Журналисты Vice Motherboard обнаружили проблему с самоуничтожающимися сообщениями в мессенджере Signal. Оказалось, что из-за появившегося недавно бага послания пропадали далеко не всегда.

https://xakep.ru/2018/06/09/disappearing-messages-bug/

Китайский производитель Foscam опубликовал обновленные версии прошивок для своих IP-камер. В них были устранены сразу три критические уязвимости, позволявшие полностью скомпрометировать устройства.

https://xakep.ru/2018/06/09/foscam-ip-cams-flaws/

Неизвестные злоумышленники пустили вход повреждающую жесткие диски малварь во время атаки на чилийский Banco de Chile. Таким образом преступники отвлекали внимание сотрудников финансового учреждения, пока пытались вывести деньги через международную систему передачи финансовой информации SWIFT.

https://xakep.ru/2018/06/09/banco-de-chile/

Для подписчиков
Наверняка тебе известно, что хорошая система контроля доступа, основанная на вводе и проверке правильности пароля, никогда и нигде не сохраняет пароли в открытом виде, а проверяет их с использованием хеш-суммы. В этой статье мы на практике рассмотрим вопросы правильного хеширования паролей, руководствуясь при этом актуальными российскими методическими рекомендациями.

https://xakep.ru/2018/06/09/hash-it-right/

Британский ИБ-специалист Маркус Хатчинс, более известный в сети под псевдонимом MalwareTech, по-прежнему не решил свои проблемы с американскими правоохранителями. Эксперту предъявили сразу четыре новых обвинения, касающихся малвари, которую он якобы создал, а также лжи агентам ФБР.

https://xakep.ru/2018/06/09/new-charges-for-malwaretech/

Вечером 8 июня 2018 года Роскомнадзор неожиданно вынес из реестра запрещенных сайтов более 7 000 000 IP-адресов. Как завили в ведомстве, мессенджер Telegram перестал использовать эти адреса для обхода блокировок.

https://xakep.ru/2018/06/08/7kk-ips-unbanned/

Разработчики компании Adobe в очередной раз выпустили внеплановый патч для Flash Player. Дело в том, что во Flash Player опять нашли 0-day уязвимость, которую уже используют для атак злоумышленники.

https://xakep.ru/2018/06/08/one-more-0day-in-flash-player/

Компанию Facebook продолжают преследовать неприятности, связанные с приватностью данных пользователей. На этот раз из-за халатности разработчиков посты 14 000 000 человек стали видимыми для всех, вне зависимости от их фактических настроек.

https://xakep.ru/2018/06/08/audience-selector-bug/

Специалисты Group-IB выявили мошенническую сеть, насчитывающую два десятка сайтов. Злоумышленники вводили пользователей в заблуждение, маскируясь под государственные сервисы и сайты популярных браузеров.

https://xakep.ru/2018/06/08/aktivniy-grajdanin-fake/

Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под управлением WordPress. Вредонос не только удаляет с зараженных ресурсов конкурирующие угрозы, но и устанавливает на сайты жертв обновления.

https://xakep.ru/2018/06/08/babayaga/

Для подписчиков
В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации в дополнение к имени пользователя и паролю (например, звонок на зарегистрированный на пользователя телефон или ввод кода из СМС) и как настроить backend-сервисы для реализации такой многофакторной аутентификации.

https://xakep.ru/2018/06/08/azure-mfa/

Нэт Фридман (Nat Friedman), который совсем скоро займет пост CEO GitHub, ответил на вопросы пользователей Reddit. Конечно, главной темой стало грядущее слияние с компанией Microsoft.

https://xakep.ru/2018/06/08/nat-friedman-ama/

Всего неделю назад разработчики криптовалюты EOS запустили собственную bug bounty программу на платформе HackerOne. Но один ИБ-специалист уже успел заработать на обнаружении проблем порядка 120 000 долларов.

https://xakep.ru/2018/06/07/eos-bug-bounty/

Критическая уязвимость, недавно обнаруженная в составе CMS Drupal, по-прежнему представляет собой большую проблему, невзирая на все предупреждения специалистов. Согласно данным нового исследования, перед Drupalgeddon2 все еще уязвимы более 115 000 сайтов.

https://xakep.ru/2018/06/07/drupalgeddon2-stats/

Эксперты компании GuardiCore рассказали об обнаружении ботнета Prowli, который заражает модемы, серверы и IoT-устройства, а затем использует их для майнинга криптовалюты и перенаправления пользователей на вредоносные сайты.

https://xakep.ru/2018/06/07/prowli/

Для подписчиков
Сегодня тебя ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!

https://xakep.ru/2018/06/07/forensics-guide-dbo/

В официальном блоге Chrome появилась информация об устранении серьезной уязвимости, связанной с некорректной обработкой заголовков CSP. Баг затронул Chrome для Windows, Mac и Linux, а также, вероятно, представляет опасность для других проектов.

https://xakep.ru/2018/06/07/chrome-csp-bug/

Эксперты Cisco Talos представили обновленный отчет о ботнете VPNFilter. Оказалось, что малварь представляет опасность для большего числа устройств, чем предполагалась изначально. К тому же исследователям удалось обнаружить новые вредоносные плагины для VPNFilter.

https://xakep.ru/2018/06/07/vpnfilter-new-info/

Разработчики Google сообщили, что смартфоны Pixel 2 получат дополнительную защиту против неавторизованных попыток обновить или подменить прошивку.

https://xakep.ru/2018/06/06/insider-attack-resistance/

Специалисты из Техасского университета A&M опубликовали исследование, посвященное проблемам разработки мобильных приложений. Как оказалось, современные мобильные разработчики повторяют ошибки, присущие сцене веб-разработки в начале «нулевых».

https://xakep.ru/2018/06/06/input-validation-problems/