IT Дайджест / IT Новости / IT / Технологии

Один Docker-контейнер чуть не обрушил всю экосистему Python #Python #GitHub #Docker Команда JFrog Security Research обнаружила утечку токена с административными правами доступа к репозиториям GitHub Python, PyPI и Python Software Foundation. Токен был найден в публичном Docker-контейнере на платформе Docker Hub. Выявленный токен предоставлял административный доступ ко всей инфраструктуре Python, включая репозитории Python Software Foundation, PyPI и CPython. Если бы злоумышленники получили доступ к этим ресурсам, они могли бы провести крупномасштабную атаку на цепочку поставок, например, внедрить вредоносный код в CPython, что могло бы привести к распространению вредоносного ПО на десятки миллионов машин по всему миру. Другой возможный сценарий атаки – внедрение вредоносного кода в хранилище кода PyPI, что дало бы киберпреступникам доступ к управлению популярными пакетами PyPI. Хакеры могли бы скрыть вредоносный код внутри пакетов или заменить их полностью, что также представляло бы серьезную угрозу. Автор кода временно добавил токен авторизации в исходный код, после чего скомпилировал код, но не удалил токен из скомпилированного файла. Затем разработчик поместил в Docker-образ как исходный код, так и скомпилированный pyc-файл вместе с токеном. В результате токен оказался в Docker-образе, несмотря на отсутствие его в исходном коде. Случай показал, что одного сканирования исходного кода для обнаружения утечек недостаточно. Необходима проверка как исходного кода, так и бинарных данных в опубликованных Docker-образах. Вредоносные данные могут содержаться только в бинарных файлах, что делает их обнаружение более сложным, но не менее важным. Команда JFrog оперативно сообщила об утечке токена службе безопасности PyPI, и всего через 17 минут доступ был отозван. Благодаря быстрому реагированию, удалось предотвратить потенциальную катастрофу. PyPI провела всестороннюю проверку, подтвердив отсутствие подозрительной активности, связанной с токеном. PyPI также опубликовала подробности инцидента и меры, предпринятые для его предотвращения. LH | Новости | Курсы | Мемы

Кибертеррор в Индиане: госсистемы округа Клей полностью парализованы #взлом #Ransomware Округ Клей в штате Индиана, США, на днях объявил чрезвычайное положение после атаки программ-вымогателей на сети местного правительства. В результате атаки оказалась парализована работа важных государственных учреждений, таких как здание суда округа Клей и центр пробации/социальной коррекции. Декларация о чрезвычайном положении была подписана 11 июля и будет действовать в течение семи дней. Комиссары округа призвали к применению всех необходимых мер для защиты жизни и имущества граждан, а также для восстановления работы местного правительства с минимальными перебоями. Официальное заявление было опубликовано на странице Агентства по чрезвычайным ситуациям округа Клей в Facebook*, поскольку сайт правительства округа на момент написания новости оставался недоступным. Все государственные учреждения и сотрудники округа Клей обязаны сотрудничать с Агентством по чрезвычайным ситуациям в выполнении чрезвычайных законов, правил и директив как штата, так и местного уровня. Граждан округа призвали соблюдать все чрезвычайные меры и сотрудничать с официальными лицами и службами в выполнении планов экстренных операций. Пока никто не взял на себя ответственность за атаку, которая была впервые обнаружена 9 июля. Тем не менее, известно, что хакеры использовали вариацию вымогательской программы Blacksuit, которая, как считается, является ребрендингом киберпреступной операции Royal. Ранее такая же атака парализовала работу всех государственных учреждений и судов округа Монро, и, по словам комиссаров, что-то похожее случилось и в округе Клей. Местные управленцы округа приняли ряд мер для смягчения последствий инцидента, включая изоляцию пострадавших систем для локализации атаки и привлечение внешних специалистов по кибербезопасности для помощи в реагировании на инцидент. Подобные инциденты, затрагивающие местные органы власти в тех или иных округах в последнее время всё чаще происходят в США. Вполне вероятно, они имеют отношение к скорым выборам президента в стране. Так, в феврале округ Фултон в штате Джорджия, подтвердил, что масштабные перебои в его ИТ-системах были вызваны атакой программ-вымогателей. А в апреле округ Джексон, штат Миссури, сообщил о значительных перебоях в своих ИТ-системах из-за аналогичной атаки, что также привело к объявлению чрезвычайного положения. Кроме того, в июне этого года власти Кливленда, Огайо, подтвердили, что городские правительственные системы также подверглись атаке программ-вымогателей, что вызвало временное закрытие городской администрации. Подобные кибератаки, парализующие работу важнейших государственных учреждений и вынуждающие американские власти объявлять чрезвычайное положение в целых округах, указывают на растущую угрозу со стороны злонамеренных акторов. Инвестиции в кибербезопасность и обучение персонала должны стать приоритетом для предотвращения таких инцидентов в будущем. LH | Новости | Курсы | Мемы

AT&T заплатила хакерам $370 000 за удаление похищенных клиентских данных #AT&T #Ransomware #взлом Недавно американский телекоммуникационный гигант AT&T сообщил об очередной масштабной утечке данных своих клиентов. Злоумышленники получили доступ к информации практически всех пользователей беспроводной связи AT&T, а также клиентов виртуальных операторов мобильной связи (MVNO), использующих сеть компании. По данным издания WIRED, AT&T заплатила одному из участников хакерской группы за удаление похищенных данных. Киберпреступник предоставил журналистам доказательства транзакции, которая состоялась 17 мая. Сумма платежа составила около 5,72 биткоина, что на момент транзакции равнялось 373 646 долларам. Изначально хакеры требовали от AT&T целый миллион, но в итоге согласились на треть от этой суммы. В качестве подтверждения удаления данных хакер предоставил компании видео. Сама AT&T узнала об утечке данных в середине апреля. Хакер Джон Эрин Биннс, предположительно ответственный за кражу, связался с исследователем безопасности, известным под псевдонимом Реддингтон. Биннс сообщил, что получил доступ к записям звонков и сообщений миллионов клиентов AT&T через плохо защищённую облачную систему хранения Snowflake. Тем временем, инцидент со Snowflake, который мы уже не раз освещали с разных сторон, затронул около 165 компаний, включая Ticketmaster, Santander Bank и Neiman Marcus. В зависимости от размера организации, хакеры требовали выкуп в размере от 300 тысяч до 5 миллионов долларов. Украденная у AT&T информация включала метаданные звонков и текстовых сообщений, но не содержала имён владельцев телефонов или содержания разговоров. Тем не менее, хакеры продемонстрировали, насколько легко можно идентифицировать владельцев номеров с помощью программы обратного поиска. AT&T заявила, что утечка затронула «почти всех» клиентов сотовой связи компании, а также абонентов других операторов, которые общались с клиентами AT&T в период с 1 мая по 31 октября 2022 года, а также 2 января 2023 года. Компания раскрыла информацию об утечке только 14 июля, несмотря на то, что узнала о ней ещё в апреле. Задержка объясняется тем, что Министерство юстиции США предоставило AT&T отсрочку из соображений национальной безопасности. Ранее компания AT&T уже неоднократно становилась жертвой хакерских атак. Последняя крупная утечка на 70 миллионов клиентов произошла в 2021 году, однако в 2024 году эти же данные всплыли на одном из хакерских форумов повторно, причём абсолютно бесплатно для киберпреступников. Компания долго отрицала подлинность этой утечки, но в конечном итоге сдалась и признала взлом. LH | Новости | Курсы | Мемы

Сервис DDoSecrets возродил базу Wikileaks #Wikileaks #DDoSecrets Организация Distributed Denial of Secrets (DDoSecrets), известная своим активизмом в области прозрачности данных, опубликовала копии данных с сайта Wikileaks на своем собственном ресурсе. Публикация данных произошла после того, как основатель Wikileaks Джулиан Ассанж заключил соглашение о признании вины и обязался удалить все неопубликованные секретные материалы. Сделка Ассанжа подтолкнула организацию к решению архивировать контент Wikileaks и упростить к нему доступ. Многие части сайта Wikileaks за годы существования пришли в негодность, некоторые загрузки стали недоступны. В результате оригинальные данные могут исчезнуть. В DDoSecrets отметили, что Wikileaks представляет собой централизованную точку отказа, что делает сервис уязвимым. DDoSecrets стремится сделать данные более устойчивыми и обеспечить их доступность. Организация предоставляет ту же информацию, что и Wikileaks, но в более надежном и защищенном формате. DDoSecrets также не будет цензурировать данные. Зеркальные данные Wikileaks, опубликованные DDoSecrets, включают: • Yemen Files, содержащие информацию о военном сотрудничестве посольства США в Сане, Йемен; • Vault 7, содержащий технические данные о хакерских возможностях ЦРУ; • электронные письма с личного почтового сервера Хиллари Клинтон. Архивация данных Wikileaks также включает информацию, за публикацию которой Wikileaks подвергались критике. Например, публикация Saudi Cables включала 124 медицинских файла и подробности о мужчине из Саудовской Аравии, арестованном за гомосексуальность. Дело поставило под угрозу жизнь участников дела и их семей. Организация DDoSecrets была основана в 2018 году и быстро стала известна как платформа для больших массивов данных, например, BlueLeaks – 270 ГБ украденных данных, связанных с правоохранительными органами США. Утечка привела к многочисленным статьям о наблюдении и деятельности полиции. В ответ на распространение таких материалов, соцсети и правительства ограничили доступ к ресурсам DDoSecrets. В 2020 году DDoSecrets назвали преемником Wikileaks. DDoSecrets также сообщила о запуске двух новых проектов: • Библиотека утечек (Library of Leaks), которая будет отвечать за сохранение существующих данных и взаимодействие с внешними группами; • Разоблачения без границ (Disclosure Without Borders), сосредоточенного на публикациях и защите источников. Сервисы помогут привлечь новых участников, сделав проекты более устойчивыми в долгосрочной перспективе и вовлекая сообщество журналистов, активистов и исследователей. DDoSecrets не контактировала с Wikileaks по поводу восстановления данных, а Wikileaks не предоставил комментариев по этому поводу. С 2019 года 51-летний Ассанж боролся против экстрадиции в США, где ему грозило до 175 лет тюрьмы за обвинения в шпионаже. Поводом для обвинений стала публикация WikiLeaks секретных документов, раскрывающих подробности о военных операциях и дипломатических миссиях США, в том числе факты гражданских жертв в войнах в Ираке и Афганистане. Секретные документы журналисту предоставлял бывший аналитик армии США Челси Мэннинг. В конечном итоге Ассанж провел 62 месяца в британской тюрьме. LH | Новости | Курсы | Мемы

Кибербезопасность — востребованная отрасль IT: у 96% российских компаний есть проблемы с компьютерной безопасностью. Чтобы защититься от преступников, они активно ищут специалистов. Если вы не изучали код, но хотите примерить эту профессию на себя, то мини-курс Skillbox по кибербезопасности как раз для вас. Регистрация: https://epic.st/G7kyP?erid=2VtzquhJ1Jq Мини-курс подходит новичкам. Вам не нужно знать код, чтобы вникнуть в основы и понять принципы кибербезопасности. Чтобы выполнять практические задания, необходимо установить VirtualBox — систему для запуска учебных виртуальных машин. Ссылку на установку пришлём после регистрации на мини-курс. Всех участников ждут бонусы: 5 полезных материалов о приёмах взлома, методах защиты и тестирования серверов, персональная карьерная консультация, сертификат на скидку 10 000 рублей и год бесплатного изучения английского языка. Успевайте получить бесплатный доступ. Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880

Autodesk блокирует облачные аккаунты российских пользователей BIM 360 Российские инженеры, использующие продукты и сервисы Autodesk в обход санкционных ограничений, начали терять доступ к проектной документации и моделям, хранящимся в облаке американской ИТ-компании. В марте этого года ушедший из России вендор ввел запрет на использование своих продуктов и услуг российскими юрлицами. Решение было принято в связи с 12-м пакетом санкций ЕС, ограничившим поставки в Россию софта для промпредприятий; аналогичные меры приняли и другие зарубежные сервис-провайдеры, в том числе Microsoft, SAP и Asana. Западные санкции подстегивают процесс импортозамещения в стране, однако стройкомплекс России, как выяснил РБК, в целом запаздывает с переходом на отечественные решения. По данным ИТ-компании «Аскон», софт российской разработки уже закупили как минимум 30% девелоперов. Остальные по-прежнему полагаются на продукты Autodesk — в основном это AutoCAD, ArchiCAD и Tekla; правда, введение запрета вынудило клиентов компании прибегать к ухищрениям: действовать через Казахстан, Киргизию, ОАЭ и использовать VPN. Вместе с тем на отечественном рынке имеется доже аналог инструмента Autodesk для совместной работы (BIM 360). Те, кто опасается потерять все свои наработки из-за блокировки аккаунта, могут воспользоваться решением Sarex; перенос данных с серверов Autodesk BIM 360 на ее веб-платформу СОД уже три месяца как бесплатен. Ограничение использования зарубежного софта на территории РФ на руку сетевым мошенникам: они спешат нажиться на распространении пиратских копий популярных инструментов, которые к тому же могут оказаться вредоносными. LH | Новости | Курсы | Мемы

Охотники за 2FA-кодами Госуслуг и банков начали звонить от имени Мосэнерго #взлом #Госуслуги Российская правоохрана фиксирует рост числа жалоб на мошеннические звонки от имени «Мосэнерго» и «Мосэнергосбыта». В ходе беседы имитаторы выманивают одноразовый СМС-код для получения доступа к аккаунту Госуслуг или банковскому счету жертвы. Особенно много жалоб на фейковых поставщиков коммунальных услуг было подано в прошлом месяце. Возбуждены десятки уголовных дел, потери пострадавших (в основном пенсионеры из Московского региона) измеряются сотнями тысяч и даже миллионами рублей. Обманщики могут звонить под предлогом поверки электросчетчиков, перерасчета платежей, предоставления скидки на ЖКУ жителям почтенного возраста. Собеседнику могут предложить зайти на портал «Госуслуги» для проверки информации или запросить данные банковской карты, номер паспорта, СНИЛС, ИНН. Развитие сценария зависит от выбранной темы и реакции намеченной жертвы. Если она не желает выдать полученный код аутентификации (2FA), злоумышленники будут бомбардировать ее звонками с разных номеров и от имени разных ведомств, стараясь добиться искомого результата. Абонента могут запугивать несанкционированным доступом к аккаунту Госуслуг. Если речь идет об оплате электроэнергии или неких бонусах юбиляру, может последовать звонок «сотрудника Росфинмониторинга» по поводу якобы оформленной заявки на получение кредита или на перевод денежных средств за рубеж — террористам. Злоумышленники также могут предложить перенести сбережения на «безопасный счет» и даже услужливо прислать курьера. Встревоженный пенсионер, которого некому отговорить, с благодарностью последует инструкциям мошенников: наберет кредитов, продаст машину, снимет все деньги и отдаст или переведет их незнакомцу. В ответ на запрос «Известий» о комментарии в ПАО «Мосэнерго» заявили, что они являются генерирующей компанией и не работают с гражданами напрямую, а потому при звонке от их имени следует сразу прекратить разговор и обратиться в правоохранительные органы. Имя «Мосэнергосбыта», а также «Мосгаза» ранее уже использовалось в мошеннических схемах. Москвичи и жители Подмосковья привыкли пользоваться услугами этих поставщиков, и потому звонки имитаторов вряд ли вызовут подозрение. LH | Новости | Курсы | Мемы

erid: LjN8KC2b5 Наконец-то появились качественные футболки с ИБ-принтами! Идеальные ткань и виды печати Отработанные годами технологии Подписывайтесь на канал AUTHORITY Помимо футболок, пишем авторские статьи на тему ИБ и стараемся не захламлять ленту репостами

Netgear предупреждает об обходе аутентификации и XSS в своих роутерах #cve #Netgear Компания Netgear предупредила пользователей о необходимости как можно скорее обновить прошивку своих устройств. Дело в том, что обновленная версия прошивки исправляет хранимую XSS и обход аутентификации в нескольких моделях маршрутизаторов компании. Хранимая XSS-уязвимость (исправлена в прошивке версии 1.0.0.72 и отслеживается под идентификатором PSV-2023-0122) затрагивает игровые маршрутизаторы Nighthawk XR1000. Хотя компания пока не раскрывает никаких подробностей об этой проблеме, обычно эксплуатация подобных уязвимостей позволяет перехватывать пользовательские сессии, перенаправлять пользователей на вредоносные сайты, отображать поддельные формы входа, а также похищать конфиденциальную информацию и выполнять действия с правами скомпрометированного пользователя. Проблема обхода аутентификации (исправлена в прошивке версии 2.2.2.2 и отслеживается под идентификатором PSV-2023-0138) затрагивает маршрутизаторы CAX30 Nighthawk AX6 6-Stream. В этом случае Netgear так же не раскрывает никакой информации об уязвимости, но подобные проблемы обычно имеют максимальный уровень серьезности, поскольку могут предоставить злоумышленникам несанкционированный доступ к административному интерфейсу и привести к полному захвату целевого устройства. Напомним, что в прошлом месяце исследователи обнаружили сразу шесть уязвимостей в бюджетном маршрутизаторе Netgear WNR614 N300, который пользуется популярностью как среди обычных пользователей, так и среди представителей малого бизнеса. Но поскольку поддержка этой модели уже прекращена, специалисты Netgear посоветовали пользователям заменить маршрутизатор, а если это невозможно, принять определенные защитные меры. LH | Новости | Курсы | Мемы

Почти 10 тыс. веб-ресурсов использовали бренд Ozon для обмана россиян #Ozon Специалисты российской компании F.A.C.C.T. и представители маркетплейса Ozon опубликовали интересную статистику: в первом полугодии 2024-го совместными усилиями им удалось заблокировать 9341 мошеннических ресурса и 3621 фишинговый сайт, использующий бренд Ozon для обмана пользователей. Чаще всего исследователи наблюдали на таких сайтах фейковые розыгрыши от имени Ozon, а фишинговые страницы использовались для аутентификации при покупке или возврате товара. Излюбленный метод продвижения таких веб-ресурсов — реклама в мессенджерах и социальных сетях. Как уже отмечалось выше, за первые шесть месяцев специалисты заблокировали 9341 мошеннических сайтов, что превышает аналогичный показатель прошлого года в целых 19 раз. Фишинг, уступающий по полярности мошенническим схемам, тем не менее представляет серьёзную угрозу для граждан. В первом полугодии 2024-го исследователи прикрыли 3621 таких страниц. Команда Digital Risk Protection (DRP) отмечает основные источники привлечения посетителей на мошеннические ресурсы — группы и аккаунты в соцсетях и мессенджерах. В первые шесть месяцев 2024 года их число заметно возросло и составило 1623 (почти в семь раз больше, чем за весь 2023 год). LH | Новости | Курсы | Мемы