Апдейт по истории с удаленным входом на компьютер водоочистительной системы. Там был установлен компьютер с TeamViewer, для того, чтобы сотрудники могли что-то там удаленно контролировать. Аккаунт с паролем, но, видимо, злоумышленник, похоже, его подобрал. Он логинился два раза, и во второй раз изменил количественное соотношение гидроокиси натрия в настройках интерфейса на такое, которое могло бы потенциально нанести существенный ущерб здоровью людей. Сотрудник компании, увидев это, тут же изменил настройки обратно на безопасные. Вот он, настоящий киберпанк
https://www.vice.com/en/article/88ab33/hacker-poison-florida-water-pinellas-county
https://www.vice.com/en/article/88ab33/hacker-poison-florida-water-pinellas-county
VICE
Hacker Tried to Poison Florida City's Water Supply, Police Say
The hacker tried to drastically increase sodium hydroxide levels in the water, Pinellas County, Florida, officials said on Monday.
О, CD Projekt Red получил свою долю признания среди компьютерных злоумышленников
https://twitter.com/CDPROJEKTRED/status/1359048125403590660
https://twitter.com/CDPROJEKTRED/status/1359048125403590660
Twitter
CD PROJEKT RED
Important Update
=== РАБОТА ===
#вакансия #удалённо #job #remote #parttime #преподаватель #devsecops
Всем привет!!!
В команду Otus.ru ищу эксперта на роль руководителя/преподавателя на онлайн курс:
DevSecOps
Если у вас есть опыт от 3 лет, и есть желание им поделиться пишите нам!
Отклик можно оставить здесь
Условия:
Полностью удаленно, от 1 раза в неделю, вечером с 20.00 до 21:30 по мск;.
Ставка за 1 вебинар в 1,5 часа – 5000/4000 рублей на руки.
Информация по оплате и калькулятор тут
Преподавание - отличная возможность для вас:
✔️прокачать навыки публичных выступлений
✔️научиться делиться информацией и структурировать свои знания
✔️давать обратную связь
✔️сделать крутой образовательный проект в команде сильных экспертов
✔️взять лучших студентов себе в команду
С удовольствием все расскажу 😊
Телеграм: @Elena_Munirova
Почта: e.munirova@otus.ru
#вакансия #удалённо #job #remote #parttime #преподаватель #devsecops
Всем привет!!!
В команду Otus.ru ищу эксперта на роль руководителя/преподавателя на онлайн курс:
DevSecOps
Если у вас есть опыт от 3 лет, и есть желание им поделиться пишите нам!
Отклик можно оставить здесь
Условия:
Полностью удаленно, от 1 раза в неделю, вечером с 20.00 до 21:30 по мск;.
Ставка за 1 вебинар в 1,5 часа – 5000/4000 рублей на руки.
Информация по оплате и калькулятор тут
Преподавание - отличная возможность для вас:
✔️прокачать навыки публичных выступлений
✔️научиться делиться информацией и структурировать свои знания
✔️давать обратную связь
✔️сделать крутой образовательный проект в команде сильных экспертов
✔️взять лучших студентов себе в команду
С удовольствием все расскажу 😊
Телеграм: @Elena_Munirova
Почта: e.munirova@otus.ru
Otus
Внедрение и работа в DevSecOps: научитесь обеспечивать безопасность в непрерывном процессе разработки
Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам
Forwarded from все останутся, а я умру.
Хакеры украли внутренние данные cp77 и вот что они там нашли...
кто-то так проапдейтил совершенно обычное приложение в Google Play, что оно возьми и стань полноценным вредоносным приложением, которое форсило установки левых приложений
https://blog.malwarebytes.com/android/2021/02/barcode-scanner-app-on-google-play-infects-10-million-users-with-one-update/
https://blog.malwarebytes.com/android/2021/02/barcode-scanner-app-on-google-play-infects-10-million-users-with-one-update/
Malwarebytes
Barcode Scanner app on Google Play infects 10 million users with one update | Malwarebytes Labs
In a single update, a popular barcode scanner app that had been on Google Play for years turned into malware.
в macOS выпустили апдейт с фиксом уязвимости sudo
Impact: A local attacker may be able to elevate their privileges
Description: This issue was addressed by updating to sudo version 1.9.5p2.
CVE-2021-3156: Qualys
https://support.apple.com/en-us/HT212177
Impact: A local attacker may be able to elevate their privileges
Description: This issue was addressed by updating to sudo version 1.9.5p2.
CVE-2021-3156: Qualys
https://support.apple.com/en-us/HT212177
Apple Support
About the security content of macOS Big Sur 11.2.1, macOS Catalina 10.15.7 Supplemental Update, and macOS Mojave 10.14.6 Security…
This document describes the security content of macOS Big Sur 11.2.1, macOS Catalina 10.15.7 Supplemental Update, and macOS Mojave 10.14.6 Security Update 2021-002.
интерфейс управления системой водоочистных сооружений (в которое, как я вчера писал, пробрался хакер через TeamViewer). скрин отсюда https://twitter.com/infracritical/status/1359231073964670985
Как сообщают читатели, похоже, что Blockfolio - популярную платформу для торговли криптовалютой - взломали. То ли маркетинговый аккаунт, то ли что-то глубже, но все как-то мутно там у них
https://www.newsweek.com/blockfolio-down-cryptocurrency-app-apologizes-users-racist-slurs-1567804
https://coinmarketcap.com/headlines/news/blockfolio-system-hacked/
https://www.newsweek.com/blockfolio-down-cryptocurrency-app-apologizes-users-racist-slurs-1567804
https://coinmarketcap.com/headlines/news/blockfolio-system-hacked/
Newsweek
Cryptocurrency app Blockfolio apologizes after users were sent "racist slurs"
The app said it would give existing users and "anyone else who signs up this week" a $10 credit after "offensive messages" were sent in an apparent hack.
Forwarded from addmeto (Grigory Bakunov)
Боже, это просто чудесная утренняя история: исследователь безопасности заметил в статье сотрудника PayPal упоминание нескольких внутренних пакетов, в т.ч. analytics-paypal. И для эксперимента разместил пакет с таким же названием в публичном репозитории. И что вы думаете, конечно же часть внутреннего софта от PayPal собралась с использованием его пакета, который "стучал на землю" ему в сервера.
Как следствие исследователь провернул совершенно аналогичную атаку на почти все крупные айти компании-гиганты. И если подумать, я знаю где у меня совершенно такие же проблемы, пойду чинить https://www.bleepingcomputer.com/news/security/researcher-hacks-microsoft-apple-more-in-novel-supply-chain-attack/
Как следствие исследователь провернул совершенно аналогичную атаку на почти все крупные айти компании-гиганты. И если подумать, я знаю где у меня совершенно такие же проблемы, пойду чинить https://www.bleepingcomputer.com/news/security/researcher-hacks-microsoft-apple-more-in-novel-supply-chain-attack/
BleepingComputer
Researcher hacks over 35 tech firms in novel supply chain attack
A researcher managed to hack systems of over 35 major tech companies including Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp, Tesla, and Uber in a novel software supply chain attack. For his ethical hacking research efforts, the researcher has been…
NSFW
Почему кибербезопасность - полезная штука
https://reddit.com/r/WTF/comments/lgri4h/this_official_city_of_zurich_switzerland_tourist/
Почему кибербезопасность - полезная штука
https://reddit.com/r/WTF/comments/lgri4h/this_official_city_of_zurich_switzerland_tourist/
Reddit
[Mature Content] From the WTF community on Reddit: This Official City of Zurich (Switzerland) Tourist Information Display in (Hard…
Posted by Componer - 39,051 votes and 1,074 comments
Там у Microsoft во вторник вышел февральский патч безопасности, и он исправляет несколько критичных уязвимостей, некоторые из которых имеют активные эксплуатации, так что учтите это
https://threatpost.com/exploited-windows-kernel-bug-takeover/163800/
https://threatpost.com/exploited-windows-kernel-bug-takeover/163800/
Threat Post
Actively Exploited Windows Kernel EoP Bug Allows Takeover
Microsoft addressed 56 security vulnerabilities for February Patch Tuesday — including 11 critical and six publicly known. And, it continued to address the Zerologon bug.
«Точная причина массовой волны уведомлений неизвестна — почему это происходит, можно только догадываться.»
«Никто не знает, как предотвратить получение уведомлений о подозрительном входе в будущем — смена пароля и двухфакторная аутентификация не дают гарантий.»
WTF
https://tjournal.ru/internet/338094-my-obnaruzhili-neobychnuyu-popytku-vhoda-polzovateli-instagrama-massovo-zhaluyutsya-na-podozritelnye-uvedomleniya-glavnoe
«Никто не знает, как предотвратить получение уведомлений о подозрительном входе в будущем — смена пароля и двухфакторная аутентификация не дают гарантий.»
WTF
https://tjournal.ru/internet/338094-my-obnaruzhili-neobychnuyu-popytku-vhoda-polzovateli-instagrama-massovo-zhaluyutsya-na-podozritelnye-uvedomleniya-glavnoe
TJ
«Мы обнаружили необычную попытку входа»: пользователи инстаграма массово жалуются на подозрительные уведомления. Главное — Интернет…
Стоит ли беспокоиться, действительно ли кого-то взламывают и как от этого защититься.
Служба безопасности Яндекса раскрыла внутреннюю утечки информации – скомпрометированы 4887 почтовых ящиков. владельцы получили уведомление о необходимости смены пароля
https://yandex.ru/company/press_releases/2021/2021-02-12
https://yandex.ru/company/press_releases/2021/2021-02-12
Компания Яндекс
Служба безопасности Яндекса раскрыла факт внутренней утечки
В ходе регулярной проверки службой безопасности Яндекса был раскрыт факт внутренней утечки. Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей.
Хех, продавцы утечки CDProjectRed на русском пишут лучше, чем на английском
https://twitter.com/Intel_by_KELA/status/1359856145205239812
https://twitter.com/Intel_by_KELA/status/1359856145205239812
Twitter
KELA
Just in: #CDProjektRed AUCTION IS CLOSED. #Hackers auctioned off stolen source code for the #RedEngine and #CDPR game releases, and have just announced that a satisfying offer from outside the forum was received, with the condition of no further distribution…
Модный на сегодня проект социальной сети с голосовым чатом Clubhouse, как оказалось, при разработке своего приложения слегка расслабил булки с точки зрения защиты конфиденциальности пользовательских данных. Clubhouse применил в своём проекте разработки китайской компании Agora Lab, а она в свою очередь занимается разработкой RTC-решений для передачи данных во время голосовых и видео звонков, а также во время стриминга. Короче, при подключении в комнату для разговоров Clubhouse, который существует пока что только для iOS, передает в открытом виде уникальные ID пользователя и ID комнаты. Таким образом можно собрать информацию и сделать выводы о том, в какие комнаты ходит конкретный пользователь. Более того, есть вероятность, что Angora имеет доступ к самому аудио, что, по сути, делает это аудио доступным и китайскому правительству. Clubhouse сказали, что они больше так не будут и все исправят.
https://cyber.fsi.stanford.edu/io/news/clubhouse-china
https://cyber.fsi.stanford.edu/io/news/clubhouse-china
cyber.fsi.stanford.edu
Clubhouse in China: Is the data safe?
The audio chat app “Clubhouse” went viral among Chinese-speaking audiences. Stanford Internet Observatory examines whether user data was protected, and why that matters
Ну и кстати раз уж мы про Clubhouse, не могу не отметить то, что бесит меня невероятно в этом (и многих других) приложении — доступ к адресной книге. Нет, я не хочу раскрывать все свои контакты с кучей конфиденциальной информации неизвестно кому и неизвестно как хранящим эту информацию. И тем не менее, приложение настаивает на том, чтобы получить доступ к адресной книге, чтобы можно было раздать инвайты в сервис. Жаль, что многие пользователи, не задумываясь, нажимают «разрешить».
https://onezero.medium.com/clubhouse-is-suggesting-users-invite-their-drug-dealers-and-therapists-a8161b3062fc
https://onezero.medium.com/clubhouse-is-suggesting-users-invite-their-drug-dealers-and-therapists-a8161b3062fc
Medium
Clubhouse Is Suggesting Users Invite Their Drug Dealers and Therapists
The app pressures you to upload your phone’s contacts — and makes them visible in surprising ways