Заслуживающий доверия источник информации OnLeaks выложил в Сеть маркетинговые материалы Google с подробным обзором характеристик и функций смартфонов Pixel 9, Pixel 9 Pro и Pixel 9 Pro Fold. Для всех телефонов предусмотрен бесплатный доступ к модели ИИ Google Gemini Advanced в течение одного года и семилетний цикл обновлений безопасности и функций Pixel. А также все новинки получат функцию SOS с оповещениями о кризисных ситуациях.

Источник изображения: Google

Судя по опубликованной таблице, базовый Pixel 9 получит 6,3-дюймовый дисплей и 12 Гбайт оперативной памяти, а Pixel 9 Pro может выпускаться с экранами размером 6,3 и 6,8 дюйма с 16 Гбайт ОЗУ. Складной Pixel 9 Pro Fold будет оснащён 6,3-дюймовым внешним и 8-дюймовым раскладывающимся дисплеями и 16 Гбайт оперативной памяти. Ожидается, что все устройства будут построены на новом чипе Google G4 Tensor.

Источник изображений: OnLeaks

Базовый Pixel 9 получит 10,5-мегапиксельную фронтальную камеру и блок из двух тыловых камер — широкоугольной на 50 Мп и сверхширокоугольной на 48 Мп. Pixel 9 Pro будет оснащён селфи-камерой на 42 Мп, основной 50-мегапиксельной камерой, сверхширокоугольной камерой на 48 Мп и телеобъективом на 48 Мп. Pixel 9 Pro Fold получит селфи-камеру на 10 Мп, основную камеру на 48 Мп, сверхширокоугольную камеру на 10,5 Мп и телеобъектив на 10,8 Мп.

По слухам, в дополнение к помощнику Google Gemini AI и Circle to Search в линейке Pixel 9 появится возможность поиска по скриншотам. Рекламный текст на одном из изображений утверждает, что функция «Скриншоты» (Pixel Screenshots) «поможет сохранить информацию, которую вы хотите вспомнить позже, например, места проведения мероприятий и многое другое».

Похоже, что после подобных утечек вряд ли стоит ожидать сюрпризов на мероприятии Google по аппаратному обеспечению 13 августа. В конце концов, сама Google, устав от утечек, уже продемонстрировала, как будут выглядеть её новые телефоны.

По итогам первой половины 2024 года в Сеть впервые утекли данные 150 российских компаний — за аналогичных период прошлого года их было 119, пишет «Коммерсантъ» со ссылкой на статистику F.A.С.С.T. (ранее Group-IB). Пострадавшими от инцидентов чаще оказываются не компании, а их клиенты. Ситуация может исправиться с введением оборотных штрафов за утечки, но соответствующий закон пока не принят.

Источник изображения: Thomas / pixabay.com

Статистика инцидентов с утечками персональных данных, принадлежащих клиентам российских организаций, приводится в исследовании компании F.A.С.С.T.: по итогам первой половины 2024 года их впервые допустили 150 компаний, а за аналогичный период прошлого года их было 119. Во всех опубликованных базах было 200,5 млн строк данных — за весь прошлый год их было 397 млн. Базы актуальны на 2024 год, и чаще всего в утечках оказываются: ФИО граждан, адреса проживания, даты рождения, паспортные данные, номера телефонов и пароли. Примерно 30 % от утечек составили базы компаний, которые занимаются розничной торговлей. Информация также похищалась у IT-компаний, страховых, энергетических, туристических, транспортных, образовательных, промышленных и медицинских организаций. «В начале 2024 года в открытом доступе впервые оказались те базы, которые могли передаваться только в узком кругу злоумышленников», — отметили в F.A.С.С.T.

В Роскомнадзор за I полугодие поступили уведомления об утечках данных только от 93 компаний, сообщили в ведомстве. Чаще всего от утечек за этот период страдали промышленные и IT-компании, а также госучреждения, говорят в Positive Technologies. Тревожная статистика свидетельствует о том, что всё больше компаний проводят цифровизацию своих сервисов и выходят на рынки электронной коммерции — при этом частота кибератак не снижается, а уровень кибербезопасности в компаниях не повышают, уверены в DLBI. Утечки персональных данных грозят потребителям, помогая мошенникам осуществлять атаки с использованием социальной инженерии, добавили в Swordfish.

Для компаний риски пока минимальны. Ситуация может измениться, если будет принят закон, предусматривающий оборотные штрафы за утечки данных клиентов — в начале года он прошёл в Госдуме первое чтение. Документ предусматривает внесение поправок в КоАП: штрафы для юрлиц составят от 0,1 % до 3 % выручки за календарный год, но не более 500 млн руб. IT-отрасль предложила смягчить условиях законопроекта ко второму чтению, но в администрации президента не одобрили внесённое Минцифры соответствующее предложение. В конце 2023 года в Госдуму также внесён законопроект, предусматривающий уголовную ответственность за кражу и продажу данных. В «Ассоциации больших данных», куда входят «Яндекс», «Сбер», торговые площадки и банки, согласны, что для крупного бизнеса данные клиентов являются основной ценностью, и для их защиты, по их словам, принимаются дополнительные меры. Члены организации готовы пойти на «разумное повышение административной ответственности» с учётом смягчающих обстоятельств и чёткого определения состава правонарушения.

Несмотря на все усилия разработчиков, члены сообщества War Thunder продолжают копаться в секретных документах и время от времени публиковать их с целью доказать свою правоту. На этот раз в Сети появилась документация, касающаяся российских танков T-90M, T-80БBM и T-90C. Все три машины стоят на вооружении армии РФ, а их цифровые копии присутствуют в War Thunder.

Источник изображения: Gaijin Entertainment

Согласно имеющимся данным, в начале этой недели на форуме War Thunder появились руководства по эксплуатации упомянутых танков. Эти документы являются секретными и не предназначены для публичного распространения, несмотря на то, что в них содержится лишь поверхностная информация о боевых машинах. Комьюнити-менеджеры форума War Thunder удалили все сообщения, в которых содержались эти документы, хотя сами файлы продолжают циркулировать в глобальной сети.

Это лишь одна из трёх подобных утечек за последнюю неделю, хотя и не все они напрямую связаны с War Thunder. Сначала на форуме игры появились документы, касающиеся британских танков Challenger. Позднее стало известно, что эта информация находится в открытом доступе в Национальном архиве Великобритании. За несколько дней до этого пользователи Telegram из Китая опубликовали секретные документы, касающиеся истребителей F-15 и F-35. После этого часть документов появилась на официальных форумах War Thunder.

Сообщество War Thunder привлекает много внимания, поскольку разработчики игры уделяют большое внимание реализму и точному изображению реально существующего оружия, танков, кораблей и самолётов. На форумах игры более десяти раз всплывали секретные военные документы, что вынудило разработчиков усилить модерацию в игре и официальных форумах. С тех пор число подобных случаев сократилось, а нарушения быстро пресекаются, но полностью решить проблему так и не удалось.

Американская телекоммуникационная компания AT&T подтвердила факт взлома своей облачной платформы, в результате чего хакеры получили доступ к номерам телефонов «почти всех» абонентов, а также данным учёта звонков и SMS-сообщений за несколько месяцев. Похищенные данные в основном касаются звонков и сообщений, сделанных в период с мая по октябрь 2022 года, и представляют собой беспрецедентную утечку для AT&T и телекоммуникационной отрасли в целом.

Источник изображения: TheDigitalArtist / Pixabay

В США метаданные, показывающие, с какими номерами взаимодействуют клиенты, обычно доступны только правоохранительным органам и только в рамках установленного юридического процесса при проведении расследований. В данном случае злоумышленникам удалось получить доступ к этой информации и похитить её. В сообщении AT&T отмечается, что полиции уже удалось задержать человека, который, предположительно, причастен ко взлому.

«В апреле AT&T узнала, что данные клиентов были незаконно загружены из нашего рабочего пространства на стороннюю облачную платформу. Мы начали расследование и привлекли ведущих экспертов по кибербезопасности, чтобы понять характер и масштаб преступной деятельности. Мы также приняли меры, чтобы закрыть незаконную точку доступа. Расследование показало, что скомпрометированные данные включают в себя файлы, содержащие записи о звонках и текстовых сообщениях AT&T почти всех клиентов сотовой связи AT&T и клиентов операторов мобильных виртуальных сетей (MVNO) в сети AT&T, а также клиентов стационарных линий AT&T, которые взаимодействовали с этими сотовыми операторами в период с 1 мая 2022 года по 31 октября 2022 года», — сказано в заявлении AT&T.

В дополнение к этому, некоторые украденные хакерами данные связаны со звонками, которые абоненты AT&T совершали со 2 января 2023 года, но в этом случае речь идёт об «очень небольшом количестве клиентов». В этом случае украденные метаданные не включали в себя временные метки звонков и SMS-сообщений, т.е. хакеры не могут видеть, когда именно абонент набирал тот или иной номер или отправлял сообщения. При этом злоумышленники могут видеть на какие номера совершались звонки и отправлялись сообщения. Данные не включают ФИО абонентов, но зачастую связать номер телефона с определённым человеком можно с помощью общедоступных онлайн-инструментов. В компании также отметили, что не располагают информацией о том, были ли украденные данные опубликованы публично.

Zotac случайно «слила» в Сеть личные данные множества своих клиентов из-за ошибки в управлении файлами системы возврата некачественных или неисправных изделий производителю для ремонта или обмена (RMA). Компания загрузила данные на веб-сервер Google в результате чего они стали общедоступными.

Источник изображения: tweaktown.com

Одним из первых на проблему обратил внимание автор YouTube-канала GamersNexus. Он сообщил, что после появления файлов RMA на веб-сервере Google любой желающий мог получить к ним доступ, сделав запрос «Zotac RMA» или похожий на него. В настоящее время файлы RMA не отображаются в поиске Google, но в распоряжении блогера осталось несколько изображений, показывающих, что в общий доступ попала разная конфиденциальная информация, включая счета бизнес-партнёров Zotac, а также специальные запросы RMA и другие личные данные.

Один из подписчиков GamersNexus сообщил, что смог найти в результатах поиска Google свой файл RMA. В нём содержалась информация о клиенте, суммы счетов и многое другое. В настоящее время Zotac пытается решить проблему, сотрудничая в этом вопросе со своими партнёрами. Вместе с этим компания просит клиентов отправлять личные документы по электронной почте на определённый адрес.

Исследователи из Cybernews обнаружили крупнейшую подборку паролей, состоящую из 9 948 575 739 уникальных комбинаций, хранящихся в открытом виде. Файл с паролями rockyou2024.txt был замечен на одном из хакерских форумов и, по сути, он является желанной целью для злоумышленников, которые используют метод перебора паролей для взлома аккаунтов.

Источник изображения: Shutterstock

«По своей сути утечка RockYou2024 представляет собой компиляцию реальных паролей, используемых людьми по всему миру. Раскрытие такого количества паролей существенно повышает риск проведения атак, связанных с подбором паролей», — говорится в сообщении Cybernews.

Согласно имеющимся данным, упомянутый файл был опубликован 4 июля пользователем с ником ObamaCare, который с момента регистрации на форуме уже публиковал данные из более ранних утечек. Исследователи отмечают, что база RockYou2024 может быть задействована злоумышленниками для проведения атак методом перебора с целью получения несанкционированного доступа к разным онлайн-аккаунтам, которыми пользуются люди, чьи пароли попали в этот список.

Источник изображения: Cybernews

В сообщении сказано, что файл RockYou2024 сформирован на основе нескольких утечек данных, которые произошли за последние два десятилетия. При этом в файл добавлено 1,5 млрд паролей, которые утекли в сеть в период с 2021 по 2024 годы. Эксперты предупреждают, что столь обширная база паролей может использоваться злоумышленниками для проведения разного рода атак, причём в опасности могут оказаться не только онлайн-сервисы, но и промышленное оборудование, камеры видеонаблюдения и др.

«Более того, в сочетании с данными из других утечек на хакерских форумах и торговых площадках, которые, например, содержат адреса электронной почты пользователей и другие данные, RockYou2024 может способствовать появлению целого каскада новых утечек данных, случаев финансового мошенничества и краж личной информации», — говорится в сообщении Cybernews.

Летнее мероприятие Samsung Galaxy Unpacked состоится 10 июля — на нём, как ожидается, компания представит складные телефоны Galaxy Z Fold6 и Z Flip6. Тем временем инсайдер Эван Бласс (Evan Blass) уже сейчас раскрыл спецификации обоих устройств, а также опубликовал посвящённые им маркетинговые материалы.

Источник изображений: Evan Blass

Смартфоны стали легче и тоньше, у них немного изменились дисплеи, а время автономной работы выросло по сравнению с предшественниками. Samsung Galaxy Z Flip6, кроме того, получил режим переводчика: на два его экрана выводится текст на разных языках, чтобы его могли читать оба участника диалога. У устройств заявлена защита по стандарту IP48, хотя едва ли это шаг вперёд: этот стандарт подразумевает защиту от твёрдых частиц размером от 1 мм, а не от пыли, которая в долгосрочной перспективе может вызвать повреждение шарниров — возможно, Samsung просто не удосужилась заявить этот рейтинг с выпуском предыдущих складных устройств.

Samsung Galaxy Z Fold6 получил 7,6-дюймовый внутренний и 6,3-дюймовый внешний экраны — яркость первого выросла до 2600 кд/м², тогда как в прошлогодней модели была 1750 кд/м². Телефон работает на актуальном процессоре Qualcomm Snapdragon 8 Gen 3; время автономной работы в режиме LTE-интернета выросло на час, а при воспроизведении видео — на два. Устройство стало на 14 г легче; на 1,4 мм короче, 1 мм шире и 1,3 мм тоньше в сложенном виде; на 1,4 мм короче, 2,7 мм шире и 0,5 мм тоньше в разложенном виде.

01.jpg

Смотреть все изображения (6)

02.jpg

03.jpg

04.jpg

05.jpg

06.jpg

Смотреть все
изображения (6)

Samsung Galaxy Z Fold6 также отличают более прочный алюминиевый корпус (Armor Aluminum); увеличившийся на 0,1 дюйма внешний экран; и сменившееся с 2176 × 1812 на 2160 × 1856 точек разрешение основного дисплея. Камеры, аккумулятор ёмкостью 4400 мА·ч и защитное стекло Gorilla Glass Victus 2 остались прежними.

Диагонали внутреннего и внешнего экранов Samsung Galaxy Z Flip6 составляют соответственно 6,7 и 3,4 дюйма, причём последний теперь построен на панели IPS, а не OLED. Основная камера вместо 12-мегапиксельного получила 50-мегапиксельный сенсор с той же диафрагмой f/1,8. Смартфон работает на мощном процессоре Qualcomm Snapdragon 8 Gen 3, объём оперативной памяти вырос с 8 до 12 Гбайт.

01.jpg

Смотреть все изображения (7)

02.jpg

03.jpg

04.jpg

05.jpg

06.jpg

07.jpg

Смотреть все
изображения (7)

В сложенном виде устройство стало тоньше на 0,2 мм, прочие размеры и масса не изменились. Ёмкость аккумулятора выросла с 3700 до 4000 мА·ч; время работы в режиме LTE-интернета выросло на два часа, при воспроизведении видео — на три. Защитное стекло Gorilla Glass Victus 2 перекочевало в новую модель из прошлогодней.

13 августа пройдёт мероприятие Made by Google, на котором будет представлен смартфон Pixel 9 и ряд других устройств. С приближением этого события в Сети всё чаще начали появляться утечки информации о новинках. Как сообщает ресурс 9to5Google, блогер @hanibioud разместил в соцсети X короткое видео с демонстрацией Pixel 9 в ярко-розовом цвете.

Источник изображения: @hanibioud/9to5Google

Предполагается, что съёмка смартфона была сделана в Алжире. По словам блогера аппарат имеет 256 Гбайт встроенной памяти. Ресурс 9to5Google отметил, что это самый яркий цвет из когда-либо встречавшихся у смартфонов серии Pixel A со времён выхода в 2019 году Pixel 4 в оранжевом цветовом варианте Oh So Orange.

Дизайн засветившегося смартфона соответствует прошлым утечкам: устройство имеет плоские края и глянцевую заднюю панель. Новая утечка также подтверждает сообщения о том, что у Pixel 9 будет двойная основная камера в отличие от тройной у Pixel 9 Pro.

По данным источников, модель Pixel 9 получит функцию экстренной спутниковой связи, подобную Emergency SOS у Apple. Благодаря использованию в смартфоне модема Samsung 5400, который добавит поддержку внеземных сетей 5G (Non-Terrestrial Networks, NTN), пользователи смогут отправлять экстренные сообщения аварийно-спасательным службам, а также связываться с операторами этих служб в зонах, где отсутствует покрытие мобильной связью.

Сервис по продаже билетов Ticketmaster подтвердил, что хакеры осуществили взлом его систем в прошлом месяце, украли данные об адресах электронной почты клиентов, их номера телефонов и зашифрованную информацию о банковских картах. Напомним, что злоумышленники выставили на продажу базу клиентов Ticketmaster с 560 млн записей.

Источник изображения: Ticketmaster

Спустя почти месяц после того, как хакерская группа ShinyHunters заявила, что украла 1,3 Тбайт данных у Ticketmaster, сервис начал рассылку клиентам уведомлений об утечке данных. В сообщении об инциденте, отправленном генеральному прокурору штата Мэн, сервис указал, что взлом затронул «более 1000» человек, так что истинные масштабы взлома по-прежнему неизвестны. Судя по электронным письмам, отправленным сервисом клиентам, взлом коснулся тех, кто пользовался услугами Ticketmaster в США, Канаде и Мексике.

Как сообщил Ticketmaster, похищенные данные включают «зашифрованную информацию о банковской карте, а также некоторую другую личную информацию, предоставленную [сервису]». Это говорит о том, что хакерам удалось похитить сведения только о последних четырёх цифрах кредитных и дебетовых карт и дате истечения срока их действия. Именно об этом и сообщила группа ShinyHunters в мае, когда попытались продать украденную информацию за $500 000.

Ticketmaster сообщила, что сведения о клиентах попали к хакерам в результате взлома «изолированной облачной базы данных, размещенной у стороннего провайдера услуг передачи данных», но не стала раскрывать имя этого провайдера. Как утверждает ресурс PCMag, всё указывает на компанию Snowflake, которая предлагает решения для хранения данных для сотен крупных компаний.

Специалисты подразделения Google Mandiant заявили, что хакерская группа UNC5537 использовала плохую защиту паролей, чтобы атаковать 165 организаций, пользовавшихся сервисами Snowflake.

В качестве компенсации ущерба Ticketmaster предложил пострадавшим пользователям 12 месяцев бесплатного кредитного мониторинга. Вместе с тем было отмечено, что «учётные записи Ticketmaster не были затронуты», то есть пользователям даже не обязательно обновлять свои пароли.

Microsoft заявила, что в начале года российские хакеры проникли во внутренние IT-системы компании и получили доступ к почтовым сообщениям сотрудников, включая переписки с клиентами софтверного гиганта. Это заявление было сделано примерно через полгода после того, как Microsoft впервые сообщила о масштабной кибератаке на свою инфраструктуру.

Источник изображения: Copilot

Раскрытие новой информации подчёркивает масштаб хакерской атаки и происходит на фоне усиления контроля со стороны регулирующих органов за безопасностью программного обеспечения Microsoft. Отметим, что российские власти оставили без внимания обвинения Microsoft во взломе, но в компании также отметили, что хакеры атаковали исследователей в сфере информационной безопасности, которые вели расследование этого киберинцидента.

«На этой неделе мы продолжили отправлять уведомления клиентам, которые переписывались с использующими корпоративные учётные записи электронной почты сотрудниками Microsoft, взломанными злоумышленниками из Midnight Blizzard», — рассказал представитель Microsoft. В сообщении компании не уточняется, какое количество клиентов затронул инцидент, а также объём писем, которые могли быть похищены хакерами.

Напомним, в январе этого года Microsoft заявила, что хакерская группировка Midnight Blizzard получила доступ к «небольшому проценту» учётных записей корпоративной электронной почты компании. Четыре месяца спустя софтверный гигант сообщил, что хакеры всё ещё предпринимают попытки взлома, что вызвало обеспокоенность со стороны регулирующих органов и экспертов в том, что компания в состоянии защитить свои внутренние IT-системы.

Хакерская группировка IntelBroker, ранее сообщившая о взломе серверов компании AMD, заявила, что похитила у компании Apple несколько инструментов, которые используют её разработчики внутри компании. Сообщение об этом появилось на одном из хакерских форумов в даркнете.

Источник изображения: 9to5Mac

По словам IntelBroker, «в июне 2024 года на Apple.com произошла утечка данных», в результате которой хакеры получили доступ к исходному коду следующих внутренних инструментов:

• AppleConnect-SSO;
• Apple-HWE-Confluence-Advanced;
• AppleMacroPlugin.

Об Apple-HWE-Confluence-Advanced и AppleMacroPlugin мало что известно. В свою очередь, AppleConnect-SSO представляет собой систему аутентификации, позволяющую сотрудникам компании получать доступ к определённым приложениям внутренней сети Apple. Система интегрирована с базой данных службы Directory Services компании, что обеспечивает безопасный доступ к внутренним ресурсам.

В iOS приложения, предназначенные только для сотрудников, могут использовать AppleConnect-SSO в качестве системы входа на основе жестов, где пользователь для удобства устанавливает специальный шаблон вместо пароля. Известно, что AppleConnect был внедрён в приложение Concierge, используемое сотрудниками Apple Store, а также в SwitchBoard до его закрытия в 2021 году. Насколько широко этот инструмент используется сейчас — неясно.

В сообщении IntelBroker не содержится какой-либо дополнительной информации. Злоумышленники не сказали, планируют ли продавать полученные данные, но опубликовали образец украденных файлов. Судя по всему, эта утечка никак не связана с данными клиентов Apple.

Как сообщают различные источники, ранее IntelBroker также участвовала во взломах баз данных Zscaler, General Electric, AT&T, Home Depot, Barclays Bank, а также баз данных Европола и Госдепа США.

Представители AMD, как сообщает PCMag, подтвердили свою осведомлённость о попытках хакерской группировки IntelBroker продать служебную информацию компании, которой она завладела неправомерно в результате атаки на информационные ресурсы, связанные с деятельностью AMD. Сейчас компания участвует в расследовании и пытается определить, насколько чувствительной была похищенная информация.

Источник изображения: AMD

На одном из форумов хакерской направленности были опубликованы заявления группировки IntelBroker, в которых она утверждает, что якобы осуществила успешный взлом серверных ресурсов с данными AMD. В том числе, якобы была похищена документация по будущим продуктам AMD, данные сотрудников и клиентов компании. Кроме того, там находились фрагменты исходного кода фирменного программного обеспечения и микрокодов для компонентов. Наконец, в руки злоумышленников могла попасть финансовая отчётность AMD.

В качестве доказательства наличия у них такой информации хакеры опубликовали снимки экранов с упоминанием служебных адресов электронной почты и номеров телефонов бывших сотрудников AMD. Никаких данных о клиентах компании на этом форуме участниками хакерской атаки выложено не было. Прочие примеры похищенной информации имели отношение к технической документации по процессорам Ryzen и EPYC. Хакеры хотят продать имеющиеся данные за криптовалюту Monero.

Данная группировка ранее отметилась в контексте атак на Home Depot, а также информационные ресурсы Европола и американских правительственных организаций. AMD подчеркнула, что к расследованию привлечены представители провайдера, на сервере которого могла храниться похищенная информация компании.

В результате атаки вируса, предназначенного для кражи информации, были скомпрометированы данные около 165 компаний — клиентов поставщика облачных хранилищ Snowflake.

Источник изображения: Cliff Hang / pixabay.com

В минувшую пятницу представитель QuoteWizard, дочерней компании платформы онлайн-кредитования Lending Tree, сообщил, что QuoteWizard также пострадала в результате инцидента, о чём её уведомила Snowflake. Представитель самой Lending Tree заявила, что сейчас ведётся проверка на предмет того, были ли похищены принадлежащие компании данные. Специалисты по кибербезопасности Mandiant (принадлежит Google), нанятые Snowflake для расследования массового взлома, рассказали, что на данный момент идентифицированы 165 клиентов, чьи данные могли быть похищены в ходе инцидента.

Ранее компания Live Nation подтвердила, что хакерами были украдены данные билетного оператора Ticketmaster — 560 млн записей о клиентах, включая их полные имена, адреса, телефонные номера и частично номера кредитных карт. Крупнейший испанский банк Santander также подтвердил кражу данных, принадлежащих некоторым его клиентам — эти данные были выставлены на продажу теми же преступниками, которые торгуют базой Ticketmaster. Эксперты по кибербезопасности Hudson Rock сообщили, что информация хранилась на ресурсах Snowflake — Santander эти сведения не подтвердил и не опроверг.

Источник изображения: Pete Linforth / pixabay.com

В Mandiant установили, что все факты несанкционированного доступа к данным имели место в результате кражи учётных данных с использованием вредоносного ПО. Ни в одном из случаев взлома не использовалась многофакторная аутентификация. Участники хакерской группировки, предположительно совершившие взлом, находятся преимущественно в Северной Америке, а группировка отслеживается под названием UNC5537. В некоторых случаях использованные для доступа к облачным хранилищам учётные данные датируются 2020 годом — это значит, что с тех пор они не менялись. В качестве защитной меры не использовалась не только многофакторная аутентификация, но и географическое ограничение доступа при входе в систему Snowflake.

Учётные данные похищались при помощи вирусов Vidar, Risepro, Redline, Racoon Stealer, Lumma и MetaStealer. В некоторых случаях эти вирусы оказались на компьютерах, которые использовались и для работы, и в личных целях — на машинах присутствовали игры и пиратское ПО. Mandiant отслеживает деятельность UNC5537 с мая. Жертвами группировки стали сотни организаций по всему миру, и чаще всего хакеры преследуют только материальную выгоду. UNC5537 пользуются несколькими адресами в Telegram. Помимо участников в Северной Америке, у группировки есть один дополнительный участник в Турции. Они работают, подключаясь через Mullvad или Private Internet Access. При осуществлении деятельности группировка пользовалась расположенными в Молдавии VPS-системами Alexhost. Похищенные данные хранились у нескольких VPS-поставщиков и у поставщика облачных хранилищ Mega. Эксперты предполагают, что UNC5337 продолжит использовать ту же схему вторжения, атакуя другие SaaS-платформы.

Неизвестные злоумышленники при помощи вредоносного ПО осуществили взлом систем американской компании Snowflake, которая занимается облачным анализом данных. В результате инцидента хакеры похитили персональную информацию сотен миллионов частных лиц — потребителей компаний, выступающих клиентами Snowflake. В частности, были похищены данные клиентов Santander Bank и Ticketmaster.

Источник изображения: Pete Linforth / pixabay.com

На минувшей неделе тревогу забили власти Австралии, заявившие, что им стало известно об «успешных компрометациях нескольких компаний, использующих окружения Snowflake» — сами компании при этом названы не были. Тем временем хакеры заявили на профильных форумах, что им удалось похитить сотни миллионов записей о потребителях Santander Bank и Ticketmaster — это два крупнейших клиента Snowflake. В Santander подтвердили взлом базы данных, «размещённой сторонним поставщиком», но поставщика не называли. А в Live Nation подтвердили, что данные её дочерней компании Ticketmaster были похищены, а украденная база была размещена на Snowflake.

Snowflake также призналась, что ей известно о «потенциально несанкционированном доступе» к «ограниченному числу» учётных записей клиентов — без конкретики; но отметила, что не нашла доказательств прямого взлома её систем. По версии облачного оператора, это была «целевая кампания, направленная на пользователей с однофакторной аутентификацией», реализованная при помощи вредоносного ПО, которое предназначается для кражи паролей, сохранённых на компьютере пользователя. Несмотря на то, что Snowflake хранит конфиденциальные данные своих клиентов, она позволяет им самостоятельно управлять безопасностью своих окружений, не требуя устанавливать многофакторную авторизацию — её отсутствием, вероятно, и воспользовались злоумышленники. Облачный оператор также признался, что была взломана некая демонстрационная учётная запись, которая была защищена только именем пользователя и паролем, но не содержала конфиденциальных сведений.

Источник изображения: tookapic / pixabay.com

Осведомлённый о методах работы киберпреступников анонимный источник поделился с ресурсом TechCrunch ссылкой на сайт, где публикуются скомпрометированные учётные данные — на нём журналисты обнаружили более 500 пар логинов и паролей для доступа в системы Snowflake. Эти учётные данные принадлежат Santander, Ticketmaster, по крайней мере двум фармацевтическим гигантам, службе доставки еды, поставщику свежей воды и другим организациям. В списке присутствовали также раскрытые имена пользователя и пароли, предположительно принадлежащие бывшему сотруднику самой Snowflake.

Удалось также обнаружить косвенные подтверждения того, что учётные данные были похищены при помощи вредоносного ПО. В недавнем дампе с миллионами опубликованных в Telegram украденных логинов и паролей были обнаружены несколько корпоративных адресов электронной почты, используемых в качестве имени пользователя для доступа к окружениям Snowflake. Компания заявила о приостановке работы некоторых учётных записей, в которых были обнаружены признаки вредоносной активности, но отметила, что ответственность за обеспечение многофакторной авторизации к системам лежит на самих её пользователях — сейчас Snowflake рассматривает все варианты включения многофакторной авторизации, но окончательные планы пока не утверждены.

Ранее на этой неделе курьерский сервис СДЭК объявил о возобновлении работы после масштабного сбоя, сообщив, что большая часть задержанных посылок выдана. Теперь же стало известно, что компания, вероятно, устранила не все уязвимости в своей инфраструктуре. На это указывают появившиеся в интернете данные некоторых клиентов СДЭК, которые отправляли посылки в апреле.

Источник изображения: Pixabay

Специалисты по кибербезопасности обнаружили несколько ссылок на сервисы Google, такие как «Google Таблицы», где размещены данные клиентов СДЭК за апрель. В таблицах содержатся номера накладных, описание посылок, их вес и изображения, а также названия подразделений СДЭК и отправителей (физлица и юрлица). По данным источника, ссылки на эти таблицы можно найти «в открытом доступе на сторонних ресурсах».

В СДЭК заверили, что персональные данные клиентов хранятся в собственной защищённой базе данных, а в открытом доступе могли появиться инструкции для персонала, шаблоны действий по типовым ситуациям и другая подобная информация. «У нас нет оснований полагать, что произошла утечка данных», — приводит источник слова представителя СДЭК.

В конце прошлого месяца Роскомнадзор сообщил, что СДЭК не уведомляла регулятора об утечках. Информацию о публикации данных клиентов сервиса доставки в открытом доступе в ведомстве пока никак не комментировали. Отметим, что в 2022 году база данных клиентов СДЭК уже выставлялась на продажу злоумышленниками. Тогда речь шла о базе, содержащей в себе данные более чем 9 млн клиентов логистического оператора.