хакер/85

Хакер взломал сайт Ватикана и провозгласил нового бога

Бельгийский специалист по кибербезопасности Инти Де Кекелайре нашёл уязвимость на официальном сайте Ватикана и с помощью неё опубликовал фейковую новость. От лица папы римского хакер написал, что новый бог — это луковица, сообщает The Next Web.

"Бог = луковица. Если что, это не мои слова, а папа римского"

С помощью дыры в безопасности сайта хакер опубликовал новость с заголовком: "Папа римский Франциск: Бог — это луковица". Заметка провисела на сайте некоторое время, пока её не удалили. По словам Де Кекелайре, он использовал для этого многоузловую уязвимость (XSS).

Специалист рассказал, что нашёл проблему на сайте Ватикана и сообщил об этом администратору портала. Инти Де Кекелайре заявил, что он всегда проверяет защиту новых сайтов и в его действиях нет хулиганства. Его сообщение проигнорировали, тогда хакер написал, что заставит усилить защиту по-другому. После этого он опубликовал новость о боге-луковице. По словам Де Кекелайре, уязвимость всё ещё не устранена.

Интересно, что не так давно папа римский Франциск сравнил фейковые новости со змеем-искусителем. Отметим, что это не первая акция Инти Де Кекелайре. В мае прошлого года он через "Фейсбук" Меланьи Трамп узнал её почтовый ящик и пригласил первую леди США на свидание в казино.

https://life.ru/t/%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8/1087241/khakier_vzlomal_sait_vatikana_i_provozghlasil_novogho_bogha

$1 млн и новенькая Tesla Model 3 в придачу

В этом году на конференции Pwn2Own — ежегодном соревновании так называемых белых хакеров — впервые за всю историю конкурса предложат взломать автомобиль.

Итак, первый, кто взломает Tesla Model 3 (тип атаки и уязвимости не имеет значения), сможет покинуть конкурс уже на новенькой Tesla Model 3. Дополнительно предусмотрено в общей сложности почти $1 млн на денежные вознаграждения за взлом различных подсистем и компонентов автомобиля. Самое крупное вознаграждение в размере $250 тыс. можно получить за создание рабочего эксплойта для одной из трей ключевых систем автомобиля — Autopilot (тут все понятно), межсетевого интерфейса Tesla Gateway (центральный узел единой системы коммуникации между трансмиссией, ходовой и другими компонентами) и система VCSEC, отвечающая за разного рода функции безопасности, включая сигнализацию.

За взлом контрольного брелока машины и протоколов phone-as-key назначена награда в $100 тыс. Вдвое меньше предусмотрено за успешную DDoS-атаку с выводом из строя сервисов, обеспечивающих работу функции Autopilot.

От $35 тыс. до $85 тыс. можно заработать на компрометации различных компонентов информационно-развлекательной системы Tesla.

Помимо основных целей есть еще две дополнительные: за удержание прав доступа уровня root после перезагрузки и повышение привилегий вплоть до установления контроля над CAN-шиной гарантируют $50 тыс. и $100 тыс. соответственно. Наконец, взлом Wi-Fi или Bluetooth позволит разбогатеть на $60 тыс. Можно вспомнить, что Tesla уже четыре года сотрудничает с белыми хакерами, выплачивая последним кровно заработанные за обнаружение уязвимостей в ПО ее электромобилей. В прошлом году производитель повысил максимальную сумму вознаграждения с $10 тыс. до $15 тыс.

Но ни Tesla единой. На Pwn2Own будут и другие потенциальные «жертвы» для хакеров. В категории «Виртуализации» можно получить $250 тыс. за взлом Hyper-V, а также дополнительно «поднять» $150 тыс., $70 тыс. и $35 тыс. за обнаружение лазейки в системе безопасности VMware ESXi, VMware Workstation и Oracle VirtualBox.

Ну и не забываем про любимую категорию веб-браузеров. За обход защиты Chrome или Microsoft Edge можно получить $80 тыс., тогда как за взлом Firefox предлагают вдвое меньше — $40 тыс.

Конкурс Pwn2Own 2019 пройдет 20-22 марта текущего года в Ванкувере в рамках конференции CanSecWest.

Взломали LastPass, компания утверждает что волноваться не о чем

LastPass, чьими услугами пользуется примерно 33 миллиона пользователей и 100000 компаний был взломан. Украдены сорсы и проприетарная информация. Компания заявляет что нет свидетельств того что взломщик добрался до зашифрованных паролей пользователей, их данных и любой другой информации.

LastPass разослал пользователям письма с уведомлением о том что посторонние получили доступ к их девелоперскому окружению. Необычная активность была обнаружена 2 недели назад. Хакер скачал части внутреннего кода сайта и документы с технической информацией.

"Немедленно было начато расследование, мы не видели доказательств что этот инцидент имел отношение к данным клиентов или зашифрованным паролям"

В отличие от компании Plex LastPass не давало пользователям советов о смене паролей. Хакер проник в систему через единственный скомпрометированный девелоперский аккаунт, дополнительной информации на этот счет нет. Компания сообщает что они выполняют меры по ограничению и обезвреживанию и наняли ведущую фирму по кибербезопасности. LastPass дополнительно сообщает что введены усиленные меры безопасности и не видит больше никаких доказательств несанкционированной деятельности.

Несмотря на огромную популярность это не первый инцидент в истории LastPass. В 2019 году компания выпускала патч для уязвимости позволяющей хакерам получить доступ к данным с последнего посещенного сайта, в 2017 году была выявлена уязвимость расширения браузера.

В декабре пользователи сообщали о попытках получения доступа с использованием их мастер паролей. Компания утверждала что это результат использования одинаковых паролей на разных сайтах, но независимые источники сообщали что это произошло из-за еще одной уязвимости расширения браузера.

https://www.techspot.com/news/95772-lastpass-hacked-tells-users-not-worry.html