Positive Technologies помогает Яндексу устранить уязвимости

Александр Панасенко 12 Марта 2013 - 12:20

Общее

Яндекс

Positive Technologies

Средства защиты веб-сайтов (приложений)

Средства поиска уязвимостей

Уязвимости программ

Патчи

...

Эксперты Positive Technologies обнаружили в сервисах Яндекса ряд серьезных уязвимостей, доступ к отдельным частям внутренней сети компании. Поиск недостатков безопасности проходил в конце 2012 года в рамках второго этапа программы Yandex Bug Bounty, которую на постоянной основе проводит крупнейшая российская поисковая система.

Объектами для поиска уязвимостей стали большинство ресурсов Яндекса, а также мобильные приложения: Яндекс.Карты, Яндекс.Навигатор, Яндекс.Музыка, Яндекс.Почта и Яндекс.Маркет.

Как выяснили специалисты группы анализа защищенности веб-приложений Positive Technologies, проблемы с безопасностью есть на Яндекс.Паспорте, Яндекс.Почте, Яндекс.Картах, серверах wiki.yandex.ru, school.yandex.ruи других ресурсах интернет-портала. Всего специалистами Positive Technologies было обнаружено несколько десятков уязвимостей различного уровня опасности, включая Memory Disclosure, XSS, Open Redirect, Response Splitting и CSRF.

Самой серьезной, по словам специалистов Positive Technologies, стала ошибка безопасности на сервисе Яндекс.Вебмастер, который оказался уязвимым для внедрения внешних сущностей XML (XML External Entity) через XSD-схемы. Эксплуатация данной уязвимости могла открыть доступ к соседним хостам во внутренней сети Яндекса и представлять потенциальную опасность для пользовательских данных.

Благодаря профессиональной работе специалистов компании Яндекс недостатки защищенности в популярных сервисах были оперативно устранены.

Компания Positive Technologies не в первый раз сотрудничает с ведущими российскими и зарубежными компаниями, владеющими поисковыми сервисами. В 2010 году имена нескольких экспертов Positive Technologies были внесены в виртуальный «Зал славы» Google в качестве благодарности за помощь в повышении защищенности. В ноябре 2012 года Артем Чайкин обнаружил две критические уязвимости браузера Chrome для платформы Google Android, которые могли поставить под угрозу безопасность большинства новейших смартфонов и планшетов. Весной 2012 года эксперт Positive Technologies Дмитрий Серебрянников обнаружил критическую уязвимость на сайте Google, за что был награжден премией в рамках Vulnerability Reward Program.

Открытые программы bug bounty (англ. «отлов багов»), направленные на поиск уязвимостей и поддержку исследователей в области ИБ, — распространенная мировая практикой крупных IT-компаний. Конкурсы по поиску уязвимостей и ошибок проводят Facebook, Google, Microsoft, Mozilla, Nokia, PayPal, The avast! и др.

Денис Баранов, руководитель группы анализа защищенности веб-приложений Positive Technologies, отметил: «Компания Positive Technologies приветствует участие своих специалистов в подобных конкурсах, где любой желающий может опробовать свои силы в поиске уязвимостей. Подобные программы эффективно повышают защищенность сервисов и продуктов, которыми ежедневно пользуются миллионы людей. Интернет — бесценный источник информации и мощное средство коммуникации, и мы рады, что компания Яндекс для обеспечения безопасности его российского сегмента использует самые прогрессивные методы, включая краудсорсинг в bounty-инициативах».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 25 Апреля 2024 - 19:53

Вирусы-вымогатели Вирусы-шифровальщики Корпорации Positive Technologies

В 2023 году кибервымогателям выплатили рекордный миллиард долларов

По данным исследования Positive Technologies, 2023 год ознаменовался рекордными выкупами операторам программ-вымогателей, а также значительным увеличением масштабов и сложности атак шифровальщиков. Выплаты вымогателям в прошлом году составили более 1 млрд долларов, что является самым высоким показателем за всю историю.

Больше всего от атак вымогателей в 2023 году пострадали медицинские организации (18% всех инцидентов пришлось именно на медицинскую отрасль), что привело к закрытию некоторых учреждений, перенаправлению карет скорой помощи в другие больницы и задержке в предоставлении медицинских услуг.

Так, с серьезным ущербом в результате атаки вымогателей из группировки Rhysida столкнулась американская медицинская компания Prospect Medical Holdings. Российская лабораторная служба «Хеликс», по данным ТАСС, также подверглась кибератаке с помощью шифровальщика.

Злоумышленники пытались нарушить работу лабораторных комплексов и спровоцировать утечку персональных данных. В результате атаки произошла задержка в выдаче результатов исследований клиентам. Потери чувствительных данных удалось избежать.

В четверку самых атакуемых шифровальщиками отраслей по итогам года также вошли организации из сферы науки и образования (14%), государственные учреждения (12%) и промышленные организации (12%). Большинство шифровальщиков распространялось с помощью электронной почты (62%) и путем компрометации компьютеров и серверов (35%).

По данным исследования Positive Technologies, в 2023 году злоумышленники переключились с простого шифрования на угрозу публикации украденных данных. Выплаты вымогателям перевалили за 1 миллиард долларов, что стало самым высоким показателем за всю историю. Так, в результате кибератаки одна из крупнейших компаний в сфере гостиничного и развлекательного бизнеса Caesars Entertainment понесла убытки в размере 15 млн долларов. Компания согласилась выплатить выкуп вымогателям, которые угрожали опубликовать украденные данные клиентов из программы лояльности.

«В 2023 году акцент сместился с шифрования на использование украденных данных для получения денежной выгоды через вымогательство, — отмечает Ирина Зиновкина, руководитель исследовательской группы Positive Technologies. — Этот тренд появился сформировался в связи с тем, что организации начали внедрять более комплексные меры защиты, — с точки зрения злоумышленников, это делает атаки шифровальщиков менее эффективными. Кроме того, отказ от шифрования и переход к вымогательству через угрозу публикации украденных данных может быть обусловлен выпуском специалистами по безопасности различных дешифраторов».

Напомним, на днях Positive Technologies также выложила исследование, согласно которому злоумышленники могут попросить 70 млн долларов за возврат украденных ПДн.

А позавчера мы рассказывали о разработчиках шифровальщика, вымогающих деньги у эксплуататоров детей.