Скомпрометированы данные 106 тыс. студентов Университета Северной Флориды

По сведениям компании «Практика Безопасности», более 106 тыс. человек, преимущественно студентов Университета Северной Флориды (University of North Florida), могут пострадать от утечки своих персональных данных. Их имена, даты рождения и номера социального страхования хранились в файле, доступ к которому получили неизвестные хакеры.



Инцидент произошел еще в конце сентября текущего года, и тот факт, что университет начал уведомлять потенциальных жертв утечки лишь недели спустя, вызвал бурное негодование среди студентов.

По словам Джоанны Норрис (Joanna Norris), заместителя директора университета по связям с общественностью, задержка в уведомлении вызвана ходом внутреннего расследования. Специалисты выясняли подробности инцидента, чтобы выработать конкретные рекомендации для потенциальных жертв.

«Данный случай наглядно показывает, сколь трепетно относятся американцы к своим персональным данным, – отметил Тарас Пономарёв, партнер консалтингового бюро «Практика Безопасности». – Кроме того, общепринятой практикой является оперативное уведомление потенциальных жертв об утечке. Это позволит людям своевременно предпринять шаги для предотвращения кражи личности».

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Ряд ПЛК открыт для удаленной эксплуатации без шанса на патчинг

В промышленных контроллерах ряда производителей обнаружены критические уязвимости, для которых нет и, судя по всему, не будет патчей. Сетевые администраторы встают на защиту от эксплойтов.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупреждает администраторов об уязвимостях в двух устройствах промышленных систем управления — ПЛК Unitronics Vision Series и ПЛК Mitsubishi Electric MELSEC iQ-R Series.

По сообщению CISA, из-за хранения паролей в восстанавливаемом формате, контроллер ПЛК Unitronics Vision Series стал доступен для удаленной эксплуатации. Эта уязвимость (CVE-2024-1480) получила 8,7 балла по шкале CVSS.

Компания Unitronics не прокомментировала данную проблему. Специалисты из CISA рекомендуют пользователям изолировать контролеры от рабочих сетей и подключения к интернету, защитить устройства межсетевыми экранами. Для удаленного доступа лучше использовать безопасные методы, например VPN.

Остальные бреши затрагивают контроллер Mitsubishi Electric Corporation MELSEC iQ-R. Устройство передает пароли в открытом виде, которые легко перехватываются киберпреступниками. Уязвимости (CVE-2021-20599) дали 9,1 балла по CVSS.

Ещё три весомых дефекта было обнаружено в процессорах Mitsubishi MELSEC, таких как раскрытие конфиденциальной информации (CVE-2021-20594, CVSS 5,9), недостаточная защита учетных данных (CVE-2021-20597, CVSS 7,4) и ограничительный механизм блокировки учетной записи (CVE-2021-20598, CVSS 3,7). С помощью этих уязвимостей злоумышленники могут скомпрометировать имена пользователей, получить контроль над устройством и отказать в доступе легитимным пользователям.

В своём докладе исследователи CISA отметили, что несмотря на работу компании Mitsubishi над патчами, пользователям данных устройств недоступно обновление до исправленной версии. Агентство советует администраторам, в сетях которых есть эти ПЛК, принять защитные меры для минимизации рисков эксплуатации багов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru