Обзор новостей информационной безопасности с 14 по 20 апреля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена массовая кампания по заражению компьютеров зловредом QBot, также известным как QakBot, QuackBot и Pinkslipbot.

Схема действий преступников

1. Для распространения вредоноса использовались электронные письмана разных языках — английском, немецком, итальянском и французском.
2. За основу таких сообщений были взяты реальные деловые письма, к которым злоумышленники получили доступ, а вместе с ним и возможность отправлять участникам переписки свои сообщения.

3. В таких письмах получателей призывали под благовидным предлогом открыть вложенный PDF-файл. Например, злоумышленники могли попросить прислать всю документацию по приложенному к письму заявлению или посчитать сумму контракта по смете расходов из вложения.

4. Внутри PDF-файла находится имитация уведомления от Microsoft Office 365 или Microsoft Azure о том, что для просмотра вложенных файлов нужно нажать на кнопку Open.

5. Если пользователь нажимает ее, на компьютер с удаленного сервера (скомпрометированного сайта) скачивается архив с паролем, который указан в исходном PDF-файле.

6. Внутри скачанного архива находится файл с расширением .wsf (Windows Script File), который содержит обфусцированный скрипт на языке программирования JScript.

7. После деобфускации WSF-файла раскрывается его истинное содержимое — закодированный в строку Base64 скрипт PowerShell.

8. Как только пользователь запустит WSF-файл из архива, на его компьютере незаметно выполнится PowerShell-скрипт, который с помощью wget загрузит DLL-файл с удаленного сервера. Имя этой библиотеки меняется от жертвы к жертве и представляет собой автоматически сгенерированную последовательность букв.

9. PowerShell-скрипт попытается последовательно скачать файл с каждого из перечисленных в коде URL-адресов. Чтобы понять, оказалась ли попытка успешной, скрипт проверяет размер загруженного файла, используя команду Get-Item для получения информации. Если размер файла больше или равен 100 000 байт, то скрипт запускает DLL-файл с помощью rundll32. В ином случае он ожидает четыре секунды и пытается скачать библиотеку со следующей ссылки по списку. Загружаемая библиотека и есть QBot.

Мобильная безопасность

Goldoson — новое вредоносное ПО для Android распространяется в Google Play внутри 60 приложений со 100 млн. загрузок.

Вредоносный компонент является частью сторонней библиотеки, которая используется во всех 60 приложениях.

Goldoson может собирать данные об установленных приложениях, об устройствах, подключенных по Wi-Fi и Bluetooth, а также о местоположении пользователя по GPS, проводить мошенничество с рекламой, переходя по рекламному баннеру в фоновом режиме без согласия пользователя.

Когда пользователь запускает приложение, содержащее Goldoson, библиотека регистрирует устройство и получает его конфигурацию с удаленного сервера, домен которого замаскирован. Конфигурация содержит параметры, определяющие, какие функции кражи данных и кликов по рекламе должны запускаться на зараженном устройстве и как часто.

Функция сбора данных обычно активируется каждые 2 дня, отправляя на C2-сервер список установленных приложений, историю местоположений, MAC-адреса устройств, подключенных к Bluetooth и WiFi, и другую информацию.

Инциденты

Американская компания NCR пострадала от хакерской атаки, в результате которой остановилась работа POS-системы Aloha, используемой в ресторанно-гостиничном бизнесе.

NCR выпускает платежные терминалы, банкоматы, POS-терминалы, считыватели штрих-кодов, а также являющаяся предоставляет различные аутсорсинговые ИТ-услуги. Ответственность за атаку, взяла на себя вымогательская группировка BlackCat (она же ALPHV) .

POS-платформа Aloha перестала работать, еще в середине прошлой недели, а клиенты полностью лишились возможности ею пользоваться. После нескольких дней молчания NCR наконец сообщила, что сбой был вызван вымогательской атакой, которая затронула центры обработки данных, связанные с Aloha.

Хотя в письме утверждается, что сбой коснулся лишь «служебных приложений» и затронул небольшую часть клиентов, на Reddit пострадавшие сообщают, что на самом деле атака вызвала значительные проблемы в их работе.

«Я менеджер ресторана, у нас небольшая франшиза, примерно на 100 сотрудников. Сейчас мы работаем по старинке, как в каменном веке, на бумаге и отправляем все это в головной офис. Вся эта ситуация — огромная головная боль», — говорит один из клиентов POS-системы Aloha.

Другие пользователи рекомендуют извлекать данные из файлов вручную, пока не закончится сбой.

Американский поставщик сетевой инфраструктуры CommScope стал жертвой вымогательской атаки группировки Vice Society.

Хакеры получили доступ к инфраструктуре CommScope 27 марта и заразили офисные компьютеры вымогательским софтом, после чего разместили на даркнет-форуме данные из сети жертвы, а все файлы зашифровали. Правоохранительные органы были оперативно уведомлены о произошедшем, ведётся расследование.

В субботу, 15 апреля, группа вымогателей Vice Society отметила CommScope на своем сайте утечки данных и поделилась массивами информации, предположительно украденными у CommScope. По заверениям хакеров, массивы содержат конфиденциальные данные о более чем 30 тысяч сотрудников компании, включая их паспорта.

Согласно информации Vice Society, в утечке присутствуют счета-фактуры, банковские документы и прочие файлы компании.

Группа вымогателей Black Basta провела успешный взлом аутсорсинговой компании Capita и выставила на продажу украденные конфиденциальные данные.

На данный момент Capita не подтвердила подлинность утечки данных и не нашла доказательств компрометации данных клиентов, поставщиков или партнёров. Компания сотрудничает со специалистами-консультантами и судебно-медицинскими экспертами в расследовании инцидента.

Образцы утекших данных Capita включают:

• номера телефонов граждан;
• домашние адреса;
• реквизиты банковских счетов 152 организаций;
• персональные данные учителей, подающих заявки на работу в школах и дет.сады;
• внутренние планы этажей нескольких зданий Capita.

По словам вымогателей, эта информация — всего лишь часть того, что они украли у Capita.

Изначально Capita заявляла , что из-за технической проблемы сотрудники не могли получить доступ к рабочим IT-системам. Позже Capita подтвердила, что 31 марта произошёл киберинцидент, в первую очередь затронувший доступ к внутренним приложениям Microsoft 365. Взлом вызвал сбои в работе некоторых услуг, предоставляемых отдельным клиентам, но при этом большинство клиентских служб продолжали работать.

Из-за кибератаки в израильском аэропорту Бен-Гурион произошел сбой в работе системы пограничного контроля. Тысячи пассажиров не смогли прибыть или покинуть страну, так как компьютерная система не могла прочитать их паспорта.

Проблема возникла во время массового возвращения израильтян из-за границы после проведения праздника Песах. Вечером 15 апреля жители Тель-Авива, в домах которых установлена компьютерная система «Умный дом», сообщили о перебоях в ее работе. Так, у многих обладателей системы примерно час без остановки включался и выключался свет, а также открывались и закрывались жалюзи. Кроме того, вечером на экранах телевизоров внезапно появились сцены запусков ракет и терактов, в финале которых высветилась надпись на иврите: «Вы не будете в безопасности на этой земле».

Канадская общественная больница Корнуолла сообщила, что 11 апреля обнаружила некоторую «проблему с сетью», которая, как позже выяснилось, оказалась кибератакой.

Больница не сообщила, была ли это атака программы-вымогателя или какого-то другого вредоносного софта, однако официальные лица заявили, что наняли экспертов по кибербезопасности для решения этой проблемы.

«В настоящее время мы можем подтвердить, что наша клиническая электронная медицинская карта не пострадала. Предоставление исключительного ухода, ориентированного на пациента, является главным приоритетом больницы, поэтому мы продолжаем оказывать высококачественные клинические услуги. Однако жители могут столкнуться с некоторыми задержками в плановой или несрочной помощи», — говорится в заявлении больницы.

Организация призвала пациентов следить за каналами в социальных сетях, чтобы получать больше обновлений о том, когда оказание услуг вернётся в нормальный режим.

Немецкий производитель оружия Rheinmetall пострадал от кибератаки.

Атака затронула бизнес-подразделение Rheinmetall, которое обслуживает промышленных клиентов, в частности, в автомобильном секторе. Оборонное подразделение компании, производящее военную технику, оружие и боеприпасы, не пострадало и продолжает работать «надежно», сообщил представитель Rheinmetall Оливер Хоффманн.

Rheinmetall в настоящее время расследует размер ущерба и находится в тесном контакте с соответствующими органами кибербезопасности, сказал Хоффманн.

Австралийский гигант супермаркетов Coles подтвердил утечку финансовых данных, связанных с кибератакой на компанию Latitude Financial.

В результате инцидента личная информация, используемая для выпуска кредитных карт под брендом Coles, была украдена киберпреступниками.

В марте Latitude Financial заявила Австралийской фондовой бирже о кибератаке, которая повлияла на 330 тыс. записей клиентов. 27 марта компания подтвердила, что преступники украли 14 миллионов записей о клиентах, большая часть которых относится к 2005 году. Среди украденной информации — номера водительских прав, имена, адреса и даты рождения, а также тысячи номеров паспортов.

Эксперты DLBI (Data Leakage & Breach Intelligence) предупреждают, что в сети появился SQL-дамп таблицы зарегистрированных пользователей, предположительно взятый из базы данных сайта sogaz[.]ru, принадлежащего страховой компании «СОГАЗ».

Исследователи говорят, что дамп, судя по всему, был получен из CMS Bitrix (скорее всего, это произошло 21 октября 2022 года) и содержит 8 309 754 строки, каждая из которых включает:

• логин;
• ФИО;
• email-адрес (7,86 млн уникальных адресов);
• телефон (5,39 млн уникальных номеров);
• дата рождения;
• хешированный (MD5 с солью) пароль;
• место работы (не для всех).

Специалисты сообщают, что выборочно проверили случайные email-адреса из этого дампа через форму восстановления пароля на сайте lk.sogaz.ru и выяснили, что они действительны.

Обзор новостей информационной безопасности с 7 по 13 апреля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена кампания группы Watch Wolf, нацеленная на компрометацию рабочих станций бухгалтеров российских компаний и вывод денежных средств через онлайн-банкинг.

Схема действий преступников

1. Для привлечения жертв используется отравление поисковой выдачи (SEO poisoning). Для этого на сайты, распространяющие ВПО, добавляются ключевые слова, которые выводят их на первую страницу поисковой выдачи при определенных запросах. Также достичь этой цели злоумышленникам помогает покупка контекстной рекламы.

2. Жертвы попадают на сайты, имитирующие ресурсы для бухгалтеров.

3. На сайте жертве предлагается загрузить искомый документ в одном из популярных форматов, например Microsoft Excel.

4. После перехода по ссылке жертва загружает файл, но не тот, что указан в описании, а SFX-архив, содержащий вредоносное программное обеспечение. При этом файл размещен не на самом сайте: вместо этого используется система размещения контента мессенджера Discord.

5. Запуск загруженного файла приводит к инсталляции бэкдора DarkWatchman. Вредоно представляет собой сценарий JavaScript, который размещается в папке C:\Users\%имя_пользователя%\AppData\Local\ и запускается посредством wscript.exe.

6. Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.

Мошенники придумали новую схему кражи аккаунтов в Telegram, предлагая пользователю авторизоваться в боте, который якобы ищет интимные фотографии друзей и знакомых.

Схема кампании

1. Жертва получает сообщение или видит рекламу, в которой ей предлагают посмотреть интимные фото людей из списка контактов.
2. Для этого нужно авторизоваться в специальном Telegram-боте, который не только покажет горячие фото, но и даст доступ к «Telegram для взрослых».
3. Авторизация происходит на специальном фишинговом сайте, где жертве предлагают ввести номер учетной записи, код подтверждения и облачный пароль.
4. После того, как жертва сделает это, злоумышленники получают доступ к аккаунту и могут использовать его для кражи конфиденциальных данных, шантажа и рассылки мошеннических сообщений.

Инциденты

Хакеры взломали MyBB форум опенсорсного медиаплеера Kodi и похитили базы данных, содержащие записи, личные сообщения и учетные данные пользователей.

Закрытый в настоящее время форум Kodi насчитывает около 400 000 участников, которые использовали эту площадку для обсуждения потоковой передачи мультимедиа, обменивались советами, делились аддонами и суммарно написали более 3 млн постов.

Согласно официальному заявлению разработчиков, хакеры похитили базу данных форума, войдя в консоль администратора с учетными данными неактивного сотрудника. Злоумышленники успешно создали резервные копии БД и скачали уже существующие бэкапы.

Похищенная БД содержит все публичные сообщения, оставленные на форумах, сообщения с форума для сотрудников, личные сообщения пользователей, а также данные всех участников форума, включая имена пользователей, email-адреса и зашифрованные (хешированные и соленые) пароли, сгенерированные MyBB 1.8.27.

Киберпреступники взламывают подразделения ведущих автопроизводителей в Италии.

В середине февраля на официальном веб-сайте Toyota в Италии внезапно появилась доступная для загрузки база с учётными данными Salesforce Marketing Cloud, поставщика программного обеспечения и услуг для автоматизации цифрового маркетинга. Используя эти данные, злоумышленники могли получить доступ к телефонным номерам и адресам электронной почты клиентов, а также воспользоваться официальным каналом связи компании для связи с автовладельцами.

Toyota заявила, что утечка была спровоцирована не человеческой ошибкой, а целенаправленным нарушением безопасности в одном из итальянских офисов компании. Как сообщается, японский автопроизводитель уже давно предпринял все необходимые меры кибербезопасности, чтобы смягчить последствия утечки и не допустить подобного в будущем.

В начале марта подобную базу данных заметили на итальянском веб-сайте немецкого автопроизводителя BMW.

В начале апреля южнокорейский автоконцерн Hyundai уведомил своих клиентов, что злоумышленники получили доступ к личным данным клиентам в результате компрометации офисов компании в той же Италии, а также во Франции. В открытый доступ попали номера телефонов и адреса электронной почты, а также физические адреса клиентов.

Хакеры из группировок C.A.S. и UHG заявляют о взломе сервиса по продаже билетов на различные городские мероприятия kassy[.]ru.

Утечка затронула как информацию о зарегистрированных пользователях, так и об их заказах. Дамп выставили на продажу в даркнете.

В общей сложности в файлах заказов, которые разбиты по городам, содержится 13 897 009 записей, в том числе:

• ФИО;
• email-адреса (4653 901 уникальных адресов);
• телефоны (4868 630 уникальных номеров);
• идентификаторы и даты заказов.

В таблице пользователей насчитывается 3 003 894 строк, и так можно найти:

• ФИО;
• email-адреса (3 003 891 уникальный адрес);
• телефоны (533 741 уникальный номер);
• хешированные (MD5) пароли;
• данные о поле пользователя;
• даты рождения (не для всех);
• даты создания и обновления профиля (с 25 января 2018 по 09 апреля 2023);
• идентификатор города.

Электронные ресурсы Федеральной Таможенной Службы подверглись кибератаке.

По словам представителя службы:

«Вследствие кибератаки на ИТ-ресурсы ФТС, начавшейся 10 апреля, по-прежнему наблюдаются сбои в функционировании единой информационной системы таможенных органов. Специалисты ФТС и других ведомств в круглосуточном режиме занимаются восстановлением работоспособности системы».

В пунктах пропуска инспекторы осуществляют таможенные операции с использованием бумажных носителей. При возникновении проблем в пунктах пропуска участникам ВЭД рекомендуют обращаться на «горячие линии». региональных таможенных управлений. В ФТС подчеркивают, что «на пересечении границы физическими лицами сбои в работе информсистемы не отразились».

Telegram-канал «Утечки информации» сообщает, что в интернете опубликованы личные данные клиентов предположительно ювелирного интернет-магазина zoloto585[.]ru.

База данных в формате SQL содержит 9 982 650 записей со следующими строками:

• ФИО
• телефон (8,4 млн уникальных номеров)
• адрес эл. почты (3,1 млн уникальных адресов)
• адрес
• паспорт (серия, номер, кем и когда выдан)
• пол
• дата рождения и возраст
• дата операции (с 27.07.2020 по 10.04.2023)
• признак является ли клиентом ломбарда (вероятно lombard.zoloto585.ru)

Случайная проверка нескольких номеров телефонов из утечки на сайте zoloto585.ru показала, что на них зарегистрированы бонусные карты.

Из-за кибератаки на бельгийского гиганта кадрового менеджмента SD Worx личные данные свыше 5 миллионов человек находятся под угрозой утечки.

SD Worx начала уведомлять своих клиентов о том, что подразделения компании в Великобритании и Ирландии подверглись кибератаке, поэтому IT-системы этих подразделений пришлось временно отключить.

Компания подчеркивает, что постоянно применяет чрезвычайно строгие организационные и технические меры безопасности для защиты конфиденциальности и личных данных своих клиентов.

Предоставляя полный комплекс услуг по кадрам и расчету заработной платы, SD Worx управляет большим объемом конфиденциальных данных своих клиентов. Эти данные могут включать налоговую информацию, государственные идентификационные номера, адреса, полные имена, даты рождения, номера телефонов, номера банковских счетов сотрудников и многое другое. Атаки на подобные организации обычно приводят к судебным искам из-за масштабных утечек конфиденциальных данных.

Представители SD Worx поспешили сделать следующее заявление:

«Мы всё ещё расследуем этот случай, но уже можем подтвердить, что это не атака программы-вымогателя. Кроме того, в настоящее время нет никаких доказательств того, что какие-либо конфиденциальные данные были скомпрометированы».

Из-за кибератаки публичная биотехнологическая компания Evotec закрыла свою сеть для внешних подключений.

На официальном сайте Evotec опубликовано сообщение, что 6 апреля в IT-системах была замечена необычная активность, что побудило компанию временно отключить цифровую инфраструктуру. Операционная деятельность компании поддерживается на всех объектах, но системы пока остаются неподключенными, что может вызвать некоторые задержки, в том числе в общении с партнерами. Все необходимые органы уже были уведомлены о факте атаки, в настоящее время проводится расследование.

Вымогательская хак-группа Money Message утверждает, что взломала тайваньского производителя MSI (Micro-Star International) и похитила у компании исходный код.

По данным СМИ, теперь хакеры требуют у компании выкуп в размере 4 млн долларов США.

На сайте Money Message появилось сообщение о взломе, к которому злоумышленники приложили скриншоты БД CTMS и ERP, а также файлы с исходным кодом MSI, приватные ключи и прошивку BIOS.

Сообщается, что объём похищенных данных составляет 1,5 ТБ. Группировка угрожает опубликовать все эти сведения в открытом доступе примерно через пять дней, если MSI не выполнит их требования и не выплатит выкуп.

Представители MSI подтвердили, что компания стала жертвой хакерской атаки. Издание PCMag обнаружило заявление, поданное компанией на Тайваньскую фондовую биржу (TWSE), в котором сказано, что некоторые системы MSI пострадали в результате кибератаки, и об инциденте уже уведомили правоохранительные органы.

Пока в компании не раскрывают никаких подробностей об атаке, а также не объясняют, были ли зашифрованы какие-то данные, и удалось ли злоумышленникам похитить какую-то информацию.

Обзор новостей информационной безопасности с 31 марта по 6 апреля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Фальшивые вымогатели из группировки Midnight пытаются взять на себя ответственность за чужие атаки, вымогая у жертв деньги под угрозой раскрытия якобы похищенных данных и DDoS-атак.

Активность Midnight обнаружена 16 марта 2023 года, когда группировка стала атаковать американские компании. Группа использует информацию об утечках данных и взломах компаний, чтобы попытаться выдать себя за организатора этих атак.

К примеру, в некоторых письмах хакеры утверждали, что являются представителями группировки Silent Ransom Group (она же Luna Moth), ранее отколовшейся от синдиката Conti. При этом в теме письма использовалось название другой хак-группы — Surtr.

В другом письме, написано от имени самой Midnight, утверждалось, что хакеры похитили 600 ГБ «важных данных» с серверов компании-жертвы, причем сообщение было адресовано старшему специалисту по финансовому планированию, покинувшему компанию за полгода до этого.

В некоторых письмах, отправленных от имени Silent Ransom Group, хакеры угрожали своим целям DDoS-атаками, в случае если те не заплатят выкуп.

Исследователи называют эту активность «новой волной фальшивых попыток вымогательства», объясняя, что злоумышленники нередко используют имена более известных хак-групп, чтобы их угрозы выглядели серьезнее.

Пока неясно, как именно участники Midnight выбирают жертв, но один из возможных вариантов — сбор данных из общедоступных источников, включая «сайты для утечек», принадлежащие другим хак-группам, социальные сети, новостные сообщения и отчеты об инцидентах.

Вредоносное ПО CryptoClippy похищает криптовалюту португальцев и распространяется с помощью вредоносной рекламы.

Цепочка атаки

Схема кампании

1. Операторы CryptoClippy используют методы отравления SEO (SEO poisoning), чтобы перенаправить пользователей, которые ищут «WhatsApp Web», на мошеннические домены, содержащие вредоносное ПО.

2. Чтобы определить, подходит ли цель для атаки или нет, киберпреступники используют систему распределения трафика (TDS), которая проверяет, является ли предпочтительный язык браузера португальским, и, если это так, направляет пользователя на мошенническую целевую страницу.

3. Пользователи, которые не соответствуют необходимым критериям, перенаправляются на легитимный домен WhatsApp без каких-либо дальнейших злонамеренных действий, что позволяет хакерам избежать обнаружения.

Сайт с вредоносным ПО

4. «Подходящим» пользователям загружается .zip-файл, содержащий внутри .lnk. После запуска ярлыка на компьютер устанавливается CryptoClippy — клиппер, который заменяет адрес криптокошелька, скопированного в буфер обмена, на адрес кошелька злоумышленника.

5. Клиппер использует регулярные выражения для определения того, к какому типу криптовалюты относится адрес кошелька. Затем CryptoClippy заменяет запись в буфере обмена адресом кошелька злоумышленника для соответствующей криптовалюты. При этом адрес кошелька преступника визуально похож на исходный.

6. Когда жертва вставляет адрес из буфера обмена для проведения транзакции, криптовалюта отправляется злоумышленнику напрямую.

Обнаружена новая кампания, нацеленная на российских бухгалтеров, юристов и директоров.

Как сообщают эксперты Group-IB, «заражение происходило при посещении сайтов, содержащих шаблоны различных документов. На них под видом ссылок на скачивание бланков размещались ссылки на скачивание ZIP-архивов, содержащих EXE-файл с именем, повторяющим название документа (пример — Document 139-3К.exe)».

Умные устройства

В умных устройствах Nexx обнаружены множественные уязвимости, которые могут использоваться для управления гаражными воротами, отключения домашней сигнализации и умных розеток.

В общей сложности исследователь нашел пять уязвимостей, большинству из которых был присвоен «высокий» или «критический» рейтинг опасности:

• CVE-2023-1748: жестко заданные учетных данных на перечисленных устройствах, которые позволяют любому желающему получить доступ к серверу телеметрии MQ и удаленно управлять любыми устройствами клиента (9,3 балла по шкале CVSS);
• CVE-2023-1749: некорректный контроль доступа в отношении запросов API, отправляемых на действительные ID устройств (6,5 баллов по шкале CVSS);
• CVE-2023-1750: некорректный контроль доступа, позволяющий злоумышленникам получить доступ к истории устройства, информации о нем, а также изменить настройки (7,1 балла по шкале CVSS);
• CVE-2023-1751: некорректная проверка ввода, из-за которой невозможно сопоставить токен авторизации с ID устройства (7,5 баллов по шкале CVSS)
• CVE-2023-1752: некорректный контроль аутентификации, позволяющий любому пользователю зарегистрировать уже зарегистрированное устройство Nexx, используя его MAC-адрес (8,1 балла по шкале CVSS).

Наиболее серьезной их этих ошибок является CVE-2023-1748. Баг связан с тем, что Nexx Cloud устанавливает универсальный пароль для всех устройств, зарегистрированных через приложение Nexx Home для Android или iOS.

Атаки и уязвимости

В API для мобильных приложений «Росреестра» обнаружена уязвимость, позволяющая без какой-либо аутентификации и авторизации, только по кадастровому номеру, получить персональные данные владельца объекта недвижимости.

Обнаруживший проблему эксперт уведомил «Росреестр», но уязвимость до сих пор не устранена.

Проверка информации показала, что специально сформированный запрос к серверу mobile.rosreestr.ru, содержащий кадастровый номер интересующего объекта недвижимости, возвращает:

• 🌵 ФИО,
• 🌵 дату рождения,
• 🌵 адрес,
• 🌵 СНИЛС,
• 🌵 паспорт (серия, номер, кем и когда выдан),
• 🌵 кадастровую стоимость,
• 🌵 дату регистрации права собственности.

Инциденты

Из-за неправильного использования чат-бота ChatGPT у компании Samsung случилась утечка конфиденциальной информации.

Причиной утечки стало то, что один из сотрудников Samsung скопировал конфиденциальный код в ChatGPT и попросил ИИ найти решение задачи, не учитывая, что это может привести к передаче информации в базу чат-бота.

Другие работники также пытались оптимизировать код таким же способом, что усугубило ситуацию.

Третья утечка произошла, когда сотрудник запросил у ИИ разработать протокол встречи.

В результате хакерской атаки производитель устройств хранения данных Western Digital произошёл сбой в обслуживании нескольких продуктов компании.

Взлом произошел 26 марта и позволил неназванной третьей стороне получить доступ к ряду внутренних систем компании.

Western Digital заявила, что сразу после обнаружения взлома предприняла соответствующие меры по реагированию на инцидент и заручилась помощью специалистов по кибербезопасности и судебных экспертов для проведения расследования. Компания также заверила клиентов и партнёров, что координирует свои действия с правоохранительными органами. Расследование пока находится на начальной стадии.

Компания временно отключила несколько своих сервисов, отметив, что злоумышленник мог получить определенные данные из них. Характер и объём затронутых данных ещё предстоит выяснить.

Перечень отключённых сервисов:

• My Cloud,
• My Cloud Home,
• My Cloud Home Duo,
• My Cloud OS5,
• SanDisk ibi,
• SanDisk Ixpand Wireless Charger.