Лето здесь! Для многих это означало жаркую погоду, плавание и гораздо лучшее лето, чем в прошлом году. Для нас в SSL.com это означает, что пришло время оглянуться на июнь и посмотреть, что произошло с цифровой безопасностью. Читайте о том, что мы обнаружили, и позвольте этим знаниям направить вас к дальнейшему безопасному онлайн-опыту.
RockYou2021: в Интернет просочились миллиарды паролей
Что ж, свершилось. Просочилась самая большая в мире коллекция паролей, а все 8.4 миллиард из них были размещены на форуме, используемом хакерами. В роли Энтони Спадафора отчеты для techradar pro, пароли «вероятно, были объединены с предыдущими утечками и взломами данных». Обычно хакер заявлял, что утечка в десять раз больше - 82 миллиарда - но 8,459,060,239 XNUMX XNUMX XNUMX уникальных паролей - это уже плохо. В статье объясняется неожиданная связь социальных сетей с эпохой MySpace, которая дала название утечке:
Пользователь форума, разместивший сборник паролей, назвал компиляцию «RockYou2021», что, вероятно, является отсылкой к утечке данных RockYou, произошедшей в 2009 году. В то время киберпреступники взломали серверы компании, которая создавала виджеты для пользователей. 'MySpace и смогли получить более 32 миллионов паролей, хранящихся в виде простого текста.
Утечка более чем вдвое превышает предыдущую крупнейшую утечку данных: «Сборник множества нарушений. » Как отмечается в статье, это частично связано с тем, что RockYou2021 включает все пароли из Сборника множества нарушений. Кроме того, стоит помнить, что количество паролей превышает количество людей в сети, которое составляет всего 4.7 миллиарда.
Производитель мяса платит злоумышленникам-вымогателям 11 миллионов долларов
Атрибуты Ransomware в последнее время попали в заголовки газет, и легко понять почему. В еще одном инциденте, нарушившем международный бизнес, компания JBS Foods, крупнейший в мире поставщик мяса, сообщила, что заплатила 11 миллионов долларов за устранение инцидента, угрожавшего ее международным операциям. Заявление компании, сообщает Саймон Шарвуд из Регистр, объясняет, что они приняли решение заплатить: «(i) консультации с внутренними ИТ-специалистами и сторонними экспертами по кибербезопасности… для смягчения любых непредвиденных проблем, связанных с атакой, и обеспечения того, чтобы данные не были украдены». Статья продолжается:
«Расследование инцидента продолжается. JBS написала, что не может предложить «окончательных выводов» об инциденте, и описала мнение ФБР о том, что преступники являются «одной из самых специализированных и изощренных киберпреступных групп в мире».
Действительно, ФБР выпустило заявление который приписывает атаку группе, которая была связана с атакой Colonial Pipeline.
Разоблачен репозиторий внутреннего кодекса штата Нью-Йорк
О мальчик. Tech CrunchЗак Уиттакер сообщает, что банк внутренних кодов, используемый ИТ-офисом штата Нью-Йорк, был открыт для всеобщего обозрения. Это плохая новость, поскольку в репозитории содержатся «секретные ключи и пароли, связанные с системами государственного управления». SpiderSilk, дубайская компания, занимающаяся кибербезопасностью, обнаружила сервер GitLab, который был «доступен из Интернета и настроен таким образом, чтобы любой, кто не входил в организацию, мог создать учетную запись пользователя и беспрепятственно войти в систему», по словам главного сотрудника службы безопасности SpiderSilk Моссаба Хусейна через TechCrunch.
Убедившись, что сервер открыт и принимает новые учетные записи пользователей, TechCrunch связался с офисом губернатора, и сервер отключился после того, как, по-видимому, работал по крайней мере с марта. В конце концов, официальный представитель приписал нарушение безопасности поставщику и отрицал наличие каких-либо данных в опасности.
ALPACA: новое исследование кросс-протокольных атак на HTTPS
Это немного сложно, но важно, так что терпите нас. По сути, Новое исследование рассматривает потенциальный хаос, который может создать злоумышленник-посредник, запутав браузер, который пытается подключиться к веб-сайту HTTPS, и «обманом» заставив его подключиться к серверу, работающему с другим протоколом, таким как FTP или электронная почта сервер. Исследователи окрестили такую атаку путаницы контента на уровне приложения «ALPACA». В виде Ars Technica отчеты в произведение Дэна Гудина,
Поскольку браузер обменивается данными по HTTPS, а почтовый или FTP-сервер использует SMTP, FTPS или другой протокол, существует вероятность того, что что-то может пойти не так, например, злоумышленнику может быть отправлен расшифрованный файл cookie аутентификации. может выполнить вредоносный код на машине посещения… В статья про исследование опубликованная в среду, Бринкманн и семь других исследователей исследовали возможность использования так называемых кросс-протокольных атак для обхода TLS защиты. Этот метод предполагает, что злоумышленник MitM перенаправляет HTTP-запросы из разных источников на серверы, которые обмениваются данными по SMTP, IMAP, POP3, FTP или другому протоколу связи.
Противник MitM не может расшифровать TLS трафик, но есть еще кое-что, что злоумышленник может сделать. Например, принуждение целевого браузера к подключению к электронной почте или FTP-серверу вместо предполагаемого веб-сервера может привести к тому, что браузер запишет файл cookie аутентификации на FTP-сервер. Или он может включать атаки с использованием межсайтовых сценариев, которые заставляют браузер загружать и выполнять вредоносный JavaScript, размещенный на FTP-сервере или сервере электронной почты.
В статье отмечается, что в целом такая атака «носит ситуативный характер и нацелена на отдельных пользователей», поэтому риск для широкой публики на данный момент не так высок. Однако, поскольку больше сервисов защищено с помощью TLS, это может стать более распространенным паттерном, поэтому сейчас самое время уменьшить угрозу. Авторы исследования ALPACA Attack рекомендуют использовать Согласование протокола прикладного уровня (ALPN) и Индикация имени сервера (SNI) TLS расширения для смягчения угрозы.