Личные сообщения хакеров выставлены на продажу

3,6 млн записей пользователей приложения для знакомств MobiFriends оказались в Сети

Конфиденциальные данные 3 688 060 пользователей приложения для знакомств MobiFriends были опубликованы в даркнете в начале 2020 года и теперь стали доступны для скачивания.

По словам пользователя под псевдонимом DonJuji, который первоначально выставил данные на продажу на хакерском форуме, информация была получена в результате взлома системы безопасности в январе 2019 года. Однако в прошлом месяце база данных MobiFriends оказалась в открытом доступе и распространялась на многочисленных online-форумах.

Хотя записи не содержат личные сообщения, изображения или информацию о сексуальной ориентации, они включают адреса электронной почты, номера мобильных телефонов, информацию о дате рождения и поле, логины, историю активности приложений/web-сайтов, а также пароли, защищенные с помощью ненадежного алгоритма хеширования MD5.

Как сообщили специалисты из Risk Based Security (RBS), обнаружившие утечку данных, некоторые записи содержат адреса электронной почты, связанные с известными организациями, включая American International Group (AIG), Experian, Walmart, Virgin Media и пр. Эксперты проанализировали утекшие данные и подтвердили их достоверность.

На данный момент остается неизвестным, каким образом злоумышленник получил конфиденциальные данные пользователей MobiFriends.

Личные сообщения хакеров выставлены на продажу

В даркнете выставлена на продажу база данных более нефункционирующего хакерского форума и торговой площадки для сбыта похищенной информации WeLeakData.com. Часть данных также была раскрыта в личных переписках хакеров, некогда пользовавшихся услугами сайта.

WeLeakData.com представлял собой форум и торговую площадку, где обсуждались, продавались и покупались базы данных, похищенные в результате утечек, и списки пар логинов и паролей, использующихся для атак с подстановкой учетных данных (credential stuffing).

В конце прошлого месяца сайт неожиданно был закрыт, и появились слухи, буд-то его оператор был арестован, а база данных похищена или продана. С тех пор на подпольных форумах регулярно появляются объявления о желании купить утекшую БД.

Согласно новому отчету ИБ-компании Cyble, дамп базы данных форума WeLeakData.com на движке vBulletin, датированный с начала 9 января 2020 года, теперь продается на черном рынке. Как и любая другая форумная БД, она содержит логины пользователей, электронные адреса, хэши паролей, IP-адреса, с которых делались публикации на форуме, и личные сообщения.

Подобная информация представляет большую угрозу для киберпреступников, поскольку с ее помощью правоохранительные органы могут отследить их и связать с известными кибератаками.

Согласно отчету Cyble, БД использовалась для запуска нового сайта Leaksmarket.com, на форуме которого опубликованы те же посты и личные сообщения от тех же пользователей из базы данных WeLeakData.com. По мнению специалистов, через некоторое время после закрытия сайт, скорее всего, был продан одному из членов форума и снова заработал.

В даркнете вырос спрос на учетные данные Youtube-каналов

Эксперты из компании IntSights отметили увеличение спроса на учетные данные Youtube-каналов на подпольных торговых площадках. Стоимость предлагаемых аккаунтов пропорциональна количеству подписчиков. Например, цена за канал с 200 тыс. подписчиков начинается от $1 тыс.

Служба поддержки Youtube наполнена жалобами пользователей, которые потеряли доступ к своему каналу и получили требования о выкупе. Конфиденциальные данные похищаются в основном со скомпрометированных компьютеров в ходе фишинговых кампаний. Информация используется для авторизации в определенных сервисах, а затем продается на подпольных форумах.

Один из продавцов выставил на аукцион список из 990 тыс. активных Youtube-каналов с начальной ставкой в $1,5 тыс. Продавец, предположительно, хотел быстро заработать деньги, поскольку любой желающий мог вне очереди приобрести список учетных данных за $2,5 тыс.

Другой набор из 687 учетных записей Youtube с разбивкой по количеству подписчиков был доступен по начальной цене в $400. Любой покупатель мог заплатить $5 тыс. и получить его вне очереди.

По словам экспертов, возросшее количество учетных данных Youtube-каналов, вероятно, происходит из скомпрометированных компьютеров. Пользователи, сообщающие о взломе учетной записи Youtube, часто жалуются на то, что их обманом заставили загрузить вредоносное ПО на свои компьютеры.

«Преступники притворялись спонсорами Youtube, и когда я попытался зайти на их сайт, на мою систему были загружены кейлоггеры и шпионские программы. Они изменили мой пароль, удалили привязанные устройства, удалили мой номер телефона, используемый для восстановления и электронную почту в течение приблизительно 2 минут. Затем они стали вымогать у меня выкуп в биткойнах и угрожали продать мой канал», — рассказала одна из жертв.

Microsoft выпустила июньский патч безопасности, исправляющий 129 уязвимостей

Microsoft начала распространение ежемесячного пакета обновлений безопасности, который устраняет 129 уязвимостей в разных продуктах компании.

Несмотря на большое количество выявленных и устранённых проблем, в пакете отсутствуют исправления уязвимостей нулевого дня.

Это означает, что до официального запуска данного патча, исправляемые им уязвимости не использовались злоумышленниками на практике.

Полный список уязвимостей достаточно обширен, но среди них можно выделить несколько особенно опасных:

CVE-2020-1181 – удалённое выполнение кода в Microsoft SharePoint,

CVE-2020-1225 и CVE-2020-1226 – удалённое выполнение кода в Microsoft Excel,

CVE-2020-1223 – удалённое выполнение кода в Microsoft Word для платформы Android,

CVE-2020-1248 – удалённое выполнение кода в Windows Graphics Device Interface (GDI),

CVE-2020-1281 – удалённое выполнение кода в Microsoft Windows OLE,

CVE-2020-1299 – удалённое выполнение кода при обработке файлов .LNK в системе Windows,

CVE-2020-1300 – удалённое выполнение кода в компоненте диспетчера очереди печати Windows,

CVE-2020-1301 – удалённое выполнение кода в Microsoft Windows SMB,

CVE-2020-1213, CVE-2020-1214, CVE-2020-1215, CVE-2020-2016, CVE-2020-1230, CVE-2020-1260 – удалённое выполнение кода в Windows VBScript.

Системным администраторам, которые обслуживают компьютеры на предприятиях и в государственных организациях, рекомендуется оперативно протестировать пакет обновлений безопасности и осуществить его скорейшее распространение на все доступные устройства.

Эта рекомендация обусловлена тем, что злоумышленники следят за выпускаемыми Microsoft обновлениями, стараясь получить данные, которые могут оказаться полезными для совершения хакерских атак против ещё не успевших установить патч пользователей.

Добавлено спустя 9 минут 14 секунд:

Одна из группировок Magecart атаковала сайты, связанные с экстренными службами

Специалисты из ИБ-компании RiskIQ сообщили о трех скомпрометированных web-сайтах, принадлежащих компании Endeavor Business Media. Одна из группировок Magecart использовала некорректно настроенные бакеты Amazon S3 для внедрения javascript-кода на web-сайты с целью кражи данных кредитных карт.

На уязвимых ресурсах размещался контент, связанный с аварийными службами, и форумы чатов, предназначенные для пожарных, полицейских и специалистов по безопасности. Эксперты сообщили Endeavour Business Media о своих находках, однако компания не отреагировала на уведомление.

Помимо javascript-кода, специалисты также обнаружили дополнительный код, получивший название jqueryapi1oad.Преступники использовали его в ходе длительной вредоносной кампании, которая началась в апреле 2019 года и, по имеющимся данным, заразила 277 уникальных хостов.

Код выполняет проверку на наличие ботов и устанавливает cookie-файл jqueryapi1oad с датой истечения срока действия, основанной на результатах проверки, а также создает DOM-элемент на странице.

Затем происходит загрузка дополнительного javascript-кода, который, в свою очередь, загружает cookie-файл, связанный с системой управления трафиком (Traffic Distribution System, TDS) Keitaro, для перенаправления трафика на мошеннические объявления в рамках вредоносной рекламной кампании HookAds.

Amazon Simple Storage Service (Amazon S3) – объектное хранилище, предоставляемое Amazon Web Services. Сервис позволяет хранить любой объем данных и извлекать данные через интернет.

Google исправила 25 уязвимостей в Android

Компания Google исправила в операционной системе Android в общей сложности 25 уязвимостей, в том числе несколько критических, позволяющих удаленно выполнить код.

Самые опасные уязвимости затрагивают системный компонент и могут позволить злоумышленнику выполнить код с высокими привилегиями с помощью специально сформированного файла.

Одна из проблем затрагивала версии Android 8.0 и младше (CVE-2020-0224), а другие две — только версию Android 10 (CVE-2020-0225). Третья проблема являлась опасной уязвимостью раскрытия информации (CVE-2020-0107) и затрагивала только версию Android 10.

Во фреймворке Media была исправлена критическая уязвимость удаленного выполнения кода (CVE-2020-9589), затрагивающая версии Android 8.0, 8.1, 9 и 10, а также опасная уязвимость повышения привилегий (CVE-2020-0226), затрагивающая версию Android 10.

В Android также были исправлены две другие критические уязвимости удаленного выполнения кода (CVE-2019-9501 и CVE-2019-9502), затрагивающие встроенное ПО Broadcom.

Две критические (CVE-2020-3698 и CVE-2020-3699) и одна опасная (CVE-2019-10580) проблемы были исправлены в компоненте WLAN, а одна опасная — в ядре Qualcomm (CVE-2020-3700).

Обновления также исправляют три опасные уязвимости в компонентах ядра, три — в компонентах MediaTek и пять — в компонентах с закрытым исходным кодом Qualcomm.

Microsoft устранила уязвимость 17-летней давности в Windows Server

Специалист Check Point Саги Цадик обнаружил серьёзную уязвимость, затрагивающую Windows Server 2003-2019. Эксплуатация бреши, которую в компании назвали «SigRed» (CVE-2020-1350), позволяет осуществить удалённое выполнение кода, в результате чего злоумышленник может получить права администратора, захватив таким образом контроль над IT-инфраструктурой организации.

Microsoft признала наличие серьёзной проблемы и уже выпустила её исправление, включив его в пакет обновлений, который начал распространяться вчера в рамках программы Patch Tuesday. В компании отметили, что доказательств активного использования данной уязвимости злоумышленниками обнаружено не было. Пользователям рекомендуется как можно быстрее установить патч.

Эксплуатация упомянутой уязвимости предполагает отправку специальных DNS-запросов на DNS-сервер Windows, что позволяет осуществить удалённое выполнение кода. Таким образом хакер может перехватывать вместе с сетевым трафиком электронные письма пользователей, учётные данные и другую конфиденциальную информацию.

Исследователь отмечает, что данная уязвимость является очень серьёзной, поскольку её эксплуатация может позволить злоумышленникам организовать «червеобразную» атаку, переходящую с одного уязвимого сервера на другой без какого-либо вмешательства.

Когда уязвимость была обнаружена, компания Check Point поставила в известность Microsoft. Разработчики софтверного гиганта оперативно отреагировали на сообщение и подготовили соответствующий патч. Стоит отметить, что помимо упомянутой проблемы установка пакета обновлений закрывает ещё 122 уязвимости в разных продуктах Microsoft.

Пароли 7,5 млн пользователей приложения Dave доступны для бесплатной загрузки

Разработчик приложения для мобильного банкинга, технологическая компания-«единорог» Dave.com, подтвердила утечку данных 7,5 млн своих пользователей. Как сообщается в блоге компании, утечка произошла у ее бывшего поставщика услуг Waydev.

Неизвестные злоумышленники получили несанкционированный доступ к некоторым данным пользователей Dave, в том числе к паролям, зашифрованным с помощью алгоритма хеширования bcrypt, именам, электронным адресам, датам рождения, адресам проживания и телефонным номерам.

Утечка не затронула номера кредитных карт и банковских счетов, историю денежных переводов и незашифрованные номера социального страхования.

Никаких признаков незаконного использования утекших данных или финансовых потерь обнаружено не было. Тем не менее, киберпреступник, известный под псевдонимом ShinyHunters, заявил о том, что он смог расшифровать некоторые пароли, и опубликовал их на хакерском форуме RAID для бесплатной загрузки.

Ранее сообщалось о ShinyHunters в связи с утечкой данных пользователей сервиса Mathway, взломом учетной записи Microsoft в сервисе GitHub и приложения Wishbone.

Как только компании стало известно об инциденте, сразу же было инициировано расследование при участии ФБР. Dave удалось обнаружить и заблокировать используемую злоумышленниками точку входа. Компания также сбросила все пароли пользователей банковского приложения и разослала им соответствующие уведомления.

Компания-«единорог» – частный стартап, чья капитализация за пять лет превысила $1 млрд. Термин был введен в 2013 году венчурным предпринимателем и владелицей Cowboy Ventures Эйлин Ли.

Сайт Promo.com признался в утечке данных 22 млн своих пользователей

Администрация израильского сайта для создания рекламного видео Promo.com сообщила об утечке данных 22 млн своих клиентов.

Promo.com – сайт, позволяющий пользователям самим создавать промо-ролики и рекламные видео, которые можно публиковать в социальных сетях, в том числе в Facebook, Instagram, Twitter и LinkedIn.

Как сообщает портал BleepingComputer, база данных пользователей была опубликована для бесплатного скачивания на одном из киберпреступных форумов хорошо известным продавцом.

В ней содержались имена пользователей, электронные адреса, сведения о половой принадлежности и местоположении, а также хеши паролей 2,6 млн пользователей.

Опубликованная утечка содержала 1,4 млн взломанных паролей, позволяющих авторизоваться в учетных записях на Promo.com.Кроме того, злоумышленники могут подставлять их для авторизации в учетных записях пользователей на других сайтах.

Первая публикация впоследствии была удалена с форума, но на прошлой неделе другой продавец снова опубликовал БД на том же форуме. Содержит ли она взломанные пароли, неизвестно.

После публикации базы данных администрация Promo.com выпустила официальное уведомление, согласно которому утечка произошла по вине стороннего партнерского сервиса.

«21 июля 2020 года нам стало известно, что из-за уязвимости в безопасности стороннего сервиса произошла утечка нефинансовых данных пользователей Slidely и Promo. Мы незамедлительно пресекли подозрительную активность и начали расследование для выяснения подробностей о случившемся», - сообщает администрация Promo.com.

Согласно уведомлению, были скомпрометированы имена пользователей, IP и электронные адреса, сведения о половой принадлежности и хешированные подсоленные пароли. В БД также содержится соль для всех паролей, что существенно упрощает их расшифровку.

Уязвимости в банкоматах позволяли незаконно снять наличку

Производители банкоматов Diebold Nixdorf и NCR устранили ряд уязвимостей в своих продуктах, предоставлявших возможность выполнить произвольный код с или без прав уровня SYSTEM, а также осуществлять незаконное снятие наличности с помощью специальных команд.

Как пояснили специалисты команды CERT при Университете Карнеги-Меллон, первая уязвимость (CVE-2020-9062) затрагивала банкоматы серии Diebold Nixdorf ProCash 2100xe, работающие на базе ПО Wincor Probase версии 1.1.30.

Проблема заключалась в отсутствии механизма шифрования, аутентификации и проверки целостности сообщений между кассетным модулем CCDM и хостом. В результате атакующий, имеющий физический доступ к банкомату, мог перехватывать и модифицировать сообщения, например, об объеме и номинале денежных средств, и отправить его компьютеру.

Похожая уязвимость (CVE-2020-10124) была обнаружена в банкоматах NCR SelfServ, использующим программное обеспечение APTRA XFS 04.02.01 и 05.01.00. Как и в описанном выше случае, ПО не шифрует, не осуществляет аутентификацию и не проверяет целостность сообщений между купюроприемником (BNA) и компьютером.

Еще две уязвимости (CVE-2020-10125 и CVE-2020-10126) связаны с некорректной реализацией сертификатов для проверки обновлений BNA и некорректной проверкой обновлений для BNA, что позволяло выполнить код на хосте с системными привилегиями или без них. Для эксплуатации уязвимостей злоумышленнику требуется физический доступ к внутренним компонентам банкомата.

В конце июля компания Diebold Nixdorf сообщила о новом виде атак типа black box на банкоматы, в ходе которых злоумышленники использовали копию встроенного программного обеспечения банкомата для взаимодействия с устройством.

ЦБ предупредил банки об утечке данных 55 тысяч карт из маркетплейса JOOM

Центрoбанк и платежная система Visa предупредили несколько банков об утечке данных 55 тыс. карт клиентов, которые пользовались услугами маркетплейса Joom. Об этом подтвердили представители нескольких банков. В базе есть данные первых шести и последних четырех цифр номеров карт, сроки их действия, ФИО, телефoны и адреса проживания.

Отмечается, что базу данных можно было бесплатно скачать на ряде специализирoванных сайтов и в Telegram-каналах еще на прошлой неделе. В открытом доступе оказались сведения о клиентах Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, Тинькофф-банка и нескольких других организаций.

Представитель Joom рассказал об утечке, которая произошла в марте этого года, но тогда речь шла о данных «как минимум 1 тыс. пользователей» в России и Белоруссии, а Joom сообщал об устранении угрозы дальнейшего распространения сведений.

В Сбербанке сообщили, что получили предупреждение, но не нашли в базе своих клиентов — там были только сведения четырех клиентов зарубежных «дочек». Уведомления также получили Райффайзенбанк, Прoмсвязьбанк, Росбанк и другие.Представитель Промсвязьбанка отметил, что попавшие в открытый доступ данные не позволяют мoшенникам похитить средства с карты.

Как сообщает телеграмм канал "утечки информации" на черном рынке продаются базы аналогичного формата (совпадает все, вплоть до стиля написания почтового адреса) по цене от 5 руб. за строку под видом «банковских баз». Все это может говорить о том, что масштаб утечки из «Joom» больше, а в открытый доступ попал только "кусок" этой базы.

Хакеры похитили данные у китайских фирм по мониторингу соцсетей

Группа хакеров CCP Unmasked сообщила о взломе трех китайских компаний, занимающихся мониторингом и надзором за социальными сетями. Хакеры обратились к журналистам, представив «большой объем файлов», в которых, по их словам, разоблачаются целые кампании по мониторингу социальных сетей и дезинформации, проводимые тремя частными фирмами по указанию правительства Китая.

По словам CCP Unmasked, они похитили внутренние документы компаний Knowlesys (базирующейся в Гонконге и Гуандуне), Yunrun Big Data Service (базирующейся в Гуанчжоу) и OneSight (базирующейся в Пекине).

Один из похищенных файлов компании Knowlesys представляет собой презентацию, помеченную как «конфиденциальная». В ней компания демонстрирует продукт под названием Intelligence Center, сообщает о «тесном сотрудничестве со спецслужбами на протяжении 8 лет» и что ее клиентами являются спецслужбы, службы безопасности, военные и полиция.

В презентации показана система, якобы способная осуществлять мониторинг на всех видах web-сайтов и социальных сетей, таких как Facebook, Twitter и WeChat, на предмет террористов и «антиправительственных групп». Facebook и Twitter заблокированы в Китае, поэтому презентация, скорее всего, предназначена для иностранных правительств.

Хакеры отправили журналистам презентации, документы Word и 40 ГБ файлов, которые, как они утверждают, принадлежат этим компаниям. Хакеры также начали публиковать некоторые файлы в своей учетной записи Twitter, но администрация соцсети вскоре заблокировала их аккаунт.