Топ самых громких событий инфосека за ноябрь 2022

Всем привет! С уходом осени по традиции подводим итоги ноября в подборке самых ярких инфобез-новостей прошлого месяца. Сегодня у нас в программе пара сервисов с многолетней историей, по чью цифровую душу нагрянуло ФБР, громкие аресты видных фигур двух крупных киберпреступных группировок, а также,...

Все блоги / Про интернет

Топ самых интересных CVE за ноябрь 2022 года

Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за ноябрь 2022 года! Читать далее...

Все блоги / Про интернет

Уязвимость в Zendesk могла позволить злоумышленникам получить доступ к конфиденциальной информации

Исследователи из Varonis Threat Labs обнаружили возможность SQL-инъекции и уязвимость логического доступа в Zendesk Explore, компоненте платформы Zendesk. Читать далее...

Все блоги / Про интернет

(не) Безопасный дайджест: потерянные учетки, компенсация за мегасливы и утечки «с ветерком»

Пришло время обсудить, что натворили хакеры и инсайдеры в ноябре. Нынешняя подборка ИБ-инцидентов серьезнее некуда: тут и кибератаки на гигантов, и фишинг, и даже забывчивые сотрудники, действия которых стоили компании клиентских данных. Читать далее...

Все блоги / Про интернет

Микроаудит за 10 тысяч долларов: новая волна атак на MS Exchange в РФ

Последние несколько месяцев российские компании становятся жертвами злоумышленников, вымогающих деньги за непубликацию конфиденциальных данных под видом аудита безопасности. На деле мошенники проверяют лишь наличие одной уязвимости в Microsoft Exchange. С августа 2022 года мы фиксируем волну атак...

Все блоги / Про интернет

Бумажек — меньше, денег — больше: почему багхантеру полезно быть самозанятым?

Ожидание багхантера: компании повально выпускают программы bug bounty — только успевай чекать скоуп, находить баги и следить за СМС о поступлении выплат. Реальность: выход компании на bug bounty пока что занимает много времени, а вознаграждения получить сложно — сплошные бумажки, ожидание ответа...

Все блоги / Про интернет

Positive Technologies на HighLoad++ 2022: доклады экспертов, конкурс по поиску уязвимостей и безлимитная газировка

Positive Technologies 24 и 25 ноября примет участие в конференции для разработчиков высоконагруженных систем HighLoad++ 2022. Заходите на наш стенд, чтобы пообщаться с экспертами, узнать методы поиска уязвимостей и обеспечения безопасности ПО, поискать уязвимости в ходе конкурса, выиграть мерч, а...

Все блоги / Про интернет

[Перевод] Эксплойтинг браузера Chrome, часть 1: введение в V8 и внутреннее устройство JavaScript

Cегодня браузеры играют жизненно важную роль в современных организациях, поскольку всё больше программных приложений доставляется пользователям через веб-браузер в виде веб-приложений. Практически всё, что вы делаете в Интернете, включает в себя применение веб-браузера, а потому он является одним...

Все блоги / Про интернет

Топ самых интересных CVE за октябрь 2022 года

ДИСКЛЕЙМЕР! Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Заканчивается октябрь 2022 года, а это значит пора вернуться к нашей традиционной рубрике, посвященной...

Все блоги / Про интернет

Топ самых интересных CVE за сентябрь 2022 года

ДИСКЛЕЙМЕР! Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Сентябрь 2022 года подошел к концу, а это значит, что пора вернуться к нашей традиционной рубрике – Топ...

Все блоги / Про интернет

(не) Безопасный дайджест: атака «от скуки», любовь к штрафам и этичный взлом

Собрали подборку ИБ-инцидентов, о которых стало известно в сентябре. Сегодня в программе: искренние извинения за утечку, доверчивые сотрудники, взлом забавы ради и банковский холдинг Morgan Stanley, которому, кажется, нравится платить штрафы за потеряю данных своих клиентов. Читать далее...

Все блоги / Про интернет

На грани между ИТ и ИБ: противоборство или союз специалистов?

В среде разработчиков бытует мнение, что информационная безопасность относится к IT не напрямую, а косвенно, что это вспомогательная область и даже вторичная. Но так ли это на самом деле? На этот неоднозначный вопрос серьезно и обстоятельно ответили спикер Слёрма Роман Панин и его коллега Павел...

Все блоги / Про интернет

Чем опасны уязвимые зависимости в проекте и как с этим помогает SCA?

Современные приложения почти всегда используют сторонние библиотеки. Если библиотека содержит уязвимость, то уязвимым может оказаться и использующее её приложение. Но как определить наличие таких проблемных зависимостей? Читать далее...

Все блоги / Про интернет

Когда 2+2=5: чем страшны ошибки бизнес-логики приложений и почему их легко не заметить при разработке

Мы как-то писали про SSRF-атаку, которая входит в список наиболее распространенных уязвимостей OWASP Top 10. Однако мир уязвимостей намного разнообразнее и, конечно же, не ограничивается этим списком. Сегодня мы хотим рассказать про уязвимости, связанные с бизнес-логикой. Что в них необычного? Это...

Все блоги / Про интернет

Топ самых интересных CVE за август 2022 года

ДИСКЛЕЙМЕР! Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Подходит к концу восьмой месяц 2022 года, а это значит пора подвести итоги по вышедшим уязвимостям и...

Все блоги / Про интернет

[Перевод] Что я узнал за пять лет проведения аудитов кода

Когда я работал в PKC, моя команда вела около тридцати аудитов кода. Многие из них предназначались для стартапов, которые вышли на серию А или B – именно на этом этапе основатели обычно обзаводились деньгами, отвлекались от тотальной сосредоточенности на выходе на рынок и осознавали, что неплохо бы...

Все блоги / Про интернет

(Не) безопасный дайджест: чем пахнут утечки, дипфейк в Zoom и дворянство за тысячу евро

Август – время, когда многие еще отдыхают, но не мошенники и суды. В нашем традиционном дайджесте – преступление с редким (потому что большим) наказанием, типичные «грабли» и очередной пример того, к чему приводит вера людей сказочным обещаниям. Читать далее...

Все блоги / Про интернет

20 лет проблем приема платежей

За логотип спасибо yarbabin Электронные системы расчетов существуют в интернете уже давно, а баги на них встречаются двадцатилетней давности. Мы находили критические уязвимости, позволяющие угнать деньги и накрутить баланс. Сегодня мы разберем типовые реализации приема платежей и связанные с ними...

Все блоги / Про интернет

Назад