Компания Apple выпустила обновления для исправления уязвимостей нулевого дня, которые уже использовались в атаках на iPhone, Mac и iPad. Эти уязвимости связаны с хакерской кампанией «Операция Триангуляция», которую в начале июня текущего года обнаружили специалисты «Лаборатории Касперского» и ФСБ.
Академия Кодебай продолжает набор на курсы по IT и информационной безопасности. Команда компании является одной из сильнейших команд этичных хакеров в RU-сегменте. Обучение построено таким образом, что ученики изучают лекционный материал, отрабатывают его на практике с виртуальными машинами, а в конце — защищают финальную работу по выбранному направлению.
Для подписчиковТретий митап Standoff Talks состоялся 14 мая 2023 года в лофте «Весна», тема встречи на этот раз была одна — багбаунти. Теплым воскресным днем багхантеры и держатели ББ-программ собрались под крышей уютного лофта, чтобы поделиться своим опытом друг с другом, прерываясь на приватные беседы и не забывая бодриться кофе. Основной частью митапа были доклады.
ИБ-специалисты крупного американского ретейлера, компании Target, управляющей сетью магазинов розничной торговли, работающих под бренджами Target и SuperTarget, создали и запатентовали инструмент EasySweep, который можно использовать для обнаружения скиммеров в платежных терминалах.
Google сообщает, что создала red team, которая будет специализироваться на «сложных технических атаках на системы ИИ». Среди примеров таких атак в отчете компании перечислены промпт-инжиниринг, извлечение информации из обучающих данных LLM и так далее.
Эксперты Avast предупредили, что новый вариант малвари AsyncRAT, получивший название HotRat, распространяется через пиратские версии популярных программ и утилит, включая игры, Microsoft Office, а также ПО для редактирования аудио и изображений.
Для подписчиковВ этом райтапе я покажу приемы, которые используются при атаках на веб-приложения, в первую очередь — работающие на Ruby on Rails. Начнем со сканирования сайта, найдем и проэксплуатируем XSS, затем получим доступ к хосту через RCE. Для повышения привилегий на атакуемой машине разберемся с OpenMediaVault.
Аналитики из компании Wiz уверены, что недавняя кража криптографического ключа MSA (Microsoft account consumer signing key) у компании Microsoft может иметь гораздо более серьезные последствия, нежели взлом учетных записей Exchange Online и Outlook, которые были скомпрометированы китайской группой Storm-0558. По словам экспертов, утечка оказывает влияние на все приложения Azure AD, работающие с Microsoft OpenID v2.0.
На прошлой неделе пользователь Reddit с ником kaefer_kriegerin опубликовал в сабреддите игры World of Warcraft фальшивый анонс о введении в игру некоего «Glorbo». На самом деле никакого Glorbo не существует, и таким образом пользователи разоблачили сайт, который использует ИИ и автоматически собирает контент с Reddit, публикуя его с минимальными изменениями.