Основы Интернет - технологий.

Уязвимость aCropalypse угрожает Windows и Pixel

Раз­работ­чики Microsoft экс­трен­но обно­вили инс­тру­мен­ты Snipping Tool и Snip and Sketch («Нож­ницы») в Windows 10 и 11, испра­вив недав­но обна­ружен­ную уяз­вимость, получив­шую наз­вание aCropalypse. Баг поз­волял вос­ста­новить ори­гинал любого изоб­ражения, отре­дак­тирован­ного с помощью «Нож­ниц».

Из­началь­но проб­лему aCropalypse (CVE-2023-21036) обна­ружи­ли в устрой­ствах Google Pixel и свя­зали с редак­тором скрин­шотов Markup, который появил­ся на смар­тфо­нах в 2018 году, с релизом Android 9.0 Pie.

Суть уяз­вимос­ти зак­лючалась в том, как имен­но файл изоб­ражения откры­вает­ся для редак­тирова­ния и сох­раня­ется: обре­зан­ные или зак­рашен­ные при помощи Markup дан­ные все рав­но оста­ются в новом сох­ранен­ном фай­ле, что поз­воля­ет вос­ста­новить при­мер­но 80% исходной кар­тинки.

Ис­сле­дова­тели пре­дуп­режда­ли, что aCropalypse может рас­кры­вать кон­фиден­циаль­ную информа­цию поль­зовате­лей, если они ког­да‑либо редак­тирова­ли изоб­ражение с помощью Markup, а затем делились этим фай­лом с дру­гими людь­ми или пуб­ликова­ли его в интерне­те.

Из‑за уяз­вимос­ти утечь в сеть мог­ла самая раз­ная информа­ция, вклю­чая кон­фиден­циаль­ные дан­ные из докумен­тов, дан­ные о мес­тополо­жении, кон­фиден­циаль­ные URL-адре­са на скрин­шотах бра­узе­ра, номера бан­ков­ских карт, лица и дру­гие нежела­тель­ные под­робнос­ти на откро­вен­ных фото. Сло­вом, все то, что обыч­но обре­зают и замазы­вают на фотог­рафи­ях и скрин­шотах.

Вско­ре пос­ле рас­кры­тия дан­ных об ори­гиналь­ной проб­леме выяс­нилось, что эта уяз­вимость пред­став­ляет опас­ность и для инс­тру­мен­тов Snipping Tool и Snip and Sketch в Windows 10 и 11. В дан­ном слу­чае точ­но так же воз­можно час­тично вос­ста­новить ори­гиналь­ный вид ранее обре­зан­ных кар­тинок.

Эк­спер­ты про­демонс­три­рова­ли успешное вос­ста­нов­ление изоб­ражений в фор­мате PNG и допус­тили, что то же самое мож­но про­делать и с фай­лами JPG.

В ито­ге проб­леме был прис­воен иден­тифика­тор CVE-2023-28303. В Windows 11 для ее устра­нения сле­дует обно­вить Snipping Tool до вер­сии 11.2302.20.0, а в Windows 10 патч получил Snip and Sketch вер­сии 10.2008.3001.0.

Те­перь при обрезке изоб­ражения и переза­писи исходно­го фай­ла инс­тру­мент уда­ляет неис­поль­зуемые дан­ные кор­рек­тно, а не помеща­ет их в конец фай­ла, пос­ле IEND.

На 7% снизилась скорость мобильного интернета в РФ

По дан­ным TelecomDaily, в фев­рале 2023 года ско­рость мобиль­ного интерне­та в реги­онах Рос­сии сни­зилась на 7% по срав­нению с пре­дыду­щим годом (до 18,3 Мбит/с). При этом в Мос­кве ско­рость мобиль­ного интерне­та вырос­ла на 32% до 34,7 Мбит/с.

Ис­сле­дова­тели объ­ясня­ют ухуд­шение дос­тупа дефици­том сетево­го обо­рудо­вания и уста­нов­кой новых базовых стан­ций в пер­вую оче­редь в круп­ных городах. Гла­ва TelecomDaily Денис Кус­ков отме­чает, что сетевое обо­рудо­вание пос­тепен­но уста­рева­ет и тре­бует модер­низации, а склад­ские запасы не без­гра­нич­ны. Имен­но поэто­му рас­тет раз­рыв в качес­тве интернет‑дос­тупа меж­ду сто­лицей и реги­она­ми. Опе­рато­ры наращи­вают про­пус­кную спо­соб­ность сетей мед­леннее, чем рас­тет интернет‑тра­фик.

Дроны DJI раскрывают местонахождение операторов

Спе­циалис­ты из Рур­ско­го уни­вер­ситета в Бохуме и Цен­тра информа­цион­ной безопас­ности име­ни Гель­мголь­ца в Гер­мании (CISPA) рас­ска­зали, что им уда­лось рас­шифро­вать сиг­налы, переда­ваемые дро­нами DJI. Ока­залось, что устрой­ства тран­сли­руют не толь­ко свои GPS-коор­динаты и уни­каль­ный ID дро­на, но и GPS-коор­динаты сво­его опе­рато­ра.

Ис­сле­дова­тели пишут, что такие девай­сы ста­новят­ся все вос­тре­бован­нее в зонах боевых дей­ствий, ведь они могут вес­ти наб­людение на боль­шой высоте, про­водить раз­ведку и даже исполь­зовать­ся как ору­жие, тог­да как их опе­ратор надеж­но скрыт на рас­сто­янии до нес­коль­ких километ­ров от дро­на.

Од­нако ока­залось, что мес­тополо­жение пилотов не такая уж боль­шая тай­на. Фак­тичес­ки любой человек, у которо­го есть прос­тое и дешевое ради­ообо­рудо­вание, может перех­ватить сиг­налы дро­нов и рас­шифро­вать их, таким обра­зом получив коор­динаты пилота.

В сво­ем док­ладе уче­ные рас­ска­зыва­ют, что им уда­лось рас­шифро­вать ради­осиг­налы дро­нов DJI и декоди­ровать исполь­зуемый ими ради­опро­токол DroneID. Деконс­тру­иро­вав сиг­налы, иссле­дова­тели уви­дели, что каж­дый дрон DJI переда­ет по про­токо­лу DroneID не толь­ко свои GPS-коор­динаты и уни­каль­ный иден­тифика­тор дро­на, но и GPS-коор­динаты сво­его опе­рато­ра.

Ис­ходно сис­тема DroneID ком­пании DJI соз­давалась для того, что­бы поз­волить пра­витель­ствам, регули­рующим орга­нам и пра­воох­раните­лям кон­тро­лиро­вать бес­пилот­ники и пре­дот­вра­щать зло­упот­ребле­ния ими. Но хакеры и ИБ‑иссле­дова­тели уже дав­но говорят о том, что DroneID не зашиф­рована и откры­та для любого, кто спо­собен при­нимать ради­осиг­налы.

Так, DroneID уже под­верга­лась кри­тике прош­лой вес­ной, ког­да укра­инские влас­ти рас­кри­тико­вали ком­панию за то, что рос­сий­ские воен­ные исполь­зуют дро­ны DJI для наведе­ния ракет, а так­же опре­деля­ют мес­тонахож­дение опе­рато­ров укра­инских дро­нов DJI по их ради­осиг­налам. В ответ на это ком­пания вооб­ще заяви­ла о недопус­тимос­ти исполь­зования сво­их пот­ребитель­ских бес­пилот­ников в воен­ных целях, а затем прек­ратила про­дажи устрой­ств как в Рос­сии, так и на Укра­ине.

При этом китай­ский про­изво­дитель уже дав­но про­дает государс­твен­ным регуля­торам и пра­воох­ранитель­ным орга­нам спе­циаль­ное устрой­ство Aeroscope, которое поз­воля­ет перех­ватывать и декоди­ровать дан­ные DroneID, опре­деляя мес­тополо­жение любого дро­на и его опе­рато­ра на рас­сто­янии до 48 км.

Ра­нее в ком­пании под­черки­вали, что про­токол DroneID зашиф­рован и, сле­дова­тель­но, недос­тупен для тех, у кого нет устрой­ства Aeroscope, которое любой жела­ющий при­обрести прос­то не смо­жет. Одна­ко поз­же ИБ‑иссле­дова­тель Кевин Финис­терре (Kevin Finisterre) про­демонс­три­ровал перех­ват некото­рых дан­ных DroneID при помощи сво­бод­но дос­тупно­го SDR Ettus. В ито­ге пред­ста­витель DJI приз­нал в беседе с жур­налис­тами, что переда­чи на самом деле не зашиф­рованы.

В сво­ем док­ладе немец­кие уче­ные про­демонс­три­рова­ли, что сиг­налы дро­нов дей­стви­тель­но могут быть рас­шифро­ваны и про­чита­ны и без вся­кого Aeroscope, что поз­воля­ет прос­лушивать DroneID для точ­ного опре­деле­ния положе­ния как самого бес­пилот­ника, так и его опе­рато­ра.

В качес­тве доказа­тель­ства сво­их выводов иссле­дова­тель­ская груп­па опуб­ликова­ла на GitHub про­тотип инс­тру­мен­та для получе­ния и рас­шифров­ки дан­ных DroneID.

Ис­сле­дова­тели пош­ли даже даль­ше, чем Финис­терре: они изу­чили про­шив­ку дро­на DJI и его ради­освязь, отре­вер­сили DroneID и соз­дали инс­тру­мент, который может при­нимать переда­чи DroneID с помощью уже упо­мяну­того выше Ettus или более дешево­го HackRF, который сто­ит все­го нес­коль­ко сотен дол­ларов (по срав­нению с 1000+ дол­ларов за устрой­ства Ettus). В ито­ге это поз­воля­ет выпол­нять все дос­тупные Aeroscope дей­ствия без него самого.

Хо­тя иссле­дова­тели тес­тирова­ли перех­ват сиг­налов лишь на рас­сто­янии от 15 до 25 футов (от 4,5 до 7,5 м), они отме­чают, что даже не пытались уве­личить рас­сто­яние, так как его воз­можно без тру­да рас­ширить с помощью допол­нитель­ных тех­ничес­ких решений.

Те­перь ИБ‑экспер­ты и СМИ пред­полага­ют, что, незави­симо от мотивов, которы­ми ком­пания DJI руководс­тво­валась, соз­давая DroneID и рек­ламируя Aeroscop как единс­твен­но под­ходящее устрой­ство для перех­вата сиг­налов, дос­тупность информа­ции о мес­тополо­жении опе­рато­ра дро­на и тот факт, что эти дан­ные мож­но лег­ко перех­ватить (без вся­кого Aeroscope), ока­жут серь­езное вли­яние на исполь­зование квад­рокоп­теров в зонах боевых дей­ствий и дру­гих враж­дебных усло­виях.

В США пытаются запретить TikTok

В начале мар­та комитет палаты пред­ста­вите­лей кон­грес­са США при­нял законоп­роект, который может поз­волить пре­зиден­ту пол­ностью зап­ретить TikTok в стра­не. В кон­це 2022 года соц­сеть уже зап­ретили уста­нав­ливать на государс­твен­ные устрой­ства более чем в 20 шта­тах, а некото­рые уни­вер­ситеты заб­локиро­вали его в Wi-Fi-сетях сво­их кам­пусов.

По­лити­ки говорят, что TikTok, при­над­лежащий китай­ской ком­пании ByteDance и нас­читыва­ющий 150 мил­лионов поль­зовате­лей в США, может угро­жать наци­ональ­ной безопас­ности стра­ны.

«Зачем впус­кать тро­янско­го коня в свою кре­пость? Зачем прив­носить эту воз­можность в США, ког­да китай­цы могут манипу­лиро­вать дан­ными, которые мы видим, и либо вклю­чать в них то, что они хотят показать нашему населе­нию (в том чис­ле матери­алы, вызыва­ющие раз­ногла­сия в общес­тве), либо уда­лять то, что выс­тавля­ет их в пло­хом све­те и что они не хотели бы показать аме­рикан­ско­му народу?»

— такими воп­росами задавал­ся Роб Джойс, гла­ва отде­ла кибер­безопас­ности в АНБ, на кон­ферен­ции Silverado Accelerator Conference, про­шед­шей в кон­це мар­та.

Журналисту прислали флешку с бомбой

По­лиция Эква­дора рас­сле­дует мас­совую ата­ку на меди­аор­ганиза­ции по всей стра­не. Жур­налист и ведущий Ecuavisa был ранен пос­ле того, как при под­клю­чении к компь­юте­ру взор­валась USB-флеш­ка, которую он получил по поч­те. Такие же девай­сы были отправ­лены в редак­ции еще как минимум пяти эква­дор­ских СМИ.

Гла­ва отде­ла уго­лов­ных рас­сле­дова­ний наци­ональ­ной полиции Эква­дора Хавь­ер Чан­го Льере­на (Xavier Chango Llerena) заявил, что влас­ти обна­ружи­ли кон­верты с пред­полага­емы­ми взрыв­ными устрой­ства­ми в редак­циях еще четырех СМИ: двух в Гуаяки­ле и двух в Кито. Еще одна взры­воопас­ная флеш­ка была най­дена на скла­де ком­пании по дос­тавке посылок.

В резуль­тате взры­ва USB-накопи­теля пос­тра­дав­ший жур­налист Ecuavisa Ленин Арти­еда (Lenin Artieda) получил трав­мы рук и лица. По дан­ным полиции, Арти­еде повез­ло — взор­валась толь­ко полови­на заложен­ного в USB-накопи­тель заряда, и исход мог быть более печаль­ным, если бы все прош­ло так, как пла­ниро­вали зло­умыш­ленни­ки.

Так­же сооб­щает­ся, что акти­вация взрыв­ного устрой­ства мог­ла про­изой­ти от элек­три­чес­кого заряда, который флеш­ка получи­ла при под­клю­чении. По сло­вам Льере­ны, накопи­тель мог содер­жать гек­соген, хотя это пока не под­твержде­но лабора­тор­ным ана­лизом.

Ор­ганиза­ция по защите инте­ресов прес­сы и сво­боды сло­ва Fundamedios осу­дила это нападе­ние и сооб­щила, что еще минимум трое жур­налис­тов, в том чис­ле из TC Televisión, Teleamazonas и радио Exa FM, получи­ли по поч­те такие USB-накопи­тели и пись­ма с угро­зами.

В час­тнос­ти, Аль­варо Росеро (Álvaro Rosero), работа­ющий на ради­останции Exa FM, получил кон­верт с ана­логич­ной флеш­кой 15 мар­та 2023 года. Он отдал устрой­ство сво­ему про­дюсе­ру, который исполь­зовал кабель с адап­тером для под­клю­чения флеш­ки к компь­юте­ру. В этот раз накопи­тель не взор­вался. Полиция уста­нови­ла, что в устрой­стве содер­жалась взрыв­чатка, но из‑за адап­тера, исполь­зован­ного про­дюсе­ром, заряд не акти­виро­вал­ся.

ИБ‑спе­циалист и инже­нер Май­кл Гро­вер (Michael Grover), так­же извес­тный под ником MG, которо­го мно­гие зна­ют как авто­ра вре­донос­ного кабеля O.MG, де­монс­три­ровал взры­вающиеся USB-флеш­ки еще в 2018 году (исклю­читель­но как PoC и в качес­тве шут­ки), а мы тог­да пос­вятили иссле­дова­ниям MG боль­шую статью.

«Даже малень­кий флеш‑накопи­тель опа­сен с чем‑то вро­де „сем­текса“ на бор­ту и дос­таточ­но быс­тро­дей­ству­ющим запалом. Ваша рука будет находить­ся пря­мо на накопи­теле, ког­да на него будет подано питание, — объ­яснил Гро­вер теперь. — Не могу ска­зать, исполь­зовались ли такие ата­ки в реаль­нос­ти, но меня сов­сем не уди­вит, если исполь­зовались. Я знаю нес­коль­ко изда­ний, где всю поч­ту ска­ниру­ют на наличие взрыв­чатых веществ и дру­гих опас­ных пред­метов».

Ис­сле­дова­тель говорит, что подоб­ные ата­ки, к сожале­нию, могут быть весь­ма эффектив­ными для тер­рорис­тов. MG наде­ется, что про­изо­шед­шее вынудит боль­шее количес­тво изда­ний тща­тель­но про­верять вхо­дящую кор­респон­денцию.

Кто имен­но посыла­ет такой «сиг­нал» жур­налис­там, пока оста­ется неяс­ным. Fundamedios пишет, что одно из сооб­щений, соп­ровож­давших опас­ную флеш­ку, было нап­равле­но про­тив неус­танов­ленной полити­чес­кой груп­пы, дру­гое гла­сило, что на накопи­теле пред­став­лены матери­алы, которые разоб­лачат Correísmo (эква­дор­ское полити­чес­кое дви­жение, наз­ванное в честь быв­шего пре­зиден­та Рафа­эля Кор­реа). Кро­ме того, пос­ледние нес­коль­ко лет в стра­не наб­люда­ется всплеск прес­тупнос­ти, который пре­зидент Гиль­ермо Лас­со свя­зыва­ет с незакон­ным обо­ротом нар­котиков (если точ­нее, с деятель­ностью нар­кокар­телей).

Продажа доступов к сетям предприятий

Эк­спер­ты Positive Technologies про­вели иссле­дова­ние киберуг­роз 2022 года, акту­аль­ных для про­мыш­ленных орга­низа­ций. Выяс­нилось, что количес­тво дос­тупов к инфраструк­туре орга­низа­ций из этой сфе­ры, выс­тавлен­ных на про­дажу в 2022 году, вырос­ло с 86 до 122 — более чем на 40%.

Тор­говля дос­тупами сос­тавила 75% всех объ­явле­ний, отно­сящих­ся к про­мыш­леннос­ти, и их сто­имость обыч­но колеб­лется от 500 до 5000 дол­ларов США.

Ин­дус­три­аль­ный сек­тор прив­лека­ет лег­ким заработ­ком даже малок­валифи­циро­ван­ных прес­тупни­ков: они получа­ют пер­воначаль­ный дос­туп, а затем про­дают его более ком­петен­тным зло­умыш­ленни­кам для даль­нейше­го раз­вития ата­ки.

На про­тяже­нии пос­ледних четырех лет этот сек­тор вхо­дит в трой­ку самых ата­куемых отраслей: каж­дая десятая успешная ата­ка на орга­низа­ции при­ходит­ся на про­мыш­ленные пред­при­ятия.

В общей слож­ности в про­мыш­ленных ком­пани­ях было зафик­сирова­но 223 инци­ден­та, выз­ванных ата­ками зло­умыш­ленни­ков, и это на 7% боль­ше, чем в 2021 году. Боль­ше все­го инци­ден­тов (75) приш­лось на вто­рой квар­тал 2022 года, и поч­ти все ата­ки (97%) на орга­низа­ции это­го сек­тора были целевы­ми.

В боль­шинс­тве атак (70%) хакеры при­меня­ли вре­донос­ное ПО, поч­ти в полови­не (44%) — методы соци­аль­ной инже­нерии, а еще в 43% слу­чаев экс­плу­ати­рова­ли уяз­вимос­ти ПО.

56% всех успешных атак в этой сфе­ре при­вели к утеч­кам дан­ных, которые в пер­вую оче­редь зат­ронули све­дения, содер­жащие ком­мерчес­кую тай­ну и пер­сональ­ную информа­цию.

Выявлены уязвимости в TPM 2.0

Эк­спер­ты из ком­пании Quarkslab обна­ружи­ли две серь­езные уяз­вимос­ти в спе­цифи­кации биб­лиоте­ки Trusted Platform Module (TPM) 2.0. Проб­лемы могут поз­волить аутен­тифици­рован­ному локаль­ному ата­кующе­му переза­писать защищен­ные дан­ные в TPM, а так­же выпол­нить про­изволь­ный код. Иссле­дова­тели пре­дуп­режда­ют, что эти проб­лемы могут зат­рагивать мил­лиар­ды устрой­ств.

Уяз­вимос­ти получи­ли иден­тифика­торы CVE-2023-1017 (чте­ние out-of-bounds) и CVE-2023-1018 (запись out-of-bounds). Обе проб­лемы свя­заны с обра­бот­кой парамет­ров для некото­рых команд TPM, в ито­ге поз­воляя зло­умыш­ленни­ку экс­плу­ати­ровать их, отправ­ляя TPM вре­донос­ные коман­ды для выпол­нения кода.

Сог­ласно бюл­летеню безопас­ности, выпущен­ному Trusted Computing Group, раз­работ­чиком спе­цифи­кации TPM, эти уяз­вимос­ти, свя­зан­ные с перепол­нени­ем буфера, могут при­вес­ти к рас­кры­тию информа­ции или повыше­нию при­виле­гий. Ито­говое вли­яние проб­лем зависит от того, как про­изво­дитель реали­зовал работу с кон­крет­ной областью памяти: явля­ется ли она неис­поль­зуемой или содер­жит опе­ратив­ные дан­ные.

Спе­циалис­ты Quarkslab говорят, что круп­ные тех­ничес­кие пос­тавщи­ки, орга­низа­ции, исполь­зующие кор­поратив­ные компь­юте­ры, сер­веры, IoT-устрой­ства и встро­енные сис­темы, вклю­чающие TPM, могут пос­тра­дать от этих уяз­вимос­тей. В целом же, по сло­вам иссле­дова­телей, баги «могут зат­рагивать мил­лиар­ды устрой­ств».

Эк­спер­ты CERT уже заяви­ли, что в течение нес­коль­ких месяцев информи­рова­ли пос­тавщи­ков о багах, стре­мясь пыта­ясь повысить осве­дом­ленность и умень­шить пос­ледс­твия. К сожале­нию, в ито­ге лишь нес­коль­ко орга­низа­ций под­твер­дили, что они зат­ронуты CVE-2023-1017 и CVE-2023-1018.

По­ка Lenovo — единс­твен­ный круп­ный OEM-вен­дор, выпус­тивший собс­твен­ные рекомен­дации по безопас­ности и пре­дуп­редив­ший, что CVE-2023-1017 вли­яет на не­кото­рые из сис­тем ком­пании, работа­ющие на Nuvoton TPM 2.0.

В CERT пре­дуп­режда­ют, что экс­плу­ата­ция этих уяз­вимос­тей либо поз­воля­ет получить дос­туп к кон­фиден­циаль­ным дан­ным для чте­ния, либо дает воз­можность переза­писать обыч­но защищен­ные дан­ные, дос­тупные толь­ко для TPM (нап­ример, крип­тогра­фичес­кие клю­чи).

Всем зат­ронутым вен­дорам необ­ходимо перей­ти на исправ­ленную вер­сию спе­цифи­кации:

• TMP 2.0 v1.59 Errata вер­сии 1.4 или выше;




• TMP 2.0 v1.38 Errata вер­сии 1.13 или выше;




• TMP 2.0 v1.16 Errata вер­сии 1.6 или выше.

Поль­зовате­лям рекомен­дует­ся как мож­но ско­рее при­менить обновле­ния,, выпущен­ные Trusted Computing Group, а так­же дру­гими пос­тавщи­ками.

В вычис­литель­ных сре­дах с высокой сте­пенью надеж­ности поль­зовате­лям так­же рекомен­дуют рас­смот­реть воз­можность исполь­зования TPM Remote Attestation для обна­руже­ния любых изме­нений и обес­печения защиты TPM от взло­ма.

На 39% компьютеров АСУ заблокированы вредоносные объекты

Ана­лити­ки Kaspersky ICS CERT под­счи­тали, что во вто­рой полови­не 2022 года вре­донос­ные объ­екты были заб­локиро­ваны на 39% компь­юте­ров сис­тем авто­мати­зации в Рос­сии.

Ху­же того, Рос­сия вош­ла в трой­ку лидеров в рей­тин­ге реги­онов мира по доле заб­локиро­ван­ных вре­донос­ных объ­ектов на компь­юте­рах АСУ. Рост по срав­нению с пер­вым полуго­дием сос­тавил 9 про­цен­тных пун­ктов — это наибо­лее зна­читель­ное изме­нение сре­ди всех иссле­дуемых реги­онов.

Эк­спер­ты свя­зыва­ют этот рост с уве­личе­нием доли компь­юте­ров АСУ, которые были ата­кова­ны вре­донос­ными объ­екта­ми из интерне­та: их количес­тво вырос­ло на 12 про­цен­тных пун­ктов по срав­нению с пер­вым полуго­дием. К таким угро­зам отно­сят­ся в том чис­ле вре­донос­ные скрип­ты и фишин­говые стра­ницы (JS и HTML). Они были заб­локиро­ваны поч­ти на каж­дом пятом компь­юте­ре АСУ (18%).

Данные «СберСпасибо» попали в открытый доступ

ИБ‑иссле­дова­тели сооб­щили, что в откры­том дос­тупе появи­лись две час­ти дам­па, пред­положи­тель­но получен­ного из мобиль­ного при­ложе­ния бонус­ной прог­раммы «Сбер­Спа­сибо» (spasibosberbank.ru).

По дан­ным спе­циалис­тов Data Leakage & Breach Intelligence (DLBI), информа­цию слил тот же зло­умыш­ленник, который сто­ит за недав­ними утеч­ками дан­ных сер­висов «Сбер­Пра­во» и «Сбер­Логис­тика. В общей слож­ности были обна­родо­ваны 51 977 405 уни­каль­ных номеров телефо­нов и 3 298 456 уни­каль­ных email-адре­сов.

Струк­тура обо­их сли­вов сов­пада­ет: в дам­пах содер­жатся номера телефо­нов, даты рож­дения, даты регис­тра­ции в сер­висе, дата пос­ледне­го вхо­да, а так­же хеширо­ван­ные (SHA-1 без соли) номера бан­ков­ских карт, как основной, так и допол­нитель­ных.

Еще во вре­мя пер­вого сли­ва экспер­ты пре­дуп­редили, что, хотя номера бан­ков­ских карт хра­нят­ся в одном из фай­лов в виде хеша, из‑за исполь­зования уста­рев­шего алго­рит­ма SHA-1 «вос­ста­новить» реаль­ные зна­чения карт не сос­тавит никако­го тру­да (при помощи обыч­ного перебо­ра). При этом толь­ко в пер­вом дам­пе спе­циалис­ты нас­читали 100 092 292 уни­каль­ных хеша.

Вы­бороч­ная про­вер­ка номеров бан­ков­ских карт (через перево­ды с кар­ты на кар­ту) показа­ла, что часть из них дей­стви­тель­ны и перевод на них воз­можен, а часть карт, видимо, уже неак­тивна, так как перевод невоз­можен.

Пред­ста­вите­ли «Сбер­Спа­сибо» сооб­щили СМИ, что про­верят информа­цию о воз­можной утеч­ке:

«Мы про­веря­ем информа­цию и ее дос­товер­ность. Подоб­ные сооб­щения воз­ника­ют час­то и, как пра­вило, свя­заны с мошен­никами, которые пыта­ются про­дать ком­пиляции ста­рых баз дан­ных под видом ори­гиналь­ных», — заяви­ли в ком­пании.

Другие интересные события месяца

Под­дер­жка Microsoft «взла­мыва­ет» Windows поль­зовате­лей из‑за проб­лем с акти­ваци­ей

UEFI-бут­кит BlackLotus обхо­дит защиту даже в Windows 11

Уяз­вимость в про­токо­ле Wi-Fi IEEE 802.11 поз­воля­ет перех­ватывать сетевой тра­фик

Эк­спер­ты: из чат‑бота Bing может получить­ся убе­дитель­ный мошен­ник

Мал­варь Hiatus ата­кует роуте­ры биз­нес‑клас­са, прев­ращая их в устрой­ства для шпи­она­жа

Microsoft Excel будет по умол­чанию бло­киро­вать надс­трой­ки XLL

На 4chan опуб­ликова­ли язы­ковую ИИ‑модель LLaMa, соз­данную Facebook *

Бра­зиль­ские влас­ти кон­фиску­ют Flipper Zero, что­бы устрой­ства не исполь­зовались в прес­тупных целях

GPT-4 обма­ном вынудил челове­ка решить для него CAPTCHA, прит­ворив­шись сла­бови­дящим

Эк­спер­ты Google наш­ли 18 уяз­вимос­тей в чип­сетах Samsung Exynos

* При­над­лежит ком­пании Meta, чья деятель­ность приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии.