ИБ-специалисты крупного американского ретейлера, компании Target, управляющей сетью магазинов розничной торговли, работающих под бренджами Target и SuperTarget, создали и запатентовали инструмент EasySweep, который можно использовать для обнаружения скиммеров в платежных терминалах....

Для подписчиковТретий митап Standoff Talks состоялся 14 мая 2023 года в лофте «Весна», тема встречи на этот раз была одна — багбаунти. Теплым воскресным днем багхантеры и держатели ББ-программ собрались под крышей уютного лофта, чтобы поделиться своим опытом друг с другом, прерываясь на приватные беседы и не забывая бодриться кофе. Основной частью митапа были доклады....

Академия Кодебай продолжает набор на курсы по IT и информационной безопасности. Команда компании является одной из сильнейших команд этичных хакеров в RU-сегменте. Обучение построено таким образом, что ученики изучают лекционный материал, отрабатывают его на практике с виртуальными машинами, а в конце — защищают финальную работу по выбранному направлению....

Компания Apple выпустила обновления для исправления уязвимостей нулевого дня, которые уже использовались в атаках на iPhone, Mac и iPad. Эти уязвимости связаны с хакерской кампанией «Операция Триангуляция», которую в начале июня текущего года обнаружили специалисты «Лаборатории Касперского» и ФСБ....

ИБ-эксперт компании Google Тэвис Орманди (Tavis Ormandy) выявил опасную уязвимость, затрагивающую процессоры AMD Zen 2. Проблема позволяет похищать конфиденциальные данные (включая пароли и ключи шифрования) со скоростью 30 кбит/с из ядер процессора....

Разработчики хакерского «мультитула» Flipper запустили собственный магазин приложений Flipper Apps, позволяющий пользователям устанавливать сторонние приложения и расширять возможности своих устройств....

По данным аналитиков компании Checkmarx, за последние месяцы сразу два неназванных банка стали жертвами атак на опенсорсную цепочку поставок. Исследователи говорят, что этой первые инциденты такого рода....

На прошлой неделе пользователь Reddit с ником kaefer_kriegerin опубликовал в сабреддите игры World of Warcraft фальшивый анонс о введении в игру некоего «Glorbo». На самом деле никакого Glorbo не существует, и таким образом пользователи разоблачили сайт, который использует ИИ и автоматически собирает контент с Reddit, публикуя его с минимальными изменениями....

Аналитики из компании Wiz уверены, что недавняя кража криптографического ключа MSA (Microsoft account consumer signing key) у компании Microsoft может иметь гораздо более серьезные последствия, нежели взлом учетных записей Exchange Online и Outlook, которые были скомпрометированы китайской группой Storm-0558. По словам экспертов, утечка оказывает влияние на все приложения Azure AD, работающие с Microsoft OpenID v2.0....

Для подписчиковВ этом райтапе я покажу приемы, которые используются при атаках на веб-приложения, в первую очередь — работающие на Ruby on Rails. Начнем со сканирования сайта, найдем и проэксплуатируем XSS, затем получим доступ к хосту через RCE. Для повышения привилегий на атакуемой машине разберемся с OpenMediaVault....