В минувшие выходные независимый исследователь Натан Малкольм (Nathan Malcolm) опубликовал в своем блоге интересный рассказ о том, как он нашел ряд багов в Imgur, позволявших получить практически полый доступ к ресурсу. Исследователь долго общался со службой безопасности сервиса и убедил CEO Imgur увеличить размер выплат по программе bug bounty.
Представители агрегатора утечек LeakedSource и журналисты издания Softpedia сообщают, что хакерская группа PoodleCorp, ответственная за DDoS-атаку на серверы Pokemon GO в середине июля 2016 года, подверглась взлому. Ранее хакеры обещали устроить еще одну масштабную атаку на Pokemon GO 1 августа 2016 года, однако из-за взлома их планы были сорваны.
Швейцарский сервис GhostMail, предоставляющий услуги зашифрованной почты, чатов и так далее, анонсировал, что 1 сентября 2016 года работа нынешних сервисов будет прекращена. Компания решила переориентироваться на корпоративный рынок, так как «мир изменился к худшему, а мы не хотим рисковать, поставляя наши в высшей степени защищенные продукты не тем людям».
В Нигерии был арестован глава международной криминальной сети, подозреваемый в хищении более 60 млн долларов. Совместную спецоперацию по поимке преступника провели Интерпол, Нигерийская комиссия по экономически и финансовым преступлениям, а также специалисты компаний Fortinet и Trend Micro.
Известный специалист в области безопасности iOS Джонатан Здзиарски (Jonathan Zdziarski) установил, что мессенджер WhatsApp не до конца удаляет с устройства историю чатов. В итоге правоохранительные органы или злоумышленники имеют возможность восстановить даже те сообщения, которые считаются удаленными.
Исследователь из Египта Мохамед Басет (Mohamed Baset) опубликовал подробную информацию о новом векторе атак на SQRL (Secure QR Logins, или Secure, Quick, Reliable Logins). Данный метод аутентификации на базе QR-кодов применяется во многих приложениях, к примеру, WeChat, Line и WhatsApp, и до недавнего времени он считался весьма надежным. Басет доказал, что безопасность SQRL переоценивают.
В последнее время малварь регулярно находят в официальных каталогах приложений, так что вряд ли сам факт обнаружения очередного вредоноса в Google Play кого-то удивит. Однако не каждая малварь может похвастаться такими масштабами, как троянец Android.Spy.305.origin, обнаруженный специалистами «Доктор Веб». Вредонос скрывался в 155 приложениях и суммарно был установлен без малого три миллиона раз.
Для подписчиковВ середине девяностых казалось, что виртуальная реальность уже где-то рядом. Непонятно, на чем основывалось это ощущение, но факт остается фактом. И вот прошло двадцать с лишним лет: мы наконец стоим на пороге виртуального мира, подсматривая через щёлку в его прекрасное будущее. А кто делает будущее цифрового мира? Мы, программисты!
Исследователи годами рассказывают на конференциях о том, что технологии единого входа (Single Sign-on) небезопасны. Такую систему единой аутентификации для всего и сразу уже давно применяет Microsoft, а специалисты по информационной безопасности еще в 1997 году говорили о том, что это не слишком хорошая идея. В очередной раз уязвимость единого входа в целом и в случае работы с SMB-ресурсами в частности продемонстрировал российский исследователь ValdikSS. Он описал способ, который позволяет скомпрометировать Microsoft Account жертвы, деанонимизировать пользователей Microsoft и узнать данные о VPN.