Google закрыла уязвимость в веб-обозревателе Chrome, которая могла раскрывать историю посещённых пользователем сайтов. Проблема существовала с начала 2000-х годов и была связана с тем, как браузеры отображают посещённые ссылки.

Источник изображения: Solen Feyissa / Unsplash

Чтобы отобразить ссылки, которые пользователь посещал ранее (они помечаются фиолетовым цветом), браузер должен отслеживать эти страницы с помощью каскадных таблиц стилей через селектор :visited. Как объяснили в Google, суть ошибки заключалась в том, что информация о том, какие ссылки пользователь уже посещал, сохранялась без разделения конфиденциальности между посещаемыми сайтами. То есть, любой сайт мог определить, была ли ранее нажата определённая ссылка, даже если она отображалась на совершенно другом ресурсе.

Источник изображения: developer.chrome.com

«Вы просматриваете сайт A и кликаете по ссылке на сайт B. Позже вы заходите на условно вредоносный сайт C, который тоже содержит ссылку на сайт B. Он может узнать, что вы уже были на сайте B, просто определив ссылку по цвету», — пояснили в Google.

Источник изображения: developer.chrome.com

В компании назвали это фундаментальной ошибкой дизайна браузера и подчеркнули, что она могла применятся для отслеживания активности пользователей в интернете. Уязвимость затрагивала не только Chrome, но и другие браузеры — в частности, Safari, Opera, Internet Explorer и Firefox, сообщает PCMag.

Впервые на проблему обратил внимание исследователь безопасности Эндрю Кловер (Andrew Clover) ещё в 2002 году. Он визуально продемонстрировал все этапы возможной атаки, опираясь на исследовательскую статью Принстонского университета «Timing Attacks on Web Privacy».

Исправление уже включено в бета-версию обновления Chrome 136. Теперь информация о посещённых ссылках будет храниться отдельно для каждого сайта и не будет передаваться между ресурсами.

ГК «Гарда» провела исследование, посвящённое работе российских компаний с персональными данными. Оказалось, что ручной поиск и удаление таких данных из баз, файловых хранилищ и с отдельных рабочих мест практикуются в 39 % компаний. В 25 % компаний применяются шредеры и сжигание наряду со специализированным программным обеспечением, в 10 % — только механическое уничтожение, и ещё в 10 % — иные способы.

Источник изображения: FlyD / Unsplash

Также было установлено, что только 3 % компаний используют сертифицированное программное обеспечение для удаления персональных данных, а 12 % компаний вовсе не удаляют такую информацию. Напомним, операторы персональных данных обязаны удалять сведения по запросу субъекта или по истечении срока их хранения.

Представитель Роскомнадзора сообщил, что неудаление записей персональных данных является неправомерным, и лицо, осуществляющее такую деятельность, может быть привлечено к административной ответственности. Отмечается, что неудаление персональных данных в сроки, установленные ч. 1 ст. 13.11 КоАП РФ, влечёт ответственность в виде штрафа: для физических лиц — от 2 тыс. до 6 тыс. рублей, для должностных лиц — от 10 тыс. до 20 тыс. рублей, для юридических лиц — от 60 тыс. до 100 тыс. рублей.

Руководитель продуктового направления по защите баз данных ГК «Гарда» Дмитрий Ларин считает, что высокий показатель неудаления персональных данных связан с отсутствием у компаний инструментов автоматизации. В компании «Код безопасности» такую тенденцию объясняют тем, что информация хранится в различных базах данных. Специалисты сходятся во мнении, что эти причины подчёркивают необходимость стандартизации и внедрения эффективных решений для работы с персональными данными. Кроме того, не во всех организациях налажен процесс учёта данных, из-за чего оператор может не знать, что именно необходимо удалить и откуда.

В ГК «Гарда» отметили, что для регулятора не имеет значения, каким образом удаляются персональные данные, однако из-за сжатых сроков этот процесс в компаниях либо вовсе не выполняется, либо проводится «спустя рукава». Помимо этого, отсутствие автоматизации создаёт риски утечки данных по причине человеческого фактора.

Компания «Яндекс» сообщила о расширении программы «Охоты за ошибками» и запуске нового направления, связанного с генеративными нейросетями. Теперь исследователи, которым удастся отыскать технические уязвимости в семействах моделей YandexGPT, YandexART и сопутствующей инфраструктуре, могут получить вознаграждение до миллиона рублей.

Источник изображения: yandex.ru/bugbounty

Участникам «Охоты» предстоит искать технические ошибки, которые могут повлиять на результаты работы и процесс обучения нейросетевых моделей: например, привести модель к сбою или изменить её поведение так, чтобы она повлияла на работу других сервисов «Яндекса». В программе участвуют все сервисы и ИИ-продукты «Яндекса», использующие модели семейства YandexGPT и YandexART. В числе таковых: «Алиса», «Поиск с Нейро», «Шедеврум» и другие облачные службы, включая те, где ML-модель используется неявно для ранжирования и поиска.

Размер выплаты зависит от серьёзности ошибки и простоты её применения. К критичным относятся уязвимости, которые позволяют раскрыть сведения о внутренней конфигурации модели, её служебный промт с техническими данными или другую чувствительную информацию. Максимальное вознаграждение за такие ошибки — 1 млн рублей.

Программу поиска уязвимостей «Яндекс» запустил в 2012 году — компания была первой в России. Теперь программа «Охота за ошибками» действует в «Яндексе» постоянно, а принять в ней участие может любой желающий.

Google выпустила экстренный патч для Android, устраняющий две уязвимости нулевого дня, которые, по данным компании, уже могут использоваться хакерами в реальных атаках. Атаки возможны благодаря повышению привилегий в устройствах и не требуют от пользователей каких-либо действий.

Источник изображения: Mateusz Tworuszka / Unsplash

Одна из уязвимостей, получившая идентификатор CVE-2024-53197, была выявлена экспертами Amnesty International совместно с Бенуа Севенсом (Benoît Sevens), сотрудником группы безопасности и анализа угроз Google. Эта группа занимается отслеживанием кибератак, которые исходят от государственных структур. Например, в феврале Amnesty сообщила, что компания Cellebrite, разрабатывающая инструменты для правоохранительных органов, использовала цепочку из трёх уязвимостей нулевого дня для взлома Android-устройств.

Как пишет TechCrunch, одна из этих уязвимостей применялась против сербского студента-активиста местными властями, использовавшими технологии Cellebrite. Именно эта уязвимость была устранена в патче, выпущенном на этой неделе. Однако детали второго исправленного бага — CVE-2024-53150 — остаются неясными. Известно лишь, что его обнаружение также приписывается Бенуа Севенсу, а сама проблема затрагивает ядро операционной системы.

В своём официальном заявлении компания Google отметила, что «наиболее серьёзной проблемой является критическая уязвимость в компоненте System, которая может привести к удалённому повышению привилегий без необходимости дополнительных прав доступа». Также подчёркивается, что эксплуатация уязвимости не требует никаких действий со стороны пользователя, и он может даже не догадываться о происходящем.

В Google сообщили, что исходные коды для устранения двух уязвимостей будут опубликованы в течение 48 часов после выпуска бюллетеня безопасности, а также подчеркнули, что их партнёры — производители устройств на базе Android — традиционно получают информацию о подобных проблемах как минимум за месяц до публичного релиза обновлений.

Также отмечается, что так как операционная система Android основана на открытом исходном коде, каждому производителю смартфонов теперь придётся самостоятельно распространять обновления среди своих пользователей.

Microsoft добивается, чтобы все пользователи её платформы для совместной работы Teams использовали актуальную версию приложения. Поэтому, после выхода очередного обновления у пользователей будет 90 дней на его установку, иначе использование Teams будет заблокировано. Пользователи будут получать напоминания о необходимости установки обновления через 30 дней после его выпуска.

Источник изображения: Microsoft

По словам Microsoft, блокировка требуется, чтобы гарантировать информационную безопасность пользователей. Компания предупреждала об изменении политики в отношении обновлений Teams ещё в ноябре 2024 года. Тогда в «Центре сообщений Microsoft 365» была размещена следующая информация:

«Поддержание Microsoft Teams в актуальном состоянии имеет решающее значение для обеспечения безопасности и соответствия ваших устройств. По умолчанию Teams обновляется автоматически.

Microsoft Teams регулируется современной политикой жизненного цикла, которая требует, чтобы клиент Teams для настольных ПК поддерживался в актуальном состоянии. […] Как указано в документации, когда клиент устаревает, пользователь увидит:

• Повторяющиеся оповещения в приложении, если приложение устарело на 30–90 дней.
• Страницу блокировки, если приложение устарело более чем на 90 дней. В этот момент приложение покажет варианты обновления, обращения к своему ИТ-администратору или продолжения работы с Teams в интернете.

В качестве примера, если приложение Teams гипотетически находится в версии, выпущенной 1 января, а следующее обновление будет полностью доступно 15 января, [первое] оповещение в приложении будет показано 14 февраля».

Позднее Microsoft сообщила конкретные даты начала действия новой политики. На ПК под управлением Windows — это 11 апреля 2025 года, в среде VDI — 6 мая 2025 года, на компьютерах Apple — 15 мая 2025 года.

Microsoft объявила о масштабных изменениях в системе входа в учётные записи, которые затронут более одного миллиарда пользователей по всему миру. Новый способ входа через биометрические ключи доступа (passkeys) должен снизить риск фишинга и взломов, а также сделать аутентификацию удобнее.

Источник изображения: сгенерировано AI

Согласно заявлению Microsoft, за последние годы компания внедрила ряд улучшений, включая возможность полного удаления пароля из аккаунта и поддержку входа с помощью ключей доступа (passkeys) вместо пароля. Как отмечает Windows Central, ссылаясь на слова компании, новая система пользовательского опыта (UX) оптимизирована для работы без паролей с приоритетом на ключи доступа.

Microsoft с недавнего времени активно продвигает использование ключей доступа, так как традиционные пароли уже считаются небезопасными. Этот подход поддерживают и другие технологические гиганты, такие как Apple и Google, так как он представляет из себя современный метод аутентификации, который значительно снижает риски, связанные с кражей данных.

Однако переход на passkeys — это не только способ сделать вход в учётные записи безопаснее. Microsoft вообще задумала полностью отказаться от паролей в своей экосистеме, потому что считает, что если оставить и пароль и passkeys, аккаунт всё равно останется уязвимым для фишинга.

Новое обновление, основанное на технологии биометрической аутентификации и двухфакторной проверке, призвано помочь пользователям перейти на беспарольную систему максимально комфортно, а весь процесс будет проходить интуитивно понятно и доступно для всех категорий пользователей, уверяют в Microsoft.

В целом, внедрение новой системы UX для входа в учётные записи может стать, по мнению экспертов, переломным моментом в обеспечении цифровой безопасности. И если Microsoft удастся достичь своей цели и полностью убедить людей отказаться от системы паролей, это может стать серьёзным шагом в защите пользовательских данных на глобальном уровне.

Еврокомиссия представила новую внутреннюю стратегию безопасности, которая включает в себя дорожную карту в отношении «законного и эффективного доступа правоохранительных органов к данным» и средствам шифрования. Инициатива в первую очередь затронет мессенджеры, от которых потребуют создание бэкдоров для правоохранителей, но ими дело не ограничится.

Источник изображения: Guillaume Périgois / unsplash.com

Стратегия ProtectEU направлена на укрепление способности ЕС «гарантировать своим гражданам безопасность»; её цель — сформировать «более жёсткий юридический инструментарий», регламентирующий «расширенный обмен информацией и углублённое сотрудничество». Предлагаемые в документе нормы «позволят правоохранительным органам в законном порядке получать доступ к зашифрованным данным для защиты кибербезопасности и основных прав» — вопреки тому, что платформы вроде Signal предпочитают скорее прекращать работу в отдельных регионах, чем отказываться от шифрования.

Ранее бэкдор от зашифрованных сервисов Apple потребовали британские власти — компания была вынуждена отключить шифрование для жителей страны. Европейские чиновники тоже не впервые говорят о необходимости создавать бэкдоры для обхода средств шифрования в системах мгновенных сообщений и прочих коммуникационных платформ — прежде они оправдывали это потребностью сканировать пользовательские данные на предмет материалов недопустимого характера.

Ещё одна декларируемая цель проекта — сделать Европол «по-настоящему оперативным полицейским агентством для усиления поддержки государств-членов»; ведомству отводится роль «в расследовании трансграничных, крупномасштабных и сложных дел, сопряжённых с серьёзной угрозой внутренней безопасности Союза». В ЕС входят 27 стран, и при реализации последовательных механизмов совместной безопасности возникнут сложности: у каждой страны есть собственные правоохранительные органы, свои цели и бюджеты, поэтому в стратегии говорится о содействии «изменению культуры», направленному на объединение членов ЕС.

«Безопасность является одной из ключевых предпосылок для открытых, развивающихся обществ и процветающей экономики. Поэтому сегодня мы запускаем важную инициативу по более эффективному противодействию таким угрозам безопасности как терроризм, организованная преступность, рост киберпреступности и атаки на нашу критическую инфраструктуру. Мы укрепим Европол и обеспечим правоохранительные органы современными инструментами для борьбы с преступностью. Внести свой вклад в повышенную безопасность для всех смогут также исследователи, предприятия и даже граждане», — прокомментировала проект глава Еврокомиссии Урсула фон дер Ляйен (Ursula von der Leyen).

Google в ближайшее время планирует внедрить сквозное шифрование (E2EE) электронной почты для всех пользователей, даже тех, кто не использует Google Workspace. Протокол E2EE основан на обмене сертификатами и позиционируется как альтернатива S/MIME (Secure/Multipurpose Internet Mail Extensions), применяемому в крупных организациях. Компания заверила, что процедура шифрования не усложнит жизнь простых пользователей и не создаст чрезмерной нагрузки на IT-администраторов.

Источник изображения: Google

Принцип работы E2EE заключается в том, что электронные письма, зашифрованные на стороне клиента, могут быть отправлены корпоративными пользователями Gmail кому угодно. Если адресат является пользователем Gmail, дополнительной настройки не требуется, а в интерфейсе Gmail отобразится информация о новом зашифрованном сообщении.

Если получатель не использует Gmail, он получит письмо с информацией о поступлении зашифрованного сообщения, которое будет содержать ссылку для повторной аутентификации учётной записи электронной почты. После аутентификации у адресата появится временный доступ через ограниченную учётную запись Gmail для просмотра и ответа на зашифрованное письмо.

Google отметила, что весь процесс сравним с предоставлением доступа к документу Workspace кому-то за пределами компании. IT-администраторы могут требовать от получателей использовать ограниченный Gmail для просмотра зашифрованных сообщений, что позволяет контролировать доступ с помощью политик и гарантировать, что данные не будут храниться на сторонних серверах.

Содержащее ссылку письмо с запросом может быть принято за фишинговое. Поэтому Google в предупреждении над ссылкой рекомендует переходить по ней лишь в том случае, если адресат полностью доверяет отправителю.

В случаях, когда электронные письма E2EE отправляются получателям, у которых уже настроен S/MIME, зашифрованное электронное письмо поступит получателю как обычно.

Источник изображения: unsplash.com

«Эта возможность, требующая минимальных усилий как от IT-отделов, так и от конечных пользователей, абстрагируется от традиционной сложности и нестандартного пользовательского опыта существующих решений, сохраняя при этом улучшенный суверенитет данных, конфиденциальность и контроль безопасности», — говорится в блоге Google.

Внедрение сквозного шифрования будет происходить поэтапно, начиная с сегодняшнего дня.

В дополнение к электронным письмам E2EE, которые можно будет выбрать по умолчанию для всех конечных пользователей, Google запустила ряд других функций для Gmail, включая метки классификации, показывающие уровень конфиденциальности каждого письма. Эти метки также будут информировать о новых правилах предотвращения потери данных, которые IT-администраторы могут установить для автоматической обработки писем на основе назначенных ими меток.

Также Google добавила к существующим детекторам спама и фишинга Gmail инструменты на основе ИИ, которые в теории должны снизить количество вредоносных электронных писем, просачивающихся через фильтры.

Владимир Путин подписал закон, направленный на защиту граждан от телефонных и кибермошенников: сотрудникам ведомств, банков и операторов связи теперь запрещается общаться с клиентами через иностранные системы мгновенных сообщений. Вводятся также ограничения в отношении некредитных финансовых организаций, крупных агрегаторов и прочих сайтов с аудиторией более 500 тыс. посетителей в день.

Источник изображения: Glenn Carstens-Peters / unsplash.com

Появится обязательная маркировка звонков от организаций — название компании будет отображаться при поступающем входящем вызове на экране телефона, благодаря чему можно будет отличить официальный звонок от мошеннического. При дистанционном оформлении займов микрофинансовые организации обязываются идентифицировать клиентов через единую биометрическую систему — подчёркивается, что использование биометрии — это не обязанность, а право.

Граждане получают возможность через операторов связи устанавливать запрет на массовые обзвоны; на «Госуслугах» появится функция установки «самозапрета» на оформление SIM-карт в дистанционном режиме. Законопроект о борьбе с кибермошенничеством Госдума приняла 25 марта сразу во втором и третьем чтениях; 27 марта его одобрил Совет федерации.

Специалисты «Лаборатории Касперского» обнаружили опасный вирус в смартфонах, работающих под управлением операционной системы Android. Вредонос даёт злоумышленникам практически неограниченные возможности контроля над заражёнными устройствами. Об этом пишет РБК со ссылкой на данные «Лаборатории Касперского».

Источник изображения: Luis Villasmil / Unsplash

Опасным вирусом оказалась модифицированная версия трояна Triada, которым обычно заражают новые устройства, являющиеся подделками под популярные модели смартфонов. Отмечается, что троян распространяется с прошивками для разных устройств, а копия Triada попадает в каждый процесс на смартфоне.

По данным источника, вирус может использоваться злоумышленниками для кражи криптовалюты, аккаунтов в мессенджерах и социальных сетях, таких как Telegram и TikTok, отправки сообщений от имени жертв, подмены номеров во время звонков, отслеживания активности жертвы в браузерах и блокировки сетевых соединений. Приобрести поддельные гаджеты, заражённые опасным вирусом, можно в неавторизованных онлайн-магазинах, которые реализуют устройства по сниженным ценам.

«Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что продают смартфоны с Triada», — рассказал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин.

В сообщении сказано, что от модифицированной версии Triada уже пострадали более 2,6 тыс. пользователей из нескольких стран, но в основном из России. В период с июня 2024 года по март 2025 года разработчики трояна перевели на подконтрольные им криптовалютные кошельки около $270 тыс. в разной криптовалюте. В «Лаборатории Касперского» отметили, что реальная сумма похищенных средств может быть существенно выше.

Чтобы не стать жертвой трояна Triada, специалисты рекомендуют приобретать смартфоны только у авторизованных продавцов. В дополнение к этому можно использовать на устройстве программные решения для защиты информации.

Компания Oracle сообщила своим клиентам в сфере здравоохранения о взломе, произошедшем 22 января, в результате которого хакеры получили доступ к её серверам и скопировали данные пациентов, пишет Bloomberg. Согласно данным его источника, хакеры затем пытались вымогать деньги у нескольких провайдеров медицинских услуг в США, угрожая опубликовать похищенную информацию в открытом доступе.

Источник изображения: Oracle

Oracle поставляет программное обеспечение для управления записями пациентов больницам и другим медицинским учреждениям.

Расследованием инцидента занимается ФБР. На данный момент неизвестно, сколько данных хакеры успели скопировать и у скольких провайдеров они пытались вымогать деньги. Oracle заявила, что узнала о взломе примерно 20 февраля. Компания сообщила клиентам, что хакеры получили доступ к старым серверам Cerner, где хранились данные, ещё не перенесённые в облачную службу хранения Oracle.

«Имеющиеся доказательства свидетельствуют о том, что злоумышленник незаконно получил доступ к среде, используя украденные учётные данные клиентов», — указано в уведомлении компании.

В сообщении для клиентов также говорится, что украденные данные могли включать информацию о пациентах из электронных медицинских карт. По словам источника Bloomberg, похищенные сведения касались недавних обращений пациентов к врачам.

«Oracle поддержит вашу организацию в проверке информации о пациентах, чьи данные были украдены», — сообщила компания клиентам.

Следует отметить, что ещё несколько дней назад Oracle категорически отрицала факт взлома, несмотря на то, что хакер опубликовал в даркнете доказательства того, что ему удалось завладеть данными, хранившимися на серверах Oracle Cloud.

Компания Google устранила уязвимость в браузере Chrome для Windows, которую злоумышленники использовали для взлома компьютеров жертв. Ошибку в марте обнаружили специалисты «Лаборатории Касперского».

Источник изображения: kaspersky.ru

Речь идёт об уязвимости за номером CVE-2025-2783, эксплойт для которой активно применялся. Такие ошибки относятся к уязвимостям нулевого дня, потому что у разработчика, в данном случае Google, не было времени на её исправление до появления эксплойта. Она использовалась в ходе хакерской кампании, нацеленной на компьютеры под управлением Windows с установленным браузером Chrome.

В «Лаборатории Касперского» кампанию назвали «Форумный тролль»: потенциальным жертвам рассылали фишинговые письма с приглашениями на международный политический саммит. При попытке открыть ссылку из письма, жертвы попадали на вредоносный сайт, эксплуатирующий уязвимость для получения доступа к данным на ПК жертвы.

Подробного описания ошибки специалисты «Лаборатории Касперского» не представили, но отметили, что она позволяла обходить защиту «песочницы» в Chrome, ограничивающей доступ браузера к другим данным на компьютере пользователя. Подчёркивается, что уязвимость затронула все остальные браузеры на движке Google Chromium. Ошибка использовалась в рамках кампании, целью которой были скрытое наблюдение и кража данных с устройства жертвы, предположили эксперты по кибербезопасности.

Google рассказала о новых функциях безопасности, которые появятся в магазине приложений «Play Маркет» и Android в 2025 году. Усовершенствуется механизм обнаружения вредоносных приложений, злоумышленникам станет сложнее заставить пользователя установить вредоносное ПО, повысится надёжность Play Integrity API, появятся новые метки приложений.

Источник изображения: android-developers.googleblog.com

Система Google Play Protect, направленная на обнаружение угроз в реальном времени, уже работает: она предупреждает пользователей о приложениях, которые собирают конфиденциальные данные или следят за пользователями без их согласия, а также анализирует шаблоны активности приложений. Эти функции расширятся — система будет пытаться обнаруживать вредоносные приложения, выдающие себя за клиенты финансовых служб, а также обращать внимание на те, что бездействуют или пытаются скрывать свою активность.

Google также намеревается «усложнить злоумышленникам возможность заставить пользователей устанавливать вредоносные приложения скрытным или обманным образом». В сторонних источниках вредоносного ПО оказалось в 50 раз больше, чем в магазине «Play Маркет», подсчитали в компании. В магазине увеличится присутствие маркировки для различных приложений, например, пометок «Проверено» для сетевых служб и в других категориях.

Повысится надёжность инструмента Play Integrity API — он сможет повторно идентифицировать устройства с повышенным риском, сохраняя при этом конфиденциальность пользователей. Функция Play Integrity, отметили в Google, уже помогла на 80 % снизить недобросовестное использование приложений. Разработчики смогут проводить большее число проверок прямо в Android Studio, чтобы избежать распространённых нарушений политики. Компания намеревается улучшить общение с разработчиками через Play Console; а также открыть сообщества поддержки разработчиков Google Play на индонезийском, японском, корейском, португальском и других языках.

На пленарном заседании Госдумы сразу во втором и третьем чтении принят законопроект, направленный на защиту граждан от мошеннических действий с использованием телефонной связи и интернета. Он был внесён в феврале и принят в первом чтении в марте.

Источник изображения: Jefferson Santos / unsplash.com

Будет создана база голосов киберпреступников в рамках государственной информационной системы «Антифрод», абоненты телефонной связи получат возможность отказаться от звонков и сообщений рекламного характера, государственные органы и банки лишатся права связываться к гражданами через иностранные системы сообщений, говорится в документе. Абоненты операторов мобильной связи смогут установить запрет на выдачу SIM-карт без личного присутствия — передавать SIM-карты третьим лицам за исключением близких родственников также будет запрещено.

Ко второму чтению комитет Госдумы по информполитике принял 21 поправку. Банки обяжут распространять направленные на пресечение мошенничества действия на онлайн-обслуживание и банкоматы. Клиенты кредитных организаций смогут назначать доверенных лиц — к ним банк будет обращаться за подтверждением при совершении денежных операций; банки станут запрашивать доверенности на совершение операций и хранить их копии в течение пяти лет. Для счетов, которые ранее были скомпрометированы и попали в соответствующие списки Банка России, вводится ограничение на сумму снятия наличных в размере 100 тыс. руб. в месяц.

Oracle отрицает факт кибератаки и утечки данных после заявлений хакера о краже миллионов записей с серверов компании. В середине марта злоумышленник под псевдонимом rose87168 заявил о похищении 6 миллионов записей с серверов Oracle Cloud Federated SSO Login. Архив, размещённый им в даркнете в качестве примера, включал образец базы данных, информацию LDAP и список компаний, использующих Oracle Cloud.

Источник изображения: Oracle

Oracle категорически отрицает взлом. В заявлении компании говорится: «Никакого взлома Oracle Cloud не было. Опубликованные учётные данные не относятся к Oracle Cloud. Ни один из клиентов Oracle Cloud не столкнулся со взломом или потерей данных».

Тем временем rose87168 выставил архив с данными на продажу. Хакер готов обменять его на неназванную сумму денег либо на эксплойты нулевого дня. Злоумышленник утверждает, что данные включают зашифрованные пароли SSO, файлы хранилища ключей Java (JKS), файлы ключей, ключи Enterprise Manager JPS и многое другое.

«Пароли SSO зашифрованы, но их можно расшифровать с помощью доступных файлов. Также можно взломать хешированный пароль LDAP. Я перечислю домены всех компаний, упомянутых в этой утечке. Компании могут заплатить определённую сумму, чтобы удалить информацию о своих сотрудниках из списка до его продажи», — заявил rose87168.

Как пишет SecurityLab, если утечка действительно произошла, последствия могут оказаться масштабными. Похищенные JKS-файлы, содержащие криптографические ключи, представляют особую опасность — их можно использовать для дешифровки конфиденциальной информации и вторичного доступа к системам. Компрометация SSO- и LDAP-паролей также повышает риск каскадных атак на организации, использующие Oracle Cloud.

Прежде чем выставить украденный архив на продажу, злоумышленник, судя по всему, потребовал у Oracle 100 000 XMR (криптовалюта Monero) в качестве выкупа. Однако компания, в свою очередь, запросила у хакера «всю информацию, необходимую для исправления и разработки патча безопасности». Поскольку rose87168 её не предоставил, переговоры сорвались, пишет BleepingComputer.

Чтобы доказать подлинность украденных файлов, злоумышленник передал порталу BleepingComputer URL-адрес интернет-архива, подтверждающий, что он загрузил файл .txt с адресом своей электронной почты в ProtonMail на сервер login.us2.oraclecloud.com.

Эксперты предполагают, что взлом был осуществлён через уязвимость CVE-2021-35587, затрагивающую Oracle Access Manager, входящий в состав Fusion Middleware. Она позволяет неавторизованному злоумышленнику получить контроль над системой через HTTP-доступ.