Для подписчиков
В этой статье я расскажу, как написать на Python простейший троян с удаленным доступом, а для большей скрытности мы встроим его в игру. Даже если ты не знаешь Python, ты сможешь лучше понять, как устроены такие вредоносы, и поупражняться в программировании.

https://xakep.ru/2021/02/15/python-malware-game/

Хакеры утверждают, что украденные у компании CD Projekt Red данные были проданы без аукциона.

https://xakep.ru/2021/02/15/cd-projekt-sold/

Студент мадридского Университета имени Короля Хуана Карлоса создал бесплатный инструмент для дешифровки файлов, пострадавших от вымогателя Avaddon. Но разработчики вредоноса оперативно обновили свою малварь, и инструмент перестал работать.

https://xakep.ru/2021/02/12/avaddondecrypter/

Компания «Яндекс» сообщила, что один из ее сотрудников предоставлял несанкционированный доступ к почтовым ящикам пользователей и скомпрометировал почти 5000 ящиков.

https://xakep.ru/2021/02/12/ya-leak/

Криптовалютный обменник KeepChange пострадал от хакерской атаки. Администрация уверяет, что взлом удалось остановить, и средства пользователей не пострадали (чего нельзя сказать о личных данных).

https://xakep.ru/2021/02/12/keepchange/

В наши руки попала любопытная новинка — модель сетевого накопителя Synology DS1621+ с процессором AMD Ryzen, а с ней 10-гигабитная сетевая карта и две пары специализированных SSD от Synology. Мы прогнали устройство через все типичные сценарии использования и проверили, насколько быстро работает 10-гигабитный линк с обычными жесткими дисками.

https://xakep.ru/2021/02/12/synology-ds1621/

Proofpoint подала иск против Facebook, так как социальная сеть попыталась конфисковать доменные имена, которые ИБ-компания использовала в рамках ознакомительной подготовки, призванной повысить осведомленности о фишинге.

https://xakep.ru/2021/02/11/proofpoint-vs-facebook/

ИБ-эксперт Алекс Бирсан рассказал о новой проблеме, получившей название dependency confusion (путаница зависимостей). Благодаря этой проблеме специалист сумел загрузить собственный (безвредный) код в системы Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Uber и других компаний.

https://xakep.ru/2021/02/11/dependency-confusion/

Для подписчиков
Нет на свете программиста, который не слышал бы о Stack Overflow. В мае 2019 года этот чудесный ресурс взломали, похитив исходники платформы. Причем взломали с использованием рекомендаций и советов, опубликованных на самом Stack Overflow. Как это получилось и как удалось обнаружить вторжение?

https://xakep.ru/2021/02/11/hack-overflow/

Разработчики Mozilla выпустили Firefox 85, где исправили критическую уязвимость, связанную с раскрытием информации. Этот баг можно было объединить с другими уязвимостями и таким образом добиться выполнения произвольного кода.

https://xakep.ru/2021/02/11/firefox-angle-bug/

В Англии и Шотландии арестованы восемь человек, которые занимались подменой SIM-карт и похищали деньги у американских знаменитостей. Такая деятельность принесла мошенникам более 100 000 000 долларов США в криптовалюте.

https://xakep.ru/2021/02/11/celebrity-sim-swap/

Поставщик антивирусных решений, компания Emsisoft сообщает, что неизвестная третья сторона получила доступ к базе данных, содержащей технические логи.

https://xakep.ru/2021/02/11/emsisoft-leak/

Украденные у компании CD Projekt Red данные выставлены на аукцион. Тем временем эксперты говорят, что за взломом стояли операторы малвари HelloKitty.

https://xakep.ru/2021/02/10/cd-projekt-red-leak/

Компания Microsoft исправила 56 различных багов в своих продуктах, а также предупредила о трех опасных уязвимостях в Windows-стеке TCP/IP.

https://xakep.ru/2021/02/10/feb-patch-tuesday-2/

Для подписчиков
В этой статье мы разберем протокол WebSocket и подробно остановимся на уязвимости CSWSH — насколько она распространена в открытом интернете. Для тех, кто дочитает до конца, я приготовил бонус в виде утилиты cswsh-scanner, с помощью которой ты можешь проверить свои приложения и попытать удачи на баг-баунти.

https://xakep.ru/2021/02/10/websocket-csrf/

Киберполиция Украины сообщила об аресте 39-летнего мужчины, которого подозревают в создании одного из самых популярных фишинговых наборов на черном рынке.

https://xakep.ru/2021/02/10/upanel/

Спамеры засыпали Python Package Index (PyPI) и GitLab мусорным контентом, наводнив ресурсы рекламой сомнительных сайтов и сервисов.

https://xakep.ru/2021/02/09/pypi-gitlab-spam/

По мнению врачей, технология MagSafe в iPhone нового поколения может влиять на работу таких имплантируемых устройств, как кардиовертеры-дефибрилляторы.

https://xakep.ru/2021/02/09/iphone-magnets/

Представители CD Projekt Red сообщили, что компания стала жертвой шифровальщика. Вымогатели проникли во внутреннюю сеть компании и похитили данные, но в компании заявляют, что не намерены платить выкуп.

https://xakep.ru/2021/02/09/cd-projekt-red-hack/

Неизвестный хакер получил доступ к системам водоочистных сооружений в городе Олдсмар (штат Флорида) и изменил химический состав воды, повысив уровень гидроксида натрия (NaOH) до опасных значений.

https://xakep.ru/2021/02/09/poison-water/