Криптографическая уязвимость ROBOT 19-летней давности угрожает Facebook, PayPal и многим другим сайтам

В далеком 1998 году специалист Bell Laboratories Даниэль Блейхенбахер (Daniel Bleichenbacher) обнаружил проблему (PDF), связанную с тем, как ведет себя TLS-сервер, в том случае, если его оператор решил зашифровать обмен ключами между клиентом и сервером при помощи алгоритма RSA. Суть атаки, разработанной тогда Блейхенбахером, заключается в том, что перед установкой зашифрованного соединения, клиент…

Больше

Отладчик, забытый на ноутбуках HP, может служить кейлоггером

Компания HP Inc. устранила уязвимость, позволяющую злоумышленникам превратить код для отладки, случайно оставленный на сотнях моделей ноутбуков, в клавиатурный шпион. Брешь, связанную с использованием драйвера сенсорной панели Synaptics Touchpad, обнаружил Майкл Минг (Michael Myng). В описании открытия исследователь утверждает, что по умолчанию компонент отладчика отключен, однако пользователь с правами системного…

Больше

Через приложение Tinder можно завладеть учетной записью Facebook

Facebook-профили пользователей находятся под угрозой взлома через популярное приложение для знакомств Tinder. В опубликованном The Sun материале сообщается, что исследователи обнаружили брешь в Tinder, которая способна выдать токены Facebook в процессе загрузки пользователем фотографий в альбом Tinder. Учитывая, что вход в Tinder через Facebook-аккаунт является популярным методом, эта брешь угрожает…

Больше

Google раскрыл детали уязвимостей в Chrome, за которые заплатил $100 000

Еще в 2015 году компания Google решила «повысить ставки» и сообщила, что заплатит $100 000 специалисту, который сумеет создать и продемонстрирует цепочку эксплоитов, гарантирующую устойчивую компрометацию Chromebox или Chromebook через веб-страницу в гостевом режиме. Напомню, что до этого компания предлагала за такой proof-of-concept $50 000. На прошлой неделе стало известно, что…

Больше

Взломан официальный блог библиотеки jQuery

Официальный блог jQuery — одной из самых популярных библиотек JavaScript, используемой миллионами сайтов, был взломан хакерами под псевдонимами str0ng и n3tr1x. Об этом сообщает ресурс The Hacker News. В настоящее время свидетельств компрометации сервера jQuery нет. Хакеры просто осуществили дефейс блога и разместили сообщение: «Здесь были S.O.A. взломано хакерами str0ng…

Больше

Неизвестные взломали майнинговый сервис CoinHive, заставив тысячи сайтов добывать Monero для себя

Операторы сервиса CoinHive, который предоставляет владельцам сайтов возможноcть встроить скрипты для майнинга криптовалюты прямо в код ресурса, подвергся кибератаке. В официальном блоге разработчики сообщили, что неизвестные злоумышленники сумели проникнуть в аккаунт Cloudflare, принадлежащий CoinHive, где изменили настройки DNS для coinhive.com. В результате файл coinhive.min.js загружался с сервера злоумышленников, и эта…

Больше

Исследователи Check Point обнаружили масштабный IoT-ботнет

Исследователи компании Check Point сообщили о появлении крупного ботнета, объединившего под своим крылом уязвимые IoT-устройства, такие как IP-камеры. По оценкам компании, миллионы организаций по всему миру могли стать жертвами атак с этих устройств. Аналитики Check Point считают, что новый ботнет может нанести гораздо больший ущерб, чем ботнет Mirai в 2016…

Больше

Новая волна атак на SSH-ключи

По наблюдениям ИБ-экспертов, киберпреступники развернули активный поиск слабых приватных ключей SSH на тысячах серверов с веб-сайтами на WordPress. Ежедневно злоумышленники прочесывают около 25 тыс.ресурсов. «Наше внимание привлекла жалоба клиента, который мониторил свой трафик в реальном времени и увидел, что кто-то сканирует его на наличие SSH-ключей, — сообщил Threatpost Марк Мондер…

Больше

Злоумышленники вернули стартапу CoinDash украденные 3 млн долларов

16 июля 2017 года израильский стартап CoinDash запустил процедуру ICO (Initial Coin Offering, первичного размещения токенов), которая в итоге закончилась для проекта не слишком хорошо. Через три минуты после размещения токенов неизвестные злоумышленники взломали сайт CoinDash и подменили адрес официального Ethereum-кошелька на свой собственный. Хотя атаку обнаружили почти мгновенно, только…

Больше

Хакеры взломали Комиссию по ценным бумагам и биржам США

Хакеры взломали корпоративную базу данных Комиссии по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) и зарабатывали на инсайдерской информации. Как сообщает Reuters, взлом произошел еще в 2016 году, однако о незаконных сделках с использованием похищенных данных стало известно только в прошлом месяце. Как пояснил регулятор, хакеры проэксплуатировали…

Больше