В Китае прошло хакерское соревнование Tianfu Cup, участники которого заработали более 1 200 000 долларов, продемонстрировав эксплоиты для Windows 10, iOS 14, Chrome, Safari, прошивок роутеров TP-Link и ASUS, и так далее.

https://xakep.ru/2020/11/09/tianfu-cup-2020/

Итальянский производитель напитков Gruppo Campari, которому принадлежат такие бренды, как Campari, Cinzano и Appleton, подвергся атаке шифровальщика Ragnar Locker. Хакеры уже разместили на своем сайте скриншоты украденных у компании данных и требуют около 15 000 000 долларов выкупа.

https://xakep.ru/2020/11/06/gruppo-campari/

На этой неделе, в ночь президентских выборов в США, криптовалютное сообщество обратило внимание на огромный перевод: кто-то опустошил биткоин-кошелек, содержавший около миллиарда долларов. Оказалось, что Министерство юстиции США произвело крупнейшую конфискацию в истории.

https://xakep.ru/2020/11/06/1hq3/

Как выяснили журналисты, японский разработчик игр Capcom стал жертвой шифровальщика Ragnar Locker, операторы которого якобы похитили у корпорации около терабайта данных.

https://xakep.ru/2020/11/06/capcom-ragnar-locker/

Для подписчиков
Кроме традиционных разрешений, в Android есть три мета-разрешения, которые открывают доступ к весьма опасным API. В этой статье мы научимся их использовать, чтобы программно нажимать кнопки смартфона, перехватывать уведомления, извлекать текст из полей ввода других приложений и сбрасывать настройки смартфона.

https://xakep.ru/2020/11/06/android-api-2/

Неизвестные залили исходный код GitHub Enterprise в специальный раздел для DMCA-жалоб на GitHub. Глава компании Нэт Фридман уверяет, что утечка произошла давно. и GitHub не взламывали.

https://xakep.ru/2020/11/06/github-leak/

Специалисты компании Apple исправили стразу три уязвимости нулевого дня в iOS, которые уже активно использовались хакерами.

https://xakep.ru/2020/11/06/ios-0days/

Американский производитель игрушек, компания Mattel, сообщает, что подвергся вымогательской атаке, которая сказалась на некоторых бизнес-операциях. При этом в Mattel заверили, что компания оправилась от инцидента без значительных финансовых потерь.

https://xakep.ru/2020/11/05/mattel-hack/

СМИ сообщают, что разработчики вымогателя REvil приобрели исходный код трояна KPOT на аукционе, который прошел на хакерском форуме в прошлом месяце.

https://xakep.ru/2020/11/05/revil-kpot/

Разработчики Adobe исправили 14 уязвимостей в Acrobat и Reader, а также удалили компоненты Flash из новых версий своих продуктов.

https://xakep.ru/2020/11/05/acrobat-reader-patches/

Для подписчиков
Представим, что нам нужно запустить некий зловредный код на машине жертвы. Самым простым вариантом будет вынудить пользователя сделать это самостоятельно, но вдруг он не любит запускать сомнительное ПО? Тут-то и пригодится джоинер — тулза, которая умеет скрытно встраивать зловредный код в безобидные на первый взгляд файлы.

https://xakep.ru/2020/11/05/joiner-win64/

Корпорация Capcom сообщила о хакерской атаке, которой подверглась в прошлые выходные. Известно, что взлом повлиял на бизнес-операции разработчика игр, включая работу системы электронной почты.

https://xakep.ru/2020/11/05/capcom-hack/

Инженеры Google устранили третью уязвимость нулевого дня в Chrome за последние недели. Теперь пользователям Android-устройств рекомендуют как можно скорее обновить Chrome до версии 86.0.4240.185.

https://xakep.ru/2020/11/05/chrome-android-0day/

Инженеры Raspberry Pi Foundation представили не совсем обычный гаджет, отличный от привычных всем одноплатников. Raspberry Pi 400 – это полноценный компьютер, размещенный в корпусе небольшой клавиатуры.

https://xakep.ru/2020/11/03/raspberry-pi-400/

Специалисты по безопасности удалили вредоносную JavaScript-библиотеку twilio-npm с сайта npm. Библиотека содержала вредоносный код, который открывал бэкдор на компьютеры пользователей.

https://xakep.ru/2020/11/03/twilio-npm/

Российского программиста Александра Бровко приговорили к восьми годами лишения свободы в США. Бровко сотрудничал с операторами крупных ботнетов и создавал для них инструменты, позволяющие скрапить из логов ботов финансовую информацию жертв.

https://xakep.ru/2020/11/03/brovko-sentenced/

Инженеры компании Oracle были вынуждены выпустить «патч для патча», так как обнаружили, что недавно выпущенное исправление для критической уязвимости в WebLogic можно легко обойти.

https://xakep.ru/2020/11/03/cve-2020-14750/

Кибербитва The Standoff пройдет 12-17 ноября 2020 года, в режиме онлайн. В программе мероприятия: масштабные киберучения и онлайн-конференция по кибербезопасности.

https://xakep.ru/2020/11/03/thestandoff-2020/

Для подписчиков
OAuth — это открытый протокол, который упрощает и стандартизирует безопасную авторизацию в вебе, на мобильных устройствах и в настольных приложениях. Он позволяет регистрироваться без указания имени пользователя и пароля и часто применяется для входа с помощью Facebook, Google, LinkedIn, Twitter и т. д. Уязвимости в OAuth, учитывая их распространенность, заслуживают обсуждения.

https://xakep.ru/2020/11/03/bugtrap-oauth/

Вышел Google Chrome 86.0.4240.183, в котором разработчики устранили 10 различных уязвимостей, включая 0-day баг, уже используемый хакерам.

https://xakep.ru/2020/11/03/one-more-zero-day/