Как минимум две киберпреступные группировки активно эксплуатируют уязвимости в популярных плагинах для WordPress. Злоумышленники используют баги для создания на сайтах учетных записей администратора, служащих в качестве бэкдоров, и перенаправления трафика со взломанных ресурсов.    
0Day-уязвимости в плагинах для WordPress эксплуатируют сразу несколько группировок

Из-за небрежности сотрудников Управления здравоохранения Липецкой области медицинские данные пациентов оказались в октрытом доступе. Как сообщается на странице «Пациентский контроль» в Facebook, в поисках аукционов на закупку медпрепаратов на сайте госзакупок активисты наткнулись на документы, содержащие персональные и медицинские данные пациентов.    
Персональные данные пациентов в Липецкой области оказались в открытом доступе

В программном обеспечении Schneider Electric Triconex TriStation Emulator обнаружена серьезная уязвимость, позволяющая вызвать отказ в обслуживании эмулированного контроллера путем отправки специально сформированных TSAA (Triconex System Access Application) пакетов на порт UDP 1500.    
Schneider Electric готовит патч для опасной уязвимости в эмуляторе Triconex TriStation

В Сети появился поддельный криптовалютный кошелек Wasabi – wasabibitcoinwallet.org (заходить на сайт не рекомендуется), предназначенный, очевидно, для кражи биткойнов. Об этом в четверг, 21 марта, на своей странице в Twitter предупредил разработчик Wasabi Адам Фичор (Adam Fichor), также известный как nopara73‏.    
Мошенники распространяют поддельный криптовалютный кошелек Wasabi

Группа исследователей из южнокорейского научно-технического института KAIST обнаружила 36 новых уязвимостей в стандарте LTE (Long-Term Evolution), используемом тысячами мобильных сетей по всему миру. Найденные уязвимости позволяют нарушить работу базовых станций сетей мобильной связи, заблокировать входящие звонки, отключить пользователей от мобильной сети, отправлять фальшивые SMS-сообщения, а также перехватывать и манипулировать мобильным трафиком.    
В протоколе LTE обнаружено 36 новых уязвимостей

От вымогательского ПО LockerGoga, использовавшегося в недавней атаке на крупного производителя алюминия Norsk Hydro, также пострадали две американские химические компании.    
Атаковавший Norsk Hydro вредонос также атаковал две химические компании в США

Команда исследователей взломала электромобиль Tesla Model 3 в последний день соревнований Pwn2Own 2019, проходивших на прошлой неделе в Ванкувере (Канада).      
Участники Pwn2Own 2019 взломали Tesla Model 3

Сотрудники Федерального агенства по управлению в чрезвычайных ситуациях США (Federal Emergency Management Agency, FEMA) предоставили одной из компаний-подрядчиков личную и финансовую информацию более 2,3 млн жителей, пострадавших от стихийных бедствий, показал доклад Управления главного инспектора (Office of the Inspector General, OIG). В частности, подрядчик получил персональные данные жертв ураганов Харви, Ирма и Мария, а также постравдавших от калифорнийских пожаров 2017 года, участвующих в программе Transitional Sheltering Assistance (TSA) по обеспечению временным жильем.  
FEMA случайно раскрыло личные данные 2,3 млн пострадавших от стихийных бедствий американцев

В настоящее время большой популярностью у киберпреступников пользуются атаки через исправленную уязвимость в расширении Chrome для Cisco WebEx, сообщают исследователи компании WatchGuard.    
Злоумышленники активно эксплуатируют старую уязвимость в расширении Chrome для Cisco WebEx

В реализации с открытым исходным кодом протокола TLS 1.3 от компании Facebook исправлена опасная DoS-уязвимость. С ее помощью злоумышленник может вызвать бесконечную петлю, что приведет к сбою в работе web-сервисов, использующих уязвимую реализацию протокола.    
В Facebook Fizz исправлена опасная уязвимость

Спустя всего несколько дней после релиза крупного обновления Firefox 66 компания Mozilla выпустила обновление Firefox 66.0.1, исправляющее две опасные уязвимости, обнаруженные участниками соревнования Pwn2Own 2019.    
Обновление Firefox 66.0.1 устраняет две опасные проблемы в браузере

Популярное приложение Family Locator, разработанное компанией React Apps, в течение нескольких недель раскрывало данные о местоположении более 200 тыс. пользователей. Причиной инцидента послужил сервер MongoDB, который разработчик не позаботился защитить паролем.    
Приложение для отслеживания членов семьи раскрывало координаты пользователей

Производитель приложений для слежки потребительского класса, позволяющих перехватывать чужие телефонные звонки и сообщения, хранит более 95 тыс. изображений и 25 тыс. аудиозаписей в незащищенной базе данных. Получить доступ к БД через интернет может любой желающий, сообщает исследователь безопасности Трой Хант (Troy Hunt), первым изучивший ее содержимое.    
Производитель шпионского ПО хранит перехваченные данные в открытой БД

В феврале нынешнего года правительство Швейцарии запустило программу выплаты вознаграждений за уязвимости, найденные в системе электронного голосования страны, предлагая награды в размере до $50 тыс. Несмотря на уверения властей в надежности системы, спустя буквально месяц после запуска программы эксперты обнаружили уязвимости, которые могли бы позволить злоумышленникам заменить легитимные голоса на фальшивые.    
В швейцарской системе электронного голосования выявлена еще одна уязвимость

Минувшая неделя ознаменовалась очередным скандалом, связанным с компанией Facebook. Как оказалось, владелец одноименной соцсети хранил пароли сотен миллионов пользователей на внутреннем сервере в незашифрованном виде. В результате доступ к данной информации могли получать тысячи сотрудников Facebook. На данный момент неясно, как долго данные хранились в открытом виде, но некоторые из них датируются 2012 годом. Как заверили в компании, сейчас проблема уже решена.    
Обзор инцидентов безопасности за период с 18 по 24 марта 2019 года

Европейский Союз намерен призвать правительства стран-участниц к обмену информацией для управления рисками безопасности беспроводных сетей 5G. Как сообщает Bloomberg, во вторник, 26 марта, ЕС опубликует рекомендации, согласно которым странам-участницам будет дано несколько месяцев на выявление и сообщение ЕС потенциальных угроз безопасности сетей 5G на их рынках. На базе этой информации будут разработаны минимальные стандарты безопасности, действительные на всей территории ЕС.    
ЕС разработает стандарты безопасности для сетей 5G

Специалисты «Лаборатории Касперского» предупредили о новой вредоносной кампании, нацеленной на пользователей компьютеров ASUS. Киберпреступная группировка ShadowHammer взломала утилиту ASUS Live Update для доставки обновлений BIOS, UEFI и ПО на лэптопы и стационарные компьютеры ASUS, внедрила в нее бэкдор и распространяла через официальные каналы.


Злоумышленники внедрили бэкдор в утилиту ASUS Live Update

Исследователи компании Microsoft выявили в инструменте Huawei PCManager опасные уязвимости, позволяющие повысить привилегии и выполнить произвольный код на системе.    
В Huawei PCManager исправлены опасные уязвимости

Исследователи из Мадридского университета имени Карла III (Испания), некоммерческой организации IMDEA Networks Institute и Университета Стоуни-Брук (США) проанализировали 82 501 приложений, предустановленных на 1 742 устройств от 214 вендоров из 130 стран. По словам специалистов, предустановленные приложения имеют совсем иной уровень доступа, чем такие же приложения, установленные через Google Play Store.    
Предустановленные приложения для Android собирают информацию о пользователях

Код вымогательской программы LockerGoga, засветившейся в недавних атаках на норвежскую металлургическую компанию Norsk Hydro и ряд крупных химических предприятий в США, содержит ошибку, позволяющую вывести вредонос из строя прежде чем он зашифрует какие-либо файлы.    
Найден способ обезвредить вымогатель LockerGoga на ПК