Хакеры получили доступ к почте некоторых членов парламента Финляндии

Финские власти заявили, что осенью парламент страны подвергся хакерской атаке, и злоумышленники смогли получить доступ к электронной почте ряда парламентариев.

https://xakep.ru/2020/12/29/eduskunta-hack/

Малварь загружает Cobalt Strike с помощью картинок с Imgur

Исследователи обнаружили безымянную малварь, которая загружает PowerShell-скрипт с GitHub, а затем использует обычные (на первый взгляд) картинки с Imgur, чтобы заразить машину жертвы Cobalt Strike.

https://xakep.ru/2020/12/29/muddywater-malware/

В магазинах Shopify, BigCommerce, Woocommerce и Zencart нашли новый веб-скиммер

Новый мультиплатформеный вредонос способен похищать платежную информацию из скомпрометированных магазинов, работающих на базе Shopify, BigCommerce, Zencart и Woocommerce.

https://xakep.ru/2020/12/29/new-webskimmer/

Корпорация Kawasaki Heavy Industries пострадала от взлома и утечки данных

Японский гигант Kawasaki Heavy Industries объявил о взломе и возможной утечке данных, так как третьи лица получили несанкционированный доступ к серверу компании из ряда ее зарубежных офисов.

https://xakep.ru/2020/12/29/kawasaki-heavy-industries/

ФБР: пранкеры взламывают IoT-устройства, чтобы вести прямые трансляции полицейских рейдов

Правоохранители предупредили о новой неприятной тенденции: хакеры взламывают различные «умные» устройства, а затем вызывают домой к своим жертвам наряд спецназа, чтобы транслировать происходящее в прямом эфире.

https://xakep.ru/2020/12/30/iot-swatting/

Особые инструменты. Утилиты Linux, которые мы используем, не зная о них #linux #utils #подписчикам

В Linux есть ряд инструментов с интересной судьбой: почти все хоть раз видели результат их работы, но мало кто знает, чем это было сделано. В этой статье мы рассмотрим несколько таких утилит.

https://xakep.ru/2020/12/30/linux-utils/

Облачное хранилище Wasabi ушло в оффлайн из-за размещенного на его серверах контента

Облачный сервис Wasabi претерпел серьезный сбой, так как его домен, используемый для хранения данных, оказался заблокирован регистратором из-за размещенного пользователями вредоносного контента.

https://xakep.ru/2020/12/30/wasabi-downtime/

Баг в Google Docs позволял просматривать чужие приватные документы

Исследователь заработал 3133,70 долларов по программе bug bounty, обнаружив уязвимость в Google Docs. Дело в том, что инструменте Google для обратной связи мог использоваться для кражи конфиденциальной информации.

https://xakep.ru/2020/12/30/google-docs-bug/

Apple проиграла суд против стартапа Corellium

Суд встал на сторону стартапа Corellium, который ранее научился создавать такие виртуальные машины с iOS, что Apple не понравилось, что кто-то скопировал ее операционную систему. Однако в итоге иск Apple о нарушении авторских прав был отклонен.

https://xakep.ru/2020/12/30/corellium-won/

Microsoft: взломщики SolarWinds охотились за доступом к облачными ресурсам

Аналитики Microsoft продолжают изучать атаку на цепочку поставок, которой подверглась компания SolarWinds, а затем и ее клиенты (включая крупные компании и правительственные учреждения). В компании говорят, что конечной целью атаки, похоже, было получение доступа к облачным ресурсам жертв.

https://xakep.ru/2020/12/30/solarwinds-cloud-access/

Последний день скидки на курс «Безопасность веб-приложений»

Напоминаем, что сегодня не только последний день 2020 года, но и последний день, когда можно сэкономить и записаться на наш курс «Безопасность веб-приложений» со скидкой! Курс стартует 18 января 2021 года, и за 38 академических часов проведет вас от азов OWASP TOP-10 до аудита веб-приложений и собственных CVE.

https://xakep.ru/2020/12/31/final-sale-day/

Adobe предупреждает пользователей Windows 10 о необходимости удалить Flash Player

Сегодня (31 декабря 2020 года) поддержка Adobe Flash Player будет окончательно прекращена. Пользователи Windows могут увидеть предупреждения, в которых Adobe рекомендует им удалить Flash Player.

https://xakep.ru/2020/12/31/delete-flash-player/

MEGANews. Самые важные события в мире инфосека за декабрь #meganews #дайджест #декабрь

В этом месяце: власти Казахстана снова внедряют обязательный «сертификат безопасности», хакеры открыли постаматы PickPoint, биржа EXMO пострадала от взлома, Яндекс и «Лаборатория Касперского» обнаружили вредоносные браузерные расширения, а Мэттью Грин раскритиковал защиту современных смартфонов.

https://xakep.ru/2020/12/31/meganews-261/

Лучшие статьи «Хакера» и самые горячие новости за 2020 год #xakep #digest #top2020

Как ты догадываешься, мы собираем кучу всякой статистики, чтобы узнать побольше о предпочтениях читателей и лучше им соответствовать. Под конец этого года мы решили поделиться некоторыми цифрами — как минимум, чтобы ты знал, что почитать, когда закончишь с празднованием Нового года.

https://xakep.ru/2020/12/31/xakep-tops-2020/

Совсем скоро стартует курс «Безопасность веб-приложений»

18 января 2021 года стартует наш курс «Безопасность веб-приложений». За 38 академических часов вы пройдете путь от азов OWASP TOP-10 до аудита веб-приложений и собственных CVE. Занятия будет вести сертифицированный пентестер, двукратный победитель и призер PHDays, известный ИБ-специалист и ведущий YouTube-канала [NO OFFENCE] Александр «Twost» Пушкин.

https://xakep.ru/2021/01/05/websec/

​#реклама
Вы — разработчик или спец по кибербезопасности, который хочет роста, но не знает, что выбрать? Подсказываем: идите на курс по DevSecOps от GeekBrains.

DevSecOps — следующая ступень DevOps. Специалисты в этой области головой отвечают за качество и надежность кода. Находят и устраняют уязвимости, автоматизируют процессы, внедряют средства защиты и помогают разработчикам выпускать безопасное ПО.

На курсе научат основным технологиям DevSecOps: Kubernetes, HashiCorp (Vault, Terraform), GitLab, OpenVAS, Lynis, CIS Benchmark, SAST\DAST, Graylog, Grafana, TruffleHog, OWASP Zap, Ansible. В общем, получите тот набор компетенций и навыков, который нужен топовым IT-компаниям.

Записывайтесь по ссылке →https://geekbrains.ru/link/yrJXzk

Исходные коды компании Nissan утекли из-за учетных данных admin:admin

В сеть попал исходный код мобильных приложений и внутренних инструментов североамериканского подразделения компании Nissan. Утечка произошла из-за того, что специалисты автопроизводителя неправильно настроили один из своих Git-серверов.

https://xakep.ru/2021/01/11/nissan-leak/

Android: подмена системных диалогов и утечки памяти #android #дайджест #подписчикам

Сегодня в выпуске: очередное напоминание, что диалоги запросов полномочий в Android можно подменить, гайд по оптимизации потребления памяти приложением, рассказ об отличиях ArrayMap и SparseArray от HashMap и инструкции по ограничению видимости API библиотек. А также: очередная подборка библиотек для программистов и инструментов для пентеста.

https://xakep.ru/2021/01/11/android-261/

Резервный банк Новой Зеландии стал жертвой взлома

Вчера, 10 января 2021 года Резервный банк Новой Зеландии сообщил, что пострадал от хакерской атаки. Оказалось, злоумышленники получили доступ к данным, хранящимся у хостинг-партнера банка.

https://xakep.ru/2021/01/11/te-putea-matua-hack/

Авторы вымогателя Ryuk уже «заработали» более 150 000 000 долларов

ИБ-исследователи подсчитали, что «доход» операторов малвари Ryuk суммарно насчитывает более 150 000 000 долларов в биткоин-эквиваленте.

https://xakep.ru/2021/01/11/ryuk-money/