Rose debug info
---------------

Блог Start X

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Дайджест Start X № 375

Обзор новостей информационной безопасности с 14 по 20 июня 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новой киберкампании, нацеленной на пользователей macOS, используется вредоносное ПО Vortax, выдающее себя за приложение для виртуальных встреч с функцией видеосозвона.

Как действуют преступники

  1. Для распространения Vortax злоумышленники поддерживают блог на Medium, наполненный сгенерированными с помощью ИИ статьями, а также верифицированный аккаунт в соцсети Илона Маска с золотой галочкой.

  1. Чтобы скачать заражённое приложение, жертвы должны предоставить уникальный идентификатор встречи (RoomID), который распространяется через ответы на аккаунт Vortax, личные сообщения и каналы в Discord и Telegram, посвящённые криптовалюте.

  1. После ввода Room ID на сайте Vortax, пользователи перенаправляются на ссылку Dropbox или внешний сайт, где скачивают установщик, ведущий к загрузке вредоносного ПО — инфостилеров Rhadamanthys, Stealc и Atomic macOS Stealer (AMOS). Это ПО существует не только в версии для macOS, но и для Windows.

Кибермошенники атакуют строительные компании и специалистов этой отрасли, обещая помочь пройти обязательные аттестации на соответствие профессиональным стандартам.

Схема кампании

  1. Мошенники создали более 3800 сайтов, на которых специалистам строительной сферы предлагается помощь в прохождении различных аттестаций, позволяющих продлить права на профессиональную деятельность. Строительным компаниям предлагают помочь вступить в СРО (саморегулируемые организации).
  1. В качестве приманки преступники используют приказ Минстроя России от 30.06.2022 № 529/пр, согласно которому включённые в отечественные реестры НОСТРОЙ и НОПРИЗ специалисты должны проходить независимую оценку квалификации (НОК).
  1. Злоумышленники маскируют свои ресурсы под сайты консалтинговых компаний, на которых гарантируется положительный результат при тестировании и предлагается комплексная поддержка, включая отправку учебных материалов.
  1. Цена за такие услуги начинается от 20 тысяч рублей, а начать можно только после заполнения специальной формы на ресурсе, куда нужно ввести имя, телефонный номер и адрес электронной почты.
  1. После заполнения формы с жертвой связывается «сотрудник» для уточнения деталей. Если выполнить его указания, можно не только лишиться денег, но и скомпрометировать свои персональные данные.

Обнаружена направленная на сотрудников криптобирж и криптоэнтузиастов мошенническая схема с использованием доменов ENS (системы доменных имен, построенной на блокчейне Ethereum).

Как действуют преступники

  1. Связываются с потенциальной жертвой и предлагают купить криптовалюту. Предлог — приобретение драгметаллов в странах, где операции с наличными по их словам затруднены, — например в Индии.
  1. Чтобы войти в доверие, злоумышленники организуют видеозвонок, демонстрируя поддельные документы.
  1. Во время или после видеозвонка жертву под различными предлогами (например, чтобы доказать чистоту происхождения активов или отсутствие его кошелька в черных списках) убеждают перевести криптовалюту на собственный уникальный адрес, добавив в конце «.eth».

  1. Ссылка ведет на криптокошелек скамеров. После «тестового» перевода мошенники в ручном режиме возвращают сумму на кошелек отправителя.
  1. После получения полной оплаты за услугу злоумышленники исчезают, оставляя жертву без криптовалюты.

Инциденты

Компания Life360, поставляющая популярные Bluetooth-трекеры Tile, стала жертвой вымогателей.

Хакеры взломали платформу поддержки клиентов Tile и получили доступ к именам, адресам, адресам электронной почты, номерам телефонов и идентификационным номерам устройств.

В компании подчеркнули, что среди пострадавших данных не было номеров банковских карт, паролей и учетных данных, а также данных о местоположении или удостоверениях личности, поскольку платформа поддержки клиентов Tile не содержит такой информации.

Life360 не раскрыла, каким образом злоумышленники взломали платформу, но компания сообщила, что приняла меры по защите своих систем от дальнейших атак и уведомила о попытках вымогательства правоохранительные органы.

Хотя Life360 не раскрыла подробностей об атаке, издание 404 Media выяснило, что хакеры использовали для получения доступа к нескольким системам компании украденные учётные данные бывшего сотрудника Tile.

Пока неизвестно сколько клиентов пострадали от утечки.

Производитель погрузчиков Crown Equipment стал жертвой кибератаки, которая привела к сбоям в производстве.

Из-за отключения IT-систем работники не могли отмечать рабочие часы, получать доступ к сервисным инструкциям и, в некоторых случаях, поставлять оборудование.

Crown сообщила, что кибератака была совершена «международной киберпреступной организацией», а для расследования и устранения последствий атаки пришлось приостановить всю операционную деятельность. Также установлено, что хакеры смогли проникнуть в систему из-за нарушения правил безопасности одним из сотрудников, чьё рабочее устройство было скомпрометировано первым.

Компания подчеркнула, что большинство защитных мер оказалось эффективными. Это ограничило объём данных, к которым смогли получить доступ злоумышленники. Пока нет признаков того, что персональные данные сотрудников были скомпрометированы.

ИБ-исследователи похитили 3 млн долларов США в криптовалюте у криптовалютной биржи Kraken, используя 0-day уязвимость. Вернуть украденное они отказались.

По словам CSO Kraken Ника Перкоко (Nick Percoco), 9 июня 2024 года команда безопасности биржи получила туманное сообщение о «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken.

Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась.

Команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса. После исправления ошибки выяснилось, что три пользователя Kraken, связанные с обнаружившим её ИБ-экспертом, использовали уязвимость как 0-day и украли у биржи 3 млн долларов США.

Хакер IntelBroker сообщил об успешном хищении исходного кода нескольких внутренних инструментов Apple.

В публикации на хакерском форуме указано, что в июне 2024 года IntelBroker слил у Apple исходные коды следующих утилит:

  • AppleConnect-SSO — системs аутентификации, позволяющая сотрудникам Apple получать доступ к определенным приложениям в корпоративной сети. Этот инструмент интегрирован с базой данных Directory Services для обеспечения безопасного доступа к внутренним ресурсам.
  • Apple-HWE-Confluence-Advanced;
  • AppleMacroPlugin.

Если о двух последних утилитах практически ничего неизвестно, то AppleConnect-SSO активно используется сотрудниками. В iOS эта система может применяться для жестового входа в учетную запись — вместо пароля устанавливается определенный паттерн для удобства.

AppleConnect интегрирована в приложение Concierge для персонала розничных магазинов Apple, а также использовалась в SwitchBoard до прекращения работы этого инструмента в 2021 году.

В своей публикации IntelBroker не раскрыл подробностей относительно условий утечки данных.

На хакерском форуме выставили на продажу данные компании AMD.

Автор публикации — хакер IntelBroker. В объявлении он поделился скриншотами учетных данных, но пока он не сообщает, за какую сумму рассчитывает продать информацию, и как она была получена.

«В июне 2024 года крупная компьютерная компания AMD пострадала от утечки данных. Среди скомпрометированных данных: будущие продукты AMD, спецификации, БД сотрудников, БД клиентов, проприетарные файлы, ROM’ы, исходный код, прошивка и финансовые данные», — пишет IntelBroker.

Злоумышленник также заявил, что дамп содержит БД сотрудников, в которой представлены ID пользователей, имена и фамилии, должностные обязанности, номера рабочих телефонов, адреса электронной почты и рабочий статус.

Производитель печатных плат, компания Keytronic, сообщила об утечке данных в результате вымогательской кибератаки группировки Black Basta.

Из-за инцидента Keytronic пришлось на две недели остановить деятельность в США и Мексике, но в настоящее время работа возобновилась в штатном режиме.

Компания установила, что злоумышленники получили доступ к ограниченному количеству данных в среде компании, включая персональные, и похитили их. По словам компании, она уже понесла расходы в размере около 600 000 долларов США, связанные с восстановлением и устранением последствий атаки, а также наймом внешних экспертов по кибербезопасности, и в будущем расходы могут еще увеличиться.

Хотя сама Keytronic не связывает эту атаку с конкретной хак-группой, две недели назад об атаке на Keytronic заявили хакеры из Black Basta. Злоумышленники утверждали, что публикуют на своем сайте в даркнете 100% украденных у компании данных.

Хакеры заявили, что в ходе атаки им удалось украсть кадровые, финансовые, инженерные и корпоративные данные общим объёмом 530 Гб. Они опубликовали скриншоты паспортов и карт социального страхования сотрудников, презентации для клиентов и другие корпоративные документы.

Хакеры Hunt3r Kill3rs провели масштабную кибератаку на немецкое подразделение Schneider Electric и похитили критически важные данные, связанные с управлением энергопотреблением на промышленных объектах.

Преступники проникли в корпоративные системы Schneider и скомпрометировали конфигурации интеллектуальных счетчиков PowerLogic ION7650 . Эти устройства играют ключевую роль в регулировании энергопотоков на предприятиях и городских электросетях.

На данный момент Schneider воздерживается от официальных комментариев. Инсайдеры сообщают, что концерн развернул масштабное внутреннее расследование произошедшего при участии ведущих экспертов.

Последствия взлома могут оказаться катастрофическими. В худшем случае хакеры получили возможность вмешиваться в работу энергосистем в режиме реального времени.

 19   2 дн   дайджест   фишинг

Дайджест Start X № 374

Обзор новостей информационной безопасности с 7 по 13 июня 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания, использующая тематику трудоустройства для распространения вредоносного ПО WARMCOOKIE.

Схема кампании

  1. Атака начинается с предложения потенциальному кандидату перейти по ссылке в письме для ознакомления с подходящей вакансией.

  1. После перехода необходимо решить капчу, чтобы загрузить желаемый документ.

  1. После этого на компьютер жертвы загружается JavaScript-файл с именем «Update_23_04_2024_5689382.js».
  1. Этот скрытый скрипт запускает PowerShell-скрипт, который инициирует загрузку WARMCOOKIE через фоновую интеллектуальную службу передачи Windows (BITS).
  1. Ключевым элементом кампании является использование скомпрометированной инфраструктуры для хостинга начального фишингового URL, который перенаправляет жертв на нужную страницу.
  1. Бэкдор WARMCOOKIE предназначен для сбора обширной информации о заражённом хосте. Он поддерживает чтение и запись файлов, выполнение команд через CMD, получение списка установленных приложений и создание скриншотов.

В новой фишинговой кампании злоумышленники эксплуатируют поисковый протокол Windows (search-ms URI) для распространения вредоносных программ.

Схема действий преступников

  1. Злоумышленники рассылают фишинговые письма, содержащие вложение в формате HTML, замаскированное под счёт. Вложение находится в ZIP-архиве, чтобы обойти антивирусную защиту.

  1. HTML-файл использует тег <meta http-equiv=«refresh»>, чтобы браузер автоматически открыл вредоносный URL при запуске документа.

  1. Если автоматическое открытие веб-страницы не срабатывает из-за настроек браузера, в документе есть кликабельная ссылка, однако здесь уже требуется участие пользователя.

  1. Когда HTML загружается, браузеры обычно предлагают пользователю разрешить действие поиска. Эта мера безопасности предотвращает выполнение несанкционированными командами потенциально опасных операций без согласия пользователя. URL-адрес перенаправления использует протокол search: — мощную, но потенциально опасную функцию, которая позволяет приложениям напрямую взаимодействовать с функцией поиска в Проводнике Windows.

  1. После того, как пользователь разрешает поиск, функция поиска извлекает файлы с именами счетов-фактур с удалённого сервера. В результатах поиска отображается только один элемент, в частности файл ярлыка (LNK). Этот файл LNK указывает на пакетный сценарий (BAT), размещенный на том же сервере, который при щелчке пользователя потенциально может вызвать дополнительные вредоносные операции.

Злоумышленники используют OTP-ботов для кражи кодов 2FA.

OTP-бот — это программное обеспечение, предназначенное для перехвата одноразовых паролей с помощью социальной инженерии. Функциональность ботов варьируется от простых сценариев для определенных организаций до высоко настраиваемых конфигураций с широким набором сценариев на разных языках и с различными голосами.

Схема кампании

  1. Завладев учетными данными жертвы, мошенник заходит в ее аккаунт и получает запрос на ввод кода двухфакторной аутентификации.
  1. Жертве на телефон приходит сообщение с одноразовым паролем.
  1. OTP-бот звонит жертве и с помощью заранее заготовленного скрипта требует от нее ввести полученный код.
  1. Жертва набирает код на клавиатуре телефона прямо во время звонка.
  1. Код поступает в Telegram-бот злоумышленника.
  1. Злоумышленник получает доступ к аккаунту жертвы.

Ключевая функция OTP-бота — звонок жертве. От убедительности бота зависит успех мошенников: время действия одноразовых кодов сильно ограничено, и шанс получить действующий код во время телефонного разговора гораздо выше.

Для работы с таким ботом нужно купить подписку. Самая дешёвая подписка обойдётся в 140 долларов США за неделю, самая дорогая — в 420 долларов США. Оплату бот принимает исключительно в криптовалюте.

Инциденты

Полиция Лондона раскрыла беспрецедентную схему интернет-мошенничества, в рамках которой злоумышленники использовали самодельную телефонную вышку для массовых фишинговых операций.

Изъятая вышка представляла собой самодельную мобильную антенну, получившую кодовое название «СМС-пушка» . Это первое в Великобритании устройство такого рода, специально сконструированное для распространения огромных партий вредоносных материалов. При этом злоумышленники каким-то образом обходили системы защиты операторов от СМС-фишинга или «смишинга».

Преступники выдавали себя за банки, госструктуры и прочие официальные организации. Под таким прикрытием они пытались выманить у получателей личные данные, пароли и платёжные реквизиты.

Хакерская группировка Nullbulge взломала пользователей популярного интерфейса ComfyUI для работы с нейросетью Stable Diffusion.

Чтобы добиться этого, они распространяли через Github вредоносное расширение ComfyUI_LLMVISION , позволявшее получать доступ к данным пользователей.

ComfyUI — это широко распространенный графический интерфейс с открытым исходным кодом для Stable Diffusion, размещенный на Github и значительно облегчающий генерацию и модификацию ИИ-изображений. Взломанное расширение ComfyUI_LLMVISION позволяло интегрировать мощные языковые модели GPT-4 и Claude 3 в ту же программу. Изначально оно было легитимным.

Сейчас страница ComfyUI_LLMVISION на Github недоступна. В архивной версии от 9 июня говорится, что она была «СКОМПРОМЕТИРОВАНА ГРУППОЙ NULLBULGE».

МТС сообщила о двухчасовой DDoS-атаке на сеть широкополосного доступа в интернет (ШПД) компании.

Сервис оператора зафиксировал DDoS-атаку мощностью 207 гигабит в секунду. На границе сети её мощность могла достигать нескольких терабит. Ключевой особенностью атаки была нацеленность злоумышленников на конкретное сетевое оборудование, а именно маршрутизатор, что в случае успеха привело бы к отключению доступа в интернет для пользователей оператора целого региона.

Атака велась с IP-адресов, относящихся к Польше, Турции, Эквадору, Испании и Китаю. В нападении было задействовано более 20 тысяч устройств, нацеленных более чем на 500 IP-адресов телеком-оператора.

Из-за кибератаки американский город Кливленд в штате Огайо был вынужден отключить ряд важных общественных служб, государственных офисов и учреждений.

Расследование кибератаки проводится при участии сторонних экспертов, предоставление государственных услуг ограничено до самых необходимых. Мэрия и комплекс Erieview закрыты для всех, кроме необходимого персонала, а затронутые системы отключены для их защиты и восстановления.

Пока удалось установить, что злоумышленники не смогли получить доступ к данным налогоплательщиков, хранящимся в городской администрации, а также к пользовательской информации, находящейся в распоряжении коммунальных служб. Также отмечается, что киберинцидент не повлиял на работу экстренных служб (911, полиция, пожарная охрана), коммунальных предприятий, служб здравоохранения (скорая помощь) и аэропортов (Кливленд Хопкинс и Берк-Лейкфронт).

Вьетнамская государственная почтовая служба восстановила работу своих сервисов после нескольких дней простоя, вызванного кибератакой шифровальщика 4 июня.

Атака затронула работу почтовых и курьерских служб. Финансовые, административные и товарораспределительные службы не пострадали от атаки.

Местные СМИ сообщили, что Vietnam Post сотрудничала с государственными органами и местными экспертами по кибербезопасности для локализации инцидента, защиты данных клиентов и восстановления своих систем. Vietnam Post не раскрыла, кого считает виновным в атаке и требовали ли хакеры выкуп.

Niconico, один из крупнейших в Японии видеохостингов, приостановил свои услуги в связи с крупномасштабной кибератакой.

Компания расследует инцидент, чтобы оценить масштабы ущерба. В понедельник 10 июня атака всё ещё продолжалась. Инцидент официальный сайт и сайт электронной коммерции. По предварительным данным, причиной стал «несанкционированный внешний доступ» к серверам.

В настоящее время услуги Niconico остаются недоступными. На сайте компании указано, что проводится техническое обслуживание. Параллельно ведутся работы по перестройке всей системы с целью предотвращения подобных кибератак в будущем. Компания пообещала позже проинформировать пользователей о результатах расследования и предоставить ответы на вопросы, касающиеся членских взносов и переноса сроков прямых трансляций.

Исходный код и внутренние данные американского издания The New York Times опубликовали на имиджборде 4chan. Информация была укражена из GitHub-репозиториев компании в январе 2024 года.

В архиве объёмом 270 Гб содержится около 5000 репозиториев, из которых менее 30 дополнительно зашифрованы — всего 3,6 миллиона файлов в несжатом виде. Дополнительно злоумышленники предоставили текстовый файл с полным списком из 6223 папок, украденных из репозитория.

Файл «readme» в архиве утверждает, что злоумышленники использовали открытый GitHub-токен для доступа к репозиториям компании и кражи данных.

 77   9 дн   дайджест   фишинг

Дайджест Start X № 373

Обзор новостей информационной безопасности с 31 мая по 6 июня 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Лаборатория Касперского предупреждает о мошеннической схеме «скам продавцов», или scam 2.0, в которой скамеры под видом покупателей обманывают продавцов товаров на площадках объявлений.

Как действуют мошенники

  1. Скамеры пишут продавцам с предложением купить товар.
  1. В предложении есть нюанс: сделку нужно провести «безопасным платежом» через «защищенный» сайт, выступающий в качестве гаранта.

  1. Скамер-покупатель, якобы, уже внес свои средства в систему, а продавцу-жертве остается перейти по ссылке, ввести данные своей банковской карты и нажать кнопку «Получить деньги».

  1. Если продавец соглашается и указывает данные карты, они отправляются мошенникам, которые списывают с неё все деньги.

Обнаружена киберкампания по распространению троянов BitRAT и Lumma под видом обновлений для браузеров.

Схема кампании

  1. Пользователь заходит на сайт-приманку, который сообщает ему о том, что его версия браузера устарела и предлагает загрузить обновление.

  1. Если жертва соглашается, её перенаправляют на страницу обновления, расположенную по адресу chatgpt-app[.]cloud.
  1. На этой странице есть ссылка на загрузку ZIP-архива Update.zip, размещённый в Discord.
  1. При распаковке Update.zip выдает файл Update.js, запускающий выполнение скриптов PowerShell.

  1. Скрипты PowerShell скачивают с удалённого сервера киберпреступников дополнительные пейлоады BitRAT и Lumma Stealer в формате PNG-файла.

Инциденты

Злоумышленники взломали облачную платформу и получили доступ к личной информации участников пенсионной программы бывших и нынешних сотрудников Британской вещательной корпорации («Би-би-си»).

В результате оказались скомпрометированы данные около 25 тысяч сотрудников «Би-би-си»: хакеры получили доступ к их именам, полу, дате рождения, домашним адресам и номерам национального страхования (NIN).

В компании заявили, что портал пенсионной программы работает в штатном режиме, и пользователям ничего не угрожает. Сотрудники, чья личная информация подверглась атаке, получат уведомление по электронной или обычной почте. В «Би-би-си» извинились за инцидент и заверили, что нет доказательств того, что скомпрометированные данные были каким-то образом использованы.

Хакеры ShinyHunters заявили о взломе Santander Bank. В результате атаки были похищены личные данные более 30 млн клиентов.

ShinyHunters предлагают на продажу за 2 млн долларов США массив данных, включающий:

  • 30 миллионов записей клиентов;
  • 28 миллионов полных номеров кредитных карт с данными проверки и сроками действия (без CVV);
  • 6 миллионов номеров счетов и балансов;
  • списки сотрудников HR;
  • другие чувствительные данные.

Santander Bank уже предпринял меры по устранению последствий утечки. Клиентам рекомендуется внимательно следить за своими счетами на предмет подозрительной активности, использовать двухфакторную аутентификацию и регулярно обновлять пароли, чтобы снизить риск дальнейшего использования данных киберпреступниками.

Некоммерческая организация «Архив интернета» (Internet Archive) с трудом сохраняет работоспособность из-за непрекращающихся DDoS-атак.

Представители организации сообщают, что все коллекции и веб-архивы находятся в полной безопасности, однако с восстановлением работы в штатном режиме пока наблюдаются проблемы.

По словам Криса Фриланда (Chris Freeland), директора по библиотечным сервисам Internet Archive, злоумышленники направляют на организацию «десятки тысяч запросов с фальшивой информации в секунду».

Ответственность за атаки взяла на себя некая хак-группа SN_Blackmeta, которая выступает против интересов США и Израиля и пишет на английском, русском и арабском языках.

Масштабная кибератака вывела из строя сотни тысяч интернет-роутеров на территории центральных штатов США в конце 2023 года.

Инцидент получил название «Pumpkin Eclipse» (тыквенное затмение) и привёл к отключению свыше 600 тысяч интернет-роутеров. Независимые эксперты считают эту кибератаку одной из самых серьёзных, когда-либо затрагивавших американский телекоммуникационный сектор, с учётом количества отключённых устройств и числа пострадавших пользователей.

Злоумышленников в основном интересовали роутеры T3200 и T3260 от ActionTec.
Они выводились из строя вредоносным обновлением прошивки, которое рассылалось клиентам одного провайдера и удаляло части операционного кода устройств после установки. Метод доставки обновления установить не удалось.

Хакер взломал сайт Fanzone компании Cooler Master утечки данных и похитил данные 500 000 участников общим объёмом 103 ГБ.

Сайт Fanzone используется для оформления гарантии на продукты Cooler Master, отправки запросов на возврат товара или денег, обращений в службу поддержки и публикации новостей компании.

Утечку содержит корпоративные данные Cooler Master, сведения о поставщиках, продажах, гарантийных обязательствах, инвентаризации, а также личную информацию более 500 000 участников Fanzone, в том числе имена, адреса, даты рождения, телефоны, электронную почту, незашифрованную информацию о банковских картах (имя владельца, номер, срок действия и код CVV).

Злоумышленник потребовал у компании выкуп, но представители Cooler Master ему не ответили, поэтому он планирует продать данные в даркнете.

Кибератака группировки Qilin на поставщика лабораторных и диагностических услуг компанию Synnovis нарушила работу нескольких крупных больниц Национальной службы здравоохранения (National Health Service, NHS) Лондона. Медучреждения были вынуждены работать в режиме ЧП. Инциденту присвоили статус критического.

Synnovis уже выпустила официальное заявление об инциденте, в котором главный исполнительный директор Synnovis Марк Доллар (Mark Dollar) подтвердил, что организация пострадала «от атаки вымогательского ПО, зашифровавшего компьютеры и серверы компании».

Поклонники видеоигры Club Penguin взломали сервер Confluence компании Disney и украли 2,5 ГБ внутренних корпоративных данных.

Club Penguin — многопользовательская онлайн-игра, официально существовавшая с 2005 по 2017 год, созданная компанией New Horizon Interactive, которую впоследствии приобрела Disney.

Хотя официальное закрытие Club Penguin произошло в 2017 году, а её преемника Club Penguin Island — в 2018 году, игра продолжает жить на частных серверах, управляемых поклонниками и независимыми разработчиками.

Несмотря на значительные усилия Disney по закрытию более известного ремейка «Club Penguin Rewritten» в 2022 году, повлекшие арест нескольких человек по обвинению в нарушении авторских прав, это не помешало игре существовать дальше и активно развиваться.

На этой неделе на популярном западном форуме 4Chan был опубликован анонимный пост со ссылкой на архив с названием «Internal Club Penguin PDFs» и сообщением «Мне это больше не нужно». Ссылка ведёт на архив размером 415 МБ, содержащий 137 PDF-файлов с внутренней информацией о Club Penguin, включая электронные письма, схемы дизайна, документацию и листы персонажей.

Сообщается, что серверы Confluence были взломаны с использованием ранее скомпрометированных учётных данных. Злоумышленники изначально искали данные по Club Penguin, но в итоге скачали 2,5 ГБ информации о корпоративных стратегиях Disney, рекламных планах, Disney+, внутренних инструментах разработчиков, бизнес-проектах и внутренней инфраструктуре компании.

Среди украденных данных есть документация по различным инициативам и проектам, а также информация о внутренних инструментах разработчиков, таких как Helios и Communicore, которые ранее не были публично раскрыты.

Данные клиентов популярных турецких сервисов доставки еды находятся в открытом доступе. Источник утечки — компания Paketle Lojistik Hizmetleri, которая занимается маршрутизацией заказов через платформу на базе Kafka, не обеспечивая должный уровень безопасности.

На платформе без какой-либо аутентификации доступен обширный перечень личных данных клиентов, такие как имена, домашние адреса, номера телефонов, электронная почта, детали заказов, IP-адреса и токены аутентификации.

Исследователям удалось найти заказы, размещённые через следующие турецкие приложения для доставки еды:

  • Getir: 4,8 млн посещений сайта в месяц;
  • Yemek Sepeti: 4,8 млн посещений сайта в месяц;
  • Migros: 184 тыс. посещений сайта в месяц;
  • Trendyol: 27 тыс. посещений сайта в месяц.

Эксперты отправили в адрес Paketle Лojistik Hizmetleri восемь писем с описанием проблемы, однако компания так и не приняла мер для устранения уязвимости. Уязвимые Kafka-инстансы продолжают оставаться в открытом доступе.

Неустановленные хакеры взломали правительственные системы Британской Колумбии в Канаде. Взлом затронул 22 почтовых ящика, содержащих конфиденциальную информацию о 19 людях.

Министр общественной безопасности Британской Колумбии Майк Фарнворт отметил, что на данный момент нет признаков того, что информация была скомпрометирована. Фарнворт не уточнил, к какому министерству были прикреплены почтовые ящики, но сказал, что взлом не коснулся кабинета министров.

Высказываются предположения, что атаку провели правительственные хакеры, которые трижды пытались скомпрометировать системы. По словам Фарнворта, хакеры получили доступ к файлам сотрудников. Все пострадавшие уведомлены и получат поддержку — кредитный мониторинг и защиту цифровой личности.

В  сети обнаружено несколько ссылок на Google Таблицы с данными отправлений СДЭК за апрель. Таблицы содержат номера накладных, описание причин задержек, описание посылок (вес, изображения), названия подразделений СДЭК, отправителей (физлица и юрлица).

Некоторые ИБ-специалисты считают, что утечка «явно произошла из-за халатности сотрудников СДЭК, потому что злоумышленники публиковали бы данные на профильных форумах». Они уверены, что данные СДЭК «оказались в открытом доступе просто по ошибке внутренних специалистов, которые не защитили должным образом внутреннюю информацию».

В ответ на это представители СДЭК заверили журналистов, что хранят персональные данные клиентов в собственной защищенной БД, а в открытом доступе допускается появление инструкций для персонала, шаблонов действий по типовым ситуациям и так далее. «У нас нет оснований полагать, что произошла утечка данных», — сообщили в компании.

Школа Billericay в графстве Эссекс, Великобритания, была вынуждена закрыться из-за вымогательской кибератаки.

Родителям сообщили, что школа будет закрыта для всех учеников в понедельник, 3 июня. Директор школы, господин П. Берри, в массовой рассылке родителям и ученикам сообщил, что атака привела к компрометации всех IT-систем школы и их недоступности.

Дополнительных данных о характере атаки или их возможной краже предоставлено не было, однако письмо явно указывает на атаку с использованием программ-вымогателей, которые зашифровали компьютеры, тем самым заблокировав доступ к школьным системам.

Телеграм-канал «Утечки информации» сообщает, что в свободном доступе обнаружен SQL-дамп сайта Московского городского открытого колледжа.

В дампе содержатся имена, адреса эл. почты (450 тыс. уникальных адресов), телефоны (147 тыс. уникальных номеров), хешированные пароли, ссылки на соц. сети, пол.

Судя по информации из дампа, данные в нем актуальны на 26.05.2024.

В свободном доступе обнаружены данные пользователей и их заказов из базы данных магазина электроники «Технолав».

В дампе находятся: имена, телефоны (86 тыс. уникальных номеров), адреса эл. почты (79 тыс. уникальных адресов), хешированные пароли, адреса доставки и т. п.

Информация в дампе актуальна на 25.04.2024

 102   16 дн   дайджест   фишинг
Ранее Ctrl + ↓