[Информационная безопасность] (не) Безопасный дайджест: если бы в ИБ была «Премия Дарвина» — 3
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
К 1 апреля собрали хит-парад самых глупых инцидентов ИБ за год
Новое 1 апреля и новый дайджест самых смешных инцидентов информационной безопасности. За год ИБ-нелепиц прибыло: в сегодняшнем хит-параде акселерация киберпреступности, превратности ИИ и нестареющий человеческий фактор. Выбираем самые веселые факапы (а заодно сплевываем и постукиваем, чтобы случайно не повторить подвиги героев выпуска).Кто хочет стать миллионером В Индии разыгралась драма, достойная Болливуда. Честный отец семейства столкнулся с шантажом: с ним связался загадочный хакер, который грозился разоблачить пороки несчастного перед друзьями, коллегами и семьей. При этом злоумышленник взломал электронную почту жертвы, сменил в ней пароль и привязанный номер телефона. За сохранение секретов и возврат доступа к почте он потребовал 137 тысяч долларов, в пересчете на рупии – 10 миллионов. Мужчина не на шутку перепугался (неужто было, что скрывать?) и обратился в полицию. В поисках IP-адреса, с которого злоумышленник рассылал угрозы, детективы добрались до дома жертвы. Цифровая ниточка привела их в детскую комнату, где и орудовал беспощадный… 11-летний сын пострадавшего. Начинающий хакер во всем сознался. По его словам, идею, как побыстрее стать миллионером, он почерпнул на YouTube. «Эх, Джимми, Джимми», – словно бы говорили хулигану добрые глаза индийской бабушки. «А чо?» – отвечает за малолетнего шантажиста бессердечный Интернет. Невиданная щедростьХакерская группировка с августа 2020 года атаковала компании по всему миру. Жертвам приходило письмо: в теме – их имя или название компании, во вложении – HTML-документ, который открывался в браузере в виде страницы авторизации Microsoft Office 365. «Этот документ защищен паролем, – сообщалось на странице. – Пожалуйста, введите пароль». Люди доверялись и вводили – ведь в поле «Имя пользователя» в форме авторизации уже значился их почтовый адрес. В результате за полгода хакерам удалось собрать как минимум 1 тыс. паролей. Украденные пароли вкупе с адресами становились подпиткой для следующих атак – для повышения достоверности свои рассылки фишеры предпочитали вести со скомпрометированных ящиков реальных компаний.
Схема была изящна, проста и эффективна. Вот только киберпреступники забыли защитить улов. Для хранения данных они зарегистрировали специальные домены, но файл с украденными паролями по ошибке сделали публично доступным. Так вся база оказалась в поисковой выдаче Google, где ее обнаружили исследователи из Check Point и Otorio. И вскрыли всю цепочку – с простотой и изяществом.Клубничка VSOPМожет ли дама стать героиней фильмов для взрослых, если ей уже за 70? «Почему бы и нет?» – подумал аферист из Челябинска и стал угрожать местной пенсионерке, что выложит в Сеть ее интимные фото. Хотя женщина не практиковала ню-фотосессий, мошенник утверждал, что справился сам, пока наблюдал за ней через веб-камеру.За бездействие начинающий порно-продюсер требовал от женщины 650 долларов. Причем непременно в биткоинах. Возмущенная женщина обратилась к правоохранителям. Поэтому обсуждать размер своего гонорара уральский мошенник будет вынужден уже с ними. Золотой ключик А вот история по эту сторону решетки – в буквальном смысле.В руки стажеру в Бранденбурге попал ключ стоимостью в 50 тыс. евро. То есть сам-то ключ столько не стоит, а вот его фотография дорого обошлась молодому человеку. Он только устроился в местную тюрьму и жутко загорелся новой работой. На радостях отправил друзьям в WhatsApp снимок мастер-ключа, открывающего в тюрьме любые двери. И правда, как тут не похвастаться. Друзья не так впечатлились, как тюремщики, которым пришлось в срочном порядке менять замки на дверях шестисот камер и различных подсобных помещений. На это ушло 20 часов непрерывной работы, все за счет незадачливого стажера. Теперь ему предстоит выплатить еще и пятидесятитысячный штраф. А все потому, что по фото профессиональный слесарь мог бы воссоздать ключ, проникнуть в тюрьму и создать угрозу безопасности. (У нас другой вопрос: универсальный ключ в тюрьме – точно хорошая идея?)Где ваши пальчики?Британская полиция тоже понесла потери. Недавно ведомство лишилось солидного куска базы с данными об арестах: из-за технической неполадки из системы пропали 150 тысяч записей. Файлы содержали историю «приводов», отпечатки пальцев и ДНК. Потенциально инцидент мог подарить свободу сотням преступников – на них больше нет биометрических улик. К тому же на два дня встала работа визовых центров по всей стране, заявления задерживались, потому что с базой полиции пропала связь.Власти уверяют, что не произошло ничего серьезного, удалились, мол, только записи о задержанных, которых отпустили без предъявления обвинения. Но расследуют инцидент аж на правительственном уровне. По основным версиям, у «технической неполадки» вполне человеческое лицо. Ошибиться мог специалист, который работал с базой, ее разработчик (в коде обнаружился дефект, из-за которого вместо резервирования в бэк-ап данные удалялись), или оба сразу. Видите – ситуации из серии «я что-то нажала и все исчезло» случаются не только в вашей бухгалтерии. Тайные посланияНовость с пылу с жару – и сразу в наш топ. 28 марта в твиттере стратегического командования вооруженных сил США появилась странная запись: набор букв и символов «;l;;gmlxzssaw». Твит буквально «взорвал» эфир и за пару часов набрал тысячи реплаев, лайков и репостов. Пользователи принялись шутить, что это секретный код запуска ядерных ракет. Затем решили, что аккаунт взломали, на худой конец – что по клавиатуре SMM-щика пробежала кошка. Нашлись конспирологи, которые увидели в твите тайное послание от QAnon – мифического сотрудника правительства США, который иногда якобы делится «инсайдами» с пользователями имиджборд. Ситуацию усугубляло молчание ведомства. Аккаунт несколько часов не обновлялся.
Наконец стратегическое командование извинилось и попросило «не обращать внимания» на инцидент. Затем удалило твит. Но дело было сделано – без объяснений число шуток и теорий росло, как снежный ком. Добиться правды удалось журналисту Daily Dot Микаэлу Талену. На его запрос в командовании ответили, что загадочную абракадабру запостил ребенок сотрудника, пока тот «на минутку отвернулся». Как заметили остроумные комментаторы, вот так «несколько мгновений официальным каналом связи сильнейшей армии в мире управлял ребёнок». Читаем и запоминаем: во избежание казусов – блокируй устройство, когда не работаешь за ним.Минус кнопкаЕще одна история про невнимательность (и кнопку). Стример twomad в прошлом апреле дождался миллионного подписчика на своем YouTube-канале и получил от администрации сервиса награду – как раз кнопку, только не «большую красную», а «золотую». В честь этого события он запустил стрим, где на глазах подписчиков ее «распаковывал» – то есть открыл письмо от YouTube, в котором содержался одноразовый код для получения приза.И тут популярность сыграла с блогером злую шутку. Когда он попытался ввести код, выяснилось, что он не подходит. Кто-то из миллиона подписчиков увидел код на стриме, успел воспользоваться им раньше и забрал «Золотую кнопку» себе. twomad осталось только негодовать и жаловаться в YouTube на воровство. А стоило бы – на свою недальновидность. Насколько нам известно, кнопку он так и не вернул. Да еще и подписчики затроллили.
(а вот и ссылка на твит: https://twitter.com/AltCriminals/status/1247439923784724485?s=20) Закодированная В этом случае никаких пользовательских факапов, только непреклонный ИИ. Американская актриса Рейчел Тру (True) после установки очередного обновления не смогла зайти в свой аккаунт в iCloud. Проблема затянулась на полгода и, кажется, не решилась до сих пор: абонентская плата продолжает списываться, доступ закрыт, а переход на бесплатный тариф грозит девушке потерей важных данных.Американка часами общалась с техподдержкой Apple. Выяснилось, что ошибка возникает, потому что программные алгоритмы облака воспринимают ее фамилию как атрибут кода: команду «верно». И искусственный интеллект остается непреклонен. Даже сотрудники техподдержки не смогли ничем помочь, кроме как посоветовать девушке сменить фамилию. Зато какая защита от взлома! Вперед и с песнейКто точно достоин нашей премии, так это полицейские из Калифорнии – по крайней мере спецприза «За находчивость». Они, не щадя живота своего, встали на защиту персональных данных. Правда, своих. А заодно изображений и видео, которые могут попасть в Сеть без их ведома – от перспективы стать блогерами они не в восторге.Полицейские стараются не попадать в объективы камер во время работы, чтобы их слова «не были вырваны из контекста и неправильно истолкованы». Поэтому несколько офицеров из Беверли-Хиллз взяли в привычку выходить в патрули с плейлистом наизготовку: стоит кому-то начать их снимать, они громко включают музыку. Идея в том, что Instagram, YouTube и другие сервисы удаляют контент, если в нем содержатся произведения, защищенные авторским правом. В таких условиях провокационные ролики не поснимаешь.Впрочем, креативные стражи правопорядка все равно попадают в СМИ. Правда, теперь журналисты обсуждают их музыкальные вкусы. Говорят, они меняются – начинали напарники с баллад Beatles (впервые включили нетленный Yesterday, когда некий активист попытался взять у них лайв-интервью в Instagram), а продолжили задорным ска-панком Sublime. У них и песня подходящая есть: со строчкой «я не хочу начинать этот разговор».На этой ноте мы заканчиваем небезопасный хит-парад и раздачу Дарвиновских премий в области информационного разгильдяйства. И да, наши премии в отличие от золотых кнопок YouTube не требуется подтверждать кодом. Если у вас есть свои кандидаты в топ – делитесь в комментариях!Дайджест прошлого года вы можете прочесть тут. А «пост-прародитель» жанра (за далекий 2016й) здесь.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Криптография, Алгоритмы] Группа разработчиков создала постквантовый алгоритм шифрования
- [Информационная безопасность, 1С] Учет умер, да здравствует учет
- [Информационная безопасность, Разработка под iOS, Разработка под Android, Исследования и прогнозы в IT] Исследование: Android отправляет в Google в 20 раз больше данных, чем iOS — в Apple
- [Информационная безопасность, DevOps] Валидные сертификаты и DNS для сервисов в локальных сетях без удостоверяющего центра
- [Информационная безопасность, Криптография, История IT, Научно-популярное, Старое железо] Криптофронт Второй Мировой Войны, часть 2
- [Информационная безопасность, IT-компании] Как я получил награду Facebook по баунти-программе дважды (перевод)
- [Информационная безопасность, Спортивное программирование, IT-инфраструктура] Открыт набор атакующих и защитников для участия в кибербитве The Standoff на Positive Hack Days
- [Настройка Linux, Информационная безопасность] Linux Sandbox
- [Информационная безопасность, Научно-популярное] Что делать, если украли смартфон
- [Информационная безопасность, Машинное обучение] Атаки на компьютерное зрение
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_dajdzhest_serchinform (дайджест сёрчинформ), #_informatsionnaja_bezopasnost (информационная безопасность), #_premija_darvina (премия дарвина), #_blog_kompanii_searchinform (
Блог компании SearchInform
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 14-Май 07:49
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
К 1 апреля собрали хит-парад самых глупых инцидентов ИБ за год  Новое 1 апреля и новый дайджест самых смешных инцидентов информационной безопасности. За год ИБ-нелепиц прибыло: в сегодняшнем хит-параде акселерация киберпреступности, превратности ИИ и нестареющий человеческий фактор. Выбираем самые веселые факапы (а заодно сплевываем и постукиваем, чтобы случайно не повторить подвиги героев выпуска).Кто хочет стать миллионером В Индии разыгралась драма, достойная Болливуда. Честный отец семейства столкнулся с шантажом: с ним связался загадочный хакер, который грозился разоблачить пороки несчастного перед друзьями, коллегами и семьей. При этом злоумышленник взломал электронную почту жертвы, сменил в ней пароль и привязанный номер телефона. За сохранение секретов и возврат доступа к почте он потребовал 137 тысяч долларов, в пересчете на рупии – 10 миллионов. Мужчина не на шутку перепугался (неужто было, что скрывать?) и обратился в полицию. В поисках IP-адреса, с которого злоумышленник рассылал угрозы, детективы добрались до дома жертвы. Цифровая ниточка привела их в детскую комнату, где и орудовал беспощадный… 11-летний сын пострадавшего. Начинающий хакер во всем сознался. По его словам, идею, как побыстрее стать миллионером, он почерпнул на YouTube. «Эх, Джимми, Джимми», – словно бы говорили хулигану добрые глаза индийской бабушки. «А чо?» – отвечает за малолетнего шантажиста бессердечный Интернет. Невиданная щедростьХакерская группировка с августа 2020 года атаковала компании по всему миру. Жертвам приходило письмо: в теме – их имя или название компании, во вложении – HTML-документ, который открывался в браузере в виде страницы авторизации Microsoft Office 365. «Этот документ защищен паролем, – сообщалось на странице. – Пожалуйста, введите пароль». Люди доверялись и вводили – ведь в поле «Имя пользователя» в форме авторизации уже значился их почтовый адрес. В результате за полгода хакерам удалось собрать как минимум 1 тыс. паролей. Украденные пароли вкупе с адресами становились подпиткой для следующих атак – для повышения достоверности свои рассылки фишеры предпочитали вести со скомпрометированных ящиков реальных компаний.  Схема была изящна, проста и эффективна. Вот только киберпреступники забыли защитить улов. Для хранения данных они зарегистрировали специальные домены, но файл с украденными паролями по ошибке сделали публично доступным. Так вся база оказалась в поисковой выдаче Google, где ее обнаружили исследователи из Check Point и Otorio. И вскрыли всю цепочку – с простотой и изяществом.Клубничка VSOPМожет ли дама стать героиней фильмов для взрослых, если ей уже за 70? «Почему бы и нет?» – подумал аферист из Челябинска и стал угрожать местной пенсионерке, что выложит в Сеть ее интимные фото. Хотя женщина не практиковала ню-фотосессий, мошенник утверждал, что справился сам, пока наблюдал за ней через веб-камеру.За бездействие начинающий порно-продюсер требовал от женщины 650 долларов. Причем непременно в биткоинах. Возмущенная женщина обратилась к правоохранителям. Поэтому обсуждать размер своего гонорара уральский мошенник будет вынужден уже с ними. Золотой ключик А вот история по эту сторону решетки – в буквальном смысле.В руки стажеру в Бранденбурге попал ключ стоимостью в 50 тыс. евро. То есть сам-то ключ столько не стоит, а вот его фотография дорого обошлась молодому человеку. Он только устроился в местную тюрьму и жутко загорелся новой работой. На радостях отправил друзьям в WhatsApp снимок мастер-ключа, открывающего в тюрьме любые двери. И правда, как тут не похвастаться. Друзья не так впечатлились, как тюремщики, которым пришлось в срочном порядке менять замки на дверях шестисот камер и различных подсобных помещений. На это ушло 20 часов непрерывной работы, все за счет незадачливого стажера. Теперь ему предстоит выплатить еще и пятидесятитысячный штраф. А все потому, что по фото профессиональный слесарь мог бы воссоздать ключ, проникнуть в тюрьму и создать угрозу безопасности. (У нас другой вопрос: универсальный ключ в тюрьме – точно хорошая идея?)Где ваши пальчики?Британская полиция тоже понесла потери. Недавно ведомство лишилось солидного куска базы с данными об арестах: из-за технической неполадки из системы пропали 150 тысяч записей. Файлы содержали историю «приводов», отпечатки пальцев и ДНК. Потенциально инцидент мог подарить свободу сотням преступников – на них больше нет биометрических улик. К тому же на два дня встала работа визовых центров по всей стране, заявления задерживались, потому что с базой полиции пропала связь.Власти уверяют, что не произошло ничего серьезного, удалились, мол, только записи о задержанных, которых отпустили без предъявления обвинения. Но расследуют инцидент аж на правительственном уровне. По основным версиям, у «технической неполадки» вполне человеческое лицо. Ошибиться мог специалист, который работал с базой, ее разработчик (в коде обнаружился дефект, из-за которого вместо резервирования в бэк-ап данные удалялись), или оба сразу. Видите – ситуации из серии «я что-то нажала и все исчезло» случаются не только в вашей бухгалтерии. Тайные посланияНовость с пылу с жару – и сразу в наш топ. 28 марта в твиттере стратегического командования вооруженных сил США появилась странная запись: набор букв и символов «;l;;gmlxzssaw». Твит буквально «взорвал» эфир и за пару часов набрал тысячи реплаев, лайков и репостов. Пользователи принялись шутить, что это секретный код запуска ядерных ракет. Затем решили, что аккаунт взломали, на худой конец – что по клавиатуре SMM-щика пробежала кошка. Нашлись конспирологи, которые увидели в твите тайное послание от QAnon – мифического сотрудника правительства США, который иногда якобы делится «инсайдами» с пользователями имиджборд. Ситуацию усугубляло молчание ведомства. Аккаунт несколько часов не обновлялся.  Наконец стратегическое командование извинилось и попросило «не обращать внимания» на инцидент. Затем удалило твит. Но дело было сделано – без объяснений число шуток и теорий росло, как снежный ком. Добиться правды удалось журналисту Daily Dot Микаэлу Талену. На его запрос в командовании ответили, что загадочную абракадабру запостил ребенок сотрудника, пока тот «на минутку отвернулся». Как заметили остроумные комментаторы, вот так «несколько мгновений официальным каналом связи сильнейшей армии в мире управлял ребёнок». Читаем и запоминаем: во избежание казусов – блокируй устройство, когда не работаешь за ним.Минус кнопкаЕще одна история про невнимательность (и кнопку). Стример twomad в прошлом апреле дождался миллионного подписчика на своем YouTube-канале и получил от администрации сервиса награду – как раз кнопку, только не «большую красную», а «золотую». В честь этого события он запустил стрим, где на глазах подписчиков ее «распаковывал» – то есть открыл письмо от YouTube, в котором содержался одноразовый код для получения приза.И тут популярность сыграла с блогером злую шутку. Когда он попытался ввести код, выяснилось, что он не подходит. Кто-то из миллиона подписчиков увидел код на стриме, успел воспользоваться им раньше и забрал «Золотую кнопку» себе. twomad осталось только негодовать и жаловаться в YouTube на воровство. А стоило бы – на свою недальновидность. Насколько нам известно, кнопку он так и не вернул. Да еще и подписчики затроллили.  (а вот и ссылка на твит: https://twitter.com/AltCriminals/status/1247439923784724485?s=20) Закодированная В этом случае никаких пользовательских факапов, только непреклонный ИИ. Американская актриса Рейчел Тру (True) после установки очередного обновления не смогла зайти в свой аккаунт в iCloud. Проблема затянулась на полгода и, кажется, не решилась до сих пор: абонентская плата продолжает списываться, доступ закрыт, а переход на бесплатный тариф грозит девушке потерей важных данных.Американка часами общалась с техподдержкой Apple. Выяснилось, что ошибка возникает, потому что программные алгоритмы облака воспринимают ее фамилию как атрибут кода: команду «верно». И искусственный интеллект остается непреклонен. Даже сотрудники техподдержки не смогли ничем помочь, кроме как посоветовать девушке сменить фамилию. Зато какая защита от взлома! Вперед и с песнейКто точно достоин нашей премии, так это полицейские из Калифорнии – по крайней мере спецприза «За находчивость». Они, не щадя живота своего, встали на защиту персональных данных. Правда, своих. А заодно изображений и видео, которые могут попасть в Сеть без их ведома – от перспективы стать блогерами они не в восторге.Полицейские стараются не попадать в объективы камер во время работы, чтобы их слова «не были вырваны из контекста и неправильно истолкованы». Поэтому несколько офицеров из Беверли-Хиллз взяли в привычку выходить в патрули с плейлистом наизготовку: стоит кому-то начать их снимать, они громко включают музыку. Идея в том, что Instagram, YouTube и другие сервисы удаляют контент, если в нем содержатся произведения, защищенные авторским правом. В таких условиях провокационные ролики не поснимаешь.Впрочем, креативные стражи правопорядка все равно попадают в СМИ. Правда, теперь журналисты обсуждают их музыкальные вкусы. Говорят, они меняются – начинали напарники с баллад Beatles (впервые включили нетленный Yesterday, когда некий активист попытался взять у них лайв-интервью в Instagram), а продолжили задорным ска-панком Sublime. У них и песня подходящая есть: со строчкой «я не хочу начинать этот разговор».На этой ноте мы заканчиваем небезопасный хит-парад и раздачу Дарвиновских премий в области информационного разгильдяйства. И да, наши премии в отличие от золотых кнопок YouTube не требуется подтверждать кодом. Если у вас есть свои кандидаты в топ – делитесь в комментариях!Дайджест прошлого года вы можете прочесть тут. А «пост-прародитель» жанра (за далекий 2016й) здесь. =========== Источник: habr.com =========== Похожие новости:
Блог компании SearchInform ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 14-Май 07:49
Часовой пояс: UTC + 5