В понедельник, 11 февраля, на черном рынке Dream Market в даркнете были выставлены на продажу 617 млн учетных записей, похищенных у пользователей 16 взломанных сайтов.    
617 млн учетных записей с 16 взломанных сайтов выставлены на продажу

Разработчик приложений для Mac и iOS Джефф Джонсон (Jeff Johnson) обнаружил недостаток в реализации защиты конфиденциальности в macOS, которым могут воспользоваться злоумышленники для того, чтобы просмотреть папки с ограниченным доступом. Проблема затрагивает все версии macOS Mojave, включая 10.14.3 Supplemental Update, представленную 7 февраля.    
Уязвимость в macOS предоставляет доступ к истории посещений в Safari

Компания Apple выпустила для своей мобильной операционной системы обновление iOS 12.1.4, призванное исправить ряд проблем. В частности была исправлена печально известная уязвимость в FaceTime, позволявшая тайно шпионить за владельцами iPhone, а также две серьезные уязвимости нулевого дня в фреймворках.    
Обновление iOS 12.1.4 вызывает проблемы с подключением к Сети

Исследователь безопасности Майк Гровер (Mike Grover) создал вредоносный USB-кабель под названием 0-MG с интегрированной Wi-Fi, платой позволяющей передавать команды по Wi-Fi, как будто они вводились с клавиатуры компьютера.    
Вредоносный USB-кабель позволяет удаленно проводить атаки на ПК по Wi-Fi

Бытовые смарт-устройства, безусловно, делают жизнь человека удобнее и комфортабельнее. Однако незащищенные смарт-устройства могут не просто испортить день, но превратить его в худший ночной кошмар.    
Уязвимость в Xiaomi M365 Electric Scooter представляет потенциальную угрозу жизни пользователя

Во вторник, 12 февраля, Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, в частности для Microsoft Windows, Office, IE, Edge, .Net Framework, Exchange Server, Visual Studio, Team Foundation Server и Asure IoT SDK Dynamics. В общей сложности была исправлена 71 уязвимость, из них 20 отмечены как критические, 49 – опасные и 4 – средней опасности.    
Microsoft исправила уязвимость нулевого дня в Internet Explorer

Прошло более года с тех пор, как модернизированные американские бронетранспортеры Stryker Dragoon (также известны как XM1296 или Infantry Carrier Vehicle-Dragoon, ICV-D) появились в Европе. На боевые бронированные машины возлагались большие надежды по части усиления огневой мощи против потенциальных противников, однако техника оказалась не такой уж защищенной – по меньшей мере в одном случае киберпротивникам удалось нарушить работу некоторых систем БТР, пишет издание The Drive.    
Киберпротивники США взломали модернизированный американский БТР Stryker Dragoon

Компания Siemens выпустила 16 уведомлений безопасности для своих АСУ ТП, в том числе предупреждение о критической уязвимости в системе управления цифровыми правами (DRM) WibuKey, затрагивающей ПО для управления процессами SICAM 230.    
Siemens выпустила 16 уведомлений безопасности для своих продуктов

На портале GitHub опубликован PoC-код для эксплуатации уязвимости (CVE-2019-7304), позволяющей создать новую учетную запись с правами суперпользователя. В основном проблема затрагивает Ubuntu, но также присутствует в других дистрибутивах Linux.    
Уязвимость Dirty Sock позволяет перехватить контроль над Linux-системами

Администрация популярного фотохостинга 500px призвала пользователей сменить пароли в связи с инцидентом безопасности, в результате которого злоумышленники смогли получить «частичные данные пользователей».    
500px и DataCamp сообщили об утечке данных пользователей

Неизвестные киберпреступники взломали расположенные в США серверы почтового провайдера VFEmail и удалили все хранящиеся на них данные пользователей. В результате атаки, произошедшей 11 февраля, были отключены почтовый клиент и web-сайт компании.    
Неизвестные взломали серверы почтового сервиса VFEmail и уничтожили все данные

Владельцы сайтов под управлением WordPress, использующие плагин Simple Social Buttons для поддержки функции репоста в соцсетях, должны как можно скорее установить обновление для плагина.    
Уязвимость в плагине для WordPress позволяет получить полный контроль над сайтом

Для того чтобы вывести из строя iPhone, достаточно лишь в любом поле с помощью голосового ввода пять раз ввести «дефис». Об этом во вторник, 12 февраля, сообщил пользователь Twitter из России под псевдонимом ИскИн.    
iPhone «боится» пяти дефисов

Исследователи в области кибербезопасности продолжают изучать инфраструктуру группировки GreyEnergy, предположительно имеющей отношение к кибератакам на энергосистему Украины в 2015 году. В ходе реверс-инжиниринга вредоносного ПО GreyEnergy эксперт компании Nozomi Networks Алессандро Ди Пинто (Alessandro Di Pinto) обнаружил огромное количество «мусорного» кода, призванного запутать аналитиков и сбить их со следа.    
Вредоносное ПО GreyEnergy содержит огромное количество «мусорного» кода

Пользователи столкнулись с новой фишинговой кампанией, в ходе которой злоумышленники рассылают электронные письма с невероятно длинной ссылкой. В письме сообщается, будто электронный адрес жертвы был внесен в черный список, и она должна подтвердить его, предоставив свои учетные данные.    
Фишеры атакуют пользователей с помощью ссылки из 1 тыс. знаков

Компания «Код безопасности» выпустила новую версию продукта Secret Net Studio, предназначенного для комплексной защиты рабочих станций и серверов от внешних и внутренних угроз. В Secret Net Studio 8.5 значительно усилена самозащита процессов и драйверов, расширена функциональность подсистем безопасности, а также оптимизирован процесс развертывания продукта. Одно из важнейших нововведений Secret Net Studio версии 8.5 – модуль «Доверенная среда», который позволяет реализовывать внешний по отношению к ОС контроль процессов Secret Net Studio и драйверов в реальном времени.    
Новые ИБ-решения недели: 14 февраля 2019 года

В среду, 13 февраля, один из крупнейших мальтийских коммерческих банков Bank of Valletta был вынужден прекратить свои операции в связи с кибератакой. Как сообщает Times of Malta, днем ранее неизвестные взломали системы финорганизации и перевели 13 млн евро на зарубежные счета.    
Один из крупнейших мальтийских банков стал жертвой киберграбителей

Прокуратура США предъявила обвинения экс-служащей разведки ВВС Монике Уитт (Monica Witt) в передаче секретных сведений Ирану и содействии в организации направленной на бывших коллег кампании по кибершпионажу, после бегства в Иран.    
Экс-сотрудницу разведки ВВС США обвинили в передаче секретных данных Ирану

Специалисты компании ACROS Security выпустили неофициальное исправление для свободного пакета офисных приложений Apache OpenOffice, устраняющее уязвимость обхода каталога (CVE-2018-16858), позволяющую удаленно выполнить код.    
Выпущен неофициальный патч для критической уязвимости в Apache OpenOffice

Китайский разработчик системы распознавания лиц SenseNets оставил свою базу данных в открытом доступе без какой-либо защиты. По словам исследователя компании GDI Foundation Виктора Геверса (Victor Gevers), база данных содержит более 2,5 млн записей о жителях Китая, в том числе номера их идентификационных карт, адреса, даты рождения и места, где они были обнаружены системой SenseNets.  
Китайский разработчик системы распознавания лиц оставил свою БД в открытом доступе