Google, Facebook и другие следят за пользователями на порносайтах, и режим инкогнито не помогает

Исследователи подсчитали, что 93% из 22 484 изученных ими сайтов для взрослых следят за своими пользователями и передают собранные данные сторонним организациям.

https://xakep.ru/2019/07/22/porn-sites-watching-u/

Изучаем ПЛК. Краткий гайд по поиску уязвимостей в промышленных контроллерах #linux #iot #подписчикам

Если ты думаешь, что контроллеры, которые ставят в зданиях и на заводах, защищены намного лучше, чем домашние гаджеты, то эта статья тебя разубедит. Я возьму девайс под названием Linx-150 и на его примере покажу, как работать с ПЛК на Linux. По этой схеме ты сможешь повторить исследование с любым другим устройством.

https://xakep.ru/2019/07/22/plc-reversing-guide/

Google утроила размер bug bounty вознаграждений

С момента запуска bug bounty программы Google в 2010 году, компания получила более 8500 сообщений об ошибках, и исследователям выплатили более 5 000 000 долларов.

https://xakep.ru/2019/07/22/bug-bounty-google/

Из Google Play удалили несколько приложений для слежки

Специалисты Avast обнаружили в каталоге Google Play ряд шпионских продуктов для рядовых пользователей (так называемую stalkerware).

https://xakep.ru/2019/07/22/stalkerware-google-play/

ESET предупредила о вредоносных клонах FaceApp

Мошенники не оставили без внимания вновь набравшее популярность приложение FaceApp и распространяют опасные подделки.

https://xakep.ru/2019/07/23/fake-faceapp/

​#реклама
Фирменную футболку мы пришлем всем, кто будет проходить обучение в Корпоративных лабораториях, а чтобы получить еще и сертификат - нужно продемонстрировать практические навыки, например:

- обнаружить SQLi в одном из запросов в клиент-северном приложение на Java;
- извлечь из бинарного содержимого информацию;
- подменить файл обновлений в сетевом трафике сети;
- написать на Python/Java/etc. скрипт, который подберет пароль Shell-скрипта;
- обнаружить в шаблоне веб-приложения (Django) уязвимости извлечь ключ для подписи Cookie привилегированного пользователя;
- получить из android приложения пароль пользователя;
- изучив логику работы веб-приложения, выполнить подмену HTTP-заголовка и получить доступ в закрытую область;
- произвести расследование атаки на сервер, установить скомпрометированные учетные записи пользователей, документы и т.д.;
- изучив логику работы веб-приложения, обойти фильтрацию и получить шелл-доступ к веб-серверу.

https://www.pentestit.ru/courses/corp-lab/

Equifax выплатит пострадавшим от утечки данных до 700 000 000 долларов

Бюро кредитных историй Equifax урегулировало юридические проблемы, возникшие после масштабной утечки данных в 2017 году

https://xakep.ru/2019/07/23/equifax-settlement/

Магия iptables. Необычные виды преобразований сетевых адресов #admin #iptables #подписчикам

Настраивать проброс портов и общий доступ к интернету через один публичный адрес умеют все, но не все знают, что возможности NAT в netfilter гораздо шире. Сегодня я продемонстрирую тебе эти возможности с помощью синтаксиса команды iptables.

https://xakep.ru/2019/07/23/iptables-hints/

Критический RCE-баг нашли в VLC Media Player. Патча пока нет

Специалисты немецкого CERT-Bund нашли опасную уязвимость в популярном медиаплеере. Исправление уже находится в работе, но пока готово не до конца.

https://xakep.ru/2019/07/23/vlc-rce-2/

Троян Watchbog атакует уязвимые серверы Jira и Exim, чтобы «поддерживать безопасность в интернете»

Малварь создает ботнет из серверов Jira и Exim, используя их для добычи криптовалюты Monero.

https://xakep.ru/2019/07/23/watchbog/

Облачный хостер iNSYNQ пострадал от атаки шифровальщика

Уже больше недели провайдер облачных услуг iNSYNQ не может вернуться к нормальной работе после атаки шифровальщика  MegaCortex.

https://xakep.ru/2019/07/23/insynq/