Sachok

Новая уязвимость в GitLab, получившая 10 из 10 балов по оценке CVSS, активно эксплуатируется хакерами. Недостаток позволяет перехватывать управление учетными записями: злоумышленник может полу рот доступ к настройкам CI/CD-конвейеров и внедрить код, который будет перенаправлять чувствительные данные на серверы под его контролем. Ну и есть вариант вмешательства в код репозитория для внедрения в него вредоносного ПО. А тут на кону и компрометация систем, и несанкционированный доступ. Причиной возникновения уязвимости специалисты называют изменения в коде GitLab в версии 16.1.0 от 1 мая 2023 года. Она касается всех механизмов аутентификации сервиса. Двухфакторная аутентификация в данном случае не является панацеей. Тем не менее для получения полного контроля над аккаунтом хакерам Уязвимость возникла из-за изменений в коде GitLab в версии 16.1.0 от 1 мая 2023 года и касается всех механизмов аутентификации GitLab. Владельцы аккаунтов с двухфакторной аутентификацией натакже подвержены риску придется получить доступ к устройству, на которое привязана 2FA. Сейчас целостность цепочки поставок снова под угрозой, поэтому американские федеральные агентства в срочном порядке устанавливают последние обновления. @cybersachok

Люди по-прежнему самые опасные существа для людей Verizon обнародовала очередной отчет 2024 Data Breach Investigations Report. Человеческий фактор снова занял самую большую долю в причинах инцидентов компрометации данных — 68%. Самые частые причины утечек данных во внешних угрозах — ransomware. Заметно выросло число утечек с эксплуатацией уязвимостей. Пламенный привет разработчикам софта для обмена файлами MOVEit. На первом месте мотивация злоумышленников финансовая, после идет шпионаж. @cybersachok

Американ бой, американ джой, Американ бой фор ол из тайм 21 год тюрьмы за шпионаж в пользу России получил специалист по информационной безопасности АНБ. За $85 000 зеленых он слил секретные документы агентам ФБР(те выдавали себя за сотрудников российских спецслужб) и готов был поделиться секретной информацией дополнительно. Что же заставило сотрудника АНБ пойти на госизмену? То ли потеря веры в «Американскую мечту», то ли разочарование в выбранном страной курсе, то ли недостаток зарплаты. Одно кажется очевидным — в США началась целенаправленная «охота на ведьм». Прямо как в старые добрые времена вьетнама и Мэрилин Монро. @cybersachok

Начинаем помощь российским бойцам на СВО Теперь часть от дохода с рекламы в канале мы будем использовать для покупки необходимых нашим парням девайсов, вещей и техники. Присылайте в бот информацию по фондам, гражданским инициативным группам, занимающимся гуманитарной помощью российским военным. @cybersachok

Я всегда обращаю внимание в кибербезе на открытость компаний в инфополе, коммуникацию с клиентами, умение простым и интересным языком донести до нужных людей суть своей деятельности и продуктов. Читаю многие каналы, но несколько месяцев назад внимание зацепил канал центра инноваций МТС Future Crew. На мой взгляд, именно таким должен быть телеграм-канал про кибербез: без излишнего корпоративного душка, рассказывающий о кейсах, актуальных угрозах киберпанкового мира 2024 и отслеживающий тренды киберугроз в режиме онлайн. Почитайте их на досуге сами, чтобы убедиться, что можно выходить за рамки шаблонов. @cybersachok

POV: я забыл сделать бэкапы компании, которая стала жертвой ransomware-атаки

Друзья рассказали историю. Один казанский ИБ-исследователь в ходе изучения хакерских форумов познакомился с Петербургской хакершой. Его специализацией были кардерские форумы и инструменты для кражи финансовых данных. И ему не хватало живого примера. В общем жену он использовал в качестве учебно-исследовательского пособия для своих работ и статей. @cybersachok

Феноменальный способ взлома телефона с помощью утилиты Lockspish продемонстрировали на днях ИБ-исследователи. Если вы окончательно провалились в дофаминовую яму и устали от информационного поноса социальных медиа, то вот вам способ цифровой самоликвидации.(главное, не бежать сразу же покупать новый гаджет-ошейник). Захват устройства осуществляется по следующему алгоритму: 1)на почту отправляют письмо о нахождении телефона и просят ввести от него пароль(так топорно не работают даже Украинские спецслужбы); 2) кто ввел пароль, тот потерял смартфон. В общем, лучше один раз посмотреть, чем 10 раз перечитать. @cybersachok

Любопытная коллаборация на рынке системного ПО Накануне ИТ-вендор «Базис» заявил о расширении сотрудничества с Институтом системного программирования РАН. Началось партнерство в прошлом году с того, что ИСП РАН приступил к поиску уязвимостей в ПО «Базиса» при помощи статического и динамического анализов. Дальше работать планируют сразу по нескольким направлениям: тут и верификация, и тестирование программного обеспечения, и обработка больших данных, и программная инженерия. И что особенно интересно — будут создавать коммьюнити в области доверенного ПО. Привлекать планируют как состоявшихся экспертов, так и студентов — тех будут взращивать для инфобеза. В продуктовом же смысле предполагается, что сотрудничество повысит качество и защищенность продуктовой экосистемы «Базиса», которая уже сертифицирована ФСТЭК и ФСБ и интегрирована в ключевые государственные проекты вроде Гостеха и еще 120+ ГИС и ИС. @cybersqchok