Info sec блог

...

«Владелец одного из московских криптоматов во время очередной выемки денег обнаружил фальшивые купюры. Мошенник пополнил свой криптокошелек на 42 тыс. билетов "Банка приколов"» https://bit.ly/2KqG9FS

Исходный код систем крупнейшего оператора хранился под дефолтным паролем (admin;admin) https://www.anti-malware.ru/news/2018-05-14-1447/26233

Мошенники рассылают фишинговые письма пользователям myetherwallet и предлагают ввести приватный ключ. Будьте осторожней, они подделывают url и email адрес, с которого пришло письмо!

Приватные данные миллионов пользователей Drupe(android приложение, больше 10 млн скачиваний) нашли в открытом доступе. База лежала на открытом облачном сервере amazon, lol https://threatpost.ru/drupe-app-stored-private-files-in-amzon-s3-cloud/26010/...

«Голосовыми помощниками Siri и Alexa можно управлять с помощью команд, которые не слышит человек. К примеру, заставить смартфон позвонить по номеру, а “умную“ колонку открыть дверь. Это могут использовать злоумышленники.» https://tjournal.ru/70555...

« XSS в загрузке файла .docx» https://www.coalfire.com/Solutions/Coalfire-Labs/The-Coalfire-LABS-Blog/may-2018/microsoft-word-document-upload-to-stored-xss

Сайт trello.com раскрывает логины и пароли пользователей через google dork «site:trello.com AND intext:@gmail\.com AND intext:password» https://www.google.com.tr/search?q=site%3Atrello.com+AND+intext%3A%40gmail%5C.com+AND+intext%3Apassword

⭕️ Hackerone: - Первый раз получил награду вместе с triaged в приватной bug bounty, от репорта до баунти прошло примерно 10 часов, думаю, это из-за различия в часовых поясах (компания из Америки), если бы я отправил репорт ночью, то была бы мгновенная...

...

...

...

«Десятки пользователей ”ВКонтакте” пожаловались, что в соцсети появился ”поиск по номеру”: зная номер, можно найти привязанный к нему профиль. Функцию, к примеру, могут использовать спамеры для рассылок» tjournal.ru/70390

«Сайты на Drupal стали жертвами вредоносного криптоджекинга» https://www.anti-malware.ru/news/2018-05-07-1447/26170 Кстати, именно с помощью drupalgeddon2 CVE-2018-7600 недавно был взломан сайт росприроднадзора rpn.gov.ru (deface главной страницы)...

«UBISOFT Слепая xss, которая привела ко взлому админ панели службы поддержки пользователей» https://blog.hx01.me/2018/05/blind-xss-to-customer-support-panel.html

6 дней не заходил на h1 и получил 11 приглашений в приватные bug bounty. 👍🏽 Среди них есть и русская BB - это avito. Как свойственно многим СНГ IT компаниям, за уязвимости платить они не будут. 🤨

В статье «$4500 баунти - как мне повезло» https://medium.com/bugbountywriteup/4500-bounty-how-i-got-lucky-99d8bc933f75 нам рассказывают о subdomain takeover уязвимости на поддомене uber и о конкуренции в bug bounty hackerone - исследователь захватил поддомен...

Разработчики twitter исправили баг, что позволял получить доступ к паролю в незашифрованном виде thehackernews.com/2018/05/twitter-account-password.html

«Множественные уязвимости на доменах, принадлежащих гуглу» (Кстати, интересно, сколько выплатили за каждую уязвимость) https://sysdream.com/news/lab/2018-04-30-multiple-security-vulnerabilities-in-domains-belonging-to-google/

15 хакеров были арестованы и оштрафованы на $5,1 млн за распостранение бэкдора в читах PlayerUnknown’s Battlegrounds - game-debate.com/news/24993/15-pubg-hackers-arrested-and-fined-5-1-million-malicious-trojan-horses-found-in-hack-code