Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!
...
19 Авг 2018
«Владелец одного из московских криптоматов во время очередной выемки денег обнаружил фальшивые купюры. Мошенник пополнил свой криптокошелек на 42 тыс. билетов "Банка приколов"»
https://bit.ly/2KqG9FS
19 Авг 2018
Исходный код систем крупнейшего оператора хранился под дефолтным паролем (admin;admin)
https://www.anti-malware.ru/news/2018-05-14-1447/26233
19 Авг 2018
Мошенники рассылают фишинговые письма пользователям myetherwallet и предлагают ввести приватный ключ. Будьте осторожней, они подделывают url и email адрес, с которого пришло письмо!
19 Авг 2018
Приватные данные миллионов пользователей Drupe(android приложение, больше 10 млн скачиваний) нашли в открытом доступе. База лежала на открытом облачном сервере amazon, lol
https://threatpost.ru/drupe-app-stored-private-files-in-amzon-s3-cloud/26010/...
19 Авг 2018
«Голосовыми помощниками Siri и Alexa можно управлять с помощью команд, которые не слышит человек. К примеру, заставить смартфон позвонить по номеру, а “умную“ колонку открыть дверь. Это могут использовать злоумышленники.»
https://tjournal.ru/70555...
19 Авг 2018
« XSS в загрузке файла .docx»
https://www.coalfire.com/Solutions/Coalfire-Labs/The-Coalfire-LABS-Blog/may-2018/microsoft-word-document-upload-to-stored-xss
19 Авг 2018
Сайт trello.com раскрывает логины и пароли пользователей через google dork «site:trello.com AND intext:@gmail\.com AND intext:password»
https://www.google.com.tr/search?q=site%3Atrello.com+AND+intext%3A%40gmail%5C.com+AND+intext%3Apassword
19 Авг 2018
⭕️ Hackerone:
- Первый раз получил награду вместе с triaged в приватной bug bounty, от репорта до баунти прошло примерно 10 часов, думаю, это из-за различия в часовых поясах (компания из Америки), если бы я отправил репорт ночью, то была бы мгновенная...
19 Авг 2018
...
19 Авг 2018
...
19 Авг 2018
...
19 Авг 2018
«Десятки пользователей ”ВКонтакте” пожаловались, что в соцсети появился ”поиск по номеру”: зная номер, можно найти привязанный к нему профиль. Функцию, к примеру, могут использовать спамеры для рассылок»
tjournal.ru/70390
19 Авг 2018
«Сайты на Drupal стали жертвами вредоносного криптоджекинга»
https://www.anti-malware.ru/news/2018-05-07-1447/26170
Кстати, именно с помощью drupalgeddon2 CVE-2018-7600 недавно был взломан сайт росприроднадзора rpn.gov.ru (deface главной страницы)...
19 Авг 2018
«UBISOFT Слепая xss, которая привела ко взлому админ панели службы поддержки пользователей»
https://blog.hx01.me/2018/05/blind-xss-to-customer-support-panel.html
19 Авг 2018
6 дней не заходил на h1 и получил 11 приглашений в приватные bug bounty. 👍🏽 Среди них есть и русская BB - это avito. Как свойственно многим СНГ IT компаниям, за уязвимости платить они не будут. 🤨
19 Авг 2018
В статье «$4500 баунти - как мне повезло» https://medium.com/bugbountywriteup/4500-bounty-how-i-got-lucky-99d8bc933f75 нам рассказывают о subdomain takeover уязвимости на поддомене uber и о конкуренции в bug bounty hackerone - исследователь захватил поддомен...
19 Авг 2018
Разработчики twitter исправили баг, что позволял получить доступ к паролю в незашифрованном виде thehackernews.com/2018/05/twitter-account-password.html
19 Авг 2018
«Множественные уязвимости на доменах, принадлежащих гуглу» (Кстати, интересно, сколько выплатили за каждую уязвимость)
https://sysdream.com/news/lab/2018-04-30-multiple-security-vulnerabilities-in-domains-belonging-to-google/
19 Авг 2018
15 хакеров были арестованы и оштрафованы на $5,1 млн за распостранение бэкдора в читах PlayerUnknown’s Battlegrounds - game-debate.com/news/24993/15-pubg-hackers-arrested-and-fined-5-1-million-malicious-trojan-horses-found-in-hack-code
19 Авг 2018
- 5
- 6
- 7