Разработчики менеджера паролей LastPass просят некоторых пользователей придумать более длинные мастер-пароли. В LastPass утверждают, что это необходимо, чтобы улучшить защищенность клиентов. Однако критики заявляют, что это лишь пиар-ход, который никак не поможет пользователям, чьи парольные хранилища пострадали во время взлома LastPass в 2022 году.
Специалисты из Citizen Lab и Google Threat Analysis Group сообщают, что с мая по сентябрь 2023 года три уязвимости нулевого дня, исправленные Apple на прошлой неделе, использовались в составе цепочки эксплоитов для распространения шпионского Predator компании Cytrox.
Одноранговая транзакционная сеть Mixin Network, предназначенная для масштабирования и ускорения транзакций, сообщает, что временно приостанавливает внесение и снятие средств. Дело в том, что в минувшие выходные платформу скомпрометировали и похитили около 200 млн долларов.
Исследователи FACCT сообщили о «ребрендинге» финансово мотивированной группировки Shadow, которая похищает и шифрует данные российских компаний, а затем требует крупный выкуп (в размере 5-10% от годового дохода компании). Теперь злоумышленники называют себя Comet (C0met).
Google оповещает пользователей Gmail о том, что базовая HTML-версия веб-почты будет отключена в январе 2024 года, и для дальнейшего использования сервиса потребуются современные браузеры.
Для подписчиковПрежде чем применять технику NTLM Relay, необходимо собрать информацию об исследуемом объекте и выбрать первоочередные цели. Но как это сделать, если атакуемая сеть насчитывает многие десятки или сотни узлов? На помощь придет очень полезный и удобный инструмент — BloodHound!
Специалисты «Доктор Веб» предупредили, что участились случаи мошенничества с применением программ для удаленного доступа к рабочему столу. Наибольшей популярностью у злоумышленников пользуется программа RustDesk.
С 1 декабря 2023 года хостинг-провайдеры будут обязаны проверять личность своих клиентов по новым правилам, разработанным Минцифры. В ведомстве уже подготовили проект постановления, который предлагает четыре варианта идентификации: через «Госуслуги», с помощью усиленной квалифицированной электронной подписи (УКЭП), с помощью перевода денег со счета в банке России или других стран ЕАЭС, а также лично с предъявлением документов.
Для подписчиковВ этом райтапе мы проведем MITM-атаку на службу SSH, чтобы заполучить логин и пароль пользователя. Но сначала попентестим веб‑сервер, найдем уязвимость LFI и, проникнув в систему, повысим привилегии через антивирус ClamAV.