Бизнес атакуют программы-вымогатели. Что важно о них знать?

- КиТ :: Будь в СЕТИ!

Главная угроза цифровизации - не нехватка бюджетов и даже не технологическое отставание. Куда большей бедой для развития бизнесов по всему миру стали киберпреступники и взятые ими на вооружение программы-вымогатели. В июле 2020 года ежедневно фиксировались 2300 случаев заражения устройств таким ПО. Спустя всего полгода эта цифра выросла более чем в 7 раз - до 17200 устройств.

Зарегистрируйтесь, чтобы скачать исследование компании Fortinet о программах-вымогателях и основных проблемах, которые они вызывают.

Информационная безопасность операционных технологий

За последний год 90% компаний по всему миру хотя бы один раз столкнулись с внешним вторжением. При этом почти две трети организаций (63%) пережили не менее трех атак! Причиной тому стала в том числе пандемия, которая усложнила обеспечение ИБ операционных технологий.

Зарегистрируйтесь, чтобы получить исследование о состоянии операционных технологий и информационной безопасности в 2021 г.

Безопасность Бизнес Техника | Поделиться

Игнорируемая проблема в Safari приводит к утечке данных из аккаунтов Google

Уязвимость в API браузера Safari открывает возможность утечки данных с одного сайта на другой в рамках одной и той же сессии. Разработчики Safari не реагируют на проблему уже несколько месяцев.

Без правил

Неправильно реализованный API в браузере Safari приводит к утечке некоторых важных данных, например информации из аккаунтов Google.

Уязвимость в Safari 15 обнаружилась с помощью сервиса по выявлению мошенничества Fingerprint JS. Информация была передана разработчикам WebKit еще осенью 2021 г. Проблема с тех пор так и не была решена, так что команда Fingerprint JS вывела информацию о баге в публичное поле.

Проблема заключается в широко используемом API IndexedDB. По умолчанию он применяет стандартное правило ограничения домена, подразумевающее, что документы или скрипты из одного источника не должны взаимодействовать с ресурсами другого источника. Проще говоря, веб-страница, открытая в одной вкладке браузера, не должна иметь возможности обмениваться данными с ресурсом в другой вкладке - это один из базовых механизмов безопасности.

Баг в Safari угрожает пользователям сервисов Google

Однако в случае с Safari 15, как выяснили эксперты Fingerprint JS, правило ограничения домена нарушается. Когда веб-сайт взаимодействует с базой данных в Safari, новая (пустая) база данных с тем же названием создается во всех прочих активных фреймах, вкладках и окнах в рамках одной и той же браузерной сессии. Это означает, что веб-сайты могут видеть имена других баз данных, созданных на других сайтах, а эти имена могут содержать идентифицирующую информацию.

Проблема затрагивает популярные сайты

В публикации Fingerprint JS утверждается, что сайты, использующие аккаунт в Google: YouTube, Google Calendar, Google Keep и т. д. генерируют базы данных, содержащие в названии уникальный пользовательский идентификатор Google. Он открывает доступ к публичной информации, ауязвимость может привести к тому, что эти сведения станут доступны другим веб-сайтам.

FingerprintJS запустили сайт, на котором демонстрируется, как с помощью уязвимости можно определить, какие сайты посещал пользователь, и как другие сайты могут извлекать информацию из пользовательского Google User ID. На сайте указаны 30 популярнейших ресурсов, в том числе Instagram, Netflix, Twitter и др., которые может затрагивать данная уязвимость.

Баг можно эксплуатировать и когда Safari работает в безопасном режиме (Private Browsing). Единственная рекомендация экспертов Fingerprint JS - перейти на другой браузер, пока проблема в Safari не будет устранена.

«Таких ресурсов, несомненно, намного больше, просто FingerprintJS для наглядности ограничились наиболее популярными, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Проблема, однако, не в сайтах, а в некорректной реализации популярного API в конкретном браузере. Очень странно, что его разработчики до сих пор не отреагировали на проблему - она может затрагивать интересы очень большого числа пользователей».

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
Группы: ВК|OK|Tg