнаружили, что в работе приложения Clubhouse в Китае есть ряд проблем безопасности.
Из-за них доступ к данным пользователей могут получить власти Китая, несмотря на то, что Clubhouse заблокировано на его территории.
Компания Alpha Exploration, которая владеет Clubhouse, сообщила, что намерена полностью отказаться от китайских серверов.
Таким образом, работа Clubhouse в КНР в скором времени будет полностью прекращена.
Они обнаружили, что в работе приложения Clubhouse в Китае есть ряд проблем безопасности.
Из-за них доступ к данным пользователей могут получить власти Китая, несмотря на то, что Clubhouse заблокировано на его территории.
Компания Alpha Exploration, которая владеет Clubhouse, сообщила, что намерена полностью отказаться от китайских серверов.
Таким образом, работа Clubhouse в КНР в скором времени будет полностью прекращена.
Forwarded from SecAtor
В конце января Apple закрыли две 0-day уязвимости в браузерном движке WebKit, применяющемся в Safari, которые позволяли осуществить удаленное выполнение кода (RCE) и использовались в дикой природе.
Следующим же обновлением безопасности от 1 февраля была устранена еще одна уязвимость CVE-2021-1801 в том же движке WebKit, отчет в отношении которой вчера был опубликован исследователем Элией Штейном из Confiant. Ошибка, позволявшая обход ограничений песочницы iFrame, использовалась злоумышленниками из группы Scamclub для массового перенаправления пользователей с легальных сайтов на мошеннические.
Изначально уязвимость была обнаружена исследователями 22 июня 2020 года, 23 июня были оповещены Apple и Google, поскольку Chrome для iOS тоже использует движок WebKit и подвержен эксплойту . И только 1 февраля Apple присвоили ошибке CVE и исправили ее в очередном обновлении, в Chrome же уязвимость была устранена в начале декабря.
Между тем, как утверждают Confiant, только за последние 90 дней Scamclub произвели более 50 млн. показов вредоносной рекламы, с пиками до 16 млн. в один день. Сколько пользователей пострадало от нее - неизвестно. Почему исправление уязвимости заняло у Apple так много времени - тоже не ясно.
Группа Scamclub была впервые описана исследователями Avast в конце 2018 года, когда в результате деятельности скамеров всего за двое суток 300 млн. пользователей были перенаправлены на мошеннические сайты, 96% жертв были пользователями iOS.
Следующим же обновлением безопасности от 1 февраля была устранена еще одна уязвимость CVE-2021-1801 в том же движке WebKit, отчет в отношении которой вчера был опубликован исследователем Элией Штейном из Confiant. Ошибка, позволявшая обход ограничений песочницы iFrame, использовалась злоумышленниками из группы Scamclub для массового перенаправления пользователей с легальных сайтов на мошеннические.
Изначально уязвимость была обнаружена исследователями 22 июня 2020 года, 23 июня были оповещены Apple и Google, поскольку Chrome для iOS тоже использует движок WebKit и подвержен эксплойту . И только 1 февраля Apple присвоили ошибке CVE и исправили ее в очередном обновлении, в Chrome же уязвимость была устранена в начале декабря.
Между тем, как утверждают Confiant, только за последние 90 дней Scamclub произвели более 50 млн. показов вредоносной рекламы, с пиками до 16 млн. в один день. Сколько пользователей пострадало от нее - неизвестно. Почему исправление уязвимости заняло у Apple так много времени - тоже не ясно.
Группа Scamclub была впервые описана исследователями Avast в конце 2018 года, когда в результате деятельности скамеров всего за двое суток 300 млн. пользователей были перенаправлены на мошеннические сайты, 96% жертв были пользователями iOS.
Medium
Malvertiser “ScamClub” Bypasses Iframe Sandboxing With postMessage() Shenanigans [CVE-2021–1801]
This blog post is about the mechanics of a long tail iframe sandbox bypass found in a payload belonging to the persistent malvertising…
Forwarded from addmeto (Grigory Bakunov)
Reddit опубликовал отчет о прозрачности за 2020 год: было удалено 233 миллиона фрагментов контента из 3,4 миллиарда, заблокированы 82858 субреддитов, что в 4 раза больше, чем в 2019 году. Короче модерация в реддите идет полным ходом, не думайте что там прямо казачья вольница https://techcrunch.com/2021/02/16/reddits-transparency-report-shows-a-big-spam-problem-and-relatively-few-government-requests/
TechCrunch
Reddit’s transparency report shows battle against spam but relatively few government requests
Reddit has published its transparency report for 2020, showing various numbers relating to removed content, government requests and other administrative actions. The largest problem by far — in terms of volume, anyway — is spam, which made up a large proportion…
США обвинили северокорейских хакеров в краже $1,3 млрд
Министерство юстиции США утверждает, что эти деньги были украдены в ходе атак на банки, криптовалютные сервисы и на другие компании.
По их словам, хакеров спонсирует именно государство КНДР.
Они создали и развернули несколько вредоносных приложений с целью кражи и вымогательства денег.
В основном, кибератаки были нацелены на криптовалюту.
В итоге, этим северокорейцам уже предъявлены соответствующие обвинения.
Министерство юстиции США утверждает, что эти деньги были украдены в ходе атак на банки, криптовалютные сервисы и на другие компании.
По их словам, хакеров спонсирует именно государство КНДР.
Они создали и развернули несколько вредоносных приложений с целью кражи и вымогательства денег.
В основном, кибератаки были нацелены на криптовалюту.
В итоге, этим северокорейцам уже предъявлены соответствующие обвинения.
Обнаружен первый вирус для компьютеров на Apple M1
Он может показывать рекламу и собирать данные из браузера своей жертвы.
Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.
Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.
Обнаружить эту угрозу стандартными способами невозможно.
К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.
Он может показывать рекламу и собирать данные из браузера своей жертвы.
Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.
Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.
Обнаружить эту угрозу стандартными способами невозможно.
К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.
За 2020 год россияне потратили 3,2 трлн рублей на покупки в интернете
Для сравнения: в прошлом году этот показатель был в 1,5 раза меньше.
Доля онлайн-покупок составила 9,6% от общего оборота розничной торговли, а в первом полугодии — 10,2%, что стало историческим максимумом.
Самое большое число операций пришлось на Москву — 24,7% покупок.
Известно, что к онлайн-покупкам всё чаще стали подключаться регионы.
Как сообщают эксперты, в 2021 году объём рынка электронной коммерции составит 3,745 трлн рублей. Из них 3,226 трлн придётся на интернет-магазины.
Для сравнения: в прошлом году этот показатель был в 1,5 раза меньше.
Доля онлайн-покупок составила 9,6% от общего оборота розничной торговли, а в первом полугодии — 10,2%, что стало историческим максимумом.
Самое большое число операций пришлось на Москву — 24,7% покупок.
Известно, что к онлайн-покупкам всё чаще стали подключаться регионы.
Как сообщают эксперты, в 2021 году объём рынка электронной коммерции составит 3,745 трлн рублей. Из них 3,226 трлн придётся на интернет-магазины.
ФБР предупредило о том, что TDoS-атаки могут привести к гибели людей
TDoS-атаки — это попытки сделать телефонные системы недоступными путем блокировки входящих и исходящих вызовов.
По словам ФБР, если такие атаки будут направлены на службу 911, это может привести к ужасным последствиям.
Цель злоумышленников в том, чтобы как можно дольше удерживать отвлекающие звонки активными.
Это перегрузит телефонную систему жертвы, и реальные звонки будут сильно задерживаться.
Помимо того, что мошенники могут вымогать деньги у государственных организаций, такие атаки с большой вероятностью привели бы к гибели людей.
TDoS-атаки — это попытки сделать телефонные системы недоступными путем блокировки входящих и исходящих вызовов.
По словам ФБР, если такие атаки будут направлены на службу 911, это может привести к ужасным последствиям.
Цель злоумышленников в том, чтобы как можно дольше удерживать отвлекающие звонки активными.
Это перегрузит телефонную систему жертвы, и реальные звонки будут сильно задерживаться.
Помимо того, что мошенники могут вымогать деньги у государственных организаций, такие атаки с большой вероятностью привели бы к гибели людей.
Forwarded from Эксплойт
Как отправлять самоуничтожающиеся сообщения и файлы
Иногда возникает необходимость передать сообщение или медиафайл, но сделать это так, чтобы после прочтения сообщение исчезло и больше никто не смог его прочитать. В Telegram есть такая функция, но только для медиафайлов.
wipenote.io - это сервис с открытым исходным кодом, с помощью которого можно безопасно передавать данные, не беспокоясь, что их прочитает кто-то другой. Это может быть как текстовая информация, так и медиафайлы.
После прочтения получателем записка уничтожается, и восстановить и прочитать ее возможности нет ни у кого. Сервис также позволяет защитить записку паролем и установить таймер времени удаления.
#полезно
Иногда возникает необходимость передать сообщение или медиафайл, но сделать это так, чтобы после прочтения сообщение исчезло и больше никто не смог его прочитать. В Telegram есть такая функция, но только для медиафайлов.
wipenote.io - это сервис с открытым исходным кодом, с помощью которого можно безопасно передавать данные, не беспокоясь, что их прочитает кто-то другой. Это может быть как текстовая информация, так и медиафайлы.
После прочтения получателем записка уничтожается, и восстановить и прочитать ее возможности нет ни у кого. Сервис также позволяет защитить записку паролем и установить таймер времени удаления.
#полезно
